중국 유명 해커조직들, 국내 웹사이트 타깃 사이버 공격에 대거 참전
‘Sykipot’ 악성코드 유포조직, 국방 분야 정보 탈취 시도...사이버전 본격화
[보안뉴스 권 준 기자] 중국 해커들이 SNS인 웨이보를 통해 한국과 롯데에 대한 선전포고를 선언한 가운데 우리나라를 타깃으로 한 사이버공격에 중국 해커조직이 총동원되는 양상을 보이고 있어 그 심각성이 더해가고 있다.
이렇듯 중국의 민간 해커조직들이 디페이스 공격을 통해 국내 웹사이트에 사드 반대 메시지를 남기는 핵티비즘에 나서는 사이에 물 밑에서는 중국 정부와의 연관성이 의심되는 대형 해커조직이 악성코드 유포를 통해 우리나라 국방, 방산 관련 정보 유출을 시도하고 있는 것으로 드러났다. 중국이 핵티비즘과 함께 스파잉 행위에 초점을 맞춘 사이버전을 병행하는 ‘양동작전’에 나선 것 아니냐는 의구심이 커지고 있다.
▲ 한국을 상대로 선전포고를 한 중국 유명 해커조직들
중국의 이번 사이버 공격 상황을 집중 모니터링하고 있는 하는 한 보안전문가에 따르면 중국의 유명 해커조직들이 한국에 대한 사이버공격에 적극 가담하거나 지원하고 있다. 여기에는 본지에서 이미 소개한 바 있는 판다정보국와 1937cN팀 외에도 중국독수리연합(China Eagle Union)과 77169팀 등이 포함되어 있는 것으로 알려졌다.
이들은 2018 평창 동계올림픽, 2017 무주 WTF 세계태권도선수권대회 등 한국에서 개최되는 국제대회 관련 웹사이트를 비롯해 공공기관과 민간 기업을 막론하고 홈페이지의 화면을 변조하는 디페이스 공격을 감행한 후, 사드 반대와 한국을 비하하는 메시지와 함께 자신들의 흔적을 남기는 사이버 공격 행위를 지속하고 있다. 무엇보다 한국에서 개최되는 국제대회 관련 웹사이트를 타깃으로 삼은 것으로 보아 국제적인 이미지 실추를 노린 것으로 추측된다.
최근 국내를 대상으로 한 디페이스 공격은 중국 해커뿐만 아니라 외국의 해커들도 가담하고 있는 형국이다. 순천향대 사이버보안연구센터(센터장 염흥열 교수)에 따르면 외국 한국대표부 웹사이트 및 국내 사이트 등 워드프레스(WordPress)를 사용하는 웹사이트를 타깃으로 한 디페이스 공격 정황이 발견됐다. 디페이스 해킹을 당한 웹사이트에서 변조된 게시물에는 ‘Hacked By Unknown’ , ‘Hacked By GeNerAL’ 등의 문구가 삽입돼 있는 것으로 드러났는데, 이 가운데 ‘GeNerAL’는 아시아나항공 홈페이지 해커들의 동료로 알려져 있다.
특히, 최근 공개된 워드프레스 REST API 컨텐츠 인젝션 취약점을 통해 워드프레스 4.7.0 ~4.7.1 버전을 사용하는 웹사이트는 디페이스 공격의 대상이 될 수 있기 때문에 해당 버전의 워드프레스를 사용하는 웹사이트 관리자는 워드프레스 4.7.2 이상의 최신버전으로 업데이트가 요구되는 상황이다.
그러나 이러한 디페이스 공격 보다 더욱 우려스러운 건 바로 중국 정부가 배후로 의심되는 대형 해커조직이 우리나라의 군과 국방 및 방산 분야를 타깃으로 악명 높은 ‘Sykipot’ 악성코드 시리즈를 유포해 정보 유출을 시도하고 있다는 점이다. 한 보안전문가의 분석처럼 국방, 방산 분야 종사자들을 대상으로 사드 배치 등 국방관련 고급 정보들을 탈취하기 위해 ‘Sykipot’ 악성코드를 유포하고 있다면 상황이 더욱 심각해지기 때문이다.
‘Sykipot’ 시리즈는 우리나라는 몰론 세계적으로도 매우 악명이 높은 중국발 악성코드다. 우리나라에서는 지난 2015년 1월경 정부부처 및 공공기관의 고위급 간부들을 대상으로 신년 연하장을 가장한 악성 이메일을 보내 주요 정보를 유출시킨 사건이 발생했는데, 당시 신년 연하장으로 위장해 국내에 유포된 악성코드가 바로 ‘Sykipot’의 변종으로 분석된 바 있다.
특히, ‘Sykipot’는 지난 2012년 미국 국방부의 스마트카드를 통해 접근이 제한된 자료를 유출시켰을 정도로 고도의 기능을 보유하고 있어 중국의 대형 해커조직이 제작했을 가능성이 매우 높다는 분석이다. 이러한 해커조직이 국내를 대상으로 한 사이버전에 본격적으로 뛰어들었다면 그 피해가 막대할 수 있다는 우려가 나오고 있는 셈이다.
디페이스 공격에다 악성코드 유포를 통한 정보 탈취 시도까지 양동작전을 통한 사이버전이 본격화되는 현 시점에서 정부의 대응은 여전히 미온적이라는 지적이 나오고 있다. 이에 국정원, 미래부, KISA 등 정부부처 및 공공기관 간에는 물론 롯데 등 피해 대기업과의 긴밀한 정보 공유와 유기적인 협력이 요구된다. 이를 바탕으로 사이버 위기 경보 단계 상향 조정을 포함한 다각도의 대응이 강구되어야 할 때다.
[권 준 기자(editor@boannews.com)]
‘Sykipot’ 악성코드 유포조직, 국방 분야 정보 탈취 시도...사이버전 본격화
[보안뉴스 권 준 기자] 중국 해커들이 SNS인 웨이보를 통해 한국과 롯데에 대한 선전포고를 선언한 가운데 우리나라를 타깃으로 한 사이버공격에 중국 해커조직이 총동원되는 양상을 보이고 있어 그 심각성이 더해가고 있다.
이렇듯 중국의 민간 해커조직들이 디페이스 공격을 통해 국내 웹사이트에 사드 반대 메시지를 남기는 핵티비즘에 나서는 사이에 물 밑에서는 중국 정부와의 연관성이 의심되는 대형 해커조직이 악성코드 유포를 통해 우리나라 국방, 방산 관련 정보 유출을 시도하고 있는 것으로 드러났다. 중국이 핵티비즘과 함께 스파잉 행위에 초점을 맞춘 사이버전을 병행하는 ‘양동작전’에 나선 것 아니냐는 의구심이 커지고 있다.
▲ 한국을 상대로 선전포고를 한 중국 유명 해커조직들
중국의 이번 사이버 공격 상황을 집중 모니터링하고 있는 하는 한 보안전문가에 따르면 중국의 유명 해커조직들이 한국에 대한 사이버공격에 적극 가담하거나 지원하고 있다. 여기에는 본지에서 이미 소개한 바 있는 판다정보국와 1937cN팀 외에도 중국독수리연합(China Eagle Union)과 77169팀 등이 포함되어 있는 것으로 알려졌다.
이들은 2018 평창 동계올림픽, 2017 무주 WTF 세계태권도선수권대회 등 한국에서 개최되는 국제대회 관련 웹사이트를 비롯해 공공기관과 민간 기업을 막론하고 홈페이지의 화면을 변조하는 디페이스 공격을 감행한 후, 사드 반대와 한국을 비하하는 메시지와 함께 자신들의 흔적을 남기는 사이버 공격 행위를 지속하고 있다. 무엇보다 한국에서 개최되는 국제대회 관련 웹사이트를 타깃으로 삼은 것으로 보아 국제적인 이미지 실추를 노린 것으로 추측된다.
최근 국내를 대상으로 한 디페이스 공격은 중국 해커뿐만 아니라 외국의 해커들도 가담하고 있는 형국이다. 순천향대 사이버보안연구센터(센터장 염흥열 교수)에 따르면 외국 한국대표부 웹사이트 및 국내 사이트 등 워드프레스(WordPress)를 사용하는 웹사이트를 타깃으로 한 디페이스 공격 정황이 발견됐다. 디페이스 해킹을 당한 웹사이트에서 변조된 게시물에는 ‘Hacked By Unknown’ , ‘Hacked By GeNerAL’ 등의 문구가 삽입돼 있는 것으로 드러났는데, 이 가운데 ‘GeNerAL’는 아시아나항공 홈페이지 해커들의 동료로 알려져 있다.
특히, 최근 공개된 워드프레스 REST API 컨텐츠 인젝션 취약점을 통해 워드프레스 4.7.0 ~4.7.1 버전을 사용하는 웹사이트는 디페이스 공격의 대상이 될 수 있기 때문에 해당 버전의 워드프레스를 사용하는 웹사이트 관리자는 워드프레스 4.7.2 이상의 최신버전으로 업데이트가 요구되는 상황이다.
그러나 이러한 디페이스 공격 보다 더욱 우려스러운 건 바로 중국 정부가 배후로 의심되는 대형 해커조직이 우리나라의 군과 국방 및 방산 분야를 타깃으로 악명 높은 ‘Sykipot’ 악성코드 시리즈를 유포해 정보 유출을 시도하고 있다는 점이다. 한 보안전문가의 분석처럼 국방, 방산 분야 종사자들을 대상으로 사드 배치 등 국방관련 고급 정보들을 탈취하기 위해 ‘Sykipot’ 악성코드를 유포하고 있다면 상황이 더욱 심각해지기 때문이다.
‘Sykipot’ 시리즈는 우리나라는 몰론 세계적으로도 매우 악명이 높은 중국발 악성코드다. 우리나라에서는 지난 2015년 1월경 정부부처 및 공공기관의 고위급 간부들을 대상으로 신년 연하장을 가장한 악성 이메일을 보내 주요 정보를 유출시킨 사건이 발생했는데, 당시 신년 연하장으로 위장해 국내에 유포된 악성코드가 바로 ‘Sykipot’의 변종으로 분석된 바 있다.
특히, ‘Sykipot’는 지난 2012년 미국 국방부의 스마트카드를 통해 접근이 제한된 자료를 유출시켰을 정도로 고도의 기능을 보유하고 있어 중국의 대형 해커조직이 제작했을 가능성이 매우 높다는 분석이다. 이러한 해커조직이 국내를 대상으로 한 사이버전에 본격적으로 뛰어들었다면 그 피해가 막대할 수 있다는 우려가 나오고 있는 셈이다.
디페이스 공격에다 악성코드 유포를 통한 정보 탈취 시도까지 양동작전을 통한 사이버전이 본격화되는 현 시점에서 정부의 대응은 여전히 미온적이라는 지적이 나오고 있다. 이에 국정원, 미래부, KISA 등 정부부처 및 공공기관 간에는 물론 롯데 등 피해 대기업과의 긴밀한 정보 공유와 유기적인 협력이 요구된다. 이를 바탕으로 사이버 위기 경보 단계 상향 조정을 포함한 다각도의 대응이 강구되어야 할 때다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
