2024-03-29 05:20 (금)
중국 해커의 한국 사이트 총공격 소동…그 팩트는 이렇다
상태바
중국 해커의 한국 사이트 총공격 소동…그 팩트는 이렇다
  • 길민권 기자
  • 승인 2017.03.22 17:29
이 기사를 공유합니다

공식 홍커연맹과는 무관...허접한 준비로 현재 13명 지원에 그쳐

▲ 한국 사이트에 대한 공격을 선동하는 중국 게시물. 현재 13명 모집
▲ 한국 사이트에 대한 공격을 선동하는 중국 게시물. 현재 13명 모집
사드 배치로 인해 중국 해커들의 한국 사이트 공격 선동 게시물들이 올라오고 있어 국내 공공 및 민간 사이트 관리자들이 긴장하고 있다. 하지만 팩트를 제대로 파악하고 준비해야 한다. 다소 선동적인 기사들이 올라오고 있어 팩트 중심으로 현재 상황을 정리하고 보다 침착한 대응이 필요한 상황이다. 국내 중국 보안정보 서비스 기업 씨엔시큐리티의 도움으로 확인한 팩트는 다음과 같다.

지난 3월 15일 홍커연맹 애국교류(爱国交流) 게시판에는 한국 사드배치에 대한 비판글과 함께 “SQL 인젝션을 사용해 한국 사이트를 공격하자”는 짧은 메시지가 올라온 바 있다.

게시물에는 공격 시간을 ‘2017년 3월 31일’로 논의 중이라고 밝히고 있다. 일부 언론에서 말하는 28일은 게시물 내용에서는 확인되지 않았다. 대상은 한국 웹사이트를 공격하는 것으로 나와있고 현재까지 공격에 가담하겠다고 신청한 인원은 13명에 불과하다. 13명으로 한국을 총공격하겠다는 것이다.

◇한국 공격하겠다고 선포했지만 준비는 ‘허접해’

▲ 번역 "초보라서 할 줄 몰라요. 가르쳐 주세요."
▲ 번역 "초보라서 할 줄 몰라요. 가르쳐 주세요."
▲ 번역 "SQL을 사용한 공격이 뭐지… SQL은 데이터베이스인데, 데이터베이스를 사용한 공격? 너가 말하고 싶은 건 침투공격?"
▲ 번역 "SQL을 사용한 공격이 뭐지…
SQL은 데이터베이스인데, 데이터베이스를 사용한 공격? 너가 말하고 싶은 건 침투공격?"
▲ 번역 "게시글 작성자는 그냥 해본 말인듯 싶다. 실력자들은 이런 글에 대해 댓글을 달지 않는다."
▲ 번역 "게시글 작성자는 그냥 해본 말인듯 싶다. 실력자들은 이런 글에 대해 댓글을 달지 않는다."
한편 이 게시물에 달린 댓글을 보면 얼마나 준비가 안된 상태에서 선동만 하고 있는지 알 수 있다. 댓글 내용은 “초보라서 할 줄 몰라요. 가르쳐주세요.” “SQL을 사용한 공격이 뭐지?” “여기 홍커연맹에 있는 사람들 기술이 좋지 않아. 차라리 노는게 낫다” “저는 DDoS면 참가하고 지원할게요. 침투면 기술이 안되요” “게시글 작성자는 그냥 해 본 말인듯 싶다. 실력자들은 이런 글에 대해 댓글을 달지 않는다” “모두 실용성이 없는 툴이다” 등의 글이 올라오고 있다. 즉 실력있는 중국 해커들은 이번 선동 게시물에 동참하지 않고 있다는 것을 알 수 있다.

◇SQL 공격툴…이미 씨엔시큐리티에서 분석해 공개한 툴들

▲ 이번에 공개된 공격툴
▲ 이번에 공개된 공격툴 링크(일부 모자이크)
또한 선동글 게시자는 SQL인젝션 해킹 도구의 다운로드 링크를 올려 놓고 있다. 중국 보안정보 서비스 기업 씨엔시큐리티(대표 류승우)는 이미 이번에 공개한 툴들을 분석해 자사 SIPS 사이트를 통해 국내 고객들에게 제공한 바 있다. 해당 해킹도구의 특징은 다음과 같다.

1. 御剑2016最新修正版 (Royal Sword) 2016년 제공
御剑는 서브도메인 탐색, 포트 스캔, 인젝션, 코드 변환, MD5 디코딩 등 기능을 제공한다. 2016년 버전에서 관리자페이지 스캔 기능과 최신사전을 업그레이드 했다.

2. 椰树1.9 web漏洞扫描器 (椰树 웹 취약점 스캐너) 2014년 제공
椰树web漏洞扫描器는 SQL Injection, XSS 취약점, 도메인 정보 수집, CMS 취약점 탐지 등을 수행할 수 있는 웹 취약점 스캐너이다.

3. 挖掘鸡v1.1(웹페이지 스캔툴) 2011년 제공
웹사이트 URL에 존재하는 특정 확장자를 스캔할 수 있다.

4. 明小子综合注入. Domain 4.3. 2011년 제공
DB조회, 강력한 패스워드 크랙 등 다양한 기능으로 중국 해커들 사이에서 널리 사용되는 明小子의 Domain4.3 최신 버전이다. 일부 시스템환경에서 실행되지 않던 오류, 스캔 시 발생하는 오류 등 몇가지 버그가 수정되었다.

5. 超级SQL注入工具 v1.0 beta2 (SSQLinjection) 2014년 제공
超级SQL注入工具는 중국 해커 커뮤니티에서 공개한 sql 인젝션 프로그램이다.

6. 啊D注入工具 V2.32 无限制版 (DSQL Tools 무제한버전) 2010년 제공
啊D注入工具(DSQL)은 중국에서 가장 많이 사용되는 인젝션 도구중 하나이며 MS-SQL과 ACCESS에서 빠른 취약점 점검 속도를 지원한다.

7. 超级Web漏洞扫描器 v1.0 (SWebVulnsScan) 2015년 제공
超级Web漏洞扫描器은 웹취약점 스캐너로써 사용중인 CMS식별, CMS취약점 스캔, 디렉토리 스캔기능을 제공한다.

씨엔시큐리티 측은 “3월 22일 현재 해킹 참가자는 13명으로 아주 저조하다. 조회수는 3천건이 넘고 있지만. 이렇게 참여가 저조한 이유는 해킹 참가자들에게 실명, 연락처, QQ 정보 등을 요구하고 있기 때문”이라고 설명하고 “게시물 작성자를 살펴보면 생일을 2006년 1월 12일, 공동성 출신, 학력은 초등학교 등으로 나와있어 프로필 정보도 거짓으로 추정된다”고 밝혔다.

◇홍커연맹 공식 입장…”한국 사드배치 문제에 관여하지 않는다”
한편 3월 7일 중국 홍커연맹의 공식 입장 전문을 살펴보자.

▲ 중국 웨이보에 올라온 홍커연맹 공식 입장. 번역은 아래 본문 참조.
▲ 중국 웨이보에 올라온 홍커연맹 공식 입장. 번역은 아래 본문 참조.
[중국 홍커연맹 웨이보(微博)(3/7)

최근, 중국홍커연맹의 공식웹사이트가 대규모의 트래픽 공격을 당했다. 확인해 본 결과, 대부분 공격은 해외에서 시작되었으며 반사공격을 사용했다.

트래픽은 비록 많았지만 중국홍커연맹의 방화벽은 강력해 짧은 시간 동안 접속하지 못했지만 곧 정상으로 복구했다.

많은 네티즌들은 최근 한국 ‘사드’사건을 연관지어 생각할 수 있지만, 중국홍커연맹의 공식입장은 다음과 같다.

중국해커연맹은 한국 ‘사드’문제에 관여하지 않고, ‘사드’는 국가정치문제에 속해 국가가 적절하게 처리할 것이며, 또한 광명정대(光明正大)한 방식으로 해결 할 것이라 믿는다.

동시에 중국해커연맹은 해외 특정 국가가 웹사이트에 대해 DDoS공격을 진행하는 것에 대해 걱정하지 않는다. 

또한 이번 사건에 대해 네티즌들은 유언비어를 퍼트리지 말 것이며, 국내 나라를 사랑하는 홍커들은 이에 대응하는 준비를 하기를 바란다. 국가존엄은 침범되어서는 안되며, 적이 우리를 범(犯)하지 않으면 우리도 범하지 않을 것이다. 적이 만약 우리를 범하면 멀리 있어도 반드시 징벌한다.]

▲ 공격 게시물을 올린 자는 홍커연맹에서 제명된 자로 밝혀졌다. 씨엔시큐리티 제공.
▲ 공격 게시물을 올린 자. 씨엔시큐리티 제공.
◇공격 선동 게시물 작성 사이트의 실체
씨엔시큐리티 관계자는 “이번에 게시글이 올라온 사이트는 사실 정식 홍커연맹 사이트가 아니다. 해당 사이트는 2009년 내부 규칙위반으로 홍커연맹에서 제명된 '冰儿'이라는 해커가 설립한 사이트로써, 홍커연맹의 지명도를 이용해 여러 협찬을 받아왔다. 이는 홍커연맹의 이념과 어긋난 행동이다. 게시물 작성자가 개인인지 단체인지 정확하진 않지만 공식 홍커연맹의 입장과는 반대된다는 것을 알 수 있다. 중국 해커의 사드보복과 관련해 대응은 하고 있어야 하겠지만 이번 게시물 소동으로 너무 민감한 반응은 적절하지 않다고 생각한다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★