"한국에 있는 여러 스트리밍 스타들이 날 화나게 했어
(Some streaming stars in Korea annoy me)."
이번 설날 연휴 국내 정부 기관 12곳의 홈페이지를 해킹한 중국 해커 조직 '샤오치잉'(Xiaoqiying)이 밝힌 말이다. 이들은 지난 24일 텔레그램 채널을 통해 자신들이 중국 정부의 배후가 아님을 강조하며 한국 기관을 집중 공격을 한 배경을 이같이 밝혔다.
25일 보안업계는 공격자들이 홈페이지를 변조하는 일명 '디페이스 해킹'을 펼쳤다는 점에서, 전날 답변은 '관심끌기'에 불과하다고 본다. 무조건 믿어선 안된다는 입장이 지배적이다.
다만 일각에서는 유명 케이팝(K-POP) 스타 관련 스트리밍 영상 탓에 중국 내 트래픽이 급증한 점이 일부 영향을 줬다는 목소리도 조심스레 나온다.
대부분의 국내 보안 전문가들은 이날 중국 해커가 이번에 펼친 공격은 초보 수준에 불과하다고 본다. 지난해 삼성전자와 LG전자를 해킹한 남미기반 신흥해커 집단인 랩서스(Lapsus$)보다 수준이 떨어진다는 것.
현재 해커는 지난 22일쯤 대한건설정책연구원 홈페이지에 이어 24~25일쯤 11곳의 학술 기관 홈페이지를 해킹한 상태다. 여기에는 △우리말학회 △한국고고학회 △한국학부모학회 △한국교원대학교 유아교육연구소 △한국보건기초의학회 △한국사회과수업학회 △한국동서정신과학회 △대한구순구개열학회 △한국시각장애교육재활학회 △제주대학교 교육과학연구소 △한국교육원리학회 등이 포함됐는데 수법은 사실상 똑같다.
해킹 후 홈페이지에는 '사이버 시큐리티 팀'(Cyber Security Team)이라는 영어와 '샤오치잉'(晓骑营·새벽의 기병대라는 뜻)이라는 중국 간제차 로고와 함께 '한국 인터넷 침입을 선포한다'라는 메시지가 노출됐다. 이는 기존 홈페이지 상태를 마음대로 바꾸는 '디페이스 해킹'의 일환인데 보안업계에서는 쉬운 수법으로 알려졌다.
김명주 서울여자대학교 정보보호학과 교수는 "주로 ISMS 등 인증을 받지 않아도 되는 학회를 집중 공격했다"며 "신생 해커로서 자기들의 유명세를 따기 위해 이같은 공격을 펼친 것 같다. 진짜 (고수의) 해커들은 디페이스 해킹을 하지 않는다"고 말했다.
염흥렬 순천향대학교 정보보호학과 교수는 "해커들 입장에서는 (스트리밍 스타 관련 발언 같은) 이해하기 어려운 얘기를 하고, 만만한 불특정 사이트를 노려 해킹을 해 주의를 끈 것 같다"며 "진짜 중요한 정보를 해킹하면 랜섬웨어 (수법을) 이용하기에 사실상 과시성 공격"이라고 말했다.
중국 해커는 전날 텔레그램에서 한국인터넷진흥원(KISA)을 상대로 공격을 하겠다고 밝혔는데, 이러한 메시지 역시 기초적인 공격 수법으로 분석된다. 이는 공격자가 해킹 이유로 짚은 '한국 스트리밍 스타'가 일종의 변명이라는 분석에 힘을 실고 있다.
문종현 이스트시큐리티 ESRC 센터장(이사)는 "(중국 해커가) 지금 해킹한 곳이 10여 개 정도까지 확인됐는데, 대부분의 사이트들이 중소 규모의 보안이 취약한 곳인 것 같다"며 "해커로서의 명성(reputation) 자체도 낮고, 스트리밍 발언에 꽂힐 필요는 없다"고 말했다.
다만 일부 업계에서는 중국 해커들이 말하는 '한국 스트리밍 스타'가 케이팝(K-POP) 스타와 연관이 있을 수도 있다고 보는 입장도 있다.
보안업계 관계자는 "유명해지고 싶어하는 일명 '워너비 해커'의 경우 공격 훈련을 할 때 연휴를 노리는데, 중국에서는 유튜브 영상 콘텐츠를 대신 중개해주는 서비스가 따로 있다"며 "중국에서는 BTS 등 유명 케이팝 스타들 관련 콘텐츠가 몰리면서 트래픽 속도 등이 느려져 해킹 연습을 하는데 영향을 줬다는 오해가 생길 수는 있다"고 말했다.
Copyright ⓒ DBC뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.