새누리당 250만명·군장병 30만명·청와대 20만명 신상정보 유출 우려
어나니머스 끌어들여 자중지란 유도하며, 개인정보 탈취했을 가능성

[보안뉴스 김경애] 25일 오전 9시 10분경 청와대 홈페이지 및 주요 정부기관 등이 사이버 공격을 받으면서 홈페이지 접속이 불가능해지고, 서버가 다운되는 등 피해가 잇따랐다.

이 가운데 청와대, 국정원, 새누리당 홈페이지는 기존에 실행되지 않은 새로운 공격형태인 악성스크립트 방식의 디도스 공격으로 이루어진 것으로 알려졌고, 정부통합전산센터와 새누리당 각 시도당 홈페이지는 좀비PC를 통한 디도스 공격을 받은 것으로 보안업체 분석결과 드러났다.

더욱 심각한 건 이번 해킹 공격으로 인해 청와대 및 새누리당 관계자들과 미군의 신상정보가 유출됐을 가능성이 있고, 이로 인해 2차 피해가 커질 수 있다는 것이다.

▲유출된 새누리당원 신상정보 [출처 : Red Alert팀의 6.25 사이버테러 분석 보고서]

이와 관련 보안업체 NSHC의 Red Alert팀의 6.25 사이버테러 분석 보고서에 따르면 해커조직이 웹사이트 변조를 통해 새누리당 신상정보 250만명, 군장병 30만명, 청와대 20만명, 美 25보병사단 1만5천명, 美 3해병사단 1만명,  美 1기 병사단 1만5천명의 신상정보가 유출했을 것으로 분석했다.

이러한 정보가 북한으로 추정되는 해커조직으로 넘어갔다면 결국 해킹의 주목적이 국내 주요 인사의 신상정보 탈취일 가능성이 커지게 된다. 어나니머스를 끌어들이고, 홈페이지 장애로 혼란을 준 상태에서 개인정보를 탈취해가는 전형적인 스파이기법이 동원됐다는 얘기다.  

홈페이지 변조 및 신상정보 탈취 공격과정에 대해 Red Alert팀은 해킹된 청와대 홈페이지 영상을 토대로 대략 추정한 결과, 공격 대상인 청와대 웹 서버 플랫폼(platform)은 Solaris 10 Sparc machine으로 추정된다고 분석했다.

해당 영상에서는 쉘을 사용해 자동으로 back-end를 실행시켜 WAS 취약점 혹은 게시판 글쓰기를 통한 파일 업로드 및 다운로드 취약점을 악용했다는 것이다. 또한, 파일 업로드 및 다운로드 취약점을 토대로 영상을 분석한 결과, 웹쉘 공격의 가능성이 크다고 설명했다.

이에 대한 근거로 Red Alert팀은 영상에서 w3b_av Tool이 동작되는 도중 패턴 분석과 스캐닝(scanning)을 하는 과정이 확인됐고, 공격에 성공한 후 최초 쉘 경로와 uid, gid가 999(www)로 설정되어 있었다고 밝혔다. 단순히 Tool을 이용한 웹 사이트 변조는 오랜 기간 준비된 공격 형태로 추정된다고 덧붙였다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>