보안뉴스 창간 15주년을 축하합니다!!

[보.알.남] 가벼운 장난 같지만 엄연한 범죄, 디페이스 공격

2021-05-02 23:53
  • 카카오톡
  • url
웹의 역사 만큼 오래 전부터 존재한 디페이스 공격
자기 과시, 정치적 목적 등 다양한 이유로 시도되고 있어
장난스러운 공격이지만, 엄연한 정보통신망법 위반


[보안뉴스 이상우 기자] 제법 오래된 일이지만, 지난 2003년 열린 제22회 하계 유니버시아드 대회에서 대구를 방문한 ‘북한 응원단’을 보며 남북한의 극명한 문화적 이질감을 느낄 수 있었다. 당시 한국에서는 북한 선수단 및 응원단 파견을 기념해 김대중 전 대통령과 김정일 위원장의 남북정상회담 사진을 담아 환영 현수막을 제작해 걸었다. 응원을 마치고 숙소로 돌아가던 응원단은 길에 걸린 이 현수막을 보고 “허수아비(장승)에 존경하는 장군님의 형상을 모시는게 어디 있냐”, “비가오면 장군님 형상이 젖게 된다. 우린 이런걸 보고 절대로 그냥 갈 수 없다”며 현수막에 있는 사진이 접히지 않도록 조심스레 걷어 행진을 시작했다. 이를 본 지역 주민들은 “우린 아무것도 아닌데... 얄궂다”며 어리둥절하다는 반응을 보였다.


[이미지=pixabay]

이러한 세뇌 수준의 ‘과잉충성’까지는 아니더라도, 상징에 대한 훼손을 법으로 금하는 나라 역시 많다. 가령 국내에서도 국기나 국장에 대한 모독은 물론, 대사관 등에 설치된 외국 국기나 국장에 대한 모독 역시 형법으로 처벌한다. 얼굴이나 형상은 누군가에게 상징과도 같은 존재로, 훼손되지 않기를 바란다. 이 때문에 이러한 상징을 훼손하는 것은 누군가를 모욕하기 위한 경우가 많다.

자기과시 혹은 정치적 목적으로 발생하는 디페이스 공격
사이버 공격 중에서도 공인이나 기업 혹은 기관의 이미지를 손상시키기 위한 공격 방식이 있다. 이러한 공격을 디페이스(Deface) 공격 혹은 웹 사이트 변조(Website Defacement) 공격이라고 부르며, 피해 대상의 웹사이트나 전광판 등 주요 서비스가 노출되는 화면이나 전광판을 기존과는 다른 화면으로 바꿔버리는 방식으로 이뤄진다. 이는 월드 와이드 웹의 역사와 함께할 정도로 오래된 공격이다.

디페이스 공격은 사이버 공격자가 단순히 자신의 해킹 실력을 과시하거나 특정 단체가 주장을 알리고 싶어하는 ‘자기과시’용 공격이 많다. 특히, 시각적으로 자신을 어필하기 가장 쉬운 방법이기 때문에 자신을 알리려는 공격자가 자주 사용한다. 유명 사이트나 이념이 충돌하는 사이트의 메인 화면을 바꿔버리고 공격 조직이나 자신을 드러내는 이름이나 별명 혹은 문구 등을 남겨놓는다.

최근 발생한 KAIST 물리학과 건물 전광판 디페이스 공격을 이러한 자기과시 목적으로 볼 수 있다. 공격자는 자신의 이름을 ‘블랙조커(Black Joker)’라고 밝히며 트위터 계정을 공개했고, 해당 계정에는 지금까지 성공한 디페이스 공격 결과물이 게시돼 있었다. 블랙조커는 이번 KAIST를 비롯해 핀란드의 지자체, 아랍의 스마트홈 시스템, 아랍의 IP 카메라, 베트남의 포드 자동차 대리점, 러시아의 조명회사 등 국가와 분야를 가리지 않고 해킹해온 것으로 드러났다.


▲디페이스된 KAIST 물리학과 전광판[이미지=KAIST]

실제로 해외에서는 사이버 공격자가 자신이 얼마나 많은 웹사이트를 변조했는지 순위를 표시해 경쟁을 부추기기도 한다. 공격자는 공유 사이트 게시판에 날짜, 공격자 닉네임은 물론 어느 나라 사이트인지 한눈에 알아볼 수 있도록 국기로 구분해 표기하고 있으며, 디페이스 공격을 당한 사이트 주소와 서버 운영체제 등을 표기하기도 한다.

디페이스 공격은 정치적인 목적으로 발생하기도 한다. 가령 터키, 이라크, 이란 등과 같은 이슬람 해커들은 이스라엘이나 미국 등과 같은 서구권을 비판하기 위한 목적으로 활용한다. 국내에서도 이러한 정치적 목적의 디페이스 공격이 종종 발생한다. 지난 2017년에는 고고도미사일방어체계(THAAD) 한반도 배치에 대한 보복으로 보이는 공격이 발생하기도 했고, 2013년에는 청와대 홈페이지가 공격받아 ‘김정은 만세’라는 문구가 걸리기도 했다.

화면만 바뀌는 것이 왜 위험할까?
최근 발생하는 사이버 공격은 돈벌이를 목적으로 기업의 데이터베이스를 암호화하는 랜섬웨어 공격을 감행하고, 랜섬머니를 확실하게 받기 위해 공격 과정에서 유출한 정보를 다크웹 등에 공개하겠다고 협박하는 경우가 많다.

이러한 사이버 공격과 비교하면, 디페이스 공격은 상대적으로 ‘장난’처럼 보일 수도 있다. 하지만 이를 가볍게 여겨서는 안된다. 결국 관리자 권한을 탈취당하는 공격이기 때문에 실제 공격자는 추가적인 공격을 감행할 수 있다. 가령, 웹사이트를 구성하는데 쓰이는 각종 소스를 기업의 영업과 관련한 DB나 회원 DB 등과 같은 서버에 보관하고 있다면, 웹 페이지 변조를 위해 접근한 공격자가 기업의 주요 정보까지 유출할 수 있기 때문이다.

이 때문에 관리자는 웹사이트 및 웹 애플리케이션 취약점을 개선하고, 웹 방화벽 등의 제품을 통해 공격을 예방해야 한다. 또한, 웹 서버와 DB 서버를 분리해 운영해야 추가로 발생할 수 있는 피해를 줄일 수 있다.

장난스러운 성격도 있지만, 엄연한 범죄
국내에서는 요 몇 년간 장난스러운 디페이스 공격도 종종 발생했다. 지난해에는 코로나19로 논란을 겪은 특정 종교단체 공식 홈페이지가 디페이스 공격을 당해 ‘XXX 사이트 중학생한테 다 털렸죠 ㅋㅋㅋ’라는 문구와 함께 불상 사진이 걸렸다.

앞서 2019년에는 한 언론사의 전광판에도 이와 유사한 문구가 걸리기도 했으며, 오랜 기간 추적 끝에 해당 문구를 등록한 10대 청소년을 붙잡았다. 이 사례의 경우 웹 서버 등에 침투하는 해킹이 아니라, 우연히 노출된 원격 제어 소프트웨어의 코드를 보고 전광판 화면 송출용 PC를 조작했던 것으로 알려졌다. 말 그대로 ‘장난’인 셈이다.

하지만 이러한 접근은 정보통신망법 위반이다. 정보통신망법 제48조에서는 정당한 접근권한 없이 정보통신망에 침입하거나, 정당한 사유 없이 훼손이나 위조해서는 안된다고 규정하고 있다. 단순한 장난으로도 처벌될 수 있는 범죄라는 것을 명심해야 한다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기