동일해커 조직으로 추정...‘Hacked By Kuroi┖SH’ 동일 문구 발견

해킹 후에도 조치 없이 방치된 웹사이트 상당수...관리부실 ‘심각’

[보안뉴스 김경애] 생물무기금지협약, 하수관거유지관리협의회, 대전도시철도노동조합, 스키장비대여 웹사이트를 비롯해 국내 44개 웹사이트가 화면을 바꿔치기하는 디페이스(Deface) 해킹 공격을 당한 것으로 드러났다.

디페이스 해킹 공격은 일반적으로 자동화된 툴로 웹사이트의 취약점을 찾아 특정 웹페이지를 삽입시키거나 변경하는 수법이다. 지난 2013년 3.20사이버테러때 LG유플러스 그룹웨어 웹사이트가 ‘Hacked By Whois Team’ 문구가 들어있는 화면으로 변경됐으며, 청와대 홈페이지도 변경된 바 있다. 또한, 지난해 6.4지방선거를 앞두고 새누리당 광주시당 홈페이지도 디페이스 공격을 받기도 했다. 

디페이스 해킹 공격을 당한 하수관거유지관리협의회, 대전도시철도노동조합, 스키장비 대여 웹사이트에는 ‘Hacked By Kuroi┖SH’라고 입력돼 있으며, 다른 사이트에도 ‘Hacked By Kuroi┖SH, Tunisian hackers here’ 문구가 삽입돼 있다. 해커는 자신을 튀니지 사람이라고 소개하고 있으며, ‘Hacked By Kuroi┖SH’ 문구가 여러 곳에서 발견됨에 따라 동일 해커조직일 가능성이 제기되고 있다.

나머지 디페이스 해킹공격을 받은 웹사이트는 욕실자재개발 제조업체, 한의원, 어린이치과, 자동차부품 연구개발업체, 초등학교 동창회, 보컬 아카데미, 연극영화뮤지컬 아카데미, 종합유지제조업체, 주물용압축 전문생산업체, LPC 판매업체, 어린이교육제품 쇼핑몰, 골프장, 구인구직사이트, 소프트웨어 개발 및 솔루션 업체,  고시텔, 펜션, 기계금속류 제품 전문수출입 업체, 번역웹사이트, 컨설팅관련 사이트, 학원 등의 웹사이트로 알려졌다.

이와 관련 한 보안전문가는 “외국에서 공격한 것으로 추정되며, 악성파일을 올려 감염시키는 방식이 아닌 디페이스 공격으로 자신을 과시하기 위한 해킹공격 유형”이라고 진단했다.

그러나 문제는 디페이스 공격을 당한 웹사이트가 제대로 조치되지 않고 계속 방치되고 있다는 것이다. 생물무기금지협약 사이트는 지난 2월 17일이 발견됐으며, 나머지 43개 웹사이트의 디페이스 해킹공격은 지난 2월 26일 발견됐다. 이 가운데 생물무기금지협약 웹사이트는 조치가 완료됐으나, 하수관거유지관리협의회 웹사이트는 지난 3월 4일까지도 조치되지 않고 방치돼 있었다. 나머지 대다수 사이트 역시 조치되지 않고 방치돼 있는 상황이다.

이와 관련 한 보안전문가는 “이러한 공격은 특별한 어려운 공격방법이 아니”라며 “기본만 잘 지키면 웬만한 공격은 막을 수 있는 것으로, 웹방화벽을 사용하면 대부분의 디페이스 공격은 차단된다”고 지적했다.

이 때문에 웹사이트 관리자가 웹방화벽을 제대로 관리하지 못했거나 웹방화벽 자체가 없을 가능성이 크고, 보안조직 또는 보안담당자가 없을 것으로 보인다며, 웹사이트 취약점 점검이 요구된다는 게 그의 설명이다.

이에 본지가 해당 웹사이트를 살펴본 결과, 보안조직이나 보안담당자가 없는 사이트가 상당수였으며, 영세한 사업자가 운영하는 사이트가 대부분이었다. 또한, 제대로 관리되지 않고, 방치된 채 사이트만 열려 있는 곳도 꽤 많았다. 

이렇듯 국내외 해킹조직을 막론하고, 다양한 목적의 해킹 공격이 급증하고 있는 가운데 국내 수많은 웹사이트들이 제대로 관리되지 않고 방치돼 있어 웹사이트 보안관리 강화를 위한 다각도의 노력이 이루어져야 할 것으로 보인다. 

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>