정부-언론사 등 2000곳 해킹 위협중국 국적으로 추정되는 해커 조직의 사이버 공격으로 설 연휴 기간 국내 학술기관 홈페이지 12곳의 서비스가 중단됐다. 이 조직은 앞서 한국 정부와 언론사 등 2000여 곳을 대상으로 사이버 공격을 예고한 상황이어서 추가 피해 가능성도 있다.

한국인터넷진흥원(KISA)은 25일 “12개 학술기관 홈페이지에서 해킹이 이뤄진 사실을 확인했다”고 밝혔다. 홈페이지 피해 사실이 확인된 곳은 대한건설정책연구원, 우리말학회, 한국고고학회 등 12곳이다. 이들 기관의 홈페이지는 기존 내용이 사라지고 해커 조직의 로고와 ‘한국 인터넷 침입을 선포한다’는 문구가 적힌 내용으로 홈페이지가 변조(디페이스)되는 방식으로 해킹됐다. 해킹된 홈페이지 중 건설정책연구원을 제외한 나머지는 이날 오후 10시까지 접속이 불가능한 상태다. 해커 조직은 중국 국적의 ‘샤오치잉 사이버 시큐리티 팀’으로 추정된다. 이들은 텔레그램을 통해 “한국 스트리머에 화가 나서 해킹을 하게 됐다”고 밝혔다. 보안업계에선 최근 설, 한복 등을 두고 한중 누리꾼들이 원조 논란을 펼친 것 등이 해킹의 배경이 된 것으로 보고 있다.

中 해커조직, 국내 공격

보안 취약한 학회-연구원 타깃
홈피 변조뒤 “한국 인터넷 침입”
“음력설 등 원조논란 영향 가능성”

보안업계에선 중국 국적으로 추정되는 해커 조직 ‘샤오치잉’이 보안이 취약한 학회나 연구원 홈페이지를 우선 공격 대상으로 삼은 것으로 보고 있다. 이들이 다른 해외 해커 조직과 달리 피해 기관에 금전적인 보상 요구를 하지 않고 명확한 해킹 이유를 밝히지 않았다는 점에서 단순히 영향력을 드러내기 위한 사이버 공격이라는 분석도 나온다.
샤오치잉은 자신들의 텔레그램 채널에 20일 오후 7시 33분 대한건설정책연구원 홈페이지를 해킹했다는 사실을 처음 공개했다. 샤오치잉은 ‘새벽의 기병대’라는 뜻으로 중국 진나라의 군사 조직 이름에서 따온 것으로 추정된다.

한국 설 연휴 마지막 날인 24일 오후 10시 28분에는 11개 학술기관의 인터넷주소(URL)를 올리며 해킹을 예고했다. 이후 사이버 침해 대응을 담당하는 한국인터넷진흥원(KISA)은 25일 이들 홈페이지가 디페이스(홈페이지 변조) 방식으로 해킹당한 사실을 확인했다.

과학기술정보통신부는 “해킹 피해가 발생한 홈페이지들은 보안 서비스를 이용하지 않고 방화벽도 없어 공격에 노출된 것으로 보인다”고 설명했다.

샤오치잉의 위협은 이번이 처음은 아니다. 앞서 7일 자신들의 홈페이지에 한국 민간 기업·공공기관에 소속된 직원 161명의 이름과 전화번호, 이메일 등 개인정보를 공개했다. 여기엔 검찰이나 경찰 소속으로 보이는 이들은 물론 현 정부 장관의 배우자 개인 정보도 포함된 것으로 전해졌다. 이들은 또 한국 정부 부처가 보유한 54.2GB(기가바이트) 규모의 데이터를 탈취했다고 주장하기도 했다.

 

이 해커 조직은 학술기관 12곳을 해킹하기 전에 KISA, 서울시 등 공공기관과 지방자치단체도 공격 대상으로 지목하기도 했다. 실제 문화체육관광부와 유관 기관 일부에 대한 ‘부정한 액세스’ 시도가 자동 차단된 것으로 전해졌지만 같은 조직의 소행인지는 알려지지 않았다. 

샤오치잉은 24일 텔레그램 채널에서 “동영상 스트리밍(실시간 중계) 서비스를 이용하다가 한국 인터넷 방송인에게 화가 나 해킹을 하게 됐다”고 사이버 공격 이유를 설명했다. 보안업계에선 샤오치잉이 해킹의 진짜 의도를 감추기 위해 이러한 설명을 했을 가능성이 있는 것으로 보고 있다. 염흥렬 순천향대 정보보호학과 교수는 “기본적으로 이번 해커 조직은 자신들의 능력이나 영향력을 과시하려는 것 같다”고 했다.

보안업계 안팎에선 한국과 중국 누리꾼들이 온라인에서 국제 정세와 한복, 음력설 문화 등을 놓고 ‘원조 논쟁’을 벌이고 있는 점이 영향을 미쳤다는 해석도 나온다.

업계 관계자는 “최근 들어 중국이 한국 고유 문화인 김치와 한복, 설 등을 놓고 원조 주장을 펼쳐온 점이나 신종 코로나바이러스 감염증(코로나19) 재확산 때 중국인 입국 규제를 강화하며 온라인에선 양국 누리꾼의 감정이 상한 상태였다”고 말했다.

사이버 공격에 나선 샤오치잉이 과거 악명 높았던 중국 국적 추정 해커 조직 ‘텅 스네이크(Teng Snake·騰蛇)’의 뒤를 잇고 있다는 추정도 있다.

샤오치잉은 25일 “한국 정부는 지금까지 12개 기관의 침입 사실만 보고했지만 내가 삭제한 데이터와 사이트는 이보다 더 많다”며 추가 공격을 예고했다. 과기정통부와 KISA는 기업·기관 약 2200곳에 관리자 계정 보안 강화를 당부하는 등 대응 체계를 강화했다.

남혜정 기자 namduck2@donga.com
지민구 기자 warum@donga.com