꼰머의 보안공부

국내 기관 대상 공격 및 자료 유출 활발

1. 개요

- 해킹 포럼에서 국내 기관 대상 공격이 활발
- 데이터 판매, 디페이스 공격 등을 수행

2. 주요내용

- 24.01.01 한국은행, 24.01.06 외교부 DDoS 공격 발생
> 해커 "‘MrCyber’" 한국은행 대상으로 공격도구 ‘ATTACK SENT’를 이용해 DDoS 감행
> 어나니머스는 이스라엘 지지를 이유로 외교부에 DDoS 감행

- 24.01.19 샤오치잉 소속 중국 해커 "니옌" 정부 기관 등 다수 웹 상디트 공격 예고 및 공격 동참 권유
> 김천녹색미래과학관 디페이스 공격을 시작으로 정부기관 및 교육 사이트 공격 예고
> 해커 "NIKTO_R007" 국내 교육 서비스 플랫폼 런피아 웹 페이지 디페이스 공격 및 공격 과정 유튜브 공개

- 24.01.23 해커 "Teamghostof_death" 해킹포럼에 우체국 개인정보 보유 및 판매 게시글 작성
> SQL 취약점을 악용해 6000개 이상의 개인정보를 탈취(1.5GB 용량) 했다 주장
> 협상을 위해 10일 동안의 시간을 제시하였으며, 결렬 시 데이터 개인정보 판매 예고
> 우정사업본부는 유출 흔적 없음 확인 발표

- 24.01.30 "니옌" 국내 공격 대상 IP, 공격 방법 등을 공개
> Oracle, SQL, WebShell 등을 이용

- 24.02.05 신원 미상 해킹그룹 대민 서비스 계정 13,000여개 유출
> 국정원은 미상 해킹그룹이 대민 서비스 이용자의 개인정보가 불법 유통되고 있는 정황 포착
> 인포스틸러 악성코드를 악용해 ID/PW 탈취

3. 대응방안

- 공격이 예고된 도메인 또는 일자 대상 모니터링 강화
- 알려진 취약점, 인증정보 등 부정사용에 대한 모니터링 강화

1. 잡플래닛 회원 개인정보 다크웹 유출 

1. 개요

- 이메일, 해시코드, 주민번호, 연락처 등 개인정보 380K 분량 샘플 공개

2. 주요내용

- 12.02 다크웹에 ‘JOBPLANET.CO.KR 380K EMPLOYMENT SEEKERS DATABASE’ 샘플 자료 공개
- 이메일, 해시코드, 주민등록번호, 연락처 등 개인정보 공개
> 과거 데이터 다수 포함_016, 018, 019 등 전화번호가 포함되어 있음

- 잡플래닛 운영사 브레인커머스측은 개인정보가 유출된 사실이 없다 발표
> 잡플래닛에서 암호화된 개인정보는 해킹이 불가능한 구조
> 공개된 샘플에는 잡플래닛이 수집하지도 않는 정보(주민등록번호)가 포함
> 로그 상에서도 해킹을 시도했거나 성공했다는 기록이 확인되지 않음

2. 샤오치잉 공격 시도 포착

1. 개요

- 샤오치잉, 11월 국내 언론사, 부동산 관련 사이트 공격 시도 포착
- 12.09 텔레그램을 통해 국내 개인정보 파일 공개

2. 주요내용

- 샤오치잉은 상반기 한국을 대상으로 여러 사이트를 공격
> SQL 인젝션 등 취약점과 해킹 툴을 악용해 디페이스공격과 개인정보를 탈취
- 11월부터 샤오치잉 활동 재개 확인 및 공격 시도 화면 텔레그램 공격
- 12.09 “한국의 신선한 데이터베이스” 텔레그램 공개
> 2020년 4월 30일로 표기된 엑셀파일 형태로 이름, 핸드폰번호, 사용 중인 신용카드 회사명 등이 기재
> 누구나 다운로드 할 수 있도록 한국인 및 중국인들의 개인정보가 담긴 파일, 링크, 이미지 및 동영상 등이 업로드

3. 골프존 랜섬웨어 감염 및 탈취 데이터 다크웹에 유출

1. 개요

- 11.23 골프존은 랜섬웨어에 감염 및 탈취 데이터 유출

2. 주요내용

- 골프존은 랜섬웨어에의해 11.23부터 5일 이상 서비스 장애 발생
> 회원정보 및 개인정보를 요구하는 골프존 사칭 스미싱 문자 확인
- 12.08 랜섬웨어 조직 ‘BLACK SUIT’은 다크웹의 릭(leak) 사이트에 골프존 탈취 파일 업로드
> 회원의 개인정보는 없는 것으로 보이나, 유출된 데이터를 활용한 2차 공격이 예상

4. 국내 온라인쇼핑몰 M사 개인정보 추정 데이터 유출

1. 개요

- UTC 기준 12일 06:16경 온라인쇼핑몰 M사의 개인정보를 다크웹에 공개

2. 주요내용

- 온라인쇼핑몰 M사의 개인정보 샘플을 다크웹에 공개
> 주소, 휴대폰 번호, 사용은행 계좌번호, 이메일주소, 전화번호 등이 샘플로 공개
> SQL 인젝션을 이용해 DB 추출 및 2023년 정보로, 1.8kk 데이터 보유 추정
- 공개한 데이터 형식을 보면, DB에서 직접 추출한 칼럼 형태로 공개되어 있어 실제 유출됐을 가능성이 매우 높음

1. AI를 악용한 공격도구의 등장

1. 개요

- ChatGPT 등 AI를 이용한 신기술이 등장하면서 다크웹에서도 이를 활용한 새로운 공격 도구들이 등장

2. 주요내용

- WormGPT

> 피싱 공격과 BEC 공격을 실시할 때 효과를 크게 높일 수 있다고 홍보

> 개인화된 매우 설득력 있는 가짜 이메일 생성을 자동화하여 공격의 성공 가능성을 높일 수 있음

- FraudGPT

> BEC 공격을 가능하게 해 주며, 한 달 200달러 구독료로 사용이 가능

> 스피어 피싱 이메일 생성, 크래킹 도구 및 카딩과 같은 공격적인 목적으로만 판매되고 있는 중

※ 참고

- PoisonGPT

> AI 보안 관련 기업 Mithril Security가 기존의 대규모 언어 모델에 거짓 정보를 추가하여 개발한 가짜 뉴스를 생성하는 채팅 AI
> AI 공급망의 전반적인 문제를 부각하고 대규모 언어 모델의 위험성을 전달하기 위해 PoisonGPT를 구축

3. 시사점

- 새로운 신기술을 악용하여 사이버 공격을 위한 진입장벽이 낮춰지는 중

- 벤더사에서 악용을 방지 하기위해 다양한 필터링 규칙 등을 적용하나 지속적으로 탈옥방법이 공유되는 중

- 다량의 잘못된 데이터를 고의로 학습시키는 등의 적대적 공격에 대한 대응이 필요

2. 폐쇄되었던 다크웹 해킹 포럼의 서비스 재개

1. 개요

- 국제 공조로 폐쇄되었던 다크웹 해킹 포럼이 최근 서비스를 재개하기 시작

2. 주요내용

- Genesis Market

> 17년부터 운영된 다크웹 해킹 포럼으로, 23.04 국제 공조를 통해 관련 인물 검거 및 포럼 폐쇄

> 전반적인 인프라부터 기존에 보유한 불법 데이터 또한 포함되어 거래

- BreachForums

> 22년부터 운영된 다크웹 해킹 포럼으로, 23.03 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

※ 참고

- BreachForums

> 익명의 사용자가 MyBB(무료 오픈 소스 포럼 소프트웨어)의 제로데이 취약점을 이용해 포럼에서 4,000명의 회원 데이터 유출
> 탈취한 데이터를 또 다른 공격자들이 재판매 하는 중

3. 시사점

- 기 유출된 데이터가 악용에 재사용 되지 않도록 관련 대응 강화 필요

- 다크웹뿐만 아니라 텔레그램을 통해 포럼을 홍보하는 것으로 판단되어 관련 모니터링 강화 필요

3. 서피스웹에서의 불법 데이터 거래 확산 

1. 개요

- 기존 접근이 제한되던 다크웹이 아닌 서피스웹에서의 불법 데이터 거래가 확산되는 중

2. 주요내용

- Cracked[.]io

> 홈페이지 하단 소개를 통해 공격 도구, 유출 데이터 거래 등을 제공한다고 소개 

3. 시사점

- 관련된 서피스웹 모니터링 강화 필요

1. SK바이오팜 내부 정보 유출

1. 개요

- 아키라(Akira) 랜섬웨어 그룹의 피해 기업에 SK라이프사이언스 등재

2. 주요내용

- 아키라 그룹은 딥웹에 SK라이프사이언스의 데이터 공개를 예고

- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개

2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출

1. 개요

- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해
- 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견

2. 주요내용

- 한국 기업과 관련된 1.4TB 크기의 데이터 유출

- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공

3. 챗GPT 크리덴셜 발견

1. 개요

- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출

2. 주요내용

- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견

4. 제로다크웹 다크웹 모니터링

1. 개요

- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행

2. 주요내용

- 국내 100대 기업 관련 내용

> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

- 국내 30대 금융사 관련 내용

> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

3. 대응방안

- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악
- 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화
- 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육
- 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시
- 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토

1. 다크웹 해킹 포럼 폐쇄

1. 개요

- 미국 FBI 및 국제 공조로 다크웹 해킹 포럼이 연속적으로 폐쇄

2. 주요내용

- BreachForums 폐쇄

> 22년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

※ 22년 국제 사법 기관들의 공조로 폐쇄된 레이드포럼(RaidForums)의 대안 및 후속적인 역할 수행

> 주로 거래된 정보는 계좌 정보, 주민번호, 이메일 주소, 유출한 데이터베이스, 침해된 계정 정보 등

> 23년 3월 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

- Genesis Market 폐쇄

> 17년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

> 주로 거래된 정보는 쿠키, 크리덴셜 정보 등

> 23년 4월 국제 사법 기관들의 공조로 관련 인물 검거 및 포럼 폐쇄 

- Try2Check 폐쇄

> 05년부터 23년까지 운영된 다크웹 해킹 포럼 (카드 정보의 유효성 확인)

> 훔치거나 유출된 카드 정보를 대량으로 구매한 자들이 해당 정보 중 아직 활용 가능한 정보를 확인하기 위해 사용

> 23년 5월 국제 사법 기관들의 공조로 포럼 폐쇄 (운영자는 특정했으나 러시아에 거주 중이라 아직 검거되지 않음)

- 13곳의 DDoS 대행 서비스 폐쇄

>  DDoS 대행 서비스를 부터(Booter) 혹은 스트레서(Stresser)라 부름

> 공격자들은 다른 공격과 섞어 대행 서비스를 이용

> 23년 5월 국제 사법 기관들의 공조로 13곳 폐쇄

- 기타

> 록빗(LockBit) 랜섬웨어 그룹의 지도자급 인물 중 한 명이 캐나다에서 채포

> 레빌(REvil) 랜섬웨어 그룹의 일원 한 명이 폴란드에서 체포

> 랩서스(Lasus$) 해킹 그룹의 일원 한 명이 브라질에서 체포

3. 기타사항

- 다크웹 등을 통한 계정 정보 유출이 지속적으로 발생

> 기업들의 적극적인 조치(비밀번호 변경, 2차 인증 등) 필요

> 정보 유출 방지를 위해 최신 업데이트 적용, 취약점 분석 및 조치, 보안 교육 등 필요

- 폐쇄된 다크웹 해킹 포럼을 대체할 포럼이 지속적으로 생성되는 중으로 주의 필요

> BreachForums의 폐쇄로 어나니머스 출신이라 밝힌 한 인물이 kkksecforum 다크웹 포럼 개설을 트위터를 통해 알림

> 폐쇄된 13곳의 DDoS 대행사 중 10곳은 지난 22.12에 폐쇄된 서비스가 부활한 것

2. 구글, 다크웹 스캔 서비스 제공

1. 개요

- 구글에서 미국 사용자들을 대상으로 다크웹 스캔 서비스를 제공

2. 주요내용

- 미국 내 구글 원(Google One) 서비스 사용자들에게만 제공 중

- 다크웹을 스캔해 이름, 주소, 이메일 주소, 전화번호, 주민등록번호 등이 유통되고 있는지 확인할 수 있게 해 주는 서비스

- 다크웹에 정보가 있는 것으로 보이는 사용자에게는 자동으로 보고서와 권장 조치 사항들이 전달

3. 기타사항

- 관련 보고서를 곧 공개할 예정

1. 카딩 서비스 바이든캐시(BidenCash), 전세계 신용카드 정보 200만건 이상 공개

1. 개요

- 카딩 서비스를 제공하는 바이든캐시에서 260MB의 데이터를 무료 공개

※ 카딩 서비스: 불법 또는 도난 당한 카드 정보를 거래 및 무단 사용을 용이하게 하는 사이버 범죄 웹사이트

- 바이든캐시는 22.10월에도 약 120만건의 카드정보를 공개했으며, 국내 카드정도보 포함되어 있음

2. 주요내용

- 공개된 데이터는 약 220만건으로, 카드정보와 개인정보를 포함

- 카드정보: 카드번호, 유효기간, CVV 번호 등

- 개인정보: 카드 소유자 이름, 이메일, 전화번호, 주소 등

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

※ FDS(Fraud Detection System):  전자 금융 거래에서 다양하게 수집된 정보를 종합적으로 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

2. 현대카드 카드정보 유출

1. 개요

- 현대카드에서 일부 회원들에게 ‘[현대카드] 카드정보 유출 관련 안내’ 메일 발송

- 최근 신용카드 카드정보가 일부 온라인 쇼핑몰이나 해외 직구사이트에서 불법 유통되고 있음이 확인

2. 주요내용

- 카드사에서 유출된 것이 아니며, 온라인 쇼핑몰에 피싱 결제 페이지를 삽입하는 해킹 수법을 통해 진행된 것으로 추정

- 카드정보: 카드번호, 유효기간, CVC, 비밀번호 2자리

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

- 안내 메일을 참고하여 카드 재발급 신청

3. 다크웹에 '업카' 회원 정보 유출

1. 개요

- 박차컴퍼니에서 운영하는 중고차 거래 플랫폼 업카의 회원정보가 다크웹에 유출

- 현대캐피탈과 제휴하여 운영중인 플랫폼

2. 주요내용

- 해킹포럼에 1만6000명여건의 정보를 갖고 있다고 주장하며, 데이터를 판매한다는 게시글이 업로드

- 박차 홈페이지 게시글 "[공지] 박차컴퍼니 해킹에 대한 후속조치 보고서"에 따르면 SQL Injection 공격으로 데이터 탈취 발생

- 게시정보: 담당자명, 업체 주소, 이메일주소, 전화번호, 팩스정보, 사업자번호, 법인번호, 환불계좌

3. 대응방안

- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화

4. Lockbit 랜섬웨어 국세청 해킹 주장

1. 개요

- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급

2. 주요내용

- 23.04.01 오후 8시 유출 데이터 공개 예고

- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음

3. 대응방안

- 랜섬웨어 대응 방안 준수 및 모니터링 강화

5. 쿠팡 개인정보 유출

1. 개요

- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시

2. 주요내용

- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출

- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등

- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단

※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음

- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표

※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중

3. 대응방안

- 해킹 관련 대응 방안 준수 및 모니터링 강화

6. 해외사례

- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개

※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등

7. 참고사항

- 금융사에서는 2차 피해 예방을 위한 조치 필요 - FDS 등 모니터링

- 랜섬웨어, 공급망 공격 등에 대한 대응방안 모색 필요