올해 초 국내 여러 기업을 해킹해 유명세를 탄 중국 해킹 집단 ‘샤오치잉’의 공격은 금전적·정치적 이유에서가 아니라 실력 과시를 위한 것이라는 분석이 나왔다. 이들은 고전적인 해킹 수법으로 보안이 취약한 국내 기업이나 기관을 공격했다.
한국인터넷진흥원(KISA)은 11일 ‘샤오치잉 공격 그룹 침해사고 및 대응방안 보고서’에서 이 같은 분석 결과를 전했다.
샤오치잉은 2023년 1월부터 2월까지 국내 기업들의 웹페이지 변조, 정보 유출, 데이터베이스(DB) 삭제 등의 공격을 감행했다. 그리고 그 결과를 자신들의 홈페이지, 텔레그램, 해킹 포럼 등을 통해 공개했다.
이들은 1월 7일 국내 기업 내부 자료를 해킹했다며 깃허브에 161명의 개인정보를 공개했다. 20일에는 대한건설정책연구원 홈페이지를 공격했으며 23일에는 한국 정부 부처 데이터 54GB(기가바이트)를 유출했다고 주장했다.
이어 24일에는 KISA 공격을 예고하고 11개 국내 학회 홈페이지를 해킹해 웹페이지에 ‘한국 인터넷 침입을 선포한다’, ‘우리 모임원을 찾는 데 힘써 주세요’와 같은 문구가 적힌 이미지를 게시했다.
2월에도 해킹은 계속됐다. 14일에는 새로 합류한 해킹 멤버의 실력을 테스트할 목적으로 국내 5곳의 서버와 웹페이지를 변조했다고 발표했다.
KISA는 샤오치잉이 보안에 많은 투자를 하지 못하는 소규모 기업이나 기관을 노려 고전적인 수법으로 해킹을 했다고 분석했다.
이 해커들은 웹사이트의 취약점을 찾아 DB를 관리하는 SQL 명령어에 악성코드를 삽입하는 SQL인젝션과 서비스 계정 설정 파일, 알려진 취약점을 악용해 공격한 것으로 드러났다. 이러한 방법으로 내부 정보에 직접 접근하거나 웹셸, 백도어 등을 업로드해 정보를 빼냈다.
1월에는 SQL인젝션이나 외부에 노출된 계정 정보를 사용해 정보 유출까지 했지만 2월에는 1건을 제외하면 오래된 웹로직(WebLogic) 취약점을 악용해 다른 악성 행위 없이 웹페이지 변조만 수행했다.
KISA는 이들의 목적이 “국내 언론 및 정부기관 등에 자신들의 해킹 실력을 입증하거나 과시하기 위한 것”이라고 풀이했다. 그리고 자신들이 해킹했다는 것을 입증하기 위해 증거 자료를 공개하는 것으로 볼 때 금전적, 정치·사회적 목적을 가진 공격으로 보기는 어렵다고 덧붙였다.
KISA는 SQL인젝션 공격을 예방하는 방법으로 ▲소스 코드에 잠재한 보안 취약점을 제거하고 보안과 관련된 기능을 구현하는 웹 서버 시큐어 코딩 ▲웹 공격을 탐지하고 차단하는 웹 방화벽 설치를 권고했다.
또한 ▲서버 내 계정정보 업로드 여부 점검 ▲운영체제 및 소프트웨어 버전 업그레이드 ▲중요자료 백업 ▲웹로그 주기적 점검 및 백업 ▲KISA 보안공지 확인 ▲KISA 배포 가이드와 보고서 활용 등도 제안했다.
KISA는 "한국인터넷진흥원에서는 보안에 많은 투자를 하기 어려운 중소기업을 대상으로 다양한 보안 서비스와 보고서를 제공하고 있다"라면서 "침해사고 발생 시 중소기업 침해사고 피해지원 서비스를 통해 침해사고 원인분석 및 후속 조치를 지원하고 있다"라고 설명했다.