돌연 '공격 중지' 선언한 中 연계 해커조직…왜?

[아이뉴스24 김혜경 기자] 최근 국내 학회 홈페이지를 대상으로 수차례 사이버 공격을 감행한 해커조직이 돌연 한국에 대한 공격 중지를 선언했다. 조직 재정비 차원이라는 분석이 제기되는 가운데 방심하지 말고 경계를 강화해야 한다는 지적이 나온다.

24일 보안업계에 따르면 '샤오치잉(Xiaoqiying, 晓骑营)'이라는 해커조직은 지난 19일 자신들이 운영하는 텔레그램 채널에 '한국에 대한 공격을 중단한다'는 글을 남겼다. 이어 20~21일에 걸쳐 '한국은 더 이상 목표물이 아니다', '우리는 다른 네트워크 도메인으로 옮길 것'이라고 전했다.

공격 중단 선언 하루 전까지도 이들은 한국인정지원센터를 해킹했다고 주장하며 이름과 이메일, 비밀번호 등 탈취한 데이터를 공개했다. 인정지원센터는 산업통상자원부로부터 인정기관으로 지정받은 산하 법인이다.

인정지원센터는 홈페이지에 게재한 사과문을 통해 "지난 9일 개인정보가 유출됐을 가능성을 고려해 비밀번호 변경 등의 조치를 회원들에게 권고했다"며 "유출사고 이후 보안을 강화했지만 지난 18일 수사기관으로부터 개인정보가 해킹으로 유출됐다는 사실을 통보받았다"고 설명했다.

현재까지 확인된 유출 항목은 이름과 아이디, 비밀번호, 생년월일, 연락처, 주소, 소속회사 등 11개다. 2014년 7월 이전 가입자의 경우 주민등록번호까지 유출됐다. 센터는 개인정보 유출 관련 2차 피해를 방지할 수 있도록 가능한 조치를 취한다는 방침이다.

샤오치잉이 갑자기 공격 중단을 선언한 배경을 놓고 수사기관 압박이나 조직 정비 등 여러 해석이 나온다. 이들 조직은 텔레그램 채널을 폐쇄하고 '시그널'이라는 메신저로 본거지를 옮긴 상황이다. 시그널은 텔레그램 대비 추적이 상대적으로 어려운 것으로 알려졌다.

국내 한 보안 전문가는 "기존 조직을 정리하고 새로운 조직을 만드는 과정일 수도 있다"며 "랜섬웨어 그룹의 경우 어느 정도 자신들이 노출됐다고 판단하면 리브랜딩을 하는 경우가 많은데 이들도 비슷한 수순으로 보인다"고 말했다.

또 다른 보안 전문가는 "당초 이들이 한국과 일본을 대상으로 예고했던 3월28일 공격은 무효화될 가능성이 있다"면서도 "언제든지 다시 활동을 재개할 수 있으므로 각별한 주의가 필요하다"고 강조했다.

앞서 이 조직은 우리말학회를 비롯한 11개 학술단체를 대상으로 홈페이지 변조(디페이스) 공격을 벌인 후 텔레그램 채널을 통해 피해 기관과 탈취한 데이터 목록 등을 게재했다. 이들 조직은 다음 공격 목표로 한국인터넷진흥원(KISA)을 지목하기도 했다.