[디지털투데이 박근모 기자] 국내에 사드(THAAD. 고고도 미사일 방어체계) 배치가 결정되면서 중국 해커들의 사이버공격 수위가 높아지고 있다. 특히 중국발 사이버공격은 정교한 기술적 공격보다 물량을 위시한 디도스(DDos) 공격과 웹취약점을 노리는 형태로 진행되고 있다. 이에 우리 정부는 9일 18시를 기준으로 '국가 사이버위기 경보'를 '주의' 단계로 상향했다. 또한 한국인터넷진흥원(KISA)와 국내 민간 보안업체들도 '중국발 사이버 공격'에 대비해 디도스, 웹취약점 패턴 업데이트 등 점검에 나섰다.

보안업계에 따르면 최근 중국내에서 '사드 배치 반대'와 '롯데 불매'를 주장하며 중국 해커 그룹 '판다정보국(PIB)'을 중심으로 국내 웹사이트에 대한 사이버공격을 준비 중인 것으로 전해졌다. 특히 이들은 주요 정부기관 홈페이지뿐만 아니라 민간 기업 등 분야에 상관없이 무차별 공격을 펼치고 있다.

지금까지 확인된 중국발 사이버공격 피해 웹사이트는 평창동계올림픽 자원봉사 포털, 롯데 관련 사이트 등 30여개에 달하는 것으로 확인됐다. 현재는 모든 웹페이지가 정상적으로 복구된 상태다.

이번 중국발 사이버공격은 '판다정보국', '화샤해커동맹(77169)', '1937CN', '중국 독수리 연합' 등 이미 잘 알려진 중국 해커 그룹이 연합해 진행하고 있는 것으로 나타났다. 특히 이들은 현재 중국내 해킹정보 공유사이트 'GLOBAL HACKED SITE STATISTICK'와 중국 최대 동영상 사이트 '유쿠'를 통해 한국 웹사이트 해킹 사례를 공유하고 있는 것으로 전해졌다.

중국 해커 그룹의 공격 방식은 크게 '디도스' 공격을 통해 서버를 마비 시키거나 '웹취약점'을 노려 관리자 권한을 탈취하는 두가지 형태로 발생하고 있다.

웹서버를 마비 시키는 '디도스(DDos)' 공격

보안업계에 따르면 "국내 사드 배치 이전에도 중국발 사이버공격은 지속적으로 탐지됐다"라며 "이번 사이버공격은 단일 해커그룹이 아닌 중국내 해커 그룹이 연합해 공격하는 형태로, 이전과는 대규모 디도스 공격을 지속적으로 할 것으로 예상된다"고 설명했다.

이달들어 중국발 사이버공격에 노출된 국내 웹사이트들은 사드로 인해 직격탄을 받은 롯데 관련 사이트를 비롯해 중·소규모의 지자체와 정부기관 웹사이트로 웹서버 관리가 상대적으로 취약한 곳을 집중한 것으로 국내 다수의 보안업계는 진단했다.

특히 보안이 강력하고 웹서버 관리가 잘되있는 청와대나 행정자치부, 미래창조과학부 등 상대적으로 규모가 큰 기관의 웹사이트는 사이버공격으로부터 안전하겠지만, 보안 담당자가 없거나 보안 시스템, 웹서버 관리가 취약한 중·소규모의 웹사이트는 중국과의 마찰이 해결될때까지 지속될 것으로 전망됐다.

하지만 일각에서는 디도스 공격 방식은 기존에 대규모로 공격받으면서 국내 기업들이 이에 대비한 서버 인프라와 보안 솔루션을 갖추고 있어 큰 피해는 없을 것으로 예상했다. 또한 자체 서버 관리가 취약한 중·소 규모의 웹사이트의 경우 디도스 공격이 발생했을때 한국인터넷진흥원이 무료로 운영하는 '디도스 사이버대피소'를 통해 디도스 공격 예방과 대응이 가능하다.

'웹서버 취약점'을 이용한 사이버 공격

국내 보안업계와 한국인터넷진흥원은 디도스 공격보다 웹취약점 공격 방식의 사이버공격이 현재 더 위험한 상태라고 경고했다.

웹취약점 공격 방식은 웹사이트 데이터를 제공하는 웹서버나 웹브라우저의 취약점을 공격하는 방식으로 취약점을 미리 확인 후 패치 업데이트를 하는 방식으로만 방어가 가능하다. 이미 존재하는 취약점의 경우 추가적인 방화벽이나 보안 솔루션으로는 제대로 된 사이버공격의 방어가 불가능하다. 특히 이번 중국발 사이버공격에는 '아파치 스트럿츠2'의 원격코드실행 취약점(CVE-2017-5683)을 이용한 공격을 시작한 것으로 확인됐다.

아파치 스트럿츠는 자바(JAVA) 웹 애플리케이션을 개발하기 위한 오픈소스 프레임워크로 국내 웹사이트 대다수가 사용 중이다. 특히 지난 2013년에도 아파치 스트럿츠에 취약점이 공개돼 한국을 비롯해 글로벌 여러 지역에서 피해가 발생한바 있다.

현재 중국 해커그룹은 해당 취약점을 공격하기 위한 자동화툴을 개발해, 서로 공유하며 국내 웹사이트 중 취약점이 존재하는 웹서버를 찾아 공격하는 것으로 확인됐다.

아파치 스트럿츠 취약점을 노리는 사이버공격이 발생함에 따라 아파치 관련 오픈소스 소프트웨어(SW)를 관리하는 '아파치 재단'은 해당 취약점 관련 보안 업데이트를 배포했다. 또한 한국인터넷진흥원은 '보호나라' 홈페이지를 통해 민간 웹사이트들의 취약점 점검에 나섰다. 특히 민간 100대 웹사이트를 중심으로 홈페이지 취약점 진단 가이드를 배포하고, 기업의 요청시 무료 점검 서비스를 제공하고 있다.

보안업계 관계자는 "현재 진행중인 중국발 사이버공격의 경우 주로 디도스 공격과 취약점을 노리는 방식으로 선제 방어가 힘든 상황"이라며 "아파치 스트럿츠2 등 이미 알려진 웹서버 취약점을 미리 확인해 취약점을 막는 방법이 최선이다"고 강조했다.

한편, 현재 한국인터넷진흥원과 국내 민간 보안업계는 중국발 사이버공격에 대비해 모니터링 인력을 확대하는 등 비상근무 체제를 가동 중이다.