중국 해커 조직 '샤오치잉'이 최근 해킹을 통해 획득했다고 주장한 한국 정부 기관과 기업 관계자들의 정보가 사실 지난해 말 이미 유출된 자료인 것으로 드러났다. /샤오치잉 홈페이지 캡처

[더팩트｜최문정 기자] 설 연휴 동안 국내 학술기관 12곳의 홈페이지를 해킹한 중국 해커 그룹 '샤오치잉'이 이번에 해킹을 통해 빼돌렸다고 주장한 국내 기업과 기관 관계자 161명의 개인정보가 지난해 말 유출된 자료의 '재탕'인 것으로 밝혀졌다.

27일 보안업계에 따르면, 샤오치잉은 지난 7일 오픈소스 커뮤니티 '깃허브'에 한국인 161명의 개인정보를 올렸다. 공개된 개인정보는 식품의약품안전처, 국립과학수사연구원, 국방과학연구소 등 정부 기관과 포스코, 삼성전기, LG전자, 현대제철, 금호타이어 등 기업 소속 직원들의 이름, 전화번호, 이메일 주소 등이다. 그러나 이 정보는 이미 지난해 11월 한 해커 계정이 자신의 소셜미디어(SNS)에 공개한 정보와 동일한 것으로 나타났다.

당시 개인정보를 올린 계정 운영자는 '소어링 스네이크' 소속으로 파악된다. 이는 샤오치잉의 전신으로 알려진 '텅스네이크'와 동일한 조직으로 추정된다.

샤오치잉은 샤오치잉은 지난 22일부터 25일까지 대한건설정책연구원과 총 12개의 국내 학술기관 홈페이지를 해킹해 메인 페이지 이미지를 바꾸는 등의 피해를 줬다. 피해를 본 기관은 우리말학회, 한국고고학회, 한국학부모학회, 한국교원대 유아교육연구소, 한국보건기초의학회, 한국사회과수업학회, 한국동서정신과학회, 대한구순구개열학회, 한국시각장애교육재활학회, 제주대 교육과학연구소, 한국교육원리학회 등이다. 이어 지난 26일 텔레그램 채널을 통해 이들 학술기관의 데이터베이스(DB)라고 주장하며 약 40개의 파일을 공개했다.

아울러 샤오치잉은 텔레그램을 통해 한국인터넷진흥원(KISA)와 국내 정보기관, 언론사 등 2000여 곳을 다음 해킹 목표로 지목했다. 특히 인터넷 주소(URL) 끝자리가 한국 정부 기관을 뜻하는 'go. kr'이나 법인과 연구기관을 뜻하는 're. kr'로 끝나는 사이트를 공격할 인원을 모집한다는 공고를 올렸다.

현재 유관기관인 과학기술정보통신부와 KISA 등은 24시간 비상 대응 체제를 가동하고 있다.

한편, 보안 전문가들은 이번 학술기관 해킹에 사용된 샤오치잉의 해킹 수준이 그다지 높지 않은 것으로 판단하고 있다.

한 보안 전문가는 "이번 해킹은 단순히 악성코드를 활용해 관리자 계정을 탈취해 화면을 변조(디페이스)하는 방식을 사용했다"며 "이는 서버 등을 해킹하는 것보다는 난이도가 낮다"고 설명했다.

munn09@tf.co.kr