中 해킹에 맥없이 뚫린 12곳 '공통점' 있었다…"홈피 복구 안 될 수도"

25일 오전 9시 중국 해커조직으로 알려진 '샤오치잉'의 사이버 공격을 받은 한국사회과수업학회 홈페이지. /사진=한국사회과수업학회

중국계 해커조직에게 사이버 공격을 입은 국내 기관 웹사이트가 열흘째 복구되지 않고 있다. 피해 기관 모두 동일한 웹호스팅 업체를 이용한 것으로 알려졌다.

KISA "해킹 기관 복구 조치 중…12곳 모두 같은 웹호스팅 업체 이용"

30일 한국인터넷진흥원(KISA)에 따르면 지난 21일 해킹된 대한건설정책연구원을 포함한 국내 학술기관 홈페이지 12곳 모두 이날까지 복구되지 않은 상태다. KISA 관계자는 "현재 복구 조치는 계속 진행 중"이라며 "복구에 드는 작업 시간이 (피해 기관) 홈페이지마다 달라 복구 완료 시점은 명확하지 않다"고 말했다.

앞서 설 연휴 기간 한국 정부기관과 언론사 등 2000여곳을 대상으로 대규모 사이버 공격을 예고한 해커조직 '샤오치잉'(Xiaoqiying)은 해킹 후 홈페이지를 변조하는 '디페이스' 방식으로 △대한건설정책연구원 △우리말학회 △한국고고학회 △한국사회과수업학회 △제주대 교육과학연구소 등 12곳을 해킹했다. 현재까지 중국 조직으로 추정되는 샤오치잉은 자체 텔레그램 방을 운영하며 국내 언론 보도 내용을 공유하는 등 반응을 지켜보고 있다.

KISA에 따르면 이번에 피해를 본 기관 12곳 모두가 같은 웹호스팅 업체 서비스를 이용한다. 웹호스팅 업체는 보통 한 업체가 하나의 서버에 여러 개의 홈페이지 서비스를 호스팅하기 때문에 해당 업체 보안 시스템에 고객사가 맞출 수밖에 없다. 외국계 웹호스팅 업체는 아마존 등 규모가 크지만 국내 업체는 상대적으로 영세한 소규모란 점도 한계로 지적된다.

또 다른 KISA 관계자는 "12곳이 다 같은 웹호스팅 업체를 이용 중인 것으로 확인됐고 업체에서 제공하는 보안 서비스 수준에 맞출 수밖에 없어 취약했을 것"이라며 "현재 각 피해 홈페이지 관리자 계정 등을 탈취해 해킹한 것인지 웹호스팅 업체 서버나 관리자 계정이 해킹된 것인지에대해 조사하고 있다"고 설명했다. 그러면서 "피해 기관들이 사용 중인 웹호스팅 업체도 근본 원인 파악과 보안 강화를 목적으로 전반적인 점검에 나서 시간이 길어지는 것으로 안다"고 덧붙였다.

보안업계 "웹호스팅 업체 보안 가이드 중요…소규모 기관 지원 강화"

30일 오후 3시 기준 한국교원대학교 유아교육연구소 홈페이지가 접속 불가한 상태다. /사진=한국교원대학교 유아교육연구소

보안업계에선 보안 시스템 투자가 여의치않은 소규모 기업·기관에 대한 지원을 강화해야 한다고 입을 모은다. 이번에 공격 타깃이 된 학회 등 국내 학술기관은 수백개에 달하지만, 홈페이지를 만들어 운영할 만한 능력은 부족하다. 웹호스팅을 자체 구축하면 서버와 스토리지 도입과 운영이 필요하고 상시 근무할 수 있는 보안 인력도 채용해야한다. 인건비 부담 크다보니 영세한 기업과 기관은선 웹호스팅 서비스가 효율적이다

한 국내 보안업계 관계자는 "해킹의 주목적은 크게 '파괴'와 '획득'인데 이번 해킹은 '파괴 쇼잉'으로 보인다. 다만, 파괴의 목적이 복구 불가능인 만큼 (피해 기관) 홈페이지 복구가 안 될 가능성도 배제할 수는 없다"고 덧붙였다.


SK쉴더스 침해사고 분석·대응 전담팀 '탑서트'(Top-CERT)의 김성동 담당은 "이번에 피해를 입은 기관은 각자 별도 보안존이 아닌 IDC 내 단순 호스팅 서비스를 받는 구조"라며 "별도 보안 담당자가 존재하지 않는 운영 목적으로만 서비스되는 경우가 많다"고 말했다.

그러면서 "보안 솔루션 운영, 취약점 점검, 주기적 모니터링 등의 체계가 없다 보니 손쉽게 해킹을 당할 수 있는 구조였던 것으로 보인다"며 "정부 차원에서는 이런 학회와 연구소들을 모아 한 번에 관리 할 수 있는 시스템을 도입하는 방안도 고려할 수 있다"고 설명했다.