샤오치잉, 지난 2월 공격 중지 선언 이후 2개월 만에 공격 시도
고전적이거나 이미 알려진 취약점 노려, 선제적인 대응 필요해

[보안뉴스 박은주 기자] 중국의 해킹그룹 ‘샤오치잉(晓骑营)’이 한국의 인프라 구축 전문업체 ‘한국인프라’를 해킹한 것으로 드러났다. 한국인프라 웹페이지를 공격해 화면을 변조하는 디페이스 공격을 하고 일부 자료를 탈취 및 삭제한 것으로 추정된다.


샤오치잉은 지난 1월 한국을 상대로 해킹을 하겠다는 선전포고를 한 후, 국내 연구소나 학회 웹사이트를 대상으로 디페이스 공격 및 정보 탈취를 감행했다. 또한, 해킹한 자료를 다크웹 등에 공개하거나 2만명 이상의 개인정보를 유출했다.

그러나 2월 19일 샤오치잉은 돌연 ‘한국에 대한 행동을 중지한다(Korean action ends here without any follow-up)’라는 글을 텔레그램에 남기고 종적을 감췄다. 그러다 약 2개월이 흐른 4월 22일 다시 한국인프라 웹페이지를 공격한 것.

한국인터넷진흥원(KISA)의 침해사고 조사 결과에 따르면, 샤오치잉은 취약점을 악용하고, 웹페이지 변조 등 다양한 공격을 이어간 것으로 확인됐다. 인터넷에서 쉽게 구할 수 있는 해킹 툴인 ‘Sqlmap’과 ‘Nuclei’을 사용하거나 ‘WAS(Web Application Server)’ 취약점을 악용하는 등 공격을 이어갔다.

KISA 관계자는 지난 샤오치잉의 해킹 수법과 관련해 “이미 알려진 취약점 악용하고, 고전적인 공격 기법을 사용한 것을 확인했다”며 “KISA의 다양한 서비스로 기본 보안을 강화해 침해 사고에 대비할 수 있다”고 말했다.

샤오치잉이 한국 기업을 상대로 다시 공격을 진행할 수 있어 취약점을 패치하고 공격에 대비하는 등 선제적인 조치가 필요할 것으로 보인다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>