샤오치잉이 해킹한 웹 사이트에 업로드한 웹 페이지 유형/사진제공=한국인터넷진흥원 |
지난 2월 대한민국 정부기관에 대한 대대적 해킹을 예고했던 중국 해커 조직 ‘샤오치잉’의 수법이 드러났다. 웹 사이트의 취약점과 웹 서버에 올라온 계정 정보를 악용하는 등 고전적인 기법이었다.
KISA(한국인터넷진흥원) 사고분석팀은 10일 샤오치잉의 공격 기법과 대응방안을 담은 보고서를 발표했다. KISA는 지난 1월부터 샤오치잉이 해킹한 자료를 텔레그램 등 소셜미디어에 공개하고 홈페이지를 변조(디페이스)하는 식의 공격을 감행하자 이에 대응해왔다.
보고서에 따르면 샤오치잉은 웹 사이트를 대상으로 취약점을 스캔해 공격대상들을 선별했다. 이들은 인터넷에서 쉽게 확보할 수 있는 대표적인 해킹 툴인 Sqlmap와 Nuclei 등을 이용했다. 상대적으로 보안이 허술한 사이트만 골라 일반적인 방법으로 해킹을 감행했던 것이다.
이들은 웹 사이트 보안이 취약하거나 WAS(웹 응용 서버)의 취약점을 노렸다. 대표적으로 샤오치잉은 SQL 인젝션 기법으로 공격했다. 웹을 통해 SQL 명령어를 전달했고 데이터베이스에 저장돼 있는 웹 관리자 계정 정보를 탈취한 것이다.
또 관리자의 실수로 계정 정보나 민감 정보가 웹 서버에 업로드되는 것을 노렸다. 이들은 본래 개발 환경에만 존재해야 하는 파일인 SFTP 계정 정보 등이 웹 서버에 업로드되자 이를 다운로드받아 접속정보를 획득하는 등 공격에 악용했다.
아울러 샤오치잉은 오라클에서 배포하는 WAS 웹 로직의 구 버전의 취약점을 이용해 침투했다. 이 기법으로 피해를 입은 기업 3곳은 공개된 지 10년 이상된 구 버전의 웹 로직을 사용 중이었다. 이들 기업은 보안 업데이트도 최신 버전으로 적용하지 않았다.
샤오치잉은 해킹을 통해 기업 내부 정보를 탈취하거나 삭제했다. 또 웹 사이트를 자신들이 만든 웹 페이지로 변조하거나 무단 생성하기도 했다. KISA는 이같은 행위가 해킹 사실을 과시하거나 새로운 멤버를 모집하는 목적으로 파악했다.
KISA는 보고서에서 “이들은 해킹 사실을 입증하기 위해 탈취 정보를 공개했고 일부 웹 페이지를 변조했다”며 “이는 국내 언론 및 정부기관 등에 자신들의 해킹 실력을 입증하거나 과시하기 위한 목적으로 풀이되며 금전적 목적이나 핵티비즘의 성격으로 보긴 어렵다”고 했다.
KISA는 추가적인 해킹 피해를 방지하기 위해 웹 서버 시큐어 코딩을 제안했다. 시큐어 코딩은 안전한 SW(소프트웨어) 개발을 위해 소스코드에 잠재한 보안 취약점을 제거하고 보안과 관련된 기능을 구현하는 등의 활동이다. KISA는 이에 대한 가이드를 배포하고 있다.
또 KISA는 웹 방화벽을 설치하라고 권고했다. 이는 웹 서버를 안전하게 보호하기 위해 웹 공격을 탐지하고 차단하는 보안 솔루션이다. 중소기업의 경우 KISA에서 지원하는 웹 방화벽인 ‘캐슬’을 이용하면 된다.
이밖에도 KISA는 서버 관리자 및 개발자가 주기적으로 웹 서버 점검을 통해 의도하지 않은 접속정보가 공유되고 있는지 확인해야 하고 운영체제 및 SW 버전도 반드시 최신 버전으로 업그레이드 해야 한다고 강조했다.
앞서 샤오치잉은 지난 1월22일 대한건설정책연구원 홈페이지를 해킹한 데 이어 같은 달 24~25일 △우리말학회 △한국고고학회 △한국학부모학회 △한국교원대학교 유아교육연구소 △한국보건기초의학회 △한국사회과수업학회 △한국동서정신과학회 △대한구순구개열학회 △한국시각장애교육재활학회 △제주대학교 교육과학연구소 △한국교육원리학회 등 총 12곳의 학술·연구기관 공식 사이트를 공격했다.