月光愛靑狼

1. 개요

• 우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아 학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹 ID까지 노출

2. 내용

• 기사내용
• 8월 30일 우리은행 ID카드 신청서를 외부에서 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않아 타인이 별도의 권한 없이 열어볼 수 있는 문제를 개인이용자가 발견
  - ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명, 부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등
• 우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합협 카드로 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택
• 우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 함
  - ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF파일로 하드드라이브에 저장되며, 출력 이후에도 해당 PDF 파일이 삭제되지 않음
• 우리은행 측이 9월 1일 오후 2시에서 3시경 관련 조치를 모두 마쳤다고 하였으나 4일 확인결과 파일명만 바뀐 PDF 파일 확인
  - 개인정보가 담긴 문서를 출력할 때 일반적으로 암호화된 상태에서 해당 문서만 출력되도록 하지 PC에 문서가 다운로드 되도록 하지는 않음
• 우리은행 측에서 "학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오"라고 안내문을 붙여놓았으나 일반인들에게 무턱대고 알아서 삭제하고 가라는 의미

1. 개요

• 유명 PC최적화 유틸리티프로그램 시클리너 해킹은 첨단 기술 등 지적재산권을 빼돌리려는 목적으로 분석됨

2. 내용

• 기사내용
• 시스코 탈로스 인텔리전스는 21일 악성코드가 숨겨진 씨클리너를 내려 받은 PC가 특정 ICT기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 것을 발견
  - 씨클리너는 최근 보안기업 어베스트가 인구한 프로그램으로 PC 시스템을 정리해 성능을 최적화함
• 공격자는 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT기업 도메인에 접속할 때를 노림
• 공격자는 어베스트가 사용하던 다운로드 서버를 해킹해 진짜 씨클러너 프로그램을 악성보전으로 바꿔치기 함
  - 한 달 여 만에 수 백 만명 사용자가 악성버전을 내려받음
  - 13일 발견 된 씨클리너 악성 버전은 감염된 컴퓨터로부터 데이터를 훔치고 C&C 서버로 전송하는 다단계 악성코드
• 시스코 탈로스 인텔리전스는 C&C서버 시간대가 중국과 일치한다고 밝힘
  - 악성코드가 포함된 씨클리너는 취약점을 찾아 추가 공격에 이용하기 위해 피해 PC에 어떤 소프트웨어가 설치됐는지 파악
• 12일에서 16일 사이에 70만대에 달하는 감염된 PC가 C&C에 접속했으며, 2차 악성코드를 내려 받은 피해자 발생
  - 2차 악성코드(GeeSetup_x86.dll)는 피해 기기 운영체계(OS)를 체크하고 또 다른 트로이목마 설치
• 시스코 탈로스는 이번에 발견된 악성코드가 그룹72가 쓰던 것과 유사점 발견
  - 그룹72는 카스퍼스키랩이 찾아낸 해킹 조직
• 시스코는 악성코드가 담긴 씨클리너 제거와 함께 2차 공격코드를 찾아내야 피해를 최고화 할 수 있다고 조언
  - 서버관리소스트웨어 기업 넷사랑도 같은 수법에 당함

1. 개요

• 보안업체 에베스트(Avast)에서 인수한 최적화 프로그램 씨클리너(CCleaner)의 모듈이 변조되어 악성코드가 유포된 정황이 포착되었으며, 디지털 인증서까지 탈취돼 이용자들의 주의 요구

2. 내용

• 기사내용

• 8월 15일 출시된 씨클리너 v5.33.6162 윈도우 32비트와 씨클리너 클라우드 1.07.3191 윈도우 32비트 버전의 모듈이 변조됨
  - 시클러너는 임시 파일을 제거하고 시스템 성능을 최적화하며 설치된 프로그램 관리를 간소화함으로써 PC 성능을 향상시켜주는 프로그램
• 이후 9월 12일 버전 5.34(정식 버전)가 출시됐는데, 그 때까지 약 1개월 정도가 악성코드 감염에 노출되었으며 9월 13일 모듈이 변조된 사실 발견
• 9월 18일 어베스트 코리아 블로그에 씨클리너 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고 관련 분석을 통해 무단 변조된 사실을 파악
• 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어할 수 없는 상황으로 파악되어 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소됐다고 밝힘
• 이번 사건은 지난 8월에 발생한 넷사랑 소프트웨어 모듈 변조사건과 매우 유사한 데다가 비슷한 시기에 발생했으며, 하반기 보안위협으로 우려돼 왔던 SW 개발사를 통한 우회 공격이라고 할 수 있음
• 최근 발생한 대부분의 백도어 관련 이슈에서는 C&C로 연결하는 방식이 거의 HTTPS(SSL)가 표준으로 자리매김하는 추세로 SSL 프로토콜의 특성상 탐지하기 위해서는 로컬 PC 또는 네트워크 장비에서 패킷을 분석해야하는 한계가 있음

1.개요

• 최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거 구속하였으며, 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었음
  

2. 내용

• 기사내용

• 2016년 10월 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 개인정보 30만건을 빼돌림
  - 지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었음
  - 해킹단한 개인정보는 2013년 9월 4일부터 2016년 10월 19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소
  - DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보임
  - 압수한 송씨의 노트북에서 유진투자선물 외 남양유업과 탐앤탐스 등 19개 업체가 보유했던 개인정보 확인
• 남양유업은 2011년 5우러부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처, 주소가 유출됨
• 커피전문점 탐앤탐스는 과거 운영하던 홈페이지에 2011년 11월부터 2015년 12우러 사이에 가입한 정보로 아이디, 이메일, 생년월일, 휴대전화 번호, 이름이 유출되었으나, 개인 주민등록번호와 비밀번호는 유출되지 않은 것으로 파악됨
  - 현재 운영 중인 홈페이지 회원정보는 암호화 처리되고 있으며 이번 해킹과 무관하다고 밝힘
• 중소기업융합중앙회는 2013년 7월 12일부터 2016년 10월 19일 사이 가입한 정보로 대표자성명, 대표자생년월일, 대표자이메일주소, 담당자성명, 담당자휴대번호, 담당자전화번호, 담당자이메일주소가 유출됨
• 국내 1위 학술논문 사이트 디비피아(DBpia)는 2014년 12월 31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호, 이메일이 유출됨
• 화장품 회사인 미구하라는 2017년 7월 26일 이전에 가입한 정보로 성명, 전화번호, 생년월일이 유출됨

1. 개요

• 올해 3월 확인된 청호이지캐쉬 현금자동입출금기(ATM) 서버 해킹사건은 외화벌이를 노린 북한 해커의 소행으로 드러남

2. 내용

• 기사내용

• 북한 해커가 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 뒤 ATM기 63대에 악성프로그램을 유포시켰고, 피해자들의 전자금융거래정보 23만 8천여 건을 국내에 설치한 탈취 서버를 통해 빼냄
  - 북한 해커와 접촉한 중국인 A씨는 한국인 B씨에게 국내에 정보탈취서버를 설처토록 함
  - 지난해 9월 경 악성프로그램을 VPN을 경유, 유포
  - 올해 2~3월 사이 해당 ATM에서 카드를 사용한 소비자들의 금융정보 수집
  - 감염된 ATM을 이용한 피해자들의 금융정보는 B씨가 설치한 탈취서버를 통해 유출
  - 유출된 금융정보는 카드번호, 유호기간, 카드비밀번호, 결제은행, 결제계좌, 잔액, 이름, 주민번호, 법인번호 등
  - 해킹에 사용된 악성코드는 지난해 5월 국방부 전산망 해킹 악성코드와 동일한 키로거와 원격 제어 등이 재사용 됨
  - 또한 지난해 SK 그룹 해킹 사건에 사용됐던 탈취서버가 재사용됨
  - 해커는 지난해 대규모 해킹 당시 지적됐던 보안 취약점이 보안된 보안 프로그램 업데이트를 미루는 사이를 틈타 악성프로그램을 감염시켜 정보 탈취
  - 외부에서 원격으로 파일을 업로드 할 수 있는 취약점 이용
• 핵심 피의자인 중국인 A씨가 "복한에 들어가서 해당 금융정보를 구입해 USB에 담아왔다"며 "북한 해커가 이익금은 4(북한)대 6으로 나누자고 했다"고 진술
  - 실제 돈이 북한으로 흘러 들어갔는지는 확인되지 않음
• 해킹에 사용된 IP 추적 결과 북한 지역으로 명확하게 나타난 것은 없음

[경찰청 사이버안전국]

• 전자금융거래정보를 북한 해커로부터 받아 신용카드 복제에 사용한 피의자 4명을검거해 정보통신망법 위반 등의 혐의로 구속
  - 유출된 금융정보는 한국, 대만, 태국, 일본 등으로 판매 됨
  - 금융정보를 구입한 한국인들은 현금인출, 대금결제, 하이패스 카드 충전 등으로 605명의 신용카드에서 4억 2,799만원 상당의 금액을 인출,결제하려했고, 이중 96명의 신용카드에서 모두 1억 264만우너을 부정 결제
  - 해외로 도피한 나머지 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배와 국제공조수사 등을 통해 계속 추적 예정

[경찰청 사이버안전국]

1. 개요

• 이스트 소프트의 회원 아이디와 비밀번호가 담긴 개인정보 13만여건 유출

2. 내용

• 기사내용

• 이스트 소프트는 지난 9월 1일 신원 미상의 공격자로부터 고객 정보를 볼모로한 협박 메일을 받음
• 공격자가 증거로 제시한 정보가 알툴즈 사용자 계정 정보 13만여건과 일치하는 것이 확인 됨
• 해커가 이스트소프트 서버에 직접 침투해서 정보를 탈취했을 것으로 의심되는 증거는 발결되지 않음
• 지난 몇 년간 발생한 개인정보 침해사고에서 유출된 다수의 개인 정보를 토대로 알툴즈 사이트 로그인을 시도한 '도용'에 무게를 두고 있는 상황
• 추가 이용 피해 방지를 위해 KISA와 결찰이 조사 진행 중
• 침해된 개인정보 항목 : 알툴즈 사이트 아이디, 비밀번호, 알패스 제품에 등록된 외부 사이트 리스트 및 계정 정보
• 알툴즈 고객 대처 방법
  - 알툴즈 사이트에 안내되어 있는 '개인정보 침해 사실 조회' 창을 통해, 자신의 개인정보가 침해되었는지 확인
  - 개인정보가 침해된 사용자는 알패스에 저장된 외부 사이트의 아이디, 패스워드가 노출되었을 수 있으니, 알패스 사이트 목록을 확인하고 반드시 비밀번호 변경
  - 침해되지 않은 사용자의 경우에도 혹시 모를 피해 예방을 위해, 알툴즈 사이트 로그인 후 비밀번호 변경(특수문자, 대소문자, 숫자 조합 10~20자)
  

1. 개요

• LG전자서비스 셀프 접수 시스템에 악성코드 감염으로 서비스 중지 발생

2. 내용

• 기사 내용

• LG전자서비스의 서버(상암센터)가 악성코드에 감염됨
• LG전자서비스 서버는 각 지역에 있는 모든 LG전자 서비스센터의 서버들을 관리하는 중앙 집중 형 서비스 형태
• 금번 악성코드 감염으로 인해 모든 LG전자서비스 센터 업무가 마비됨
• 상암센터 서버는 전국 각 지역의 서버를 관리하고 있는 서버이며 이로 인해 전체 서비스센터 서버가 감염 되었을 것으로 추정
• 8월 14일 OS업데이트 및 백신업체를 통해 악성코드 조치
• 8월 15일 오전에 악성코드 관련 조치율 99% 완료
• 현재 KISA 및 과학기술정보통신부에서 감염원인 및 피해규모 파악 중앙

• 추가 내용

• CGV에서 키오스크시스템에 워너크라이 랜섬웨어 사고 발생 이력 존재
  - 키오스크 시스템은 윈도XP(EOS)를 사용하는 부분이 대다수이며 보안업데이트, 백신설치 등의 기본적인 보안 대응방안의 사각지대에 놓여 있음
  - 결제 시스템이 포함된 키오스크시스템도 다수 존재함(CGV도 결제 기능 존재)
• 국내 키오스크 OS의 99%는 윈도 기반으로 제작됨
• 기사 내용에서 보면 OS업데이트를 통해 조치 시행중이라는 내용이 있음
  - 내부망과 연결가능한 키오스크시스템이 OS업데이트가 주기적으로 되고 있지 않았음
• LG전자서비스 키오스크시스템이 내부망 DATA(서비스센터 방문자 개인정보, 처리 이력 등)에 접근가능 할 경우 크리티컬한 문제 가능성 존재

1.개요

• 넷사랑컴퓨터社 Xmanager, Xshell, Xftp, Xlpd 제품에서 사용하는 DLL 파일이 악성으로 변조되어 배포됨에 따라 사용자의 주의 및 긴급 패치 필요

2. 내용

• 상세내용

• '17년 7월 18일 넷사랑컴퓨터社에서 배포한 소프트웨어에 변조된 악성 DLL 파일이 포함
  유관기관(KISA 등) 및 관련업체(카스퍼스키 등) 협조를 통해 상세 정보 파악중에 있으면 결과는 추후 공지 예정

• 악성 파일 정보
  악성 DLL 파일 포함 제품

- Xmamager Enterprise 5 : 통합 보안 연결 솔루션
- Xmanager 5 : 강력한 PC X 서버
- Xshell 5 : 터미널연결 솔루션의 표준
- Xftp 5 : 편리한 파일 전송 프로그램
- Xlpd 5 : 원도우용 LPD 프린터 서버

• 악성 DLL 파일

• 증상 및 동작 내용
  악성 DLL 파일 내부에는 암호화된 추가 코드가 존재하며 복호화 후 실행됨
  복호화 코드는 추가 파일 다운로드, 프로세스 실행 등의 기능 수행

1. 개요

• 2017년 7월 6일 워키리크스에 미국 중앙정보국(CIA)의 해킹 툴 코드 Vault 7 프로젝트 문서가 폭로됨

2. 내용

• 상세 내용

• 윈도우와 리눅스에서의 모든 활성화된 SSH 세션에 대한 사용자의 인증증명을 CIA 서버로 전송
• 윈도우에서는 넷사랑컴퓨터社의 Xshell을, 리누스에서는 OpenSSH 클라이언트를 사용하여사용자 인증정보를 수집
• 활성화된 SSH 세션에 대한 사용자의 계정을 훔쳐 CIA서버로 전송
  - Password authentication
  User Name, Passwod
  - Public key authentication
  User name, Private key, file name, private key password

1. 개요

• 최근 구글 플레이 앱스토어에 등록된 앱을 통해 모바일 리커로커(LeakerLocker) 랜섬웨어 유포 정황이 확인됨

2. 내용

• 기사요약

• 미국 보안업체 맥아피(McAfee)의 연구원을 통해 구글플레이 앱스토어에서 랜섬웨어 형태의 악성코드가 심어진 두 개의 응용 프로그램이 발견됨
• 해당 랜섬웨어는 파일을 암호화하는 다른 랜선웨어와 달리 스마트기기 자체를 잠그고 개인 데이터를 장치에 저장된 모든 연락처에게 공유하는 형태임
• 랜섬웨어에 감염되면 스마트폰의 개인정보를 볼모로 72시간 내에 몸값을 지불하지 않으면 주소록의 모든 사람에게 데이터를 전송한다는 협박 메시지를 출력함
• 맥아피 분석 결과 실제로 모든 개인 정보가 읽히거나 유출되진 않고 신용카드 정보만 빼돌리는 것으로 확인됨(신용카드 정보 내역은 확인된 바 없음)

• 감염경로

• 구글 플레이 스토어
  - 웰페이퍼 블러 HD(Wallpapers Blur HD) : 스마트폰의 배경화면을 바꿔주는 앱
  - 부스트 앤드 클리너 프로(Booster & Cleaner Pro) : 스마트폰 성능 최적화 앱

• 증상 및 동작 내용

• 두 악성 응용 프로그램은 설치 시 전화, SMS 읽기 및 보내기, 연락처 액세스 등 관련 없는 권한을 요청하거나 모든 권한에 액세스하는 부가기능을 실행함
• 부팅이 완료되면 악성 활동을 시작하는 AlarmManager를 시작하며 장치의 화면을 잠그고 백그라운드에서 개인 정보에 액세스 시도
• 스마트폰에 저장된 아래의 개인정보 목록에 액세스 시도
• 이메일 주소 일부 연락처, Chrome 검색기록, 일부 문자 메시지 및 전화, 사진 등
• 피해자가 특정 URL에 접속하여 결제를 하도록 유도하고 신용카드 번호 입력 후 결제하면 번호를 결제 URL로 전송함