• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

검거된 고교생 “심심풀이 해킹이지만, 취약점 너무 많아!” 2011.02.08

학교·기업 등 104개 서버시스템 해킹한 고등학생 검거


[보안뉴스 오병민] 학교, 경제단체, 기업사이트 등 104개 서버시스템을 해킹하여 760만건의 개인정보를 탈취하고 사회적 이슈가 된 인물의 개인신상을 추적(속칭:신상털이)해 인터넷에 유포한 고등학생 2명이 검거됐다.


대구지방경찰청 사이버범죄수사대는 2009년 12월부터 2010년 12월까지 ○○공고 등 37개 학교, ○○방송사 등 5개 언론·단체, ○○통신사 등 17개 기업, ○○박스 등 30개 웹하드 업체 등 104개 서버시스템을 해킹하고 개인정보 취득 및 3억 명품녀 등 이슈 인물의 개인 신상을 추적(일명 신상털기), 경쟁 관계에 있는 게임 서버에 대해 DDoS 공격을 행한 인터넷 해킹그룹 ‘TEAM KOS┖ 운영자 K군(17세, 대구, 고교생), C군(16세, 포항, 고교생)을 정보통신망이용촉진및정보보호등에관한법률위반 혐의로 검거했다고 밝혔다.

 


경찰 수사결과 2010년 5월 프로게이머 ○○○ 선수 승부조작사건, 같은 해 10월 ○○○ 전대통령 추징금 300만원 자진납부 논란 보도와 관련하여 두 사람의 출신학교인 ○○중학교와 ○○공업고등학교의 홈페이지를 해킹하여 홈페이지 내용을 악의적으로 훼손한 사건도 이들이 벌인 것으로 드러났으며 심지어 자신이 재학 중인 학교의 홈페이지 서버도 해킹한 것으로 확인됐다.

 

■ 범죄사실의 요지(주요 사례)

 

- ○○중학교, ○○공업고등학교 홈페이지 해킹·변조

   ’10년 5월 20일 온라인게임 스타크래프트 프로게이머 ○○○ 선수의 승부조작 사건, ’10년 10월 14일 ○○○ 전대통령의 추징금 300만원 자진납부 보도와 관련, 두 사람의 출신학교인 ○○중과 ○○공고 홈페이지 해킹 후 학교명을 ‘코갤중’, ‘코갤공업고’로 변경하는 등 훼손하고, 교사 ID·비밀번호 등 개인정보를 인터넷에 유포

 

- 외국 교육부 홈페이지 해킹·변조

   ’10년 5월 ○○국 반정부시위 무력진압으로 130여명의 사상자가 발생한 사건에 대한 항의 표시로 ○○국 교육부 홈페이지를 해킹하여 메인화면을 ┖Don┖ Shoot┖으로 변조

 

- 3억 명품녀 김○○ 신상털이

   ’10년 9월 ○○ 케이블TV 명품녀 방송 논란 관련, 피해자 김○○가 회원 가입한 인터넷 쇼핑몰, 항공사, 부동산사이트 등 해킹, 물품구매·배송내역, 항공이용내역, 부동산 소유자 등 개인신상자료를 추적(속칭 : 신상털이)하여 인터넷 사이트에 최초 유포

 

- ○○방송사 홈페이지 해킹, 회원 비밀번호 탈취

   많은 사람이 여러 사이트에서 같은 비밀번호를 사용한다는 점에 착안, 회원 1,700만명인 ○○방송사 홈페이지의 비밀번호 찾기 웹페이지 취약점을 이용, 아이디만 입력하면 비밀번호를 자동으로 찾아주는 해킹프로그램을 만들어 100명의 비밀번호 탈취, 이들이 가입한 다른 사이트 해킹에 활용

 

- 국가공인 기술자격검정 ○○단체 홈페이지 해킹, 회원 사진자료 탈취

   각종 자격시험 시행을 위해 회원들의 사진정보가 보관된 ○○단체 홈페이지에서 주민번호만 입력하면 사진자료를 자동으로 찾아주는 해킹프로그램을 만들어 회원 200명의 사진자료 탈취, 신상털이에 활용

 

- ○○자격사 협회 홈페이지 해킹, 개인정보 탈취

    ’10. 10월 부동산 거래 정보가 보관된 ○○자격사 단체 홈페이지 해킹,  신상털이 활용목적 회원정보, 매매계약 등 개인정보 600만건 탈취

 

- ○○통신사 인터넷전화망 해킹, 개인정보 탈취

   ’10년 3월 ○○통신사 회원별 인터넷 전화망에 침입, 전화 연결에 필요한 계정정보(ID, 비밀번호 등) 132,562건 탈취, 타인의 인터넷 전화 무단 사용

 

- ○○방송 수능강사 장○○ 근무학교 홈페이지 해킹, 개인정보 탈취

   ’10년 7월 ○○방송 수능강의 중 “남자들은 군대가서 사람 죽이는 것을 배워온다”는 발언을 한 ○○고 교사 장○○ 근무 학교 홈페이지 침입, 비난 글 게시 및 학생 200여명의 개인정보(사진, 연락처 등) 탈취

 

- ○○대학 홈페이지 해킹, 학생 정보 탈취

   ’10년 7월 ‘○○대 재학자를 찾아달라’는 부탁을 받고 홈페이지 침입,  1978년~2010년 졸업생, 재학생 개인정보 75,578건 취득

 

- 학교 홈페이지 개발업체 홈페이지 해킹, 관리자 계정정보 탈취

   ’10년 5월 전국 470여 학교 홈페이지 개발 업체 ‘○○소프트’의 직원 전용 홈페이지 해킹, 각 학교 관리자 ID·암호 취득 후 다수 학교 홈페이지 침입

 

- 유명 인터넷 쇼핑몰 문자메시지 전송시스템 해킹, 문자 무료 전송

   ’10년 10월 ○○인터넷 쇼핑몰의 구매회원 문자메시지 전송기능 취약점 이용, 거래없이 문자 메시지를 이용할 수 있는 악성프로그램을 제작, 유포하여 2만건 무료 전송

 

- 경쟁중인 온라인 게임 프리서버 DDoS 공격

   기 해킹한 4개 학교 서버 이용, ’10년 10월 피의자와 경쟁관계에 있는 온라인 게임 프리서버에 대량의 패킷을 보내 30분간 서버운영 마비



경찰은 검거된 피의자들의 범행 이유가 정서적 목적과 경제적 목적이 혼합돼 있다고 전한다. 사회적 이슈가 된 사건에서는 당사자에 대한 비난 의견 표현(신상털이, 홈페이지 변조), 해킹 능력 과시 등 정서적 목적과 전화·문자메시지 무료사용, 웹하드 사이버머니 무료 충전 등 경제적 목적이 혼합돼 있다는 것.


이들은 추적을 피하기 위해 범행시 해외 프록시 서버IP·해킹한 피시방 IP를 이용하여 우회 접속하거나, 타인의 개인정보를 도용하여 수사기관의 추적을 회피했던 것으로 조사됐다.


피의자들은 주로 인터넷을 통해 독학으로 프로그래밍 언어, D/B운용 등 컴퓨터 관련 기술과 해킹기법을 학습하고 해킹그룹을 결성하여 관련 정보를 주고받는 등 웹해킹 분야에 상당히 전문적인 지식 보유한 것으로 전해졌다.


○ 신상털이를 위한 단계적 해킹 및 자료축적

   신상털이 대상 특정 → 구글 등 인터넷 검색으로 피해자 ID 등 기초 정보 획득 → ○○방송사 서버를 통해 해킹프로그램 이용 비밀번호 취득 → 피해자 가입 여러 사이트 무단접속, 신상정보 확인 → ○○명의도용검색 사이트 통해 해킹프로그램 이용 주민번호 확인 → ○○단체 홈페이지 이용 사진자료 획득 → 취득 자료 편집 후 인터넷에 유포

 

 ○ 피의자들이 이용한 해킹 기법

  - 크로스 사이트 스크립트를 이용한 쿠키변조

  - 파일업로드 취약점을 이용한 웹쉘스크립트 업로드

  - 파일다운로드 취약점 공격

  - 파라미터 변조 공격

  - 무차별 대응 공격을 통한 정보 취득 등

 

 

한편, 경찰은 피의자들의 해킹과 관련해 근본적인 문제점은 기본적인 보안시스템의 미흡이 원인이라고 지적했다.


파일업로드·다운로드 취약점 공격, 파라미터변조 공격을 이용한 해킹은 웹해킹에서 흔히 이용되는 기법임에도 피의자들이 해킹한 학교·웹하드 등 다수 홈페이지가 동일한 보안 취약점에 노출되어 있었고 웹서버와 개인정보 D/B서버가 일원화되어 있어 웹서버가 해킹당하면 D/B서버도 쉽게 공격당하는 등 기본적 보안 시스템 미흡했기 때문.


특히 피해 대상 학교, 단체, 기업 등을 비롯해 대규모 회원을 보유한 인터넷 서비스 제공자들의 보안 시스템 강화가 필요한 것으로 드러났다. 피의자들은 해킹으로 얻은 취약점을 보안뉴스에 제보하기도 했었지만, 해당 기업들은 보안 취약점을 은폐하기만 하고 제대로 보완하지 않았던 것으로 파악됐다.


더불어 인터넷 이용자의 보안의식 미흡도 해킹사고의 원인으로 지적되고 있다. 많은 네티즌이 여러 사이트에서 같은 ID·비밀번호를 사용함으로써 하나의 비밀번호 노출로 여러 사이트 가입정보가 동시에 유출되는 경우가 증가하고 있다.


특히 유출된 개인정보는 2차 범죄에 악용될 우려가 크므로 주기적 비밀번호 변경, 인터넷에 올리는 데이터에는 개인정보가 포함되지 않도록 주의하는 등 인터넷 보안 수칙 준수 및 인터넷 이용자의 개인적 노력과 함께 사회적 대책 마련 필요하다는 지적이다.  


경찰 측은 이번 사건에 대해, 사회적 이슈 발생 후 ‘네티즌수사대’나 ‘코찰청’ 등의 명칭으로 함부로 개인신상을 추적하고 무책임하게 유포해 온 크래커들의 검거·처벌을 통해 이 같이 불법을 부추기는 사회적 분위기에 경종을 울리고, 학교나 기업들의 보안시스템 취약점 보완 및 보안 강화를 촉구하여 향후 이어질 수 있는 대규모 개인정보의 유출을 막는 계기가 되었다고 밝혔다.


경찰의 측 관계자는 “이번에 개인정보 유출 피해를 입은 단체, 기업에 대해 제2의 피해가 발생치 않도록 보안조치 강화를 요청하였으며, 개인정보 관리 실태를 확인하여 보호조치를 소홀히 한 곳은 관련법에 의해 형사적 책임을 물을 방침”이라고 밝혔다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>