IT/News
lastcard
2017. 12. 19. 11:24
2017. 12. 19. 11:24
1. 개요
- 하나투어 해킹에 악용됐던 악성코드가 통신하는 C&C서버 IP와 공항 자동출입국시스템 제공 SI업체 IP대역 유사
2 내용
- 하나투어의 개인정보 유출에 악용됐던 악성코드와 통신하는 C&C서버(명령제어 서버)의 IP 대역이 이보다 앞서 해킹된 공항 자동출입국 시스템 제공업체 홈페이지의 IP대역과 유사
- 기존 북한 추정 사이버공격의 공격방식과 동원된 악성 프로그램도거의 동일하다는 의견 제시
- 악성코드가 심어진 SI업체 홈페이지가 하나투어 악성코드 공격에 C&C 서버로 사용됐을 가능성이 높음
- 하나투어에 비트코인을 요구하며 개인정보 유출 사실을 협박할 때 사용된 악성 프로그램 역시 2016년 보안업체 모듈로 위장해 공격한 악성프로그램과 유사
- 금융 보안 모듈로 위장한 해당 악성프로그램은 2016년 1월 제작됐으며, 하나투어에 유포된 악성 프로그램은 지난 6월 제작됨
- 2016년 국방부, 보안업체 A사와 B사, ATM사, 금융권 관련 웹사이트 공격에 사용된 악성코드와 유사
lastcard
2017. 12. 7. 10:08
2017. 12. 7. 10:08
1. 개요
- 국내 공항의 자동 출입국 시스템을 담당했던 SI업체의 웹사이트가 해킹돼 방문자를 대상으로 악성코드 유포
2. 내용
- 기사내용
- 인천공항 등 국내 공항의 자동 출입국 시스템을 담당했던 업체의 홈페이지가 신종 해킹수법인 '월터링 홀(Watering-hole) 유형의 해킹 공격을 당함
※ 워터링 홀 : 사자가 물웅덩이에 매복해 먹잇감을 기다리듯, 공격대상이 평소 자주 방문하는 웹사이트나 홈페이지 등에 미리 악성코드를 심어두는 해킹 방식 - 13일 공항 자동 출입국 시스템과 관련된 시스템 개발(SI)업체 홈페이지를 통해 악성코드 유포
- 엑티브엑스를 실행하면 악성코드가 자동으로 설치되는 형태
- 13일 악성코드 제거 및 취약점 조치 완료
- 해당 홈페이지는 목동 KT IDC에 있으며 보안관제 서비스 규정에 따라 운영 중
- 홈페이지는 업무용 내부망과 분리되어 있어 홈페이지 해킹을 통한 내부자료 접근 불가
- 내부망은 가상화 솔루션이 적용되어 있으며, 홈페이지는 회사소개용(사업소개, 뉴스, 자료실, 채용정보 등)으로 방문자가 일평균 13명 내외로 웹사이트에 개인정보는 저장되어 있지 않음 - 한국인터넷진흥원에서 IP주소를 추적한 결과 캐나다 국정으로 확인
- 해당 업체 대표는 공항 자동 출입국 시스템 유지보수 업무가 지난해 12월 31일로 종료되어 정부방침에 따라 모든 자료를 반납하고 철수했고, 이번 악성코드가 올해 5월 31일에 홈페이지에 설치되었다고 해서, 국내 공항 출입국 시스템이 해킹 될 가능성은 낮다는 입장 표명
lastcard
2017. 12. 6. 08:56
2017. 12. 6. 08:56
1. 개요
- 국내 최대 여행사인 하나투어가 해킹 공격으로 100만건에 달하는 회원 개인정보 유출
2. 내용
- 기사내용
- 하나투어는 유지보수업체 직원의 PC가 악성코드에 감염된 사실을 파악한 뒤 조사를 진행하던 중 9월 28일 고객 개인정보가 유출된 정황 파악
- 유출된 내용은 이름, 휴대전화 번호, 주민등록번호, 집 전화번호, 집 주소, 이메일 주소 등으로 확인
- 해당 개인정보 내용은 2004년 10월부터 2007년 8월 사이에 생성된 파일 추정
- 지난 10월 한국인터넷진흥원(KISA)에 신고하여 조사를 진행 중이며 경찰에도 신고된 상태
- 서울 종로경찰서는 하나투어 측이 지난달 28일 서버관리자 계정을 해킹당해 100만여건에 육박하는 고객정보가 유출됐고 비트코인을 요구하는 협박까지 받았다고 17일 밝힘
- 사이버 관련 전문수사가 필요하다고 판단해 경찰청 사이버안전국으로 수사를 넘긴 상태
lastcard
2017. 12. 5. 16:19
2017. 12. 5. 16:19
1. 개요
- 토털 뷰티 쇼핑몰 '뷰티퀸' 고객정보 유출 공지
2. 내용
- 제이피컴퍼니 측은 "유출 사실을 확인한 후, 경기분당경찰서 사이버수대에 즉각 신고했으며, 현재 경찰과 적극 협력하면서 고객들에게 발생할 수 있는 피해를 예방하고 유사 사례를 방지하기 위해 모든 조치를 취하고 있다"고 설명
- 고객들의 개인정보를 보호하기 위해 개인정보보호법과 정보통신망법에서 제시한 모든 보안관련 사항을 엄격히 준수해 로그인 한지 1년 이상 지난 회원의 정보를 암호화 처리했다고 함 - 유출된 내용은 이름, 성별, 생년월일, 연락처, 휴대전화, 주소, 이메일, 아이디 등으로 확인
- 회사 측은 고객정보의 유출규모는 밝히지 않음 - 이와 함께 제이피컴퍼니 측은 뷰티퀸의 서비스 종료 소식도 전함
- 뷰티퀸은 오는 10월 31일까지 운영될 예정으로, 서비스 종료와 동시에 모든 회원 정보는 파기될 예정
- 최근 1년 이내 주문 내역은 교환환불반품 이슈로 인해 한달 간 보관 후 파기될 예정
- 현재 적립금을 보유하고 있는 뷰티퀸 회원만 10월 31일까지 구매가 가능하며, 신규 회원 가입, 네이버 페이 주문, 뷰티퀸 모바일 서비스는 종료 - 제이피컴퍼니 측이 고객정보 유출 사실을 공지하는 동시에 서비스 종료 사실을 알리면서 고객정보 유출과 서비스 종료 사이에 인과관계가 주목받음
- 고객정보 유출로 사업에 큰 타격을 입었거나 향후 입을 손실을 감안해 서비스 종료까지 결정했다는 추측 가능
lastcard
2017. 11. 30. 10:07
2017. 11. 30. 10:07
1. 개요
- 새벽 배송으로 유명한 온라인 푸드 마켓 '마켓컬리'가 해킹으로 인해 34만 명 고객정보 유출
2. 내용
- 기사내용
- 20일 세차례에 걸쳐 해킹 공격을 받았으며, 마지막 세 번째 공격에서 기존회원 뿐만 아니라 휴면계정 회원 34만 명의 고객정보가 유출됨
- 해킹으로 유출된 고객정보는 회원 아이디, 전자우편, 연락처(전화번호/핸드폰번호), 암호화된 비밀번호(식별 및 암호해독 불가능) 등이며, 고객이름, 주소, 구매내역, 출입방법, 배송정보, 신용카드 번호를 비롯한 결제정보 등은 모두 안전한 것으로 학인했다고 함
- 새벽에 음식이나 식자재를 배송하는 만큼 배송지 출입방법, 예를 들면 공동현관의 비밀번호라던가 경비실 호출 등을 배송 요청에 작성하게 되어 있어 만에 하나 이 정보가 유출됐다면 추가 피해가 우려되는 상황
- 마켓컬리는 사건발생 직후 해당 IP와 불법접속 경로를 차단하고 웹방화벽을 강화 및 무차별적인 웹 로그인 시도를 막기 위해 CAPTCHA(자동 계정 생성방지 기술)을 적용함
lastcard
2017. 11. 29. 09:21
2017. 11. 29. 09:21
1. 개요
- 우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아 학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹 ID까지 노출
2. 내용
- 기사내용
- 8월 30일 우리은행 ID카드 신청서를 외부에서 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않아 타인이 별도의 권한 없이 열어볼 수 있는 문제를 개인이용자가 발견
- ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명, 부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등 - 우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합협 카드로 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택
- 우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 함
- ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF파일로 하드드라이브에 저장되며, 출력 이후에도 해당 PDF 파일이 삭제되지 않음 - 우리은행 측이 9월 1일 오후 2시에서 3시경 관련 조치를 모두 마쳤다고 하였으나 4일 확인결과 파일명만 바뀐 PDF 파일 확인
- 개인정보가 담긴 문서를 출력할 때 일반적으로 암호화된 상태에서 해당 문서만 출력되도록 하지 PC에 문서가 다운로드 되도록 하지는 않음 - 우리은행 측에서 "학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오"라고 안내문을 붙여놓았으나 일반인들에게 무턱대고 알아서 삭제하고 가라는 의미
lastcard
2017. 11. 28. 09:12
2017. 11. 28. 09:12
1. 개요
- 유명 PC최적화 유틸리티프로그램 시클리너 해킹은 첨단 기술 등 지적재산권을 빼돌리려는 목적으로 분석됨
2. 내용
- 기사내용
- 시스코 탈로스 인텔리전스는 21일 악성코드가 숨겨진 씨클리너를 내려 받은 PC가 특정 ICT기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 것을 발견
- 씨클리너는 최근 보안기업 어베스트가 인구한 프로그램으로 PC 시스템을 정리해 성능을 최적화함 - 공격자는 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT기업 도메인에 접속할 때를 노림
- 공격자는 어베스트가 사용하던 다운로드 서버를 해킹해 진짜 씨클러너 프로그램을 악성보전으로 바꿔치기 함
- 한 달 여 만에 수 백 만명 사용자가 악성버전을 내려받음
- 13일 발견 된 씨클리너 악성 버전은 감염된 컴퓨터로부터 데이터를 훔치고 C&C 서버로 전송하는 다단계 악성코드 - 시스코 탈로스 인텔리전스는 C&C서버 시간대가 중국과 일치한다고 밝힘
- 악성코드가 포함된 씨클리너는 취약점을 찾아 추가 공격에 이용하기 위해 피해 PC에 어떤 소프트웨어가 설치됐는지 파악 - 12일에서 16일 사이에 70만대에 달하는 감염된 PC가 C&C에 접속했으며, 2차 악성코드를 내려 받은 피해자 발생
- 2차 악성코드(GeeSetup_x86.dll)는 피해 기기 운영체계(OS)를 체크하고 또 다른 트로이목마 설치 - 시스코 탈로스는 이번에 발견된 악성코드가 그룹72가 쓰던 것과 유사점 발견
- 그룹72는 카스퍼스키랩이 찾아낸 해킹 조직 - 시스코는 악성코드가 담긴 씨클리너 제거와 함께 2차 공격코드를 찾아내야 피해를 최고화 할 수 있다고 조언
- 서버관리소스트웨어 기업 넷사랑도 같은 수법에 당함
lastcard
2017. 11. 27. 10:01
2017. 11. 27. 10:01
1. 개요
- 보안업체 에베스트(Avast)에서 인수한 최적화 프로그램 씨클리너(CCleaner)의 모듈이 변조되어 악성코드가 유포된 정황이 포착되었으며, 디지털 인증서까지 탈취돼 이용자들의 주의 요구
2. 내용
- 8월 15일 출시된 씨클리너 v5.33.6162 윈도우 32비트와 씨클리너 클라우드 1.07.3191 윈도우 32비트 버전의 모듈이 변조됨
- 시클러너는 임시 파일을 제거하고 시스템 성능을 최적화하며 설치된 프로그램 관리를 간소화함으로써 PC 성능을 향상시켜주는 프로그램 - 이후 9월 12일 버전 5.34(정식 버전)가 출시됐는데, 그 때까지 약 1개월 정도가 악성코드 감염에 노출되었으며 9월 13일 모듈이 변조된 사실 발견
- 9월 18일 어베스트 코리아 블로그에 씨클리너 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고 관련 분석을 통해 무단 변조된 사실을 파악
- 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어할 수 없는 상황으로 파악되어 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소됐다고 밝힘
- 이번 사건은 지난 8월에 발생한 넷사랑 소프트웨어 모듈 변조사건과 매우 유사한 데다가 비슷한 시기에 발생했으며, 하반기 보안위협으로 우려돼 왔던 SW 개발사를 통한 우회 공격이라고 할 수 있음
- 최근 발생한 대부분의 백도어 관련 이슈에서는 C&C로 연결하는 방식이 거의 HTTPS(SSL)가 표준으로 자리매김하는 추세로 SSL 프로토콜의 특성상 탐지하기 위해서는 로컬 PC 또는 네트워크 장비에서 패킷을 분석해야하는 한계가 있음
lastcard
2017. 11. 24. 12:46
2017. 11. 24. 12:46
1.개요
- 최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거 구속하였으며, 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었음
2. 내용
- 2016년 10월 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 개인정보 30만건을 빼돌림
- 지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었음
- 해킹단한 개인정보는 2013년 9월 4일부터 2016년 10월 19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소
- DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보임
- 압수한 송씨의 노트북에서 유진투자선물 외 남양유업과 탐앤탐스 등 19개 업체가 보유했던 개인정보 확인
- 남양유업은 2011년 5우러부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처, 주소가 유출됨
- 커피전문점 탐앤탐스는 과거 운영하던 홈페이지에 2011년 11월부터 2015년 12우러 사이에 가입한 정보로 아이디, 이메일, 생년월일, 휴대전화 번호, 이름이 유출되었으나, 개인 주민등록번호와 비밀번호는 유출되지 않은 것으로 파악됨
- 현재 운영 중인 홈페이지 회원정보는 암호화 처리되고 있으며 이번 해킹과 무관하다고 밝힘
- 중소기업융합중앙회는 2013년 7월 12일부터 2016년 10월 19일 사이 가입한 정보로 대표자성명, 대표자생년월일, 대표자이메일주소, 담당자성명, 담당자휴대번호, 담당자전화번호, 담당자이메일주소가 유출됨
- 국내 1위 학술논문 사이트 디비피아(DBpia)는 2014년 12월 31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호, 이메일이 유출됨
- 화장품 회사인 미구하라는 2017년 7월 26일 이전에 가입한 정보로 성명, 전화번호, 생년월일이 유출됨
lastcard
2017. 11. 23. 10:17
2017. 11. 23. 10:17
1. 개요
- 올해 3월 확인된 청호이지캐쉬 현금자동입출금기(ATM) 서버 해킹사건은 외화벌이를 노린 북한 해커의 소행으로 드러남
2. 내용
- 북한 해커가 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 뒤 ATM기 63대에 악성프로그램을 유포시켰고, 피해자들의 전자금융거래정보 23만 8천여 건을 국내에 설치한 탈취 서버를 통해 빼냄
- 북한 해커와 접촉한 중국인 A씨는 한국인 B씨에게 국내에 정보탈취서버를 설처토록 함
- 지난해 9월 경 악성프로그램을 VPN을 경유, 유포
- 올해 2~3월 사이 해당 ATM에서 카드를 사용한 소비자들의 금융정보 수집
- 감염된 ATM을 이용한 피해자들의 금융정보는 B씨가 설치한 탈취서버를 통해 유출
- 유출된 금융정보는 카드번호, 유호기간, 카드비밀번호, 결제은행, 결제계좌, 잔액, 이름, 주민번호, 법인번호 등
- 해킹에 사용된 악성코드는 지난해 5월 국방부 전산망 해킹 악성코드와 동일한 키로거와 원격 제어 등이 재사용 됨
- 또한 지난해 SK 그룹 해킹 사건에 사용됐던 탈취서버가 재사용됨
- 해커는 지난해 대규모 해킹 당시 지적됐던 보안 취약점이 보안된 보안 프로그램 업데이트를 미루는 사이를 틈타 악성프로그램을 감염시켜 정보 탈취
- 외부에서 원격으로 파일을 업로드 할 수 있는 취약점 이용 - 핵심 피의자인 중국인 A씨가 "복한에 들어가서 해당 금융정보를 구입해 USB에 담아왔다"며 "북한 해커가 이익금은 4(북한)대 6으로 나누자고 했다"고 진술
- 실제 돈이 북한으로 흘러 들어갔는지는 확인되지 않음 - 해킹에 사용된 IP 추적 결과 북한 지역으로 명확하게 나타난 것은 없음
[경찰청 사이버안전국]
- 전자금융거래정보를 북한 해커로부터 받아 신용카드 복제에 사용한 피의자 4명을검거해 정보통신망법 위반 등의 혐의로 구속
- 유출된 금융정보는 한국, 대만, 태국, 일본 등으로 판매 됨
- 금융정보를 구입한 한국인들은 현금인출, 대금결제, 하이패스 카드 충전 등으로 605명의 신용카드에서 4억 2,799만원 상당의 금액을 인출,결제하려했고, 이중 96명의 신용카드에서 모두 1억 264만우너을 부정 결제
- 해외로 도피한 나머지 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배와 국제공조수사 등을 통해 계속 추적 예정
[경찰청 사이버안전국]
