AVG, 아비라, 왓츠앱 등을 해킹한 것으로 알려진 팔레스타인 해커그룹 ‘KDMS Team’이 또다시 보안업체를 타깃으로 공격을 감행했다. 이번엔 래피드7(Rapid7)이 당했다.
 
보안업체 래피드7 웹사이트와 이들이 제공하는 모의해킹(침투 테스트) 소프트웨어 ‘메타스플로잇’ 웹사이트가 해킹된 것. 동일한 수법인 ‘DNS 하이재킹’이 이용됐으며, 공격은 한시간 정도 지속됐다.
 
KDMS Team은 리다이렉트 되는 웹사이트에 ‘왓츠앱, 아비라, 알렉사, AVG 등의 웹사이트를 공격한 후 더 이상 해킹을 하지 않고 조용히 사라지려 했다. 그러나 반드시 해킹돼야 할 웹사이트들이 있고 당신은 우리의 타깃 중 하나이기에 여기에 다시 나타났다’는 메시지를 남겼다.
 
이어 ‘또 하나, 당신은 팔레스타인을 아는가? ‘지구상에는 팔레스타인이라고 불리는 땅이 있다. 이 지역을 시온주의자들에게 빼앗겼다. 팔레스타인 사람들은 평화롭게 살 권리를 가지고 있다’고 덧붙였다.

 
래피드7의 CRO(Chief Research Officer)인 HD 무어(Moore)는 트위터를 통해 웹사이트가 하이재킹당한 사실을 밝혔다. 그는 “DNS 설정이 잠시 변경된 것으로 파악됐으며, 변경된 DNS는 74.53.46.114를 가리켰다”고 전했다.
 
그러면 DNS 레코드 정보가 어떻게 변경된 것일까? 지난 해킹 사건에서는 해당 업체의 도메인 관리업체인 네트워크 솔루션즈에 등록된, DNS 레코드 관리에 이용되는 계정에 대해 비밀번호 리셋 요청이 이뤄졌고 이에 DNS 하이재킹이 성공할 수 있었다.
 
이번에는 정말 어이없게 당했다. 무어는 “팩스를 통해 자사의 도메인 관리업체인 Register.com에 가짜 DNS 변경 요청이 이뤄진 것으로 드러났다”고 설명하고, “회사가 DNS 변경 요청에 대한 인증 단계를 강화하는 ‘도메인 잠금 설정’을 하지 않았다”고 인정했다.
 
최근 잇달아 일어난 해킹 사건은 DNS 하이재킹의 위험성과 함께 도메인 관리 업체의 취약한 보안 실태를 보여주고 있다. 특히 보안업체들 마저 하이재킹을 당한 일련의 사건들은 보안의 중요성과 심각성을 일깨워 주는 교훈으로 삼아야 할 것이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com