24일 <디지털데일리> 취재에 따르면 晓骑营(Xiaoqiying, 샤오치잉) 사이버 시큐리티 팀(CYBER SECURITY TEAM)이라고 자칭하는 해커조직이 한국을 대상으로 한 해킹 작전을 펼치는 중이다.

바이두 백과에 따르면 샤오치잉은 중국 진나라 시절 군사조직이다. 조직 이름부터 한자인 데다 한자를 주 언어로 소통하는 점 등으로 봤을 때 중국 해커로 의심된다.

해당 조직이 활동을 시작한 것은 지난 연말부터다. 작년 12월 28일 쓰촨성 탄광 플랫폼을 해킹해 정보를 유출했다. 이후 1월 3일 조직원을 모집하기 시작했고 1월 7일 한국을 대상으로 하는 장기 데이터 유출 작전을 펼치겠다고 밝혔다.

한국을 대상으로 하는 본격적이 데이터 유출이 이뤄지기 시작한 것은 1월 20일이다. <디지털데일리>는 21일경 최초 해당 조직의 활동을 포착했다. 설 연휴에도 이어지는 해킹··· 위협받는 대한민국 사이버보안(2023.01.22.)를 보도한 바 있다. 국내 건설 관련 기관의 웹사이트가 해킹돼 권한을 빼앗기고 정보 유출도 이뤄졌다.

유출된 내용은 기관 소속 직원의 이름 및 연락처와 다른 기업 및 기관의 이름, 기업명, 메일주소 등이다. 유출된 정보 수가 많지는 않으나 국내 기업 및 대학 관계자 등의 이름과 직책, 메일 등이 있어서 악용될 소지가 있다.

웹사이트의 관리자 권한을 이용 중인 모습도 노출했다. 실제 해킹 당시 해당 기관의 웹사이트에 접속할 경우 팝업창으로 해커조직의 로고가 출력되는 등 웹사이트 변조(Deface) 공격이 이뤄졌다. 공격을 받은 기관은 해당 웹사이트를 폐쇄하는 조치를 취한 상태다.

해커조직은 국내 기관 및 학회 등의 이름으로 된 웹사이트를 열거하며 추가 공격을 예고했다. 이중에는 서울시도 포함됐다. 23일에는 54.2GB, 4.8GB의 폴더 속성 정보도 공유했는데, 한국 공공기관에서 유출된 정보라고 주장하는 중이다.

24일 새벽 3시경에는 ‘다음 타깃은 KISA’라며 공격 대상을 지목했다. 과학기술정보통신부 산하 기관인 KISA는 정부가 운영하는 사이버보안 전문기관이다. 민간 영역에서 개인정보가 유출되거나 해킹 피해가 발생할 경우 지원하는 역할을 맡는다.

이와 같은 공격 활동에 정부도 긴급 대응에 나섰다. 사이버보안 업계 관계자에 따르면 정부는 관리자 계정 보안 강화 등의 내용을 담은 비상 연락망을 가동했다.

다만 이와 같은 노력에도 불구, 적잖은 피해가 예견된다. 사이버보안 업계 관계자는 “해커 입장에서는 해킹에 성공하더라도 수익성이 높지 않기에 국내 공공기관 등을 대상으로 한 공격이 활발하지는 않았다. 그러나 최근에는 금전적인 이익이 아니라 다른 목적으로 해킹 활동을 펼치는 이들이 많아졌다. 이 경우 보안이 취약한 곳들에서의 정보 유출은 불가피할 것”이라고 말했다.

실제 최근 북한뿐만 아니라 러시아나 중국 국적의 해커로 의심되는 이들에 의한 한국 기업·기관 정보유출이 빈번하게 이뤄지고 있다. 지난 연말부터 <디지털데일리>가 확인한 정보유출 건만 해도 10여건에 이른다.

지난 17일 해킹 포럼에서 삼성전자 직원의 데이터로 추정되는 자료를 업로드한 이는 “삼성 비즈니스 파일 2.4GB 이상을 유출할 수 있다”며 추가 공격을 예고하기도 했다. 공격 이유로는 한국이 북대서양조약기구(NATO)와 협력을 강화하기 때문이라고 주장했다.