국내 한 치과 사이트 홈페이지, 화면 위변조인 디페이스 해킹 정황 포착
지난 26일부터 29일 현재까지 무방비로 방치...부실한 홈페이지 관리 지적
인도네시아 국적 기술자들의 기술 유출 이슈 이후 한국 사이트 노린 타깃 공격 지속
[보안뉴스 김경애 기자] 국내의 한 치과 사이트가 홈페이지 화면 위변조 공격인 디페이스 해킹을 당한 정황이 포착됐다. 문제는 인도네시아 국적 기술자들이 개발 과정 등이 담긴 자료를 USB에 담아 유출하려다 적발됐다는 소식 이후 국내 사이트를 겨냥한 인도네시아 추정 해커의 공격이 지속적으로 포착되고 있다는 점이다. 따라서 기관, 기업의 경우 보안 모니터링과 함께 침입차단 등 보안 대책에 각별히 신경써야 한다.
▲디페이스 해킹된 국내 치과 사이트 화면[사진=보안뉴스]
해킹된 사이트는 https://xxxxxxxxxxxkorea.com이며, 지난 26일 발견됐다. 그런데 29일 오후 4시 25분까지도 사이트가 정상으로 복구되지 않고 무방비로 방치되고 있다. 부실한 사이트 관리가 여과 없이 드러나고 있는 셈이다.
해당 사이트를 해킹했다고 주장한 해커는 자신을 ‘FqXploit’라고 소개했다. 이어 해커는 해킹한 사이트에 인도네시아어로 “다른 사람에게 못 되게 굴지 마라, 너는 반드시 악에 대한 보상을 받을 것이다. 아프더라도 계속 웃으세요. 세상이 네게 잔인하다는 건 알지만, 네 고통을 웃으면서 덮어라”라는 이상한(?) 글을 남겼다.
이와 관련 익명을 요청한 보안전문가는 “해커가 사이트를 해킹하고 개인정보까지 유출했는지 확인해야 한다”며 “단순한 사이트 복구 뿐만 아니라 어떤 방법으로 해킹을 시도했는지 파악하고 문제를 수정해야 한다”고 말했다.
또 다른 보안전문가는 “해커는 루트 페이지가 아닌 특정 디렉토리를 생성해 자신만의 디페이스 표식을 남겨놓았다”며 “보통 루트 페이지가 디페이스되면 피해자가 바로 인지할 수 있지만 별도의 경로에 남겨놓은 경우에는 인지할 수 없어 오랫동안 디페이스된 상태로 남아있는 경우가 많다”고 분석했다. 이어 그는 “피해를 당한 치과의 경우 해커의 침투경로를 분석해 조치하고 백도어를 남겨놓지는 않았는지 점검해야 한다”고 강조했다.
리니어리티 한승연 대표는 “보통 해커들은 정치적인 목적으로 자신의 메세지를 전달하거나 자신의 실력을 과시하기 위한 목적으로 디페이스 공격을 수행하는데, SNS에 해킹한 사이트의 영상을 게시하는 해커의 행동으로 보아 후자에 해당하는 것 같다”라며, “디페이스 공격은 보통 보안이 약한 소규모 홈페이지를 대상으로 하기 때문에, 안전한 비밀번호를 사용하는 등 최소한의 노력과 함께 KISA에서 지원하는 취약점 점검 서비스 등을 받아볼 것”을 당부했다.
그러다보니 디페이스 해킹 피해를 입은 사이트의 경우 악성코드 유포지로 악용되거나, 사회적 혼란 야기 등으로 번질 수 있어 홈페이지 관리가 중요하다.
제로서트 박승필 대표는 “해당 해커는 지난해 12월부터 관리가 부실한 미국, 스페인, 뉴질랜드, 등 다양한 국가의 웹서버를 타깃으로 화면 위변조 공격을 감행한 것으로 추정된다”며, “디페이스 해킹 정보 공유 사이트에서 여러 차례 해커가 해킹한 사이트의 정보가 올라와 있다”고 밝혔다.
이어 박 대표는 “이러한 디페이스 해킹은 단순 홈페이지 위변조 공격을 통한 해커들의 자기 과시욕도 있겠지만 스미싱 C&C(Command & Control) 서버, 악성코드 경유지·유포지 활용 등 또 다른 사이버 범죄에 악용될 수 있어 관리되지 않고 방치된 사이트들에 대한 주기적인 모니터링과 조치 안내가 무엇보다 중요하다”며 “이러한 디페이스 해킹 공격은 사회적 혼란까지 야기한 경우도 있는데, 지난해 설 연휴기간 발생한 중국 해커조직 샤오치잉이 한국 홈페이지만을 타깃으로 공격한 사례가 그 예시”라고 말했다.
더욱 큰 문제는 인도네시아 해커 추정의 보복성 공격이 국내에서 지속되고 있다는 점이다. 한국형 전투기 KF-21 개발에 참여한 인도네시아 국적 기술자들이 개발 과정 등이 담긴 자료를 USB에 담아 유출하려다 적발됐다는 소식이 보도된 이후, 국내 사이트를 겨냥한 공격이 지속되고 있기 때문이다.
이와 관련 플레인비트 김진국 대표는 “인도네시아 기술 유출 이슈 기사 이후로 인도네시아에서 우리나라를 타깃으로 한 공격이 지속되고 있다”며 “이런 종류의 보복성 공격은 금전적 이득을 목적으로 하는 것이 아니기 때문에 자산의 가치와 관계없이 모든 IT 시스템이 대상이 될 수 있어 IT 시스템을 운용하는 조직이라면 취약점 업데이트와 공격행위 모니터링에 만전을 기해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
지난 26일부터 29일 현재까지 무방비로 방치...부실한 홈페이지 관리 지적
인도네시아 국적 기술자들의 기술 유출 이슈 이후 한국 사이트 노린 타깃 공격 지속
[보안뉴스 김경애 기자] 국내의 한 치과 사이트가 홈페이지 화면 위변조 공격인 디페이스 해킹을 당한 정황이 포착됐다. 문제는 인도네시아 국적 기술자들이 개발 과정 등이 담긴 자료를 USB에 담아 유출하려다 적발됐다는 소식 이후 국내 사이트를 겨냥한 인도네시아 추정 해커의 공격이 지속적으로 포착되고 있다는 점이다. 따라서 기관, 기업의 경우 보안 모니터링과 함께 침입차단 등 보안 대책에 각별히 신경써야 한다.
▲디페이스 해킹된 국내 치과 사이트 화면[사진=보안뉴스]
해킹된 사이트는 https://xxxxxxxxxxxkorea.com이며, 지난 26일 발견됐다. 그런데 29일 오후 4시 25분까지도 사이트가 정상으로 복구되지 않고 무방비로 방치되고 있다. 부실한 사이트 관리가 여과 없이 드러나고 있는 셈이다.
해당 사이트를 해킹했다고 주장한 해커는 자신을 ‘FqXploit’라고 소개했다. 이어 해커는 해킹한 사이트에 인도네시아어로 “다른 사람에게 못 되게 굴지 마라, 너는 반드시 악에 대한 보상을 받을 것이다. 아프더라도 계속 웃으세요. 세상이 네게 잔인하다는 건 알지만, 네 고통을 웃으면서 덮어라”라는 이상한(?) 글을 남겼다.
이와 관련 익명을 요청한 보안전문가는 “해커가 사이트를 해킹하고 개인정보까지 유출했는지 확인해야 한다”며 “단순한 사이트 복구 뿐만 아니라 어떤 방법으로 해킹을 시도했는지 파악하고 문제를 수정해야 한다”고 말했다.
또 다른 보안전문가는 “해커는 루트 페이지가 아닌 특정 디렉토리를 생성해 자신만의 디페이스 표식을 남겨놓았다”며 “보통 루트 페이지가 디페이스되면 피해자가 바로 인지할 수 있지만 별도의 경로에 남겨놓은 경우에는 인지할 수 없어 오랫동안 디페이스된 상태로 남아있는 경우가 많다”고 분석했다. 이어 그는 “피해를 당한 치과의 경우 해커의 침투경로를 분석해 조치하고 백도어를 남겨놓지는 않았는지 점검해야 한다”고 강조했다.
리니어리티 한승연 대표는 “보통 해커들은 정치적인 목적으로 자신의 메세지를 전달하거나 자신의 실력을 과시하기 위한 목적으로 디페이스 공격을 수행하는데, SNS에 해킹한 사이트의 영상을 게시하는 해커의 행동으로 보아 후자에 해당하는 것 같다”라며, “디페이스 공격은 보통 보안이 약한 소규모 홈페이지를 대상으로 하기 때문에, 안전한 비밀번호를 사용하는 등 최소한의 노력과 함께 KISA에서 지원하는 취약점 점검 서비스 등을 받아볼 것”을 당부했다.
그러다보니 디페이스 해킹 피해를 입은 사이트의 경우 악성코드 유포지로 악용되거나, 사회적 혼란 야기 등으로 번질 수 있어 홈페이지 관리가 중요하다.
제로서트 박승필 대표는 “해당 해커는 지난해 12월부터 관리가 부실한 미국, 스페인, 뉴질랜드, 등 다양한 국가의 웹서버를 타깃으로 화면 위변조 공격을 감행한 것으로 추정된다”며, “디페이스 해킹 정보 공유 사이트에서 여러 차례 해커가 해킹한 사이트의 정보가 올라와 있다”고 밝혔다.
이어 박 대표는 “이러한 디페이스 해킹은 단순 홈페이지 위변조 공격을 통한 해커들의 자기 과시욕도 있겠지만 스미싱 C&C(Command & Control) 서버, 악성코드 경유지·유포지 활용 등 또 다른 사이버 범죄에 악용될 수 있어 관리되지 않고 방치된 사이트들에 대한 주기적인 모니터링과 조치 안내가 무엇보다 중요하다”며 “이러한 디페이스 해킹 공격은 사회적 혼란까지 야기한 경우도 있는데, 지난해 설 연휴기간 발생한 중국 해커조직 샤오치잉이 한국 홈페이지만을 타깃으로 공격한 사례가 그 예시”라고 말했다.
더욱 큰 문제는 인도네시아 해커 추정의 보복성 공격이 국내에서 지속되고 있다는 점이다. 한국형 전투기 KF-21 개발에 참여한 인도네시아 국적 기술자들이 개발 과정 등이 담긴 자료를 USB에 담아 유출하려다 적발됐다는 소식이 보도된 이후, 국내 사이트를 겨냥한 공격이 지속되고 있기 때문이다.
이와 관련 플레인비트 김진국 대표는 “인도네시아 기술 유출 이슈 기사 이후로 인도네시아에서 우리나라를 타깃으로 한 공격이 지속되고 있다”며 “이런 종류의 보복성 공격은 금전적 이득을 목적으로 하는 것이 아니기 때문에 자산의 가치와 관계없이 모든 IT 시스템이 대상이 될 수 있어 IT 시스템을 운용하는 조직이라면 취약점 업데이트와 공격행위 모니터링에 만전을 기해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
