중국 해킹 그룹 Xiaoqiying, 국내 학술 기관 해킹
2023년 춘절 기간 동안 중국의 여러 학술 기관 홈페이지가 중국 해커의 공격을 받았습니다. 다행히 텔레그램 채널을 통해 예고된 사이버 공격에 비하면 피해는 미미한 것으로 전해졌다.
중국 해커그룹 ‘샤오치잉’ 사이버 공격
이번 사이버 공격은 한국에서 악명 높은 ‘등뱀’의 후신인 ‘샤오치잉’이라는 중국 해커그룹이 예견한 것이다. 조직은 2022년 말부터 활성화됩니다. 지난해 12월 28일 쓰촨성의 모 석탄 채굴 플랫폼이 해킹돼 정보가 유출됐으며, 올해 1월 3일 회원을 모집한 뒤 한국 정부 기관과 언론 등 2000곳을 대상으로 사이버 공격을 예고하고 장기간의 데이터 유출 작전을 열었다고 합니다.
손상
“D-Face” 방식은 해킹 후 홈페이지를 변조하는 데 사용됩니다.
지난 21일 해킹당한 한국건설정책연구원을 포함해 25일 현재 총 12개 사이트가 해킹된 것으로 확인됐다. 다만 샤오치잉이 보고한 70건과 큰 차이가 있어 향후 추가 적자가 확인될 가능성도 배제할 수 없다.
또 공공기관으로부터 54GB의 데이터를 확보했다고 주장하며 국내 기관 및 학회명으로 사이트를 등록해 추가 공격을 예고했다. 이 역시 입증된 바는 없지만 더 큰 피해를 줄 수 있다는 관측이 나오고 있다. 또한 차기 타깃으로 한국인터넷진흥원(KISA)을 지목하며 추가 공격이 이어질 것으로 예상했다.
한국을 타깃으로 선택한 이유는?
해커 그룹 “Xiaoqiying”은 배후에 중국 정부가 없으며 자유 그룹이라고 주장합니다. 한국에서 해킹당한 이유에 대해서는 텔레그램에 “한국 스트리밍 스타 일부가 짜증난다”는 수상한 내용이 올라왔다. 이어 “한국을 개인 훈련장으로 활용하겠다”고 말했다. 일각에선 중국인 입국 제한 등 한국 정부의 방역 조치에 불만을 품은 세력의 소행이라는 추측도 나온다.
전망
이번 해커 공격에 대해 보안 전문가들은 ‘과시 공격’일 가능성이 있다고 분석했다.
해킹을 당한 12개 기관의 웹사이트는 공개된 정보가 많고 보안 수준이 상대적으로 낮았습니다. 상대적으로 보안이 약한 기관에 주의를 끌도록 설계되었을 수 있습니다. 해커의 동기가 돈이라면 기업을 목표로 삼을 것입니다. 본격적인 대규모 공격을 준비하는 해커들이 그렇게 공개적으로 행동하지는 않을 것이라는 것이 전문가들 사이에서 지배적인 의견이다.
보안부는 해커 집단의 추가 해킹 공격에 대비하기 위해 동선을 예의주시하고 있으며 해킹된 홈페이지의 모든 권한을 탈취했다고 주장하고 있다. 네트워크 변조를 제외하고는 권한 도용과 같은 “실제 위험”이 없는 것으로 이해됩니다.아마도 의도적으로 대상을 부풀려(예: 해킹된 웹사이트 수 부풀리기) 관심을 끌고 긴장감을 조성하도록 설계되길 바랍니다.
이번 공격을 주도한 해커조직 ‘텅스네이크’는 2021년부터 여러 차례 해킹 공격을 시도했다. 국내 공공기관과 기업을 지속적으로 위협할 수 있어 상시 대비하고 대응해야 한다. 이와 함께 이러한 해킹 공격에 대한 국가적 대응력을 더욱 강화해야 한다는 목소리도 높아지고 있다.