이란 해커조직, 국내 펀딩업체 블로그 해킹 주장

[이데일리 최연두 기자] 이란계 쿠르드족 배후로 추정되는 한 해커 조직 국내 크라우드펀딩 플랫폼 업체 ‘와디즈’의 웹사이트를 해킹해 내부 데이터를 탈취했다고 주장하고 있다. 와디즈 측은 “자체 서비스나 내부 데이터에 대한 외부 침입 흔적은 없다”고 밝혔다. 보안 업계는 와디즈가 아닌 웹사이트를 운영하는 호스팅 업체를 상대로 공격이 이뤄졌을 가능성을 제기하고 있다.

해커 조직 TEAM1772가 게시물에 올린 와디즈 사이트 공격 이미지(사진=소셜미디어 캡처)

28일 보안 업계에 따르면 해커 조직 TEAM1772는 소셜미디어 계정에 “지난 26일 와디즈 사이트를 해킹했다”는 글을 게시했다. 이 조직은 약 26메가바이트(MB) 용량의 각종 문서들을 함께 공개하며, 이 자료들을 와디즈에서 탈취한 것이라고 주장하고 있다.

이들이 공개한 데이터에는 2023년 8월부터 지난해 7월까지 약 1년간 직원 출퇴근 기록이 담긴 엑셀 파일이 포함돼 있었다. 파일을 다운로드해 확인한 결과, 이름과 공유 오피스 출입 기록, 이메일 주소 등이 담겨 있었다. 해당 데이터가 실제 와디즈 또는 와디즈 사이트를 위탁 운영하는 호스팅 업체에서 유출된 것인지는 확인되지 않았다.

와디즈 측은 와디즈 블로그를 포함한 와디즈 서비스 및 사내 임직원 이메일 리스트 등에 대한 외부 침입 흔적이 없다는 입장이다. 와디즈 관계자는 “해커들이 주장하는 사이트는 외부 호스팅 업체를 통해 서비스를 제공하고 있다”면서 “와디즈의 내부 데이터베이스(DB)와는 물리적, 논리적으로 분리된 환경에서 운영된다. 와디즈가 관리하는 개인정보 DB에 영향을 미칠 수 없는 구조이며, 해당 페이지에는 관리자 정보를 제외한 고객 및 임직원 개인정보는 저장되지 않는다”고 강조했다.

해커 조직 TEAM1772가 와디즈에서 탈취했다고 주장하며 올린 파일 일부

TEAM1772는 한국 내 기업과 기관을 대상으로 한 사이버 공격을 다수 벌이고 있다. 웹사이트 화면을 변조하는 디페이스 방식의 공격을 주로 감행하며, 이달 중순에는 한국전력공사 자회사 홈페이지와 영어 교육 사이트, 채용 포털 등을 잇따라 공격한 것으로 확인됐다. 이 조직은 자체 소셜미디어 계정에서 “우리는 수천개의 웹사이트, 플랫폼, 시스템, 데이터, 애플리케이션, 서버를 해킹해왔다”며 조직의 존재감을 드러내고 있다.

문제는 해커들이 외부 인프라를 다양한 방식으로 악용하고 있다는 점이다. 와디즈 사례에서는 공격자가 내부망이 아닌 외부 호스팅 공간을 악용했고, SK텔레콤 해킹 사건의 경우엔 유출된 유심정보를 송신하는 명령제어(C2) 서버로 미국 클라우드 호스팅 업체 ‘디지털오션(DigitalOcean)’의 싱가포르 인프라가 사용됐다. 두 사례 모두 기업 내부망을 직접 침투하지 않고도 외부 인프라를 활용해 타격을 가하거나, 데이터를 유출·유포하는 수단으로 삼은 셈이다.

이와 관련 한 보안 전문가는 “플랫폼 기업 입장에선 내부 인프라뿐 아니라, 위탁 운영 중인 외부 호스팅·클라우드 환경에 대한 점검과 통제가 더욱 중요해지고 있다”고 말했다.