꼰머의 보안공부

1. InfoStealer

- 사용자의 시스템에 침투하여 정보를 탈취하는 멀웨어

- 주로 피싱 메일, 크랙 및 불법 소프트웨어 등을 통해 유포

> 계정 정보, 웹 브라우저 저장 정보 (쿠키, 자동 완성 등), 금융 정보 등을 탈취

> 탈취한 정보를 악용해 크리덴셜 스터핑 공격 등 추가 공격이나 금전적 이득을 취함

1.1 LummaC2

- LummaC2 InfoStealer는 소프트웨어 크랙 버전으로 위장하여 유포 [2]

- 사용자가 다운로드 및 실행하면 스크립트가 동작하여 악성코드에 감염

※ 실제 공격에 사용된 악성코드와 차이가 있을 수 있음

2. KS한국고용정보 내부 데이터 유출

- 25.04.05 공격자는 LummaC2 InfoStealer를 이용해 KS한국고용정보 공식 도메인(ksjob.co[.]kr)의 관리자 계정 탈취 [1]

> 해당 악성코드는 크리덴셜, 세션 토큰, 브라우저 자동저장 정보 등을 수집해 공격자에게 전달

- 25.04.19 탈취한 계정을 통해 내부 시스템 접근에 성공 및 데이터 탈취

> 유출된 데이터는 총 22GB 분량으로 기본 개인정보와 개인 식별 및 사칭 가능성이 높은 문서들이 대거 포함

> 이름, 생년월일, 주민등록번호 뒷자리, 이메일, 주소, 전화번호, 비밀번호, 계좌번호 등 기본 개인정보

> 신분증 사본, 통장 사본, 임직원 사진, 근로계약서, 자필 서명, 급여명세서, 가족관계증명서, 주민등록등본, 혼인관계증명서 등 민감도가 높은 문서

※ 수년 전 퇴사한 임직원들의 정보까지 포함되어 있어 사측의 개인정보 보관 정책에 대한 비판 有

- 25.04.22 Exploit Forum(다크웹 해킹 포럼)에서 Thales 사용자는 해당 데이터를 15,000달러에 판매하겠다는 글 게시

> 모든 이메일 계정 접근권, SQL 데이터베이스, 재무자료, 문서, 직원 신원정보가 포함된다고 설명

3. 대응방안

- 이메일 열람 주의

- 정식 소프트웨어 사용

- 계정 정보 변경 (사이트 별 상이한 계정 정보 사용 등)

- 퇴직자 관련 정보/문서 삭제 등 퇴직자 관리 프로세스 마련

- 문서 보안 체계 강화

- 다크웹 기반 위협 인텔리전스 도입

4. 참고

[1] https://www.dailysecu.com/news/articleView.html?idxno=165636
[2] https://asec.ahnlab.com/ko/86396/

1. 내부 직원에 의한 개인정보 유출

- 기업이나 기관의 내부 구성원이 고의 또는 실수로 개인정보나 중요 데이터를 외부로 유출하거나, 보안 사고를 발생시키는 행위

1.1 발생 원인

① 미흡한 권한 관리

> 직원에게 과도한 접근 권한 부여

② 모니터링 부족

> 내부 정보 접근 및 다운로드 기록 미비

③ 보안 교육(또는 인식) 부족

> 개인 정보 등 중요 정보에 대한 보호 및 보안 교육 부족

④ 내부 감시 시스템 부족

> 이상 행동 탐지 시스템, 로그 모니터링 등 시스템 부족

1.2 관련 사례

- 14.01.08 카드 3사 개인정보 및 금융정보 무단 유출

> 카드 3사(KB, 롯데, 농협)는 KCB에 FDS 시스템 업그레이드 관련 용역을 진행

> KCB 담당 직원은 12.10 ~ 13.12까지 USB로 고객들의 개인정보를 유출

> 유출 정보를 대출광고업자에게 1650만원에 판매하였고, 대출광고업자들은 2300만원에 재판매

1.3 대응 방안

① 최소 접근 권한 부여

> 업무 수행에 필요한 최소한의 정보만 접근 가능하도록 설정

② 모니터링 시스템 구축

> 내부직원의 정보 접근 및 다운로드 로그 등을 모니터링할 수 있도록 시스템 구축

③ 주기적 보안 교육

> 개인정보 보호 및 보안에 대한 교육 시행

④ 데이터 암호화 및 접근 통제

> 중요 데이터에 대한 암호화 적용 및 접근 통제 (인증 시스템 강화)

1.4 관련 법률

2. NIA 개인정보 유출

- 최근 실시한 자체 감사 결과, 한 내부 직원이 개인정보가 포함된 자료를 유출한 사실을 최종 확인

> 유출 정보 : NIA 외부 자문위원 등의 개인정보

> 유출 항목 : 자문위원 개인의 소속과 핸드폰 번호, 이메일, 생년월일, 주민번호, 주소, 계좌번호 등

> 현재 유출된 자료는 모두 회수한 상태로, 유출 사실 인지 직후 관계기관 신고 등 추가 유출 방지를 위한 조치를 진행중

3. 참고

[1] https://www.boannews.com/media/view.asp?idx=136323&page=1&kind=1

1. 스티비 서버 해킹으로 개인정보 유출

- 뉴스레터 발송용으로 활용하는 외부 마케팅 솔루션이 해킹되어 외교부 사칭 스팸 메일이 발송
> 유포된 메일에 대한 기술적 분석 결과 악성 기능이 없는 것으로 파악

- 사용자 이름, 이메일 주소, 암호화된 비밀번호 등과 일부 고객 신용정보 유출
> 결제 오류 로그에 민감한 신용정보가 함께 저장 (서버 해킹으로 내부 로그가 함께 유출)
> 일부 회원 계정이 외부 공격자에 의해 로그인된 정황 발견 (비밀번호는 단방향 암호화되어 있어 유출 가능성 낮음)

※ 로그 관리 방식의 미비 : 로그 접근 권한의 제한 부족과 장기간 로그 보관이 보안상 취약 요소로 작용

- 사후 보안 강화 대책
> 취약점 보완 및 시스템 내 모든 개인정보 완전 암호화
> 로그인 시 2단계 인증 도입 및 이상 로그인 감지 시스템 강화
> 해외 IP 차단 및 로그 보관 정책 재정비
> 금융기관과 협력해 이상 금융 거래 감시 및 실시간 모니터링 강화
> 보안 조직 확대 및 보안 전문가 영입
> 개인정보 수집 및 보관 정책 변경 (불필요 정보 즉시 파기, 최소한 정보 저장)

2. KERIS 개인정보 유출

- AI디지털교과서 수업설계안 개발 과정에 참여한 교원들의 개인정보가 유출
> 개발에 참여 중인 선생님들이 상호 피드백 그룹 정보 조회를 위한 엑셀파일을 구글 드라이브에 탑재
> 엑셀파일은 개인정보 보호를 위해 암호 설정 및 선생님들은 수신 문자의 그룹 코드를 입력해 본인의 피드백 그룹 정보만 확인하도록 설계
> 구글 드라이브에서 구글 스프레드 시트를 통해 열람 또는 다운로드할 경우 암호 설정이 해제되는 현상이 발생하여 개인정보 유출

- 개발에 참여 중인 선생님 957명의 이름, 소속학교, 지역(시, 도), 휴대전화번호, 이메일 유출
> 구글 드라이브에서 엑셀 파일 삭제 및 선생님들에게 파일 삭제 요청 안내

- 휴먼 에러 가능성
> 암호화 엑셀 파일을 구글 드라이브에 올린 후 구글 스프레드 시트로 열람할 경우 비밀번호 입력 기능이 유지됨
> 구글 스프레드시트에서 직접 파일을 작성하고 특정 사용자에게 링크 공유와 잠김 기능을 사용한 경우 설정 오류일 것
> 또는 엑셀 파일 자체에 비밀번호 설정을 잘못했을 가능성
> 내부 개인정보 문서를 외부 시스템을 통해 공유하는 방법 자체의 잘못

3. 한예종 재학생·졸업생 개인정보 유출

- 해킹 공격으로 누리 시스템에 있는 재학생·졸업생 1만 8,000여명의 개인정보 유출
> 유출 항목 : 학번, 한글·한문·영문성명, 생년월일, 성별, 학적상태, 학년, 과정, 소속, 학과,  전공, 입학일, 수험번호, 일반휴학학기, 휴대전화번호, 자택전화번호, 주소, 예금주, 은행명, 계좌번호, 이메일 등
> 유출 의심 항목 : 보호자 정보, 장학금, 등록금, 성적

4. 한국정보보호산업협회 개인정보 유출

- 뉴스레터를 발송하는 과정에서 수신인 메일 주소 10,592건이 삽입되어 발송
> 뉴스레터 구독자들에게 메일 삭제 요청
> 악용 의심 사례는 발생하지 않음

- 대응
> 메일 전송 서버 강제 중단
> 메일 송부 프로그램 교체 및 발송 확인 절차 강화

5. GS리테일 개인정보 유출

- 크리덴셜 스터핑 공격을 받아 개인정보 유출
> 유출 항목 : 이름, 성별, 생년월일, 연락처, 주소, 아이디, 이메일

- 공격 IP 및 공격 패턴 차단, 계정 잠금 처리, 개인정보가 표시된 페이지를 확인할 수 없도록 임시 폐쇄 조치
> 2차 피해 방지를 위해 비밀번호 변경 권고

1. 국내

- 온라인 강의 플랫폼 클래스유, 개인정보 유출
> 암호화 등 보안조치 미흡으로 100만명의 회원정보가 해킹포럼에 유출
> 유출된 개인정보는 닉네임, 이름, 전화번호, 이메일(일부 암호화)이며, 금융정보는 포함되지 않은 것으로 확인
> 앞으로는 회원들의 정보를 모두 암호화하여 보관할 예정

- 전북대 통합정보시스템 해킹으로 32만여명의 개인정보 유출
> 재학생, 졸업생, 평생교육원 회원 등 총 32만명 이상의 개인정보 유출
> 이름, 주민등록번호, 전화번호, 이메일, 학사정보 등을 포함해 재학생·졸업생은 74개 항목, 평생교육원 회원은 29개 항목이 유출
> 인지 직후 공격 IP, 불법 접속 경로 차단 및 취약점 보완 조치와 철저한 재발방지 대책 마련 약속

- 공군 창의·혁신 아이디어 공모 해커톤 참가자 개인정보 유출
> 공군에서 운용 중인 인터넷 공군 해커톤 평가체계 홈페이지에서 관리되고 있는 고객 약 450명의 개인정보가 유출
> 유출된 정보는 2022년 수상자 명단, 2024년 접수현황 파일로, 해당 파일에 신분, 이름, 생년월일, 소속, 전화번호, 메일주소가 포함
> 유출 사실 인지 후 추가 피해 방지 및 예방 조치 완료

- 선문대학교, 위탁업체 실수로 학생 개인정보 유출
> 일부 홈페이지의 개발·운영을 위탁한 외부 업체가 시스템 업데이트 과정에서 학생 개인정보 유출
> 시스템 업데이트 과정에서 기술적 문제로인해 로그인 없이 재학생 정보를 검색할 수 있었음
> 9700여명의 이름 일부와 학년, 학과, 전화번호 유출
> 피해 학생에게 사실 안내와 개보위 신고 및 긴급회의 진행(사건 발생 경위, 데이터 관리 차원에서 기술적 오류 여부, 사후 관리 계획 등)

2. 해외

- 아틀라시안의 작업 관리도구 트렐로에서 약 1,500만명의 사용자 개인정보 유출
> API 취약점을 악용한 해커의 공격으로 발생
> 공개된 API 앤드포인트 악용->이메일 주소 목록 활용->데이터 조합->데이터 유출 및 판매 단계를 걸쳐 진행

> 아틀라시안은 이메일 주소를 기반으로 다른 사용자들의 공개 정보를 요청하는 비인가 사용자들의 접근 차단 조치 및 API 사용을 지속 모니터링해 필요한 조치를 취할 것이라 발표

- 사상 최대 규모의 개인정보 유출 사건 발생
> 미국 거주자의 민감한 개인정보 담긴 약 27억 건의 데이터가 암호화되지 않은채 해킹 포럼에 유출
> 개인정보를 수집·판매하는 업체인 National Public Data에서 발생
> 유출된 정보는 이름, SSN(사회보장번호), 주소지, 일부 별칭 정보가 담긴 두 개의 텍스트 파일로, 총 277GB
> 유출된 데이터 중 많은 데이터가 오래된 백업에서 가져온 것으로 보임
> 피해 최소화를 위해 신용 보고서 모니터링, 신용 동결 고려 등 즉각 조치를 권고

- 텐센트 사용자 14억 명의 개인정보 유출
> 텐센트 고객 14억 명의 이메일, 전화번호, QQ용 ID 등 유출
> 정보의 출처는 확인되지 않으나, 24년 1월 MOAB(Mother of All Breaches)일 것으로 판단
> MOAB는 4000건이 넘는 침해 사고에서부터 수집된 데이터를 저장한 DB로, 약 260억 건의 기록을 포함
> MOAB에 15억 건의 텐센트 계정이 포함되어 있던것이 확인된바 있음

3. 공통

- IP 카메라 해킹으로 사생활 영상 180건 유출
> 2017년부터 최근까지 촬영된 것으로 보이는 IP 카메라 영상 약 180건 확인
> 유출 영상은 하나당 10~15달러에 거래되나, 피해자는 영상 유출 사실조차 인지하지 못하는 상황
> 제품을 사용하지 않을 경우 전원을 꺼두거나 렌즈 가리기, 펌웨어 최신 업데이트 등 보안 조치 필요