동일범 소행 중국 추정 해커, 국내 2개 인트라넷 페이지 디페이스 해킹

[보안뉴스 김경애 기자] 동일범 소행으로 추정되는 중국 해커가 국내 웹사이트 2곳을 디페이스 해킹한 정황이 포착됐다. 디페이스 해킹은 웹사이트 화면을 해커가 악의적으로 변조하는 해킹 수법이다.


디페이스 해킹을 당한 곳은 X심과 노루XXXX이며, 모두 인트라넷 웹페이지가 변조됐다. X심의 경우 지난 11월 27일 해킹됐으며, IP 주소는 118.XXX.XXX.XXX다. 사용하는 운영체제는 Windows Server 2012, Microsoft-IIS/8.5로 알려져 있다. 또 다른 웹페이지는 노루XXXX 인트라넷이며, IP 주소는 211.XXX.XX.XX다. 운영체제는 Windows Server 2003과 Microsoft-IIS/6.0버전으로 파악됐다.

해당 사이트와 관련해 인터넷피해구제협회 김근주 회장은 “디페이스를 당한 X심 사이트의 경우 이전에도 해킹 당한 전례가 있다”며 “이는 해당 시스템이 취약하기 때문이다. 취약점 점검을 통해 취약점을 패치하고, 보안을 강화해야 한다”고 당부했다.

이전에도 해킹당한 사례가 있는지 여부를 확인하기 위해 본지가 해킹된 사이트 정보를 공유하는 한 특정 사이트를 살펴본 결과, 해당 사이트가 등록돼 있는 것을 확인할 수 있었다.

공격자는 자신을 ‘TCBHack’라고 소개하며, 변조한 웹사이트 화면에 QQ 아이디로 2737301094라고 남겨 놨다.

이에 대해 김근주 회장은 “인트라넷이 해킹됐다는 것은 기업의 중요정보가 모두 해커 손아귀에 넘어간 것이나 다름없다”며 “FTP, SSH 계정 탈취는 물론 해커가 운영체제 취약점을 이용해 악성파일을 업로드 하거나 정보를 탈취하는 등 지속적으로 피해를 일으킬 가능성이 높다”고 우려했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>