"기분이 좋지 않아"…틈만 나면 도발하는 中 해커조직

[아이뉴스24 김혜경 기자] 최근 국내 학회 홈페이지를 대상으로 사이버 공격을 감행한 해커조직이 국민체육진흥공단 산하 연구기관도 연이어 해킹했다. 이 조직은 추가 공격을 예고하고 또 다른 피해가 우려된다.

18일 보안업계에 따르면 '샤오치잉(Xiaoqiying, 晓骑营)'이라고 자칭하는 해커조직은 지난 16일 자신들이 운영하는 텔레그램 채널을 통해 800여건의 개인정보가 들어있는 데이터베이스를 유출했다. 이들이 탈취했다고 주장하는 데이터베이스는 한국스포츠정책과학원이 운영하는 영문저널(IJASS) 관련 회원 정보인 것으로 추정된다. 이 기관은 체육진흥공단 산하 연구기관이다.

이들은 연초부터 국내 학술단체를 중심으로 사이버 공격을 벌이고 있다. 지난달 7일 자신들의 홈페이지를 통해 “한국을 겨냥한 새로운 작전을 준비하고 있다"고 알린 이후 같은달 21일 해킹포럼 '브리치드(Breached)'에 대한건설정책연구원 관련 데이터로 추정되는 자료를 게재했다. 연구원 홈페이지 해킹을 통해 대규모 공격을 예고하기도 했다.

한국인터넷진흥원(KISA)은 보안공지를 통해 "중국의 미상 해커조직이 건설정책연구원을 해킹하고 내부 연구원 정보를 유출하면서 2천여개 홈페이지를 해킹하겠다고 선언했다"고 전했다. 사이버 공격 예고 이후 이종호 과학기술정보통신부 장관도 KISA 인터넷침해대응센터(KISC)를 방문해 사이버 공격 대응 현황과 비상대응 체계를 점검한 바 있다.

25일에는 우리말학회를 비롯한 11개 학술단체를 대상으로 홈페이지 변조(디페이스) 공격을 벌인 후 텔레그램 채널을 통해 피해 기관과 탈취한 데이터 목록 등을 게재했다. 이들 조직은 다음 공격 목표로 한국인터넷진흥원(KISA)을 지목했지만 아직까지는 잠잠한 상황이다. 보안업계에서는 이들이 초보 수준의 해킹 실력을 보유하고 있다고 판단한다. 기술과 지식은 상대적으로 부족하지만 과시 목적에 가깝다는 것이다.

우크라이나 특수통신정보보호국(SSSCIP)이 지난해 발간한 보고서에 따르면 우크라이나 당국은 해커집단을 크게 ▲군사적 목적으로 움직이는 해커부대 ▲과거 서구 금융기관 등을 노린 범죄에 가담했지만 최근 러시아에 합류해 활동하는 그룹 ▲스크립트 키디(Script Kiddies) 등으로 분류했다.

첫 번째와 두 번째 유형의 경우 높은 수준의 기술을 보유한 해커가 포함돼 있으며 다크넷의 다른 그룹들과도 폭넓은 관계를 형성하고 있다는 특징이 있다. 반면 스크립트 키디는 사이버 공간에서 가장 흔한 아마추어 해커를 지칭하는 말이다.

이들 조직의 전신이 '텅셔(Tengshe, 腾蛇)'라는 추정도 나온다. 텅셔는 2021년부터 활동을 시작했고 지난해 5월쯤 국내 의료 관련 협회를 공격한 바 있다. 보안업계에 따르면 텅셔 해체 과정에서 탈퇴한 멤버들이 새로운 리더와 결성한 조직이 샤오치잉이다. 텅셔 멤버가 만든 또 다른 해커조직 '제네시스 데이(Genesis Day)'는 지난달 17일 자신들이 삼성그룹의 데이터를 탈취했다고 주장한 바 있다.

이 조직은 당시 한 해킹포럼에 "최근 한국은 NATO와 협력을 강화하고 있다. 계속 이런 식이면 (이번 데이터 유출은) 시작에 불과할 것"이라며 임직원 계정 등 2.4GB 규모의 자료를 획득했다고 주장했다. 이들이 올린 샘플 파일에는 특정인의 이름과 메일주소 등 복수의 계정들이 포함됐다. KISA가 삼성 측으로부터 전달받은 결과 해당 직원은 한국 본사 혹은 계열사 소속은 아닌 것으로 확인됐다.

한동안 잠잠했던 샤오치잉은 이달 1일 텔레그램 채널을 통해 "다음달 28일 한국과 일본에 대한 추가 공격이 있을 것"이라는 메시지를 전달했다. 이어 지난 14일 총 5개의 인터넷주소(URL)를 올리며 해킹 사실을 알렸다. 같은날 CU 홈페이지에 외부 해킹 시도가 감지된 가운데 이들 조직이 공격 배후로 지목됐다. 이틀 뒤에는 "기분이 좋지 않다"는 이유로 스포츠정책과학원에서 탈취한 것으로 추정되는 자료를 공개했다.