6시간 지나서야 가까스로 복구...세르비아-알바니아 분쟁 알리려는 핵티비즘

[보안뉴스 원병철 기자] 20일 새벽 아시아나항공 홈페이지가 핵티비즘으로 추정되는 공격을 받아 다운됐다. 새벽 4~5시경 공격당한 것으로 추정되는 아시아나항공 홈페이지는 세르비아와 알바니아 분쟁에 관련된 주장이 담긴 글과 사진으로 도배가 됐으며, 4시간이 지난 후 호스팅 업체에서 서버를 다운시킨 것으로 보인다. 사건이 발생한 지 6시간이 넘은 오전 10시 10~20분경 홈페이지는 복구됐다.


아시아나항공에서는 자체 서버가 아닌 DNS 서버를 관리하는 외주 호스팅 업체에 대한 공격이 있었으며, 고객의 개인정보 등은 유출되지 않았다고 주장하고 있다. 해킹 전문가들 역시 이번 공격이 도메인을 해외 IP로 변조시킨 DNS 서버 공격으로 보인다고 추정하고 있다.

이와 관련 보안전문 블로거 ‘SecurityFactory’는 이번 공격이 DNS 서버 IP가 정상 주소인 ‘186.126.63.1’에서 ‘217.174.152.174’로 바뀌었는데, 이는 불가리아의 IP 주소라고 설명하고 있다. 이 때문에 DNS 서버 주소를 구글 DNS인 ‘8.8.8.8’로 설정하고 접속하면 아시아나 홈페이지로 정상적으로 접속된다고 밝혔다.

이와 함께 일각에서는 웹서버나 게이트웨이의 맥(Mac) 주소를 변경시켜 데이터를 변조시키는 ARP 스푸핑(Spoofing) 공격 가능성도 제기하고 있다. 아시아나항공 도메인을 해외 IP로 변조하고 단순 디페이스하는 데 그쳤다면, 홈페이지 복구시간이 반나절이나 걸릴 이유가 없다는 게 한 보안전문가의 주장이다.

설사 개인정보 유출 피해가 발생하지 않았더라도 수많은 고객들의 안전한 여행을 책임져야 하는 우리나라 대표 항공사의 홈페이지가 이렇게 쉽게 공격당하고, 6시간이 지나서야 가까스로 정상화됐다는 점은 큰 문제다. 아시아나항공은 지난 2016년 7월에도 고객 개인정보 4만 7,000건이 유출된 적이 있다. 아시아나항공 및 제휴 항공사를 이용한 고객들의 주민등록증, 가족관계증명서, 여권, 전자항공권 사본 등으로 민감한 정보가 대거 포함된 고객정보 첨부파일 URL이 노출된 사고였다.

당시 아시아나항공 측은 마일리지 합산 서비스를 이용하려는 고객에게 해당 자료가 노출됐기 때문에 고객정보 전부가 노출된 것은 아니라고 해명했으나, 해당 유출 정보들이 여과 없이 노출된 것으로 보아 아시아나항공이 평소 고객정보 암호화 등의 보안조치 없이 보관했던 것 아니냐는 의문이 제기된 바 있다.

이 사건과 관련해 아시아나항공은 지난 2016년 10월 개인정보처리 시스템에 대한 접근통제 및 개인정보를 암호화해 보관하지 않는 등 개인정보의 기술적·관리적 보호조치를 하지 않은 이유로 방송통신위원회로 부터 시정명령과 함께 과징금을 부과받기도 했다.

한편, 이번 아시아나항공 홈페이지 해킹사건과 관련해서 경찰청 사이버안전국은 수사에 착수했다고 밝혔다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>