러시아 해커 그룹, 우크라이나 지원에 불만 품고 디도스 공격 감행했다고 주장
18일 현재 모든 사이트 정상 운영중...철저한 모니터링과 긴밀한 협업 필요
[보안뉴스 김경애 기자] 대한민국 대통령실, 산업부, 외교부, 경찰청, 국세청 등 한국 정부부처와 기관·기업 등 총 22개 사이트를 노린 디도스 공격 정황이 포착됐다. 해당 공격에 대해 러시아 해커 조직이 자신들의 소행이라고 주장하고 있으며, 이들은 우크라이나를 지원하는 것에 불만을 품어 공격을 감행했다고 밝혔다. 이번 공격과 러시아 푸틴 대통령의 북한 방문과의 연관성에도 관심이 모아지고 있다.
▲UTC 기준으로 12일 20:05:57경 대한민국 대통령실에 대한 체크호스트 화면[이미지=보안뉴스]
체크호스트에 따르면 UTC 기준으로 12일 7개 사이트, 13일 3개 사이트, 15일 2개 사이트, 그리고 17일 10개 사이트 등 총 22개 사이트를 디도스 공격한 정황이 포착됐다. 먼저 12일 공격을 받은 7개 사이트는 ①12일 저녁 8시 5분 57초경 대한민국 대통령실( www.president.go.kr) ②저녁 8시 38분 27초경 인천국제공항(www.airport.kr) ③저녁 8시 47분 30초경 신한금융지주회사(m.shinhangroup.com) ④저녁 8시 54분 57초경 한국수출입은행(www.koreaexim.go.kr) ⑤저녁 8시 58분 26초경 관세청(www.customs.go.kr) ⑥밤 9시 1분 37초경 경찰청(www.police.go.kr) ⑦밤 9시 3분 3초경 국세청(www.nts.go.kr)이다.
또한, 13일 공격을 받은 3개 사이트는⑧13일 오전 10시 2분 48초경 우정사업본부www.koreapost.go.kr) ⑨오전 10시 57분 9초경 서울특별시(영문사이트: english.seoul.go.kr) ⑩저녁 7시 5분 16초경 제주대학교(www.jejunu.ac.kr/)로 파악됐다.
이어 15일에는 ⑪15일 오후 5시 21분 59초경 산업통상자원부(motie.go.kr) ⑫오후 5시 3분 4초경에는 외교부(www.mofa.go.kr) 사이트를 공격한 징후가 포착됐다.
마지막으로 17일에는 ⑬17일 오전 7시 29분 15초경 국무조정실국무총리비서실(www.opm.go.kr) ⑭오전 7시 30분 44초경 인사혁신처(www.mpm.go.kr) ⑮오전 7시 32분 23초경 식품의약품안전처(www.mfds.go.kr) ⑯오전 7시 33분 34초경 문화체육관광부(www.mcst.go.kr) ⑰오전 7시 35분 6초경 교육부(www.moe.go.kr) ⑱오전 7시 35분 53초경 환경부(https://me.go.kr/)⑲오전 10시 29분 4초경 국토교통부(www.molit.go.kr/portal.do#mltm) ⑳오전 10시 31분 30초경 고용노동부(www.moel.go.kr/index.do) ㉑오전 10시 38분 5초경 과학기술정보통신부(www.msit.go.kr/index.do) ㉒오전 10시 43분 9초경 해양수산부(www.mof.go.kr/index.do)를 공격한 정황이 포착됐다.
이에 따라 우리 정부와 기업을 타깃으로 디도스 공격을 감행한 공격 배후에도 관심이 모아지고 있다. 이와 관련 러시아 해커 조직이 이번 디도스 공격이 자신들의 소행이라고 주장하고 나섰다. 러시아 해커 주장에 따르면 한국이 우크라이나를 지원하는 것에 대해 불만을 품고 한국에 디도스 공격을 감행했다는 것이다.
익명을 요청한 보안전문가는 “한국 정부기관들을 타깃으로 러시아 해커그룹이 12일 저녁 6시에서 8시 사이, 13일 오전, 그리고 17일에도 러시아에서 디도스 공격을 감행한 것으로 추정된다”며 “다수의 러시아 해커그룹이 6월 12일부터 17일까지 한국 정부기관 사이트에 디도스 공격을 감행했다고 주장하고 있다”고 밝혔다.
18일 현재, 22개 사이트 모두는 정상적으로 접속 및 운영되고 있다. 디도스 공격 피해는 크기 않았던 것으로 보인다. 하지만 실제 디도스 공격이 발생한 만큼 디도스 공격 대응을 위한 기관 및 기업의 철저한 모니터링과 사전 대비가 필요하다.
이와 관련 익명을 요청한 보안전문가는 “다수의 러시아 해커 그룹들이 한국 정부 사이트를 공격했다고 주장하며 서비스 접속이 되지 않는 스크린샷을 공개했다”며 “또한 공격 그룹은 사이트 접속 상태를 확인하는 사이트인 체크호스트를 통해 당시 한국 정부 사이트에 접속이 원활하지 않았던 정황도 공개했다”고 말했다.
그러나 이는 매우 일시적일 수 있고, 한국 정부기관의 디도스 대응 설정에 따라 한국이 아닌 다른 나라들에서는 접속이 원활하지 않게 보일 수도 있다. 디도스 공격으로 일시적으로 접속 장애가 일어났을 가능성도 있지만 그 피해가 오래 지속되거나 큰 피해를 입히지는 못한 것으로 보인다.
익명을 요청한 네트워크 보안전문가는 “실제 피해가 발생할 경우 피해 범위를 최소화하기 위해서는 빠른 초동 대응만이 유일한 방법이므로, 민·관·군의 지속적이고 긴밀한 협조를 통한 신속한 사고 정보의 전파 등으로 피해를 최소화 할 수 있는 대응방안 체계화가 요구된다”며, “1회성 대응이 아닌 지속적인 대응체계를 유지할 수 있도록 협의체 운영 등이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>