[보안뉴스=BLACKGUEST] 해커들이 중국정부 사이트를 해킹해 자신의 실력을 과시할 뿐만 아니라, 불법으로 고액의 자금을 벌어들이는 것으로 드러났다.

이는 최근 후베이성 공안현의 가족계획국 웹사이트에 올라온 음란물이 네티즌에 의해 발견되면서 공론화됐다. 더욱 주목되는 건 배후에 불법 자금이 관여돼 있다는 의혹이 제기되고 있는 것이다. 이와 관련 중국 정부 측은 해커의 공격이라고 밝혔으며, 네티즌들은 이번 사건을 주제로 뜨거운 토론을 벌였다. 

또한, 중국의 한 언론매체는 ‘중국 인터넷 사건’이라는 제목으로 이미 해커들은 정부사이트를 자신들의 실력을 과시하는 무대로 삼고 있으며, 웹사이트 취약점을 이용해 불법 이익을 얻고 있다고 밝혔다.

정부 웹사이트, 해커의 주요 ‘표적’이 되다

지난 10월 9일 한 네티즌이 후베이성 공안현 가족계획국사이트에 음란정보가 올라와 있는 것을 스크린샷과 함께 신고했다. 웹사이트를 자세히 보면, ‘방문통계’란 밑에 적나라하게 ‘원나잇 스탠드’ 등의 글자가 쓰여 있고, 링크를 누르면 음란사진으로 도배된 사이트로 접속된다.

정부 웹사이트가 공격받은 건 이번이 처음이 아니다. 2013년 7월 19일, 후난성 린우현의 정부사이트도 해커에게 공격받은 바 있다. 해커는 웹사이트에 ‘나쁜 짓을 많이 저지르면 끝내는 죽음을 자초하게 된다’라는 글귀를 남겼다. 이는 앞서 후난성 린우현에 여러 성 관리자와 수박을 파는 마을주민이 서로 몸싸움을 벌이다 마을 주민이 그 자리에서 사망한 사건을 언급한 것으로 풀이된다.

또한, 7월 25일에는 셴양시 관리국 공식사이트가 해커의 공격을 받아, 웹페이지가 완전히 변조됐다. 웹페이지에는 ‘셴양시 관리종합 행정 법 집행국, 공식적으로 셴양시 흑사회로 이름이 바뀌었습니다’라는 글씨가 쓰여 있었다.

중국의 한 언론매체가 조사한 올해 해킹 웹사이트 결과에 따르면, 정부사이트는 이미 해커들에게 주요 ‘표적’ 대상이 되고 있다고 밝혔다. 후베이, 산시, 구이저우, 후난, 하이난 등 여러 지역정부 웹사이트가 해커에게 공격 당한 정황이 포착됐고, 관련 정부부처는 웹사이트가 공격당하는 것을 즉시 발견하지 못했던 것으로 알려졌다.

또한, 중국 국가인터넷응급센터에서 발표한 2012년 인터넷 네트워크 보안 보고서에 따르면 해커가 공격한 사이트만 5만개가 넘고 그 중 정부사이트가 3,000여개 되는 것으로 밝혀졌으며, 이는 전년도와 비교했을 때 각각 213.7%, 93.1%만큼 증가한 것으로 조사됐다.

‘해커 제국’, 이익 극대화 위해 감염된 컴퓨터로 ‘봇’을 만들다

중국의 여러 네트워크보안 전문가와 네트워크 유지보수 엔지니어들은 “현재 기승을 부리고 있는 해커 집단은 자신들의 기술을 보여주고, 과시하기 위해 웹사이트를 공격하는 것이 아니라 경제적 이익을 위해 침투하는 것”이라며 “네트워크 상에서는  해커를 고용해 공격할 수 있고, 공격도구 등도 쉽게 구매할 수 있다”고 밝혔다.

한 언론매체는 타오바오에서 ‘해커 연결’을 검색한 결과, 총 2686건의 ‘물품’이 있었으며, 이러한 물품들은 ‘우정교환’이란 이름으로 공개 판매된다고 밝혔다. 가격은 1위안~10위안까지 모두 다르다. ‘원격 해킹 프로그램’도 1,578건의 ‘물품’이 검색됐으며, 타오바오 상의 한 판매회사인 ‘Huixia’ 서점 관계자는 “Windows 운영체제면, 취약점을 이용해 원격제어가 가능하다”고 말했다.

베이징우전대학 리우더량 교수는 “이전에 공개한 바가 있듯이 요즘 해커들은 갈수록 트로이목마를 이용해 불법으로 타인의 컴퓨터를 제어해서 컴퓨터나 서버상의 정보들을 획득하고, 획득한 정보들을 이용·판매해 경제적 이익을 얻고 있다”고 밝혔다. 

유포된 악성코드프로그래밍 교본에 따르면 특정 목표의 정보 획득, 제3자를 이용한 돈세탁, 장물처리 등 악의적인 행위는 이미 흑색 이익사슬을 형성했다고 밝혔다. 이러한 사슬은 모든 고리에서 이익을 취할 수 있고 위법 요소가 적은 반면, 부당이득은 많이 취할 수 있다는 것.

네트워크 유지보수 경력 20년인 네트워크 엔지니어 왕웨이는 “정부 웹사이트가 대중들에게 안전하다는 인식을 악용한 불법조직은 해커에게 웹상에 트로이목마를 심도록 위탁한다”며, “누군가가 클릭하면 그 컴퓨터는 바로 감염된다”고 밝혔다.

위탁자는 감염된 컴퓨터의 사용자 정보(게임 계정, 은행 비밀번호 등등)를 통해 금전적 이익을 취하거나 감염된 컴퓨터에 ‘봇’을 만들어 공격하고, 대역폭이 작은 웹 사이트를 순간적으로 마비시킨다. 해커도 어느 정도의 보수를 받고 있으며, 트로이 목마가 심어진 IP 방문자수가 많을수록 보수는 더욱 높아지는 것이다.

정부사이트는 어떻게 ‘좀비’가 되는가?

중국의 언론매체가 취재한 바에 따르면 공안부는 최근 해커공격 파괴활동을 진행해 그 효과를 톡톡히 보았다고 밝혔다.

정부사이트의 공격받은 횟수 증가추세와 관련해 전문가는 “대부분의 정부사이트는 간단한 유지보수만을 하며, 공격을 주도로적으로 방어하는 능력에 있어서는 아직 현저히 떨어진다”고 밝혔다.

왕웨이는 이러한 문제에 대해 “아무래도 정부 웹사이트에 대한 유지보수가 부족하기 때문”이라고 말했다. 몇몇의 부처는 웹사이트가 볼품없고 보는 사람이 적기 때문에 관리를 소홀히 한다고 밝혔다.

이와 관련 앞서 ‘시’ 급의 정부 웹사이트를 관리하는 한 관계자는 “웹사이트, 서버 유지 보수 비용은 대략 20만 위안 정도 든다. 그러나 위험을 고려하지 않고 단발성으로 진행된 서버 유지보수는 위험을 자초하는 결과를 낳는다”며 “웹사이트 유지 보수는 장기적인 과정이므로 끊임없이 유지보수를 진행할 수 있는 사람이 필요하다”고 말했다.

이와 관련 왕웨이는 “이러한 운영요인 등의 문제는 대다수 웹사이트가 만들어진 후 기본적인 업데이트가 없어 ‘좀비 웹사이트’가 된 것”이라며, “한 사이트의 집중공격 행위는 감시하지만 관련 부처들은 이러한 사실을 잘 알지 못한다”고 말했다.

[출처: 해커풍운(http://www.05112.com/)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>