月光愛靑狼

1. 개요

• 국내 공항의 자동 출입국 시스템을 담당했던 SI업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드 유포

2. 내용

• 기사내용
• 인천공항 등 국내 공항의 자동 출입국 시스템을 담당했던 업체의 홈페이지가 신종 해킹수법인 '월터링 홀(Watering-hole) 유형의 해킹 공격을 당함
  ※ 워터링 홀 : 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격대상이 평소 자주 방문하는 웹사이트나 홈페이지 등에 미리 악성코드를 심어두는 해킹 방식
• 13일 공항 자동 출입국 시스템과 관련된 시스템 개발(SI)업체 홈페이지를 통해 악성코드 유포
  - 엑티브엑스를 실행하면 악성코드가 자동으로 설치되는 형태
  - 13일 악성코드 제거 및 취약점 조치 완료
  - 해당 홈페이지는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중
  - 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료 접근 불가
  - 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보는 저장되어 있지 않음
• 한국인터넷진흥원에서 IP주소를 추적한 결과 캐나다 국정으로 확인
• 해당 업체 대표는 공항 자동 출입국 시스템 유지보수 업무가 지난해 12월 31일로 종료되어 정부방침에 따라 모든 자료를 반납하고 철수했고, 이번 악성코드가 올해 5월 31일에 홈페이지에 설치되었다고 해서, 국내 공항 출입국 시스템이 해킹 될 가능성은 낮다는 입장 표명

1. 개요

• 국내 최대 여행사인 하나투어가 해킹 공격으로 100만건에 달하는 회원 개인정보 유출

2. 내용

• 기사내용
• 하나투어는 유지보수업체 직원의 PC가 악성코드에 감염된 사실을 파악한 뒤 조사를 진행하던 중 9월 28일 고객 개인정보가 유출된 정황 파악
• 유출된 내용은 이름, 휴대전화 번호, 주민등록번호, 집 전화번호, 집 주소, 이메일 주소 등으로 확인
• 해당 개인정보 내용은 2004년 10월부터 2007년 8월 사이에 생성된 파일 추정
• 지난 10월 한국인터넷진흥원(KISA)에 신고하여 조사를 진행 중이며 경찰에도 신고된 상태
• 서울 종로경찰서는 하나투어 측이 지난달 28일 서버관리자 계정을 해킹당해 100만여건에 육박하는 고객정보가 유출됐고 비트코인을 요구하는 협박까지 받았다고 17일 밝힘
  - 사이버 관련 전문수사가 필요하다고 판단해 경찰청 사이버안전국으로 수사를 넘긴 상태

1. 개요

• 토털 뷰티 쇼핑몰 '뷰티퀸' 고객정보 유출 공지

2. 내용

• 기사내용

• 제이피컴퍼니 측은 "유출 사실을 확인한 후, 경기분당경찰서 사이버수대에 즉각 신고했으며, 현재 경찰과 적극 협력하면서 고객들에게 발생할 수 있는 피해를 예방하고 유사 사례를 방지하기 위해 모든 조치를 취하고 있다"고 설명
  - 고객들의 개인정보를 보호하기 위해 개인정보보호법과 정보통신망법에서 제시한 모든 보안관련 사항을 엄격히 준수해 로그인 한지 1년 이상 지난 회원의 정보를 암호화 처리했다고 함
• 유출된 내용은 이름, 성별, 생년월일, 연락처, 휴대전화, 주소, 이메일, 아이디 등으로 확인
  - 회사 측은 고객정보의 유출규모는 밝히지 않음
• 이와 함께 제이피컴퍼니 측은 뷰티퀸의 서비스 종료 소식도 전함
  - 뷰티퀸은 오는 10월 31일까지 운영될 예정으로, 서비스 종료와 동시에 모든 회원 정보는 파기될 예정
  - 최근 1년 이내 주문 내역은 교환환불반품 이슈로 인해 한달 간 보관 후 파기될 예정
  - 현재 적립금을 보유하고 있는 뷰티퀸 회원만 10월 31일까지 구매가 가능하며, 신규 회원 가입, 네이버 페이 주문, 뷰티퀸 모바일 서비스는 종료
• 제이피컴퍼니 측이 고객정보 유출 사실을 공지하는 동시에 서비스 종료 사실을 알리면서 고객정보 유출과 서비스 종료 사이에 인과관계가 주목받음
  - 고객정보 유출로 사업에 큰 타격을 입었거나 향후 입을 손실을 감안해 서비스 종료까지 결정했다는 추측 가능
• 
  

침해 사고가 발생해 악성코드 감염이 의심되는 시스템에서 생성한 메모리 덤프 파일을 분석하기 위해서는 다음 같은 6단계의 절차를 이용하여 메모리 분석을 진행할 수 있습니다.

1) 운영체제 분석
- 어떠한 운영체제에서 생성한 Memory Dump인지 분석

2) 프로세스 분석
- 생성한 Memory Dump에서 실행 중이거나 은폐된 Process 및 그와 관련된 정보들을 분석

3) 네트워크 정보
- 생성한 Memory Dump에서 활성화되거나 은폐된 Network 및 그와 관련된 정보를 분석

4) DLL 및 쓰레드 분석
- 특정 Process에서 load한 DLL 정보나 Thread 정보들을 분석

5) String 분석
- 생성한 Memory Dump 전체 또는 Binary 형태로 추출한 Process 및 DLL Memory Dump에서 특정 string 분석

6) 레지스트리 분석
- 생성한 Memory Dump 전체에서 Windows Registry 관련 정보들을 분석

1) Process와 Threads
- 실행 중이거나 종료되었지만 Memory에 남아 있는 정보들 추출

2) Modules와 Libraries
- 실행 중이거나 종료되었던 Process 관련 Modules와 Libraries 정보들 추출

3) Open Files와 Sockes
- 실행 중이거나 종료되었던 파일들과 Network 연결 관련 Socket 정보들 추출

4) Various Data Structures
- Memory에만 존재하는 다양한 Data의 구조 정보들 추출

1. 개요

• 새벽 배송으로 유명한 온라인 푸드 마켓 '마켓컬리'가 해킹으로 인해 34만 명 고객정보 유출

2. 내용

• 기사내용
• 20일 세차례에 걸쳐 해킹 공격을 받았으며, 마지막 세 번째 공격에서 기존회원 뿐만 아니라 휴면계정 회원 34만 명의 고객정보가 유출됨
• 해킹으로 유출된 고객정보는 회원 아이디, 전자우편, 연락처(전화번호/핸드폰번호), 암호화된 비밀번호(식별 및 암호해독 불가능) 등이며, 고객이름, 주소, 구매내역, 출입방법, 배송정보, 신용카드 번호를 비롯한 결제정보 등은 모두 안전한 것으로 학인했다고 함
• 새벽에 음식이나 식자재를 배송하는 만큼 배송지 출입방법, 예를 들면 공동현관의 비밀번호라던가 경비실 호출 등을 배송 요청에 작성하게 되어 있어 만에 하나 이 정보가 유출됐다면 추가 피해가 우려되는 상황
• 마켓컬리는 사건발생 직후 해당 IP와 불법접속 경로를 차단하고 웹방화벽을 강화 및 무차별적인 웹 로그인 시도를 막기 위해 CAPTCHA(자동 계정 생성방지 기술)을 적용함

1. 개요

• 우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아 학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹 ID까지 노출

2. 내용

• 기사내용
• 8월 30일 우리은행 ID카드 신청서를 외부에서 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않아 타인이 별도의 권한 없이 열어볼 수 있는 문제를 개인이용자가 발견
  - ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명, 부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등
• 우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합협 카드로 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택
• 우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 함
  - ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF파일로 하드드라이브에 저장되며, 출력 이후에도 해당 PDF 파일이 삭제되지 않음
• 우리은행 측이 9월 1일 오후 2시에서 3시경 관련 조치를 모두 마쳤다고 하였으나 4일 확인결과 파일명만 바뀐 PDF 파일 확인
  - 개인정보가 담긴 문서를 출력할 때 일반적으로 암호화된 상태에서 해당 문서만 출력되도록 하지 PC에 문서가 다운로드 되도록 하지는 않음
• 우리은행 측에서 "학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오"라고 안내문을 붙여놓았으나 일반인들에게 무턱대고 알아서 삭제하고 가라는 의미

1. 개요

• 유명 PC최적화 유틸리티프로그램 시클리너 해킹은 첨단 기술 등 지적재산권을 빼돌리려는 목적으로 분석됨

2. 내용

• 기사내용
• 시스코 탈로스 인텔리전스는 21일 악성코드가 숨겨진 씨클리너를 내려 받은 PC가 특정 ICT기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 것을 발견
  - 씨클리너는 최근 보안기업 어베스트가 인구한 프로그램으로 PC 시스템을 정리해 성능을 최적화함
• 공격자는 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT기업 도메인에 접속할 때를 노림
• 공격자는 어베스트가 사용하던 다운로드 서버를 해킹해 진짜 씨클러너 프로그램을 악성보전으로 바꿔치기 함
  - 한 달 여 만에 수 백 만명 사용자가 악성버전을 내려받음
  - 13일 발견 된 씨클리너 악성 버전은 감염된 컴퓨터로부터 데이터를 훔치고 C&C 서버로 전송하는 다단계 악성코드
• 시스코 탈로스 인텔리전스는 C&C서버 시간대가 중국과 일치한다고 밝힘
  - 악성코드가 포함된 씨클리너는 취약점을 찾아 추가 공격에 이용하기 위해 피해 PC에 어떤 소프트웨어가 설치됐는지 파악
• 12일에서 16일 사이에 70만대에 달하는 감염된 PC가 C&C에 접속했으며, 2차 악성코드를 내려 받은 피해자 발생
  - 2차 악성코드(GeeSetup_x86.dll)는 피해 기기 운영체계(OS)를 체크하고 또 다른 트로이목마 설치
• 시스코 탈로스는 이번에 발견된 악성코드가 그룹72가 쓰던 것과 유사점 발견
  - 그룹72는 카스퍼스키랩이 찾아낸 해킹 조직
• 시스코는 악성코드가 담긴 씨클리너 제거와 함께 2차 공격코드를 찾아내야 피해를 최고화 할 수 있다고 조언
  - 서버관리소스트웨어 기업 넷사랑도 같은 수법에 당함

1. 개요

• 보안업체 에베스트(Avast)에서 인수한 최적화 프로그램 씨클리너(CCleaner)의 모듈이 변조되어 악성코드가 유포된 정황이 포착되었으며, 디지털 인증서까지 탈취돼 이용자들의 주의 요구

2. 내용

• 기사내용

• 8월 15일 출시된 씨클리너 v5.33.6162 윈도우 32비트와 씨클리너 클라우드 1.07.3191 윈도우 32비트 버전의 모듈이 변조됨
  - 시클러너는 임시 파일을 제거하고 시스템 성능을 최적화하며 설치된 프로그램 관리를 간소화함으로써 PC 성능을 향상시켜주는 프로그램
• 이후 9월 12일 버전 5.34(정식 버전)가 출시됐는데, 그 때까지 약 1개월 정도가 악성코드 감염에 노출되었으며 9월 13일 모듈이 변조된 사실 발견
• 9월 18일 어베스트 코리아 블로그에 씨클리너 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고 관련 분석을 통해 무단 변조된 사실을 파악
• 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어할 수 없는 상황으로 파악되어 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소됐다고 밝힘
• 이번 사건은 지난 8월에 발생한 넷사랑 소프트웨어 모듈 변조사건과 매우 유사한 데다가 비슷한 시기에 발생했으며, 하반기 보안위협으로 우려돼 왔던 SW 개발사를 통한 우회 공격이라고 할 수 있음
• 최근 발생한 대부분의 백도어 관련 이슈에서는 C&C로 연결하는 방식이 거의 HTTPS(SSL)가 표준으로 자리매김하는 추세로 SSL 프로토콜의 특성상 탐지하기 위해서는 로컬 PC 또는 네트워크 장비에서 패킷을 분석해야하는 한계가 있음

1.개요

• 최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거 구속하였으며, 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었음
  

2. 내용

• 기사내용

• 2016년 10월 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 개인정보 30만건을 빼돌림
  - 지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었음
  - 해킹단한 개인정보는 2013년 9월 4일부터 2016년 10월 19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소
  - DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보임
  - 압수한 송씨의 노트북에서 유진투자선물 외 남양유업과 탐앤탐스 등 19개 업체가 보유했던 개인정보 확인
• 남양유업은 2011년 5우러부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처, 주소가 유출됨
• 커피전문점 탐앤탐스는 과거 운영하던 홈페이지에 2011년 11월부터 2015년 12우러 사이에 가입한 정보로 아이디, 이메일, 생년월일, 휴대전화 번호, 이름이 유출되었으나, 개인 주민등록번호와 비밀번호는 유출되지 않은 것으로 파악됨
  - 현재 운영 중인 홈페이지 회원정보는 암호화 처리되고 있으며 이번 해킹과 무관하다고 밝힘
• 중소기업융합중앙회는 2013년 7월 12일부터 2016년 10월 19일 사이 가입한 정보로 대표자성명, 대표자생년월일, 대표자이메일주소, 담당자성명, 담당자휴대번호, 담당자전화번호, 담당자이메일주소가 유출됨
• 국내 1위 학술논문 사이트 디비피아(DBpia)는 2014년 12월 31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호, 이메일이 유출됨
• 화장품 회사인 미구하라는 2017년 7월 26일 이전에 가입한 정보로 성명, 전화번호, 생년월일이 유출됨