[디지털데일리 이종현기자] 한국 정부기관을 대상으로 한 사이버공격을 예고한 해커조직의 활동이 본격화됐다. 11개 학회 웹사이트를 해킹해 변조(Deface)했다. 해킹된 웹사이트는 해커조직의 로고와 메시지가 출력되는 상태다.

24일 오후 10시 30분경 晓骑营(Xiaoqiying, 샤오치잉) 사이버 시큐리티 팀(CYBER SECURITY TEAM)이라고 자칭하는 해커조직이 한국 기관 웹사이트를 대상으로 한 해킹 작전을 펼치는 중이다. 앞서 해킹당한 건설 관련 기관인 대한건설정책연구원을 포함하면 총 12개 웹사이트가 해당 조직에 의해 해킹됐다.

공격 조직은 샤오치잉이라는 이름과 한자로 소통하는 점을 미루어 보아 중국 조직으로 예상된다. 바이두 백과에 따르면 샤오치잉은 중국 진나라 시절 군사조직이다.

작년 12월 28일 쓰촨성 탄광 플랫폼을 해킹하며 활동을 본격화한 해당 조직은 1월 7일 한국을 대상으로 하는 장기 데이터 유출 작전을 펼치겠다고 선언했다. 20일 건설 관련 기관 웹사이트를 해킹해 내부 자료를 유출하고 웹사이트를 변조한 바 있다.

<디지털데일리>는 21일경 최초 해당 조직의 활동을 포착, 설 연휴에도 이어지는 해킹··· 위협받는 대한민국 사이버보안(2023.01.22.) 및 [단독] 中 해커조직, 한국 공공기관 대상 ‘선전포고’··· “다음 타깃은 KISA”(2023.01.24.)를 보도한 바 있다.

이번에 공격받은 기관은 우리말학회, 한국학부모학회, 한국교원대학교 유아교육연구소, 한국고고학회, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재할학회, 제주대학교 교육과학연구소, 한국교육원리학회 등이다.

현재까지는 비교적 보안이 우수하다고 말하기 어려운 기관들이 해킹됐다. 다만 해당 조직은 서울시, 한국인터넷진흥원(KISA) 등도 공격 대상으로 언급한 바 있는 만큼 추가 범행에 대한 주의가 요구되는 상황이다.

특히 24일 오전 3시 30분경에는 다음 타깃으로 KISA를 지목했다. KISA는 과학기술정보통신부 산하기관으로서 민간 영역의 사이버보안을 전담하는 전문기관이다. 개인정보 유출 및 해킹 피해가 발생할 경우 KISA가 대응에 나선다. 실제 해당 조직이 공격을 예고하자 24일 이종호 과기정통부 장관이 KISA 인터넷침해대응센터(KISC)를 방문해 상황을 점검하기도 했다.

해커조직은 “우리는 계속해서 한국의 공공 네트워크와 정부 네트워크를 해킹할 것이고, 우리의 다음 조치를 기대하며, 우리는 광범위한 범위의 한국 내부 네트워크를 해킹할 것이다. 네, 우리는 다시 돌아왔습니다”라는 메시지를 전했다.

단순 웹사이트 변조만 이뤄지는 것은 아니다. 20일 공격받았던 대한건설정책연구원의 경우 기관 소속 직원의 이름 및 연락처와 다른 기업 및 기관의 이름, 기업명, 메일주소 등이 유출됐다. 홈페이지 관리자 권한을 빼앗은 뒤 내부 자료를 탈취했다.

웹사이트 공격과는 별개로 이미 상당한 양의 데이터를 훔쳐냈다고 주장하기도 했다. 해커조직은 지난 23일 54.2기가바이트(GB), 4.8GB)의 폴더 속성 정보창도 공유했다. 한국 공공기관에서 유출한 정보라고 주장했는데, 이것이 사실일 경우 이미 내부에 침입해 데이터를 훔쳐낸 뒤 순차적으로 웹사이트를 변조하는 식의 공격을 펼치는 것으로 예상된다.

해커 측은 중국 정부를 배후로 둔 것은 아니라고 피력했다. 자신의 팀은 자유로운 그룹이며 한국을 회원들의 훈련장으로 사용하려 한다는 것이다. 공격 이유로는 “한국의 몇몇 스트리밍 스타들이 나를 짜증나게 했다(Some streaming stars in Korea annoy me)”고 밝혔다.

또 오후 11시경에는 추가 메시지로 “우리는 관련 웹사이트의 데이터베이스(DB)를 삭제하고 있다. 복원하려면 우리에게 연락하라”고도 전했다. 삭제되고 있는 DB는 한국교육협회 관련 자료로 추정된다.