‘친러시아’ 해킹그룹 “고려항공 홈페이지, 너무 쉽게 뚫려”

지난 4월 9일 해킹조직 ‘서버 킬러즈’가 자신의 텔레그램 채널에 “북한 고려항공 홈페이지에 대한 디도스 해킹 공격에 성공했다”고 밝힌 내용
지난 4월 9일 해킹조직 ‘서버 킬러즈’가 자신의 텔레그램 채널에 “북한 고려항공 홈페이지에 대한 디도스 해킹 공격에 성공했다”고 밝힌 내용 (/ ‘서버 킬러즈’ 텔레그램 캡쳐)

0:00 / 0:00

앵커: 자신을 친러시아 성향(Pro-Russian)이라고 소개한 해킹 조직이 최근 북한 고려항공 웹사이트를 해킹해 반나절 가량 마비시킨 것으로 확인됐습니다.

자유아시아방송의 취재 결과 이번 해킹의 배후에는 ‘서버 킬러즈’(Server Killers)라는 이름의 조직이었음이 밝혀졌는데요. 해킹 조직의 한 관계자는 RFA에 북한 정부 홈페이지의 보안 수준이 생각보다 매우 취약해서 놀랐다고 말했습니다.

한덕인 기자가 보도합니다.

“북한 보안 수준이 왜 이러냐?”

지난 9일 북한의 고려항공 웹사이트( https://www.airkoryo.com.kp/)를 공격해 마비시킨 해킹 조직 '서버 킬러즈'(Server Killers)가 인터넷 사회연결망인 '텔레그램'에 남긴 말입니다.

‘서버 킬러즈’는 당일 텔레그램에 ‘이 페이지는 작동하지 않습니다. ‘www.airkoryo.com.kp(고려항공 웹사이트)는 현재 이 요청을 처리할 수 없습니다. HTTP 오류 500’이라고 적힌 화면 사진을 첨부하며 자신들이 고려항공 홈페이지를 해킹했음을 밝혔습니다.

특히 웃는 얼굴의 그림(이모티콘)과 함께 ‘북한의 보안은 어디에 있느냐”고 남긴 짧은 글은 북한 정부 홈페이지의 보안 수준을 비웃는 듯한 인상을 주고 있습니다.

또 인터넷 IP 주소와 서버 상태 등을 조회할 수 있는 ‘체크-호스트’(check-host.net) 사이트를 통해 당일 고려항공 홈페이지에 대한 접근성을 설명한 장면도 첨부했는데, 전 세계 여러 지역에서 ‘연결 시간 제한 도달’(Connection timed out)과 ‘접속 경로 부재’(No route to host) 등 지정된 시간 내에 홈페이지에 접속하지 못했거나 서버에 접근할 수 없는 상태였음을 증거로 제시했습니다.

2[사진] 로고 serverkillers logo.jpg
친러시아 성향의 해킹조직 ‘서버 킬러즈’(Server Killers)의 로고 / Server Killers

자유아시아방송(RFA)은 텔레그램을 통해 ‘서버 킬러즈’의 해커 한 명과 인터뷰를 시도했습니다.

익명을 요구한 이 해커는 “‘서버 킬러즈’는 친러시아 성향의 해커”라며 “우리는 다른 해커들과 달리 돈이 목적이 아닌 표현의 자유와 인권을 촉진하는 것이 활동의 목표”라고 밝혔습니다.

특히 그는 최근 고려항공 홈페이지를 해킹한 이유는 “정치적, 사회적 목적이 아닌 기술적인 이유”라고 설명하면서, ‘디도스’(DDoS) 공격을 했다고 설명했습니다.

이른바 ‘분산 서비스 거부 공격’으로 불리는 ‘디도스’ 공격은 표적 서버나 서비스, 네트워크 등에 과도한 인터넷 접속량을 줘서 해당 사이트를 마비시키고, 서비스를 중단케 하는 사이버 공격입니다.

그런데 고려항공 홈페이지는 디도스 공격 방어 기능이 없었을 뿐만 아니라 ‘SSL 인증서’조차 갖추지 않아 한눈에 봐도 공격에 매우 취약해 보였다고 그는 덧붙였습니다. 기본으로 알려진 홈페이지 보안 체계도 제대로 갖춰지지 않았다는 겁니다.

또 이 해커는 “재미 삼아 고려항공 홈페이지가 디도스 공격을 얼마나 막아낼 수 있는지 시험해 보기 위해 공격했는데, 단 300초 공격에 8시간 이상 고려항공 홈페이지가 먹통이었다”며 “북한이 자국 정부 기관 홈페이지의 보안에 크게 신경 쓰지 않는다는 점에서 이해가 가지 않는다”고 꼬집었습니다.

특히 고려항공 홈페이지가 매우 오래됐고, PHP 프로그래밍 언어로 작성돼 큰 취약점을 드러냈는데, 북한의 다른 여러 홈페이지도 이러첨 낡은 방식으로 유지되고 있었다”며 “지금과 같은 취약한 보안은 심각한 사이버 위협으로 이어질 우려가 있기 때문에 북한 당국은 정부 홈페이지에 대한 세심한 주의를 기울여야 한다”는 조언도 덧붙였습니다.

3 [사진] 04-09 check-host_net 사이트 다운 캡쳐.JPG
디도스 해킹 공격이 있던 4월 9일 당일 전 세계 여러 국가에서 고려항공 홈페이지 접속이 제대로 이뤄지지 않고 있음을 나타내고 있다. / Check-host.net (Dukin Han)

‘서버 킬러즈’ 측은 11일, 최근 디도스 공격 이후 고려항공 홈페이지 복구 상황을 묻는 말에 “자신들은 이미 공격을 중단했고, 고려항공 홈페이지의 HTTP 프로토콜이 정상적으로 작동하고 있다”면서 “현재는 문제가 해결된 것으로 보인다”고 답했습니다.

지난해 8월 8일 개설된 ‘서버 킬러즈’의 텔레그램 채널에는 그동안 미국, 영국, 독일 등 정부 기관과 민간 기업을 대상으로 해킹 공격에 성공한 수십 건의 사례와 증거 사진들이 게재돼 있습니다.

‘서버 킬러즈’ 측은 고려항공 홈페이지에 대한 해킹 공격에 대해 “북한을 대상으로 한 첫 번째이자 마지막 공격이 될 것”이라며 “이번에는 단순한 디도스 공격이였기 때문에 해킹을 통해 얻은 정보는 없다”고 말했습니다.

또 ‘서버 킬러즈’측은 북한의 사이버 역량이 상당한 수준이라는 전문가들의 전반적인 평가에 동의한다면서, 특히 ‘라자루스’와 ‘김수키’ 등은 매우 전문 해커들이라고 평가했습니다.

RFA 자유아시아방송 한덕인입니다.

에디터 노정민, 웹팀 이경하