25일 오전 9시 중국 해커조직으로 알려진 '샤오치잉'의 사이버 공격을 받은 한국사회과수업학회 홈페이지. /사진=한국사회과수업학회 KISA "해킹 기관 복구 조치 중…12곳 모두 같은 웹호스팅 업체 이용"30일 한국인터넷진흥원(KISA)에 따르면 지난 21일 해킹된 대한건설정책연구원을 포함한 국내 학술기관 홈페이지 12곳 모두 이날까지 복구되지 않은 상태다. KISA 관계자는 "현재 복구 조치는 계속 진행 중"이라며 "복구에 드는 작업 시간이 (피해 기관) 홈페이지마다 달라 복구 완료 시점은 명확하지 않다"고 말했다.
앞서 설 연휴 기간 한국 정부기관과 언론사 등 2000여곳을 대상으로 대규모 사이버 공격을 예고한 해커조직 '샤오치잉'(Xiaoqiying)은 해킹 후 홈페이지를 변조하는 '디페이스' 방식으로 △대한건설정책연구원 △우리말학회 △한국고고학회 △한국사회과수업학회 △제주대 교육과학연구소 등 12곳을 해킹했다. 현재까지 중국 조직으로 추정되는 샤오치잉은 자체 텔레그램 방을 운영하며 국내 언론 보도 내용을 공유하는 등 반응을 지켜보고 있다.
또 다른 KISA 관계자는 "12곳이 다 같은 웹호스팅 업체를 이용 중인 것으로 확인됐고 업체에서 제공하는 보안 서비스 수준에 맞출 수밖에 없어 취약했을 것"이라며 "현재 각 피해 홈페이지 관리자 계정 등을 탈취해 해킹한 것인지 웹호스팅 업체 서버나 관리자 계정이 해킹된 것인지에대해 조사하고 있다"고 설명했다. 그러면서 "피해 기관들이 사용 중인 웹호스팅 업체도 근본 원인 파악과 보안 강화를 목적으로 전반적인 점검에 나서 시간이 길어지는 것으로 안다"고 덧붙였다.
보안업계 "웹호스팅 업체 보안 가이드 중요…소규모 기관 지원 강화"
30일 오후 3시 기준 한국교원대학교 유아교육연구소 홈페이지가 접속 불가한 상태다. /사진=한국교원대학교 유아교육연구소한 국내 보안업계 관계자는 "해킹의 주목적은 크게 '파괴'와 '획득'인데 이번 해킹은 '파괴 쇼잉'으로 보인다. 다만, 파괴의 목적이 복구 불가능인 만큼 (피해 기관) 홈페이지 복구가 안 될 가능성도 배제할 수는 없다"고 덧붙였다.
SK쉴더스 침해사고 분석·대응 전담팀 '탑서트'(Top-CERT)의 김성동 담당은 "이번에 피해를 입은 기관은 각자 별도 보안존이 아닌 IDC 내 단순 호스팅 서비스를 받는 구조"라며 "별도 보안 담당자가 존재하지 않는 운영 목적으로만 서비스되는 경우가 많다"고 말했다.
그러면서 "보안 솔루션 운영, 취약점 점검, 주기적 모니터링 등의 체계가 없다 보니 손쉽게 해킹을 당할 수 있는 구조였던 것으로 보인다"며 "정부 차원에서는 이런 학회와 연구소들을 모아 한 번에 관리 할 수 있는 시스템을 도입하는 방안도 고려할 수 있다"고 설명했다.
