국내 기업 100여개 웹사이트, 동일범 추정 해커에 디페이스 해킹 정황 포착
모두 동일한 화면으로 변조...인도네시아 해커 그룹으로 추정
호스팅 전문업체 1개 서버에 여러 개 웹사이트 동시 운영돼 피해 커져

[보안뉴스 김경애 기자] 국내 기업 100여개 홈페이지가 디페이스 해킹을 당한 정황이 포착됐다. 이에 국내 기업의 웹사이트 보안 관리에 각별한 주의가 필요하다.


지난 26일 본지에 이를 알려온 한 제보자는 “국내 기업 10개 웹사이트가 동일범으로 보이는 해커에게 디페이스 공격을 당했다”고 밝혔다.

디페이스 공격을 당한 10개 사이트는 △자동차부품업체 XX △XXXXX건설 △XX테크놀로지 △XX테크 △XXXX코리아/ △XXXX엔지니어링 △XX하우징 △XX엔지니어링 △XXX에스 △XXXX이어 등이 포착됐다.

특히, 디페이스된 웹사이트 화면에는 자신이 해킹했다는 동일 메시지가 남겨져 있어 동일범 소행으로 추정된다. 해커는 ‘Hacked by XXXX’로 자신의 닉네임을 기재했다.


문제는 이날 디페이스 공격을 당한 웹사이트가 10개만이 아니라는 것이다. 100여개 이상의 웹사이트가 디페이스 해킹을 당한 정황이 국내 보안전문가에 의해 포착됐다. 특히, 도메인 네임서버가 호스팅 업체 서버로 파악됐다. 이는 한 개의 서버에 여러 웹사이트가 동시에 운영돼 피해가 커진 것으로 보인다.

이에 대해 한 보안전문가는 “인도네시아 해커 그룹이 국내 사이트 100여곳 이상을 디페이스 해킹한 정황이 포착됐다”며 “실시간으로 디페이스된 사이트들이 늘어나고 있다. 피해 서버들 공통점으로는 도메인 네임서버가 XX코리아로 등록되어 있다는 점”이라며 주의를 당부했다.

공공기관의 한 보안담당자는 “디페이스 해킹 당한 20여개 웹사이트의 IP가 특정 IP로 동일한 것으로 보아 호스팅 서비스를 이용하는 것으로 보인다”며 “해당 IP는 XX코리아라는 홈페이지 제작 및 호스팅 전문업체의 서버로 파악됐다. 하나의 서버에 여러 개 웹사이트가 운영되는 호스팅 서비스의 특성상 단 1곳의 웹사이트만 취약하더라도 다른 웹사이트까지 한번에 해킹될 수 있다. 이번 공격의 경우 한개의 서버에 너무 많은 수의 웹사이트가 동시에 운영되면서 피해가 커졌다”고 지적했다.

이어 그는 “이번에는 공격자가 단순히 디페이스 공격을 했기 때문에 쉽게 복구할 수 있었지만, 서버를 장악한 공격자는 랜섬웨어나 익스플로잇 킷을 통한 악성코드 유포 등의 공격도 언제든 가능하기 때문에 각별한 주의가 필요하다”고 강조했다.

이에 따라 기업에서는 취약점 점검 등 웹사이트 보안에 각별한 관심을 기울여야 할 것으로 보인다. 보안업체의 한 관계자는 “홈페이지 관리자는 홈페이지를 해킹하는 해커의 공격 방식을 파악하고, 자사 웹사이트의 취약점이 없는지 점검할 필요가 있다”고 언급했다.

한국인터넷진흥원 이동근 단장은 “홈페이지 디페이스 공격의 경우 해커 실력 과시나 정치적·사회적 목적의 핵티비즘 활동으로 인해 발생하는 것으로 파악되고 있다”며 “피해 홈페이지 콘텐츠가 위변조되는 원인은 홈페이지 솔루션 취약점, 관리자 계정관리 미흡 등 다양한데, 현재 해당 웹사이트들에 대해선 조치 중이다. 이에 홈페이지 관리자는 정기적으로 또는 수시로 취약점 점검과 접근 통제를 강화해야 피해를 최소화 할 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>