메뉴 바로가기

본문으로 바로가기



제목
주간 보안 동향 3월
작성일 17.03.31
파일첨부
주간 이슈

1. 중국 최대 해커조직 사이버전

  ▣ 中 최대 해커조직 홍커연맹 , 28 일 한국 웹사이트 총공격 예정
  중국의 해커조직인 홍커연맹은 한국 사이트를 대상으로 대규모 해킹 계획을 게시하고, 이를 위한 해커를 모집하고 나섰다.      
  구체적인 사이트는 명시하지 않은 채 공격대상을 한국의 웹사이트로 정한 이들은
  지난 15일부터 31일까지를 준비기간으로 정하고, 22일 오후 7시 30분까지 이번 공격에
  참여할 해커들을 모집한다고 밝혔다.
  이를 위해 중국 해커들은 중국 포털사이트인 바이두에 공격 툴을 올려놓고, 해커들끼리 공유토록 하는 등
  한국 웹사이트 총공격을 위한 준비작업에 박차를 가하고 있다. 공격 예정일은 오는 28일부터 31일까지로,
  정부부처 및 공공기관은 물론 민간기업의 상당한 피해가 예상되고 있다. 중국 해커조직의 공격방식은 아직 알려지지 않았으나
  지난 3월초처럼 취약점이 존재하는 웹사이트를 대상으로 홈페이지 화면을 변조시켜 자신들의 메시지들을 남기는 디페이스 공격이나
  대규모의 트래픽을 발생시켜 웹사이트 접속을 마비시키는 디도스 공격이 될 가능성이 높다.

▣ 한국 해킹 총공격 주도 中 최대 해커조직 , 홍커연맹의 정체는?
  한국을 상대로 ‘사이버 전쟁’을 준비하고 있는 홍커연맹은 도대체 어떤 조직일까?
  홍커연맹은 꽤 오랜 역사를 지녔다. 원래는 부정적 의미를 지닌 헤이커(黑客, 흑객)에서 홍커(紅客, Red Hacker)라고 스스로를
  지칭하면서 탄생한 것으로 알려졌다. 중국에서는 해커를 영어 발음과 비슷한 ‘헤이커’로 표기하고 있는데, 헤이커는 직역하면 ‘검은 손님’이란 뜻을 담고 있다.
  중국에서는 불법 행위를 수식하는 ‘헤이(黑)’를 붙여 부정적 의미를 담고 있는데, 중국의 일부 해커들이 스스로를 ‘헤이커’가 아니라 ‘홍커’라고 자칭하고 나선 것이다.
  이들은 ‘헤이’ 대신 중국을 상징하는 ‘붉은(紅)’ 글자를 써서 자신들은 중국의 ‘애국주의 사이버 전사’라는 명분을 내세운 셈이다.


2. 중국해커의 한국 사이트 총공격 소동... 그 팩트는 이렇다.
  ▣ 공식 홍커연맹과는 무관… 허접한 준비로 현재 13명에 그쳐

  지난 3월 15일 홍커연맹 애국교류(爱国交流) 게시판에는 한국 사드배치에 대한 비판글과 함께
  “SQL 인젝션을 사용해 한국 사이트를 공격하자”는 짧은 메시지가 올라온 바 있다.
  게시물에는 공격 시간을 ‘2017년 3월 31일’로 논의 중이라고 밝히고 있다.
  일부 언론에서 말하는 28일은 게시물 내용에서는 확인되지 않았다.
  대상은 한국 웹사이트를 공격하는 것으로 나와있고 현재까지 공격에 가담하겠다고 신청한 인원은 13명에 불과하다.
  13명으로 한국을 총공격하겠다는 것이다. 한편 이 게시물에 달린 댓글을 보면 얼마나 준비가 안된 상태에서 선동만 하고 있는지 알 수 있다.
  댓글 내용은 “초보라서 할 줄 몰라요. 가르쳐주세요.” “SQL을 사용한 공격이 뭐지?” “여기 홍커연맹에 있는 사람들 기술이 좋지 않아. 차라리 노는게 낫다”
  “저는 DDoS면 참가하고 지원할게요. 침투면 기술이 안되요” “게시글 작성자는 그냥 해 본 말인듯 싶다. 실력자들은 이런 글에 대해 댓글을 달지 않는다”
  “모두 실용성이 없는 툴이다” 등의 글이 올라오고 있다. 즉 실력있는 중국 해커들은 이번 선동 게시물에 동참하지 않고 있다는 것을 알 수 있다.
  또한 선동글 게시자는 SQL인젝션 해킹 도구의 다운로드 링크를 올려 놓고 있다. 이미 이번에 공개한 툴들을 분석해
  자사 SIPS 사이트를 통해 국내 고객들에게 제공한 바 있다. 해당 해킹도구의 특징은 다음과 같다.


  1. 御剑2016最新修正版 (Royal Sword) 2016년 제공 御剑는 서브도메인 탐색, 포트 스캔, 인젝션, 코드 변환, MD5 디코딩 등 기능을 제공한다.
  2016년 버전에서 관리자페이지 스캔 기능과 최신사전을 업그레이드 했다.

  2. 椰树1.9 web漏洞扫描器 (椰树 웹 취약점 스캐너) 2014년 제공 椰树web漏洞扫描器는 SQL Injection, XSS 취약점, 도메인 정보 수집,
  CMS 취약점 탐지 등을 수행할 수 있는 웹 취약점 스캐너이다.

  3. 挖掘鸡v1.1(웹페이지 스캔툴) 2011년 제공 웹사이트 URL에 존재하는 특정 확장자를 스캔할 수 있다.

  4. 明小子综合注入. Domain 4.3. 2011년 제공 DB조회, 강력한 패스워드 크랙 등 다양한 기능으로 중국 해커들 사이에서
  널리 사용되는 明小子의 Domain4.3 최신 버전이다. 일부 시스템환경에서 실행되지 않던 오류, 스캔 시 발생하는 오류 등 몇가지 버그가 수정되었다.

   5. 超级SQL注入工具 v1.0 beta2 (SSQLinjection) 2014년 제공 超级SQL注入工具는 중국 해커 커뮤니티에서 공개한 sql 인젝션 프로그램이다.

  6. 啊D注入工具 V2.32 无限制版 (DSQL Tools 무제한버전) 2010년 제공 啊D注入工具(DSQL)은 중국에서 가장 많이 사용되는 인젝션 도구중 하나이며
   MS-SQL과 ACCESS에서 빠른 취약점 점검 속도를 지원한다.

  7. 超级Web漏洞扫描器 v1.0 (SWebVulnsScan) 2015년 제공 超级Web漏洞扫描器은 웹취약점 스캐너로써 사용중인
  CMS식별, CMS취약점 스캔, 디렉토리 스캔기능을 제공한다. “3월 22일 현재 해킹 참가자는 13명으로 아주 저조하다. 조회수는 3천건이 넘고 있지만.
  이렇게 참여가 저조한 이유는 해킹 참가자들에게 실명, 연락처, QQ 정보 등을 요구하고 있기 때문”이라고 설명하고
  “게시물 작성자를 살펴보면 생일을 2006년 1월 12일, 공동성 출신, 학력은 초등학교 등으로 나와있어 프로필 정보도 거짓으로 추정된다”고 밝혔다.
  [중국 홍커연맹 웨이보(微博)(3/7) 최근, 중국홍커연맹의 공식웹사이트가 대규모의 트래픽 공격을 당했다. 확인해 본 결과,
  대부분 공격은 해외에서 시작되었으며 반사공격을 사용했다.
  트래픽은 비록 많았지만 중국홍커연맹의 방화벽은 강력해 짧은 시간 동안 접속하지 못했지만 곧 정상으로 복구했다.

  ◇공격 선동 게시물 작성 사이트의 실체
  “이번에 게시글이 올라온 사이트는 사실 정식 홍커연맹 사이트가 아니다.
  해당 사이트는 2009년 내부 규칙위반으로 홍커연맹에서 제명된 '冰儿'이라는 해커가 설립한 사이트로써,
  홍커연맹의 지명도를 이용해 여러 협찬을 받아왔다. 이는 홍커연맹의 이념과 어긋난 행동이다. 게시물 작성자가 개인인지 단체인지 정확하진 않지만
  공식 홍커연맹의 입장과는 반대된다는 것을 알 수 있다. 중국 해커의 사드보복과 관련해 대응은 하고 있어야 하겠지만
  이번 게시물 소동으로 너무 민감한 반응은 적절하지 않다고 생각한다”고 밝혔다.

이전글 주간 보안 동향 7월
다음글 에이쓰리 '2017 정보보호의 날 기념식&국제 정보보호 컨퍼런스'행사 참가