분류 전체보기
lastcard
2018. 1. 19. 14:16
2018. 1. 19. 14:16
1. 개요
- 건강기능 식품 제조판매 업체 천호식품이 해킹으로 고객 개인정보 유출
2. 내용
- 1일 자사 홈페이지를 통해 개인정보 유출 사과문 게재
- 2016년 5월 14일경 중국발로 추정되는 IP로부터 해킹
- 2010년 4월부터 2016년 5월 14일까지 사이에 건강잡지를 신청했던 2만 8,000여명의 정보 유출
- 주민등록번호, 계좌번호 등의 민감한 정보는 유출되지 않음
- 사고와 관련해 천호식품은 해당 웹페이지를 완전 폐쇄
- 천호식품 쇼핑몰과는 별개의 웹페이지
lastcard
2018. 1. 19. 14:15
2018. 1. 19. 14:15
1. 개요
- 유출된 페이스북 보안정보를 악용하여 부당이익을 챙긴 일당 불구속 입건
2. 내용
- 올해 2월부터 10월까지 액세스 토큰 80만 5천건을 수집해 광고업잘의 페이스북 페이지에 '좋아요' 횟수를 대폭 올려주거나 팔러워 수를 부풀린 계정을 만들어 파는 수법으로 1억 6천만원을 챙긴 일당 검거
- 안드로이드용 페이스북 보안정보가 유출됐고 이를 악용한 일당이 네티즌을 속여 페이스북 계정을 마음대로 이용할 수 있는 '액세스 토큰(Access Token)'을 챙긴 뒤 멋대로 조정
- 액세스 토큰은 영어 소대문자가 뒤섞인 3~4줄의 암호문이어서 사전 지식이 없으면 웹사이트 화면에 나타나도 어떤 용어인지 알기 어려움
- 액세스 토큰은 자신의 이름과 프로필의 학력, 주소 등 기본 정보를 알려주고 게시물을 작성하거나 '좋아요'를 찍고 다른 계정의 팔로워가 되는 권한 소유
- 자신의 계정 아이디(ID)와 비밀번호를 넘기는 것과 동일하며 이렇게 되면 자신도 모르는 사이에 음란업체 페이지 등에 '좋아요'를 마구 찍고 알지도 못하는 상품 광고 페이지의 팔로워가 되는 등 SNS 좀비로 전락하게 됨
- 조사결과 방문자 추적기, 애정도 측정기 등 페이스북 페이지를 만들거나 동문 학대방지법 강화, 생리대성분 의무공개 법안 제정 등을 촉구하는 서명운동을 벌이는 것처럼 꾸민 사이트를 만들어 페이스북 이용자들의 액세스 토큰 수집
- 방문자 추적이나 서명운동은 미끼에 불과
lastcard
2017. 12. 19. 13:20
2017. 12. 19. 13:20
1. 개요
- 북한이 지난해 4월 대우조선해양을 해킹해 우리 해군의 핵심전력인 이지스함과 잠수함 설계도 등 1~3급 준사기밀 60여건을 빼감
2. 내용
- 기사 내용
- 북한의 대우조선해양 해킹으로 내부 자료 4만여 건이 유출됐으며, 이중 1급에서 3급 국가기밀이 60여건에 달함
- 잠수함 장보고-III(3000t급), 이지스함 율곡이이함, 차기호위함 울산급 배치-II, 수상함구조함 통영함 등의 설계도와 전투체계, 건조기술, 무기체계, 시험·제안서 평가 자료 등이 유출됨
- 율곡이이함의 경우 '신의 방패'로 불리는 이지스 전투체계를 탑재하고 있으며, 북한이 탄도미사일을 발사하면 2분 이내에 가장 먼저 포착해 전군이 대응작전에 나설 수 있게 하는 해상 전력의 핵심 - 북한은 기무사령부가 대우조선해양을 감사하던 같은 해 8월 추가해킹 시도
- 해킹 기법과 로그 기록, 인터네 주소(IP주소) 등을 종합 분석 결과 북한 소행으로 결론냄
lastcard
2017. 12. 19. 13:16
2017. 12. 19. 13:16
1. 개요
- 북한이 대만 은행을 해킹해 6,000만 다러(약 680억원)를 빼돌리려고 함
2. 내용
- 기사 내용
- 북한 해커가 10월초 대만 위안둥 국제상업은행을 해킹해 6,000만 달러, 약 676억원 강탈을 시도했으며, 은행 측은 이 가운데 50만 달러, 약 5억 6천만원을 제외한 전액을 복구
- 북한 정부 연계 해커집단으로 알려진 '라자루스'가 주범으로 추정됨 - 지난 1일 바이러스를 위안둥 은행의 컴퓨터망에 침투시켜 3일 미국과 스리랑카, 캄보디아 은행에 총 6,000만달러를 부정 송금시도
- 스리랑카에서는 4일조력자가 세이론 은행에서 3,000만 스리랑카루피(2억원)을 인출했고, 5일 다시 800만 스리랑카루피를 출금하려다가 당국에 붙잡힘
- 라자루스로 추정되는 해커집단은 국제금융망인 국제은행간통신협회 망을 이용해 원동국제상업은행 해킹을 시도
- SWIFT 망을 이용한 작년 방글라데시 중앙은행 해킹 이후 SWIFT와 은행들이 보안을 강화해 해커들은 은행 시스템에서 자금을 빼내는데 어려움을 겪었다고 분석
lastcard
2017. 12. 19. 13:12
2017. 12. 19. 13:12
1. 개요
- 말레이시아 이동통신 사업자가 보유한 4,620만건에 달하는 고객 개인정보 유출
2. 내용
- 기사 내용
- 2014년 5~7월 유출된 것으로 보이는 대량의 개인정보가 인터넷 상에서 유통
- 개인정보 출처 : 셀콤(CELCOM), 디지(DIGI), 맥시스(Maxis) 등 현지 주요 이동통신사와 알뜰폰(MVNO, 이동통신재판매) djqcp - 유출된 정보는 전화번호, 심(SIM) 카드 정보, 가이자 신상, 신분증 번호, 집 주소 등
- 말레이시아 전체 인구는 3천 100만명 내외 - 추가적으로 말레이시아 의사협의회(MMC)와 말레이시아 의사협회(MMA), 말레이시아 치과협회(MDA) 등이 보유하고 있던 8만 1,000여건의 환자 개인정보도 유출 됨
lastcard
2017. 12. 19. 13:08
2017. 12. 19. 13:08
1. 개요
- 국제금융망인 국제은행간통신협회(SWIFT)의 결제체계를 이용한 외화탈취 해킹사건 발생
2. 내용
- 기사 내용
- 10월 25일 네팔의 가장 큰 민간은행인 NIC아시아은행(NIC Asia Bank)이 네팔 주앙수사국(CIV, Central Investigation Bureau)에 사이버 해킹 수사 의뢰
- 19일 발생한 해킹사건에 대한 정확한 피해액과 용의자는 아직 파악되지 않음
- 전세계 6개국에 있는 8개 은행으로 약 4억6천만 네팔 루피(미화로 약 440만 달러)가 빠져나갔지만 공식 피해규모는 수사가 끝나고 발표될 것으로 보임
lastcard
2017. 12. 19. 13:06
2017. 12. 19. 13:06
1. 개요
- 가정집과 사무실 등에 설치된 IP카메라 수천 대를 해킹해 타인의 사생활을 훔쳐 보거나 촬영한 30명 불구속 입건
2. 내용
- 기사 내용
- 지난해 1월부터 지난달가지 1년 9개월간 가정집, 학원, 독서실, 미용실, 공부방, 술집, 옷가게, 식당, 요가원, 빨래방, 커피숍 등지에 설치된 IP카메라 1,600여대를 해킹한 다음 12만 7,000여 차례 무단 접속해 타인의 사생활을 훔쳐봄
- IP카메라 서버의 인터넷 주소와 숫자나 문자, 기호 등을 무작위로 대입해 관리자의 비밀번호를 알아내는 '브루트 포스 공격(Brute Force Attack)' 해킹 기법을 이용해 무단 접속
- 피해자들의 IP카메라는 모두 중국 등 외국에서 생산한 제품으로 아이디는 'admin'을 주로 사용했고, 비밀번호도 '0000'이나 '12345'등 단순 숫자 조합이 많아 보안에 취약했음 - IP카메라 해킹을 통해 실시간 영상을 녹화하거나, 이미 저장돼 있던 파일을내려받는 등 동영상 파일 888개(90GB)를 보관
- 888개 파일 중 49개(5GB)가 가정집 내부 촬영 영상 - '줌'과 '촬영 각도' 기능 등을 조작해 카메라를 이리저리 돌려가면서 훔쳐보거나 불법 촬영하였으며 동영상 파일에는 속옷 차림의 여성, 부부 성관계 장면, 독서실에서 학생들이 포옹하거나 키스하는 장면, 에어로빅 학원에서 여성이 탈의하는 장면 포함
- 동영상 분석 중 사무실 여직원 책상 밑에 몰래 설치한 휴대전화를 IP카메라로 이용한 동영상 58개도 확인 됨 - 여성이 혼자 사는 가정집에 설치된 것으로 추정되는 IP카메라는 별도 관리
- 컴퓨터에 100여 곳을 즐겨찾기로 등록해두고 수시로 접속하거나 촬영 - 적발된 30명 중 대부분은 무직이었으며 회사원, 대학생 등도 일부 포함됨
- IP카메라를 해킹해 무단 접속하는 사례가 많다는 첩보를 입수하고 인터넷상에서 관련 해킹을 검색하거나 해킹과 관련된 대화를 나눈 내용 등을 추적해 검거
lastcard
2017. 12. 19. 12:58
2017. 12. 19. 12:58
1. 개요
- 악성코드를 피해자 컴퓨터에 심어 개인정보를 빼는 파밍 수법으로 10억원을 가로챈 금융사기 일당 검거
2. 내용
- 기사 내용
- 2015년 12월부터 올해 3우러까지 334명의 공인인증서 등 금융정보를 빼낸 뒤 이중 77명 명의로 휴대전화를 개통하고, 금융사 앱으로 물건을 사고서 되파는 등 수법으로 10억 2천만원을 라로챔
- 문서 위조 등 혐의로 수배돼 중국에서 도피생활을 하던 한씨는 일부 별정통신사들이 신분증을 찍은 사진만 보내면 휴대전화를 개통해준다는 점을 이용해 범행 계획
- 파밍 수법으로 보안카드 번호, 주민등록번호, 공인인증서 등 금융정보를 빼냄
- 파밍은 컴퓨터에 악성코드를 심어 피해자가 정상적인 사이트 주소로 접속하더라도 가짜 사이트로 연결되도록해 개인정보를 빼내는 수법 - 해킹으로 유촐한 공인인증서와 개인금융정보를 이용해 계좌잔고, 신용등급, 대출한도 등을 조회한 후 피해자 주민번호를 넣어 만든 가짜 신분증으로 개통한 휴대전화에 금융사 앱을 내려받은 뒤 피해자가 사용중인 신용카드 정보를 앱카드로 입력하거나 추가로 신용카드를 발급
- 앱카드나 시뇽카드로 골드바나 상품권을 대량으로 구이해 되팔거나 대출을 받음 - 휴대전화를 개통하는데 필요한 주민등록증 발급일자를 확보하지 못하자 피해자에게 카카오톡으로 접근, 피해자 명의를 도용한 사람으로부터 돈을 빌린 사람인 것처럼 행세하고 개인정보가 도용됐으니 주민등록증을 재발급하라고 말한 뒤 이 날짜를 넣어 휴대전화를 개통
lastcard
2017. 12. 19. 12:52
2017. 12. 19. 12:52
1. 개요
- 지난 3월 기상청 산하 기상산업기술원 홈페이지가 중국발 공격으로 인해 관리자 권한이 탈취되어 고객개인정보가 유출됨
2. 내용
- 기사 내용
- 지난 3월 기상청 산하 기관인 한국기상산업기술원 홈페이지가 허술한 보안관리로 해킹되어 고객들의 개인정보가 유출됨
※ 한국시상산업기술원 : 기상청 산하 기관으로 기상산업 진흥·발전, 기상정보의 활용 촉진 및 유통을 효율적으로 지원. 현재는 기상청의 지진조기경보관측망과 지상·고층 기상관측망을 운영하고 있으며, 기상레이저 유지보수 등의 업무도 담당 - 해킹의 원인으로는 기술우너 홈페이지 방화벽 정책이 외부 접속이 가능한 환경으로 설정되어 있었으며, 특히 2016년 홈페이지를 개편한 이후 위탁업체에서 최초로 설정했던 쉬운 문자열의 계정과 암호를 변경하지 않고 그대로 사용
- 홈페이지 해킹 다시 설정되었던 관리자 아이디 및 암호
구분 |
아이디 |
암호 |
홈페이지 주소 |
내용 |
kmipa |
kmipa123 |
www[.]kmipa[.]or[.]kr |
- 홈페이지에서 개인정보를 수집하는 항목은 클린신고센터, 고객의 소리, 측기검정, 기업지원 신청서 접수 등 4가지 항목
- 측기검정 신청 항목에는 기상측기검정 민원인의 이름, 생년월일, 주소, 전화번호, 이메일 등을 의무로 기재
lastcard
2017. 12. 19. 12:45
2017. 12. 19. 12:45
1. 개요
- 한국을 집중 공격하는 마이랜섬(My Ransom) 랜섬웨어 확산
2. 내용
- 기사 내용
- 마이랜섬 랜섬웨어는 케르베르(Cerber) 랜섬웨어의 변형으로 매그니튜드 익스플로잇 킷을 통해 유포되며 해외에서는 매그니베르 또는 매그니버 랜섬웨어로 불리기도 함
- 국내에서 최초 발견한 순천향대 SCH사이버보안연구센터가 마이랜섬 랜섬웨어로 작명 - 매그니베르는 매그니튜드(Magnitude) 익스플로잇 킷(Exploit Kit)과 케르베르(Cerber) 랜섬웨어의 합성어로 케르베르 랜섬웨어에서 변형되어 매그니튜드 익스플로익 킷을 통해 유포되는 새로운 랜섬웨어
※ 익스플로잇 킷(Exploit Kit)이란 악성코드를 유포하기 위해 사용하는 공격도구 - 지난 2017년 3월 파이어아이는 다이나믹 위협 인텔리전스(Dynamic threat Intelligence, DTI) 리포트를 통해 한국어 시스템만 공격하는 매그니베르 랜섬웨어에 대해 경고
- 2017년 9월 말까지 보이다 사라졌ㅇ며, 지난 10월 15일 다시 한국만을 공격
- 시스템의 언어가 한국어가 아닌 경우 실행되지 않음 - 최근까지 이메일을 통해 케르베르 랜섬웨어를 유포한 공격자들은 매그니베르 랜섬웨어를 유포
- 다시 등장한 매그니튜드 익스플로잇 킷은 온라인 광고를 통해 악성코드를 유포하는 멀버타이징(Malvertising) 형태로 확인됐으며, 랜딩 페이지는 파이어아이가 발견한 후 보고한 CVE-2016-0189로 구성됨
※ CVE-2016-0189 : 스크립팅 엔진 메모리 손상 취약점
공격자가 피싱이나 E-Mail 등을 통해 URL클릭을 유도하여 악성코드나 임의의 코드를 실행할 수 있는 공격 방법으로 윈도우 익스플로러 8,9,10,11 버전에서 발생 - 샌드박스 시스템을 피하기 위해 해당 멀웨어는 가상머신에서 구동되는지 확인을 하고, 그 결과를 URL 콜백으로 첨부
- 가상머신 확인은 평균적으로 실행에 소용되는 시간을 확인하기 위해 여러 차례에 걸쳐 진행됐으며, 평균 소요시간이 1000보다 큰 경우 해당 시스템을 가상머신으로 분류
- 테스트가 실패한 경우 또는 멀웨어가 해당 시스템을 가상머신으로 판단한 경우에는 URL 마지막에 숫자 1을 기입하고, 가상머신이 아니라고 판단된 경우에는 숫자 0을 기입
- URL 형식은 hxxp://[19 charater pseudorandom string].[callback domain]/new[0 or 1]