[디지털데일리 이종현기자] 중국 해커조직 샤오치잉(晓骑营, Xiaoqiying)이 한국 정부를 대상으로 한 대대적인 공격을 예고했다. 텅스네이크(Teng Snake), 제네시스데이(Genesis Day) 등 조직과 동맹을 맺어 한국을 대상으로 하는 공동 작전에 나서겠다는 주장이다.
26일 샤오치잉은 한국 정부가 피해를 본 기관들을 은폐하고 있으며, 국민을 속이려 하고 있다고 피력했다. 훨씬 더 많은 공격을 했지만 알려진 것은 12곳에 그쳤다는 것이다.
샤오치잉은 자신이 획득한 한국 기관 데이터베이스(DB)가 41개에 달한다고 말한다. 그러면서 한국 교육부 데이터베이스(DB)라는 이름의 폴더 이미지를 공유했다. 54.2기가바이트(GB)의 폴더에는 41개 하위 폴더가 있는데, 해당 폴더 안에 41개 기관에 대한 데이터가 담겨져 있다는 의미로 풀이된다. 주장을 뒷받침할 증거로 20개 교육 관련 기관의 DB를 공개했다.
또 한국 정부 웹사이트를 대상으로 공격에 성공한 이들을 자신의 조직원으로 받아들일 것이라고 밝혔다. 한국 정부 행정기관 도메인(go.kr) 또는 연구를 목적으로 하는 법인 또는 개인의 도메인(re.kr)을 5개 이상 침투해 핵심 자료나 관리자 권한을 침해하고 이를 증명하라는 것을 가입조건으로 내걸었다. 한국을 대상으로 한 공격을 부추기는 모양새다.
샤오치잉은 텅스네이크(Snake), 제네시스데이(Genesis Day)라는 이름의 조직들과 협력해 한국을 대상으로 하는 공격을 이어가겠다고 말했다.
텅스네이크는 작년 11월 한국 정부 플랫폼에서 훔쳐냈다고 주장하는 데이터를 공개한 바 있는 조직이다. 당시 40여개 정보를 공유했는데 샤오치잉이 같은 목록에서 내용을 추가한 161개 정보를 유출했다. 이에 사이버보안 업계는 샤오치잉과 텅스네이크를 같은 조직으로 의심하고 있는데, 협력 선언으로 별개의 조직인 것처럼 표현했다.
제네시스데이의 경우 최근 해킹포럼에 삼성전자의 내부 자료로 추정되는 데이터를 유출한 바 있다. 당시 유출된 자료는 내부 시스템의 이용방법과 같은 매뉴얼과 개인이 가입한 웹사이트 목록 및 아이디, 패스워드 등이다. 2.4GB 상당의 삼성 비즈니스 데이터를 추가 유출하겠다고 했으나 후속 유출은 이뤄지지 않은 상태다.
샤오치잉의 주장을 액면 그대로 받아들이기는 어렵다. 우선 한국 보안당국은 피해 기관이 몇곳인지에 대해 구체적으로 알리지 않았다. <디지털데일리>를 포함한 언론의 취재 및 질의응답 과정에서 샤오치잉이 공개한 12곳이라는 숫자가 나왔다.
또 샤오치잉, 텅스네이크, 제네시스데이가 별개의 조직인지 같은 그룹인지도 불분명하다. 한 명의 해커가 여러 조직에 몸담고 활동하는 경우도 드물지 않은 만큼 조직원을 공유할 수도 있다. 텅스네이크와 제네시스데이의 경우 한국이 북대서양조약기구(NATO)와 협력을 강화한다는 점을 명분삼아 한국을 공격했다는 공통점이 있다. 사이버보안 업계 관계자는 “세부적으로 팀이 나뉘더라도 하나의 그룹으로 추정된다”고 말했다.
샤오치잉이 말하는 것처럼 치명적인 위협으로 이어질지도 불분명하다. 샤오치잉이 현재까지 해킹한 기관 웹사이트의 경우 보안이 철저하지 않은 곳들이다.
제네시스데이가 유출한 데이터 역시 가입한 웹사이트 및 아이디, 패스워드 등이 대거 포함돼 있었지만 정작 삼성전자 내부의 기밀자료라 할 만한 것은 없었다. 텅스네이크는 작년 5월 한국 보건부의 액티브 디렉토리(AD) 서버에 침입, 권한을 판매한다고도 한 바 있는데 이후에는 어떻게 사건이 전개됐는지 알려진 바 없다.
한국인터넷진흥원(KISA)을 비롯한 국내 사이버보안 기업들인 이들의 활동에 대해 추적 중이다.
국내 사이버보안 업계 관계자는 “요란하게 활동하고는 있는데, 작년 삼성전자를 해킹한 랩서스$처럼 정말로 위협적인지는 모르겠다. 비교적 취약한 곳만 공격하는 중”이라며 “그래도 경각심을 갖고 지켜볼 필요가 있을 것 같다”고 전했다.