月光愛靑狼

1. 개요

• 국내 최대 여행사인 하나투어가 해킹 공격으로 100만건에 달하는 회원 개인정보 유출

2. 내용

• 기사내용
• 하나투어는 유지보수업체 직원의 PC가 악성코드에 감염된 사실을 파악한 뒤 조사를 진행하던 중 9월 28일 고객 개인정보가 유출된 정황 파악
• 유출된 내용은 이름, 휴대전화 번호, 주민등록번호, 집 전화번호, 집 주소, 이메일 주소 등으로 확인
• 해당 개인정보 내용은 2004년 10월부터 2007년 8월 사이에 생성된 파일 추정
• 지난 10월 한국인터넷진흥원(KISA)에 신고하여 조사를 진행 중이며 경찰에도 신고된 상태
• 서울 종로경찰서는 하나투어 측이 지난달 28일 서버관리자 계정을 해킹당해 100만여건에 육박하는 고객정보가 유출됐고 비트코인을 요구하는 협박까지 받았다고 17일 밝힘
  - 사이버 관련 전문수사가 필요하다고 판단해 경찰청 사이버안전국으로 수사를 넘긴 상태

1. 개요

• 토털 뷰티 쇼핑몰 '뷰티퀸' 고객정보 유출 공지

2. 내용

• 기사내용

• 제이피컴퍼니 측은 "유출 사실을 확인한 후, 경기분당경찰서 사이버수대에 즉각 신고했으며, 현재 경찰과 적극 협력하면서 고객들에게 발생할 수 있는 피해를 예방하고 유사 사례를 방지하기 위해 모든 조치를 취하고 있다"고 설명
  - 고객들의 개인정보를 보호하기 위해 개인정보보호법과 정보통신망법에서 제시한 모든 보안관련 사항을 엄격히 준수해 로그인 한지 1년 이상 지난 회원의 정보를 암호화 처리했다고 함
• 유출된 내용은 이름, 성별, 생년월일, 연락처, 휴대전화, 주소, 이메일, 아이디 등으로 확인
  - 회사 측은 고객정보의 유출규모는 밝히지 않음
• 이와 함께 제이피컴퍼니 측은 뷰티퀸의 서비스 종료 소식도 전함
  - 뷰티퀸은 오는 10월 31일까지 운영될 예정으로, 서비스 종료와 동시에 모든 회원 정보는 파기될 예정
  - 최근 1년 이내 주문 내역은 교환환불반품 이슈로 인해 한달 간 보관 후 파기될 예정
  - 현재 적립금을 보유하고 있는 뷰티퀸 회원만 10월 31일까지 구매가 가능하며, 신규 회원 가입, 네이버 페이 주문, 뷰티퀸 모바일 서비스는 종료
• 제이피컴퍼니 측이 고객정보 유출 사실을 공지하는 동시에 서비스 종료 사실을 알리면서 고객정보 유출과 서비스 종료 사이에 인과관계가 주목받음
  - 고객정보 유출로 사업에 큰 타격을 입었거나 향후 입을 손실을 감안해 서비스 종료까지 결정했다는 추측 가능
• 
  

1. 개요

• 새벽 배송으로 유명한 온라인 푸드 마켓 '마켓컬리'가 해킹으로 인해 34만 명 고객정보 유출

2. 내용

• 기사내용
• 20일 세차례에 걸쳐 해킹 공격을 받았으며, 마지막 세 번째 공격에서 기존회원 뿐만 아니라 휴면계정 회원 34만 명의 고객정보가 유출됨
• 해킹으로 유출된 고객정보는 회원 아이디, 전자우편, 연락처(전화번호/핸드폰번호), 암호화된 비밀번호(식별 및 암호해독 불가능) 등이며, 고객이름, 주소, 구매내역, 출입방법, 배송정보, 신용카드 번호를 비롯한 결제정보 등은 모두 안전한 것으로 학인했다고 함
• 새벽에 음식이나 식자재를 배송하는 만큼 배송지 출입방법, 예를 들면 공동현관의 비밀번호라던가 경비실 호출 등을 배송 요청에 작성하게 되어 있어 만에 하나 이 정보가 유출됐다면 추가 피해가 우려되는 상황
• 마켓컬리는 사건발생 직후 해당 IP와 불법접속 경로를 차단하고 웹방화벽을 강화 및 무차별적인 웹 로그인 시도를 막기 위해 CAPTCHA(자동 계정 생성방지 기술)을 적용함

1. 개요

• 우리은행 ID카드 신청서 출력 시 PC에 PDF 파일 그대로 남아 학번, 생년월일, 이름, 전화번호, 주소, 인터넷뱅킹 ID까지 노출

2. 내용

• 기사내용
• 8월 30일 우리은행 ID카드 신청서를 외부에서 출력 시 신청서 파일이 PC에 저장되고, 출력 이후에도 삭제되지 않아 타인이 별도의 권한 없이 열어볼 수 있는 문제를 개인이용자가 발견
  - ID카드 신청서에 명시되는 정보는 학번(직번, 교번), 주민등록번호 앞자리(생년월일), 성명, 영문성명, 학교/기관명, 대학명, 부서명, 학과/직위명, 이메일, 휴대폰번호, MCAA본인확인서, 휴대폰 계좌번호 서비스, 통장신청, 집전화번호, 직장전화번호, 집주소, 직장주소, 인터넷뱅킹, 스마트뱅킹ID 등
• 우리은행 ID카드는 대학생이 교내 신분증을 겸해 은행 업무를 볼 수 있도록 제작된 통합협 카드로 강의실이나 도서관 출입증으로 사용하면서 교통카드, 체크카드, 현금카드 등으로 쓸 수 있기 때문에 연세대, 홍익대, 국민대, 세종대 등 다수의 대학교에서 우리은행 ID카드를 채택
• 우리은행 ID카드를 신청하려면 우리은행 홈페이지에서 ID카드 신청서를 작성한 뒤, 영업점에 출력본을 제출해야 함
  - ID카드 신청서 출력 시 신청서 파일이 작성자가 알지도 못한 상태에서 PDF파일로 하드드라이브에 저장되며, 출력 이후에도 해당 PDF 파일이 삭제되지 않음
• 우리은행 측이 9월 1일 오후 2시에서 3시경 관련 조치를 모두 마쳤다고 하였으나 4일 확인결과 파일명만 바뀐 PDF 파일 확인
  - 개인정보가 담긴 문서를 출력할 때 일반적으로 암호화된 상태에서 해당 문서만 출력되도록 하지 PC에 문서가 다운로드 되도록 하지는 않음
• 우리은행 측에서 "학생증(ID)카드 신청 및 신청서 출력 후 개인정보 노출 우려가 있으므로 해당 PDF 파일을 삭제하여 주십시오"라고 안내문을 붙여놓았으나 일반인들에게 무턱대고 알아서 삭제하고 가라는 의미

1. 개요

• 유명 PC최적화 유틸리티프로그램 시클리너 해킹은 첨단 기술 등 지적재산권을 빼돌리려는 목적으로 분석됨

2. 내용

• 기사내용
• 시스코 탈로스 인텔리전스는 21일 악성코드가 숨겨진 씨클리너를 내려 받은 PC가 특정 ICT기업 도메인으로 접속할 때 2차 공격 코드를 내려 보내는 것을 발견
  - 씨클리너는 최근 보안기업 어베스트가 인구한 프로그램으로 PC 시스템을 정리해 성능을 최적화함
• 공격자는 삼성전자, 시스코, 소니, VM웨어, HTC그룹, 인텔, 링크시스, 엡슨, HP, 디링크 등 20여개 글로벌 ICT기업 도메인에 접속할 때를 노림
• 공격자는 어베스트가 사용하던 다운로드 서버를 해킹해 진짜 씨클러너 프로그램을 악성보전으로 바꿔치기 함
  - 한 달 여 만에 수 백 만명 사용자가 악성버전을 내려받음
  - 13일 발견 된 씨클리너 악성 버전은 감염된 컴퓨터로부터 데이터를 훔치고 C&C 서버로 전송하는 다단계 악성코드
• 시스코 탈로스 인텔리전스는 C&C서버 시간대가 중국과 일치한다고 밝힘
  - 악성코드가 포함된 씨클리너는 취약점을 찾아 추가 공격에 이용하기 위해 피해 PC에 어떤 소프트웨어가 설치됐는지 파악
• 12일에서 16일 사이에 70만대에 달하는 감염된 PC가 C&C에 접속했으며, 2차 악성코드를 내려 받은 피해자 발생
  - 2차 악성코드(GeeSetup_x86.dll)는 피해 기기 운영체계(OS)를 체크하고 또 다른 트로이목마 설치
• 시스코 탈로스는 이번에 발견된 악성코드가 그룹72가 쓰던 것과 유사점 발견
  - 그룹72는 카스퍼스키랩이 찾아낸 해킹 조직
• 시스코는 악성코드가 담긴 씨클리너 제거와 함께 2차 공격코드를 찾아내야 피해를 최고화 할 수 있다고 조언
  - 서버관리소스트웨어 기업 넷사랑도 같은 수법에 당함

1. 개요

• 보안업체 에베스트(Avast)에서 인수한 최적화 프로그램 씨클리너(CCleaner)의 모듈이 변조되어 악성코드가 유포된 정황이 포착되었으며, 디지털 인증서까지 탈취돼 이용자들의 주의 요구

2. 내용

• 기사내용

• 8월 15일 출시된 씨클리너 v5.33.6162 윈도우 32비트와 씨클리너 클라우드 1.07.3191 윈도우 32비트 버전의 모듈이 변조됨
  - 시클러너는 임시 파일을 제거하고 시스템 성능을 최적화하며 설치된 프로그램 관리를 간소화함으로써 PC 성능을 향상시켜주는 프로그램
• 이후 9월 12일 버전 5.34(정식 버전)가 출시됐는데, 그 때까지 약 1개월 정도가 악성코드 감염에 노출되었으며 9월 13일 모듈이 변조된 사실 발견
• 9월 18일 어베스트 코리아 블로그에 씨클리너 제품에서 특정 IP로 데이터를 주고받는 현상을 포착하고 관련 분석을 통해 무단 변조된 사실을 파악
• 추가 분석을 진행하는 과정 중에 C&C 서버가 다운되고 공격자가 보유한 것으로 추정되는 서버들도 제어할 수 없는 상황으로 파악되어 해킹으로 인해 추가적인 피해가 발생하기 전에 위협이 해소됐다고 밝힘
• 이번 사건은 지난 8월에 발생한 넷사랑 소프트웨어 모듈 변조사건과 매우 유사한 데다가 비슷한 시기에 발생했으며, 하반기 보안위협으로 우려돼 왔던 SW 개발사를 통한 우회 공격이라고 할 수 있음
• 최근 발생한 대부분의 백도어 관련 이슈에서는 C&C로 연결하는 방식이 거의 HTTPS(SSL)가 표준으로 자리매김하는 추세로 SSL 프로토콜의 특성상 탐지하기 위해서는 로컬 PC 또는 네트워크 장비에서 패킷을 분석해야하는 한계가 있음

1.개요

• 최근 경찰은 국내 20여개 업체가 보유한 3300만건에 이르는 개인정보를 빼돌린 20대 해커 송모씨를 검거 구속하였으며, 수사 과정에서 유출사실을 기업에 알려주기 전까지 해킹당한 업체들은 개인정보 유출에 대해 모르고 있었음
  

2. 내용

• 기사내용

• 2016년 10월 송모씨는 중국인 해커 등을 고용해 유진투자선물의 데이터베이스 보안망을 뚫고 서버에 저장된 개인정보 30만건을 빼돌림
  - 지난해 10월부터 해커가 검거된 7월까지 회사 측은 해킹 사실을 전혀 인지하지 못하고 있었음
  - 해킹단한 개인정보는 2013년 9월 4일부터 2016년 10월 19일 사이 상속인 금융거래조회 민원서비스 이용과정에서 제출된 신청인 등의 이름, 주민등록번호, 주소, 휴대폰번호, 이메일주소
  - DB 암호화 조치 등을 했다고 하나 보안의 허점이 있었던 것으로 보임
  - 압수한 송씨의 노트북에서 유진투자선물 외 남양유업과 탐앤탐스 등 19개 업체가 보유했던 개인정보 확인
• 남양유업은 2011년 5우러부터 2015년 말까지 가입한 회원 일부의 ID, 이름, 이메일, 생년월일, 연락처, 주소가 유출됨
• 커피전문점 탐앤탐스는 과거 운영하던 홈페이지에 2011년 11월부터 2015년 12우러 사이에 가입한 정보로 아이디, 이메일, 생년월일, 휴대전화 번호, 이름이 유출되었으나, 개인 주민등록번호와 비밀번호는 유출되지 않은 것으로 파악됨
  - 현재 운영 중인 홈페이지 회원정보는 암호화 처리되고 있으며 이번 해킹과 무관하다고 밝힘
• 중소기업융합중앙회는 2013년 7월 12일부터 2016년 10월 19일 사이 가입한 정보로 대표자성명, 대표자생년월일, 대표자이메일주소, 담당자성명, 담당자휴대번호, 담당자전화번호, 담당자이메일주소가 유출됨
• 국내 1위 학술논문 사이트 디비피아(DBpia)는 2014년 12월 31일 이전 가입한 개인회원의 이름, 아이디, 생년월일, 전화번호, 이메일이 유출됨
• 화장품 회사인 미구하라는 2017년 7월 26일 이전에 가입한 정보로 성명, 전화번호, 생년월일이 유출됨

1. 개요

• 올해 3월 확인된 청호이지캐쉬 현금자동입출금기(ATM) 서버 해킹사건은 외화벌이를 노린 북한 해커의 소행으로 드러남

2. 내용

• 기사내용

• 북한 해커가 국내 ATM기 업체 백신 서버의 취약점을 이용해 전산망을 해킹한 뒤 ATM기 63대에 악성프로그램을 유포시켰고, 피해자들의 전자금융거래정보 23만 8천여 건을 국내에 설치한 탈취 서버를 통해 빼냄
  - 북한 해커와 접촉한 중국인 A씨는 한국인 B씨에게 국내에 정보탈취서버를 설처토록 함
  - 지난해 9월 경 악성프로그램을 VPN을 경유, 유포
  - 올해 2~3월 사이 해당 ATM에서 카드를 사용한 소비자들의 금융정보 수집
  - 감염된 ATM을 이용한 피해자들의 금융정보는 B씨가 설치한 탈취서버를 통해 유출
  - 유출된 금융정보는 카드번호, 유호기간, 카드비밀번호, 결제은행, 결제계좌, 잔액, 이름, 주민번호, 법인번호 등
  - 해킹에 사용된 악성코드는 지난해 5월 국방부 전산망 해킹 악성코드와 동일한 키로거와 원격 제어 등이 재사용 됨
  - 또한 지난해 SK 그룹 해킹 사건에 사용됐던 탈취서버가 재사용됨
  - 해커는 지난해 대규모 해킹 당시 지적됐던 보안 취약점이 보안된 보안 프로그램 업데이트를 미루는 사이를 틈타 악성프로그램을 감염시켜 정보 탈취
  - 외부에서 원격으로 파일을 업로드 할 수 있는 취약점 이용
• 핵심 피의자인 중국인 A씨가 "복한에 들어가서 해당 금융정보를 구입해 USB에 담아왔다"며 "북한 해커가 이익금은 4(북한)대 6으로 나누자고 했다"고 진술
  - 실제 돈이 북한으로 흘러 들어갔는지는 확인되지 않음
• 해킹에 사용된 IP 추적 결과 북한 지역으로 명확하게 나타난 것은 없음

[경찰청 사이버안전국]

• 전자금융거래정보를 북한 해커로부터 받아 신용카드 복제에 사용한 피의자 4명을검거해 정보통신망법 위반 등의 혐의로 구속
  - 유출된 금융정보는 한국, 대만, 태국, 일본 등으로 판매 됨
  - 금융정보를 구입한 한국인들은 현금인출, 대금결제, 하이패스 카드 충전 등으로 605명의 신용카드에서 4억 2,799만원 상당의 금액을 인출,결제하려했고, 이중 96명의 신용카드에서 모두 1억 264만우너을 부정 결제
  - 해외로 도피한 나머지 피의자와 중국에 거주 중인 피의자들에 대해서는 인터폴 적색수배와 국제공조수사 등을 통해 계속 추적 예정

[경찰청 사이버안전국]

1. 개요

• 이스트 소프트의 회원 아이디와 비밀번호가 담긴 개인정보 13만여건 유출

2. 내용

• 기사내용

• 이스트 소프트는 지난 9월 1일 신원 미상의 공격자로부터 고객 정보를 볼모로한 협박 메일을 받음
• 공격자가 증거로 제시한 정보가 알툴즈 사용자 계정 정보 13만여건과 일치하는 것이 확인 됨
• 해커가 이스트소프트 서버에 직접 침투해서 정보를 탈취했을 것으로 의심되는 증거는 발결되지 않음
• 지난 몇 년간 발생한 개인정보 침해사고에서 유출된 다수의 개인 정보를 토대로 알툴즈 사이트 로그인을 시도한 '도용'에 무게를 두고 있는 상황
• 추가 이용 피해 방지를 위해 KISA와 결찰이 조사 진행 중
• 침해된 개인정보 항목 : 알툴즈 사이트 아이디, 비밀번호, 알패스 제품에 등록된 외부 사이트 리스트 및 계정 정보
• 알툴즈 고객 대처 방법
  - 알툴즈 사이트에 안내되어 있는 '개인정보 침해 사실 조회' 창을 통해, 자신의 개인정보가 침해되었는지 확인
  - 개인정보가 침해된 사용자는 알패스에 저장된 외부 사이트의 아이디, 패스워드가 노출되었을 수 있으니, 알패스 사이트 목록을 확인하고 반드시 비밀번호 변경
  - 침해되지 않은 사용자의 경우에도 혹시 모를 피해 예방을 위해, 알툴즈 사이트 로그인 후 비밀번호 변경(특수문자, 대소문자, 숫자 조합 10~20자)
  

1. 개요

• LG전자서비스 셀프 접수 시스템에 악성코드 감염으로 서비스 중지 발생

2. 내용

• 기사 내용

• LG전자서비스의 서버(상암센터)가 악성코드에 감염됨
• LG전자서비스 서버는 각 지역에 있는 모든 LG전자 서비스센터의 서버들을 관리하는 중앙 집중 형 서비스 형태
• 금번 악성코드 감염으로 인해 모든 LG전자서비스 센터 업무가 마비됨
• 상암센터 서버는 전국 각 지역의 서버를 관리하고 있는 서버이며 이로 인해 전체 서비스센터 서버가 감염 되었을 것으로 추정
• 8월 14일 OS업데이트 및 백신업체를 통해 악성코드 조치
• 8월 15일 오전에 악성코드 관련 조치율 99% 완료
• 현재 KISA 및 과학기술정보통신부에서 감염원인 및 피해규모 파악 중앙

• 추가 내용

• CGV에서 키오스크시스템에 워너크라이 랜섬웨어 사고 발생 이력 존재
  - 키오스크 시스템은 윈도XP(EOS)를 사용하는 부분이 대다수이며 보안업데이트, 백신설치 등의 기본적인 보안 대응방안의 사각지대에 놓여 있음
  - 결제 시스템이 포함된 키오스크시스템도 다수 존재함(CGV도 결제 기능 존재)
• 국내 키오스크 OS의 99%는 윈도 기반으로 제작됨
• 기사 내용에서 보면 OS업데이트를 통해 조치 시행중이라는 내용이 있음
  - 내부망과 연결가능한 키오스크시스템이 OS업데이트가 주기적으로 되고 있지 않았음
• LG전자서비스 키오스크시스템이 내부망 DATA(서비스센터 방문자 개인정보, 처리 이력 등)에 접근가능 할 경우 크리티컬한 문제 가능성 존재