개요 - 중국 해커조직이 한국 정부부처 및 공공기관을 타깃으로 대규모 네트워크 해킹 작전을 선포
※ 중국 해커조직: 晓骑营_Xiaoqiying_샤오치잉
> 우리나라에 악명이 높았던 해커조직 ‘腾蛇_Teng Snake_ 텅 스네이크’의 후신
> 지난해 5월 초 우리나라 보건복지부와 국방부를 해킹한 이후 트위터를 통해 공개적으로 밝힘
> 샤오치잉, 텅 스네이크, GDP, Code Core, White Dawn 등 조직명을 다양하게 바꿔가며 활동
> 4명(아이디 TuBo, RABBIT, chicken, 1337 등)의 해커가 함께 실행한 것으로 추정
> TuBo: post 침투, web 침투, 초기 도구 개발
> RABBIT: 사후 침투와 코드 감사
> chicken: 코드 감사
> 1337: 포스트 침투, 네트워크 침투, 1차 도구 개발

- 중국 해커조직은 해킹 조직원들을 추가 모집 및 한국의 기관, 학회, 협회를 타깃으로 해킹 공격을 진행
> 우리나라의 대통령실, 국가정보원, 국방부, 행정안전부 등이 포함된 약 2,000개의 도메인을 공유해 해킹을 독려

- 공격 대상 중 정보보호 전문기관인 한국인터넷진흥원(KISA)을 특정
내용 - 정부나 공공기관의 경우 큰 피해는 없었으며 상대적으로 보안이 취약한 학회 및 연구소 등 총 12곳이 디페이스 공격 피해
※ 디페이스 공격 (Deface)
> 메인 페이지가 해커의 임의대로 바뀌고(시각적으로 해킹을 어필하기 좋은 방식), 사용자는 사이트를 이용할 수 없게 됨
> 해킹 실력을 자랑하거나, 특정 단체의 메시지를 알리기 위한 과시적 공격 수법으로 사용
> 공격에 성공했다는 건 해커가 웹사이트 관리자 권한을 손에 넣었단 뜻
> 홈페이지의 보안이 취약하다는 반증 및 이미지 실추, 신뢰 하락, 매출 감소

- 해킹 당한 곳 모두 메인 페이지 화면이 바뀌었고, 일부 기관은 데이터가 유출되는 피해
> 공격을 받은 초기에는 홈페이지 화면이 변조돼 중국 해커조직 ‘샤오치잉’이 올린 화면이 게시

- 샤오치잉의 주장
> 1월 21일에 우리나라 교육, 과학, 바이오, 의학 분야 연구원 및 협회 등을 해킹해 데이터를 탈취
> 23일에는 한국 정부부처 데이터 54.2GB 분량을 유출
  파일은 91개(91 个文件)와 41개(41 个文件来) 등
> 24일에도 한국의 각종 학회 40여 곳을 해킹했다며 탈취한 데이터를 공개

- 깃허브(Github)에 우리나라 공공기관·기업 등에 근무하는 161명의 개인정보를 공개
> 공공기관 2명, 교육기관 2명, 민간기업 157명
> 소속과 이름, 아이디와 비밀번호, 휴대전화번호, 직장 전화번호, 직장과 자택주소 등
> 과거에 탈취돼 공개됐던 정보인 것으로 확인
   지난 2022년 12월 26일 공개한 자료와 동일한 자료 및 다크웹 포럼 등을 통해 해킹한 자료들을 공개

- 21일 해킹된 국내 학술기관 홈페이지 12곳 모두 아직 복구되지 않은 상태
> 피해를 본 기관 12곳 모두가 같은 웹호스팅 업체 서비스를 이용
> 웹호스팅 업체는 보통 한 업체가 하나의 서버에 여러 개의 홈페이지 서비스를 호스팅
> 그러므로, 해당 업체 보안 시스템에 고객사가 맞출 수밖에 없음
> 국내 업체는 외국계 웹 호스팅 업체 대비 상대적으로 영세한 소규모란 점도 한계로 지적

- 2023/02/01 12곳 모두 정상 접속이 가능
> 대한건설정책연구원, 한국학부모학회, 우리말학회
  홈페이지 공지를 통해 해킹 피해 공지 및 홈페이지 접속 차질, 개인정보 침해에 대해 사과
  전체 피해 규모와 개인정보 유출 피해에 대한 추가 조치 부분은 언급하지 않음
> 나머지 9개 기관의 경우 홈페이지 접속 장애나 데이터 및 개인정보 유출에 대해 아직까지 별다른 공지 없음

- 2023/02/16 새벽 텔레그램에 879건의 개인정보가 들어 있는 데이터베이스를 유출
> 한국스포츠정책과학원 회원의 정보인 것으로 추정
> 올린 파일명에는 'ijass'가 포함됐는데, 이는 한국스포츠정책과학원이 발행하는 체육분야 영문 학술지
> DB에는 개별마다 상이하지만 이름, 소속, 직책, 주거지, 메일 주소, 핸드폰 번호 등 총 879명의 개인 정보가 포함
> 해킹 사실에 대해 국가정보원은 해당 해킹 사실을 인지 및 조사중이며, 구체적인 내용은 알려줄 수 없음이라 밝힘

- 2023/02/18 18:33 한국인정지원센터를 해킹 사실 공개
> 16:16 경 탈취한 개인정보를 엑셀파일로 공개
> 이름, 이메일, 비밀번호 등 민감정보가 포함된 약 4만개의 데이터를 확보했다고 공개
> 공무원 정보(이메일+비밀번호+전화번호+이름) 91명, 연구기관 및 유관기관 임직원 정보 476명, 교육기관 관련 임직원 정보 253명, 기타 CO.KR 관련 정보 3,439명 등
> 휴대전화 번호가 011, 016, 019 등 지금은 사용하지 않는 번호로 시작됐기 때문에 꽤나 오래된 정보로 추정

- 2023/02/19 03:25 공격 중지 선언
> ‘한국에 대한 행동을 중지한다(Korean action ends here without any follow-up)’
> 샤오치잉의 공식 홈페이지 또한 접속되지 않음
조치 - 이번 사건은 국가정보원과 개인정보보호위원회에 보고

- 개인정보보호위원회에서 추가 조치를 취함

- KISA
> 민간기업의 유출 피해자 157명의 개인정보는 해당 기관 및 기업에 전달해 진위 여부 확인
> 각 피해 홈페이지 관리자 계정 등을 탈취한 것인지 웹호스팅 업체 서버나 관리자 계정이 해킹된 것인지 조사 중
> 추가 보안조치를 요청
   ① 로그인 보안 및 사용자 예방 강화 등을 긴급 권고
     로그인 기능이 있는 웹사이트에 대한 주기적인 부정 접속이력을 확인해 비정상 IP 차단 및 유관기관 공유
     IP당 로그인 시도 횟수 임계치 설정, 캡처 등을 활용한 자동 로그인 시도 차단 등 부정 로그인 차단 강화
     비밀번호 변경 및 이중 인증 기능 사용 등 사용자 계정 보안 강화 조치 등

   ② 사용자 예방 강화 방안
     자사 가입자 대상 계정보안 관리 강화
     사용자 중요 정보 변경(통신요금 등) 시 SMS 알림 등 피해 알람 기능 강화
     관련 서비스 유지보수·위탁업체의 보안강화 요청 등

   ③ 계정보안 관리 강화를 위한 세부 지침
     여러 사이트의 계정정보를 중복되지 않도록 설정
     복잡한 비밀번호 설정 및 3개월 단위로 비밀번호를 주기적으로 변경할 것을 당부
     ID 및 비밀번호 이외에 OTP, SMS 등을 통한 이중 인증 기능을 설정
     계정정보가 노출된 경우 반드시 동일한 계정정보를 사용하는 모든 사이트의 비밀번호를 신속하게 변경할 것

> 업무에 복귀한 기업 보안담당자들의 경우 회사 시스템의 보안 점검과 모니터링에 만전을 기해줄 것을 당부

- 웹 호스팅 업체
> 피해 기관들이 사용 중인 웹호스팅 업체도 근본 원인 파악과 보안 강화를 목적으로 전반적인 점검

- 보안업계
> 보안 시스템 투자가 여의치않은 소규모 기업·기관에 대한 지원 강화 필요
> 공격 타깃이 된 국내 학술기관은 수백개에 달하지만, 홈페이지를 만들어 운영할 만한 능력은 부족
> 웹호스팅을 자체 구축하면 서버와 스토리지 도입과 운영이 필요하고 상시 근무할 수 있는 보안 인력 또한 부족
> 보안 솔루션 운영, 취약점 점검, 주기적 모니터링 등의 체계가 없다 보니 손쉽게 해킹을 당할 수 있는 구조

- 대한건설정책연구원
> 사이버테러수사대에 수사를 요청하고 개인 침해부분에 대해서도 신고를 완료
> 더 이상 해킹시도는 발견되지 않음

- 우리말학회, 한국학부모학회
> 25일 오전 외부 접속에 의한 해킹 정황이 발견 > 즉시 서버를 닫아 불법 접속 차단 및 데이터를 안전하게 보관
> KISA, KERIS 등과 피해범위를 확인하고 수사를 진행 중

 

보안뉴스

 

[긴급] 중국 해커조직, 한국 정부·공공기관 타깃 대규모 해킹 작전 선포

중국 해커조직이 한국 정부부처 및 공공기관을 타깃으로 한 대규모 네트워크 해킹 작전을 선포한 것으로 드러나 설날 연휴에 접어든 정부 및 공공기관의 보안관리에 비상이 걸렸다.

www.boannews.com

 

중국발 해킹으로 불거진 ‘디페이스 공격’, 홈페이지가 제멋대로 바뀐다

이번 설 연휴, 중국의 해킹 조직이 ‘한국 정부를 해킹하겠다’고 선포했다. 정보보호 전문기관인 한국인터넷진흥원(KISA)을 특정하기도 했다. 결과적으로 정부나 공공기관의 경우 큰 피해는 없

www.boannews.com

 

중국 해커조직의 한국 해킹 엄포, 보안 취약한 학회·연구소 12곳이 당했다

지난주 설 연휴를 앞두고 중국 해커조직이 대한민국 정부와 공공기관을 해킹하겠다고 엄포를 놓은 이후, 한국인터넷진흥원(KISA)을 비롯한 공공기관에서는 비상체제에 들어갔다. 그 결과 정부나

www.boannews.com

 

한국 정부 해킹 선포! 중국 해커조직의 실체는 ‘Teng Snake’... KISA도 공격 타깃 지목

설 명절 연휴가 시작된 21일 한국 정부부처 및 공공기관을 타깃으로 한 대규모 네트워크 해킹 작전을 선포한 중국 해커조직의 정체가 그간 우리나라에 악명이 높았던 해커조직 ‘Teng Snake’의 후

www.boannews.com

 

중국 해커조직, 공공기관·기업 근무자 161명 개인정보까지 유출했다

설 연휴 시작과 함께 우리나라 정부부처 및 공공기관을 타깃으로 한 사이버 공격 시도로 큰 혼란을 야기했던 중국 해커조직 ‘샤오치잉’이 오픈소스 커뮤니티 깃허브(Github)에 우리나라 공공기

www.boannews.com

 

중국 해커조직에서 유출 주장한 개인정보 161건, 과거 정보로 확인

이번 연휴 기간 우리나라 정부부처와 공공기관, 학회·협회 등을 해킹했던 중국 해커조직 샤오치잉(晓骑营, Dawn Cavalry)이 깃허브에 공개했던 161명의 개인정보가 새롭게 해킹된 자료가 아닌 과거

www.boannews.com

 

[긴급] 중국 해커조직, 한국 정부부처 데이터 54.2GB 탈취 주장... KISA, 보안 강화 권고

중국 해커조직이 한국 정부·공공기관을 타깃으로 대규모 해킹 작전을 선포했다는 본지의 최초 보도로 파장이 커지고 있는 가운데 이들은 우리나라 정부부처에 침투해 54.2GB에 이르는 데이터를

www.boannews.com

 

中 해킹에 맥없이 뚫린 12곳 '공통점' 있었다…"홈피 복구 안 될 수도"

중국계 해커조직에게 사이버 공격을 입은 국내 기관 웹사이트가 열흘째 복구되지 않고 있다. 피해 기관 모두 동일한 웹호스팅 업체를 이용한 것으로 알려졌다. KISA "해킹 기관 복구 조치 중…12

n.news.naver.com

 

중국 해커조직 국내 해킹 선포 이후... 해킹 피해 연구원·학회 3곳 공지문 게재

설 연휴가 끝나고 일주일이 지난 현재 다시 한 번 해킹 피해를 입은 연구원·학회 12곳에 접속해 보니 모두 정상 접속이 가능했다. 이 가운데 대한건설정책연구원, 한국학부모학회, 우리말학회는

www.boannews.com

 

[단독] 中 해커, 국민체육진흥공단 산하 연구기관도 해킹…879건 개인정보 유출

지난달 국내 학술기관 홈페이지를 해킹한 중국 해킹 그룹 '샤오치잉(晓骑营)'이 국내 서버 5곳을 해킹한 데 이어 국민체육진흥공단 산하 연구기관도 해킹했다. 17일 정보보안 업계에

n.news.naver.com

 

중국 해킹조직 샤오치잉, 갑자기 한국 공격 중지 선언

지난 설날 전후로 한국 공격을 선언하고 공공분야와 학회 등의 홈페이지를 공격했던 중국 해킹조직 샤오치잉이 19일 새벽 한국에 대한 공격이 끝났다고 밝혔다. 다만 이들은 하루 전날인 18일까

www.boannews.com

 

+ Recent posts