안녕하세요 안랩입니다.
2023년 1월 22일 한국인터넷진흥원(KISA)에서 '국내 홈페이지 변조 관련 민간부분 보안 강화 권고 안내'라는 보안 공지를 게시했습니다.
이에 중국 해킹 그룹의 공격 관련 정보와 보안 강화를 위한 권고 사항을 공유 드립니다.
개요
- 2023년 1월 21일 샤오치잉(Xiaoqiying, 晓骑营)이라는 이름으로 활동 중인 중국 해킹 그룹이
국내 정부 및 공공기관 등의 홈페이지를 대상으로 해킹 공격을 수행하겠다고 발표
- 2023년 1월 25일 11개 공격 대상 웹사이트를 텔레그램을 통해 공개
경과
- 2023년 1월 25일 기준 12개 민간 기관이 디페이스(deface) 공격으로 인한 홈페이지 변조 피해가 발생한 것으로 알려짐
* 디페이스 공격: 기관, 기업의 이미지를 손상시키기 위한 공격으로 주요 서비스가 노출되는 홈페이지 화면을 기존과 다른 화면으로 바꾸는 방식
- 변조한 일부 홈페이지에 해킹 조직 로고와 함께 ‘한국 인터넷 침입을 선포한다’는 메시지 노출
- 한국인터넷진흥원(KISA)을 비롯해 공격 타깃으로 지목한 2천 개의 국내 기관명과 홈페이지 주소가 포함된 엑셀 파일 공개
확인 사항
[안랩 진단명]
- WebShell/PHP.Generic.SC185856
- WebShell/PHP.Generic.SC185828
[IoC 정보]
SQL 인젝션 | 웹쉘 삽입 |
- 8.213.132.75 (싱가폴) - 5.28.34.201 (EU) | - 203.69.23.25 (타이완) - 142.202.49.101 (미국) - 36.227.231.17 (타이완) - 114.43.86.96 (타이완) - 106.55.207.123 (중국) |
보안 권고 사항
중국 해킹 그룹의 공격으로부터 보안을 강화하기 위해 다음의 내용을 권고 드립니다.
[서버 보안 강화]
- 공격 대상 홈페이지들은 대부분 리눅스 환경의 웹 서버(Apache)로 확인되어 리눅스 기반의 백신 사용 권고
- 사용 중인 서버의 운영체제 및 애플리케이션의 최신 취약점 패치 적용
[로그인 보안 강화]
- 로그인 기능이 있는 웹사이트에 대한 주기적인 부정 접속이력을 확인하여 비정상 IP 차단 및 유관기관 공유
- IP당 로그인 시도 횟수 임계치 설정, 캡챠 등을 활용한 자동 로그인 시도 차단 등 부정 로그인 차단 강화
- 비밀번호 변경 및 이중 인증 기능 사용 등 사용자 계정 보안 강화 조치
[사용자 예방 강화]
- 자사 가입자 대상 계정보안 관리 강화 권고
• 여러 사이트의 계정 정보를 중복되지 않도록 설정
• 복잡한 비밀번호 설정 및 3개월 단위로 주기적으로 변경
• ID, 비밀번호 이외에 OTP, SMS 등을 통한 이중 인증 기능 설정
• 계정정보가 노출된 경우 반드시 동일한 계정정보를 사용하는 모든 사이트의 비밀번호 변경
- 사용자 중요 정보 변경(통신요금 등)시 SMS 알림 등 피해 알람 기능 강화
- 관련 서비스 유지보수/위탁업체의 보안강화 요청
[침해사고 신고]
한국인터넷진흥원 인터넷침해대응센터 종합상황실(02-405-4911, certgen@krcert.or.kr)
※ 'KISA 인터넷보호나라&KrCERT' 홈페이지(www.boho.or.kr) → 상담 및 신고→ 해킹사고
최근 기업 대상 랜섬웨어 감염 및 정보유출 사고가 지속 발생하고 있으며, 중국 해킹 그룹의 추가 공격까지 우려되는 상황입니다.
각 기업 보안 담당자들께서는 홈페이지 모니터링 강화 및 사전 대응에 만전을 기해주시기 바랍니다.
안랩은 KISA를 비롯한 정부기관, 관련 업계와 협력하여 지속적으로 상황을 모니터링하고 피해 방지를 위해 노력하겠습니다.
감사합니다.