해킹은 금전적 목적 외에 정치적, 외교적 공격 도구가 되기도 한다. 우크라이나를 대상으로 한 러시아의 공격, 대한민국을 대상으로 한 북한발 공격 등이 대표적이다.
올해 1월 샤오치잉*(晓骑营) 해커조직은 대한민국을 겨냥하는 도발적인 메시지와 함께 해킹을 예고했다. 이후 연구소, 학회 웹사이트 등의 메인 홈페이지가 변경되고 개인정보가 텔레그램을 통해 유포되는 등의 피해가 있었다.
한국인터넷진흥원은 지난 1월부터 2월까지 샤오치잉 해커조직에 의한 침해사고를 대응해왔다. 본 보고서는 샤오치잉 해커조직에 의해 일어났던 침해사고들의 공격 기법을 소개하고, 대응 방안을 안내한다.
샤오치잉 해커조직(이하 샤오치잉)은 2023년 1월부터 2월까지 국내 웹사이트를 대상으로 웹페이지 변조, 정보유출 등의 공격을 수행하고 그 결과를 샤오치잉 홈페이지, 텔레그램, 해킹포럼 등을 통해서 공개하였다. 아래는 샤오치잉이 직접 언급하거나, 한국인터넷진흥원에서 대응한 이력을 정리한 타임라인이다.
한국인터넷진흥원은 샤오치잉 해커조직과 관련된 침해사고를 피해기업으로부터 신고접수받고 원인분석하였다. 각 피해기업별로 침투경로, 피해유형, 공격시점을 정리한 결과는 아래와 같다.
1월에는 SQL Injection이나 외부에 노출된 계정정보를 사용해서 침투해서 정보유출까지 수행했지만, 2월은 1건을 제외하고 WebLogic 취약점을 악용했으며, 다른 악성행위 없이 웹페이지 변조만 수행하였다.
웹페이지 변조의 경우 웹페이지 유형에 따라 A,B,C로 구분하였으며, A와 B의 경우는 기존의 메인 페이지를 교체하였고, C의 경우는 메인 페이지와 무관한 경로에 웹 페이지를 업로드하였다.