꼰머의 보안공부

국내 기업 자료 유출

1. 개요

- 랜섬웨어, 해킹 등으로 탈취한 자료 다크웹 유출 및 판매

2. 주요내용

- 인포스틸러에 의한 국내 주요 인터넷 강의 사이트 로그인 정보 및 계정 정보 4만 5천 건 다크웹 유출
>  로그인 정보 4만 5,352건, 사내 계정 정보 490건, 관련 문서 143건

- EvilQueen 해커조직, 국내 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취
> 국내 온라인 쇼핑몰 웹사이트 50여개 결제창 위장해 이용자 정보 유출
> 플랫폼의 취약점과 여러 웹 취약점을 이용해 침투 후 피싱 페이지 삽입 (취약점이 확인된 구버전 PHP 사용, 2차 인증 없이 노출된 관리자 페이지, FTP 서비스 외부 오픈 등)
> 유출된 정보는 카드번호, CVC, 유효기간, 카드 비밀번호, 주민등록번호, 휴대폰 번호 등 금융정보

- 의료금융 플랫폼 개인정보 유출
> 2020년경 해킹으로 유출된 데이터가 공개
> 유·노출된 개인정보는 학교명, 학년, 직업, 계정정보(네이버, 네이트, 한메일 등) 등
> 현재 해당 플랫폼은 정보보호 전담조직이 없는 것으로 파악

- 다크웹에서 국내 자동차 부품기업 핵심자료 거래
> 랜섬웨어 공격으로 재무제표, 인사 파일, 금융 관련 자료 등 포함

3. 대응방안

- 이용자는 주기적 계정 비밀번호 변경, 2단계 인증 적용 등 보안 강화
- 추가적인 유출 방지를 위해 새로운 보안 절차 수립, 솔루션 도입, 내부 교육 등 진행
- 정기적 백업, 최신 패치 유지, 망 분리, 임직원 보안인식 제고 등 필요

해외 기업 자료 유출

1. 개요

- 해외 빅테크 기업의 데이터 유출 확인

2. 주요내용

- 하드웨어 제조업체 Acer, 필리핀 지부 데이터 유출
> 필리핀과 공급 계약을 맺고 있는 서드파티 업체로부터 사건이 시작
> 고객 데이터는 안전하며, 직원들의 개인정보가 탈취된 것으로 확인

- 통신사 AT&T, 7300만 고객 정보 유출
> 2019년까지 가입된 고객들의 사회 보장 번호를 포함한 각종 개인정보 및 민감 정보가 다크웹 유출
> 현재 AT&T 이용 고객 760만명, 과거 AT&T를 이용해본 적이 있는 고객 6,540만

- 전자제품 제조 및 판매업체 Dell, 고객 정보 유출
> 고객 정보를 저장 및 관리하고 있는 델 내부 포털이 침해되었으며, 피해자 수는 공개되지 않음
> 고객의 이름, 거주지 주소, 델에서의 구매 이력 유출

3. 대응방안

- 증가하는 SW 공급망 공격에 대한 주의 및 철저한 대응 필요 (SW 공급망 보안 가이드라인 1.0  참고)

국제 공조, 일부 다크웹 폐쇄

1. 개요

- 국제 공조로 사이버 범죄 그룹 폐쇄

2. 주요내용

- 국제 공조로 록빗, 블랙캣, 네메시스마켓, 브리치포럼즈 등 폐쇄
> 록빗, 블랙캣이 운영하던 공격 인프라, 웹사이트 폐쇄 및 복호화 키 확보 및 공유
> 사이버 범죄 대행 서비스 네메시스마켓, 브리치포럼즈 폐쇄

3. 대응방안

- 새롭게 등장하는 다크웹 포럼 등에 대한 대응책 강구 필요

새로운 유형의 ATM 멀웨어 등장

1. 개요

- 다크웹에서 높은 성공률을 보이는 새로운 ATM 멀웨어가 거래

2. 주요내용

- 유럽 내 ATM 기기의 99%, 전 세계 ATM 약 60%를 침해할 수 있는 ATM 멀웨어 3만 달러에 적극 광고
> ATM 한 대 당 3만 달러의 수익을 보장
> 침해 가능 제조사: Diebold Nixdorf, 효성, Oki, Bank of America, NCR, GRG, Hitachi 등

3. 대응방안

- 국내 ATM 기기 최신 보안 업데이트, 물리적 USB 포트 비활성화 등 점검 필요

국내 기관 대상 공격 및 자료 유출 활발

1. 개요

- 해킹 포럼에서 국내 기관 대상 공격이 활발
- 데이터 판매, 디페이스 공격 등을 수행

2. 주요내용

- 24.01.01 한국은행, 24.01.06 외교부 DDoS 공격 발생
> 해커 "‘MrCyber’" 한국은행 대상으로 공격도구 ‘ATTACK SENT’를 이용해 DDoS 감행
> 어나니머스는 이스라엘 지지를 이유로 외교부에 DDoS 감행

- 24.01.19 샤오치잉 소속 중국 해커 "니옌" 정부 기관 등 다수 웹 상디트 공격 예고 및 공격 동참 권유
> 김천녹색미래과학관 디페이스 공격을 시작으로 정부기관 및 교육 사이트 공격 예고
> 해커 "NIKTO_R007" 국내 교육 서비스 플랫폼 런피아 웹 페이지 디페이스 공격 및 공격 과정 유튜브 공개

- 24.01.23 해커 "Teamghostof_death" 해킹포럼에 우체국 개인정보 보유 및 판매 게시글 작성
> SQL 취약점을 악용해 6000개 이상의 개인정보를 탈취(1.5GB 용량) 했다 주장
> 협상을 위해 10일 동안의 시간을 제시하였으며, 결렬 시 데이터 개인정보 판매 예고
> 우정사업본부는 유출 흔적 없음 확인 발표

- 24.01.30 "니옌" 국내 공격 대상 IP, 공격 방법 등을 공개
> Oracle, SQL, WebShell 등을 이용

- 24.02.05 신원 미상 해킹그룹 대민 서비스 계정 13,000여개 유출
> 국정원은 미상 해킹그룹이 대민 서비스 이용자의 개인정보가 불법 유통되고 있는 정황 포착
> 인포스틸러 악성코드를 악용해 ID/PW 탈취

3. 대응방안

- 공격이 예고된 도메인 또는 일자 대상 모니터링 강화
- 알려진 취약점, 인증정보 등 부정사용에 대한 모니터링 강화

보안뉴스

1. 잡플래닛 회원 개인정보 다크웹 유출 

1. 개요

- 이메일, 해시코드, 주민번호, 연락처 등 개인정보 380K 분량 샘플 공개

2. 주요내용

- 12.02 다크웹에 ‘JOBPLANET.CO.KR 380K EMPLOYMENT SEEKERS DATABASE’ 샘플 자료 공개
- 이메일, 해시코드, 주민등록번호, 연락처 등 개인정보 공개
> 과거 데이터 다수 포함_016, 018, 019 등 전화번호가 포함되어 있음

- 잡플래닛 운영사 브레인커머스측은 개인정보가 유출된 사실이 없다 발표
> 잡플래닛에서 암호화된 개인정보는 해킹이 불가능한 구조
> 공개된 샘플에는 잡플래닛이 수집하지도 않는 정보(주민등록번호)가 포함
> 로그 상에서도 해킹을 시도했거나 성공했다는 기록이 확인되지 않음

2. 샤오치잉 공격 시도 포착

1. 개요

- 샤오치잉, 11월 국내 언론사, 부동산 관련 사이트 공격 시도 포착
- 12.09 텔레그램을 통해 국내 개인정보 파일 공개

2. 주요내용

- 샤오치잉은 상반기 한국을 대상으로 여러 사이트를 공격
> SQL 인젝션 등 취약점과 해킹 툴을 악용해 디페이스공격과 개인정보를 탈취
- 11월부터 샤오치잉 활동 재개 확인 및 공격 시도 화면 텔레그램 공격
- 12.09 “한국의 신선한 데이터베이스” 텔레그램 공개
> 2020년 4월 30일로 표기된 엑셀파일 형태로 이름, 핸드폰번호, 사용 중인 신용카드 회사명 등이 기재
> 누구나 다운로드 할 수 있도록 한국인 및 중국인들의 개인정보가 담긴 파일, 링크, 이미지 및 동영상 등이 업로드

3. 골프존 랜섬웨어 감염 및 탈취 데이터 다크웹에 유출

1. 개요

- 11.23 골프존은 랜섬웨어에 감염 및 탈취 데이터 유출

2. 주요내용

- 골프존은 랜섬웨어에의해 11.23부터 5일 이상 서비스 장애 발생
> 회원정보 및 개인정보를 요구하는 골프존 사칭 스미싱 문자 확인
- 12.08 랜섬웨어 조직 ‘BLACK SUIT’은 다크웹의 릭(leak) 사이트에 골프존 탈취 파일 업로드
> 회원의 개인정보는 없는 것으로 보이나, 유출된 데이터를 활용한 2차 공격이 예상

4. 국내 온라인쇼핑몰 M사 개인정보 추정 데이터 유출

1. 개요

- UTC 기준 12일 06:16경 온라인쇼핑몰 M사의 개인정보를 다크웹에 공개

2. 주요내용

- 온라인쇼핑몰 M사의 개인정보 샘플을 다크웹에 공개
> 주소, 휴대폰 번호, 사용은행 계좌번호, 이메일주소, 전화번호 등이 샘플로 공개
> SQL 인젝션을 이용해 DB 추출 및 2023년 정보로, 1.8kk 데이터 보유 추정
- 공개한 데이터 형식을 보면, DB에서 직접 추출한 칼럼 형태로 공개되어 있어 실제 유출됐을 가능성이 매우 높음

보안뉴스

1. 다크웹 해킹 포럼 폐쇄

1. 개요

- 미국 FBI 및 국제 공조로 다크웹 해킹 포럼이 연속적으로 폐쇄

2. 주요내용

- BreachForums 폐쇄

> 22년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

※ 22년 국제 사법 기관들의 공조로 폐쇄된 레이드포럼(RaidForums)의 대안 및 후속적인 역할 수행

> 주로 거래된 정보는 계좌 정보, 주민번호, 이메일 주소, 유출한 데이터베이스, 침해된 계정 정보 등

> 23년 3월 FBI의 수사로 포럼 운영자 검거 및 포럼 폐쇄

- Genesis Market 폐쇄

> 17년부터 23년까지 운영된 다크웹 해킹 포럼 (유출 정보 거래)

> 주로 거래된 정보는 쿠키, 크리덴셜 정보 등

> 23년 4월 국제 사법 기관들의 공조로 관련 인물 검거 및 포럼 폐쇄 

- Try2Check 폐쇄

> 05년부터 23년까지 운영된 다크웹 해킹 포럼 (카드 정보의 유효성 확인)

> 훔치거나 유출된 카드 정보를 대량으로 구매한 자들이 해당 정보 중 아직 활용 가능한 정보를 확인하기 위해 사용

> 23년 5월 국제 사법 기관들의 공조로 포럼 폐쇄 (운영자는 특정했으나 러시아에 거주 중이라 아직 검거되지 않음)

- 13곳의 DDoS 대행 서비스 폐쇄

>  DDoS 대행 서비스를 부터(Booter) 혹은 스트레서(Stresser)라 부름

> 공격자들은 다른 공격과 섞어 대행 서비스를 이용

> 23년 5월 국제 사법 기관들의 공조로 13곳 폐쇄

- 기타

> 록빗(LockBit) 랜섬웨어 그룹의 지도자급 인물 중 한 명이 캐나다에서 채포

> 레빌(REvil) 랜섬웨어 그룹의 일원 한 명이 폴란드에서 체포

> 랩서스(Lasus$) 해킹 그룹의 일원 한 명이 브라질에서 체포

3. 기타사항

- 다크웹 등을 통한 계정 정보 유출이 지속적으로 발생

> 기업들의 적극적인 조치(비밀번호 변경, 2차 인증 등) 필요

> 정보 유출 방지를 위해 최신 업데이트 적용, 취약점 분석 및 조치, 보안 교육 등 필요

- 폐쇄된 다크웹 해킹 포럼을 대체할 포럼이 지속적으로 생성되는 중으로 주의 필요

> BreachForums의 폐쇄로 어나니머스 출신이라 밝힌 한 인물이 kkksecforum 다크웹 포럼 개설을 트위터를 통해 알림

> 폐쇄된 13곳의 DDoS 대행사 중 10곳은 지난 22.12에 폐쇄된 서비스가 부활한 것

2. 구글, 다크웹 스캔 서비스 제공

1. 개요

- 구글에서 미국 사용자들을 대상으로 다크웹 스캔 서비스를 제공

2. 주요내용

- 미국 내 구글 원(Google One) 서비스 사용자들에게만 제공 중

- 다크웹을 스캔해 이름, 주소, 이메일 주소, 전화번호, 주민등록번호 등이 유통되고 있는지 확인할 수 있게 해 주는 서비스

- 다크웹에 정보가 있는 것으로 보이는 사용자에게는 자동으로 보고서와 권장 조치 사항들이 전달

3. 기타사항

- 관련 보고서를 곧 공개할 예정

1. 카딩 서비스 바이든캐시(BidenCash), 전세계 신용카드 정보 200만건 이상 공개

1. 개요

- 카딩 서비스를 제공하는 바이든캐시에서 260MB의 데이터를 무료 공개

※ 카딩 서비스: 불법 또는 도난 당한 카드 정보를 거래 및 무단 사용을 용이하게 하는 사이버 범죄 웹사이트

- 바이든캐시는 22.10월에도 약 120만건의 카드정보를 공개했으며, 국내 카드정도보 포함되어 있음

2. 주요내용

- 공개된 데이터는 약 220만건으로, 카드정보와 개인정보를 포함

- 카드정보: 카드번호, 유효기간, CVV 번호 등

- 개인정보: 카드 소유자 이름, 이메일, 전화번호, 주소 등

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

※ FDS(Fraud Detection System):  전자 금융 거래에서 다양하게 수집된 정보를 종합적으로 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

2. 현대카드 카드정보 유출

1. 개요

- 현대카드에서 일부 회원들에게 ‘[현대카드] 카드정보 유출 관련 안내’ 메일 발송

- 최근 신용카드 카드정보가 일부 온라인 쇼핑몰이나 해외 직구사이트에서 불법 유통되고 있음이 확인

2. 주요내용

- 카드사에서 유출된 것이 아니며, 온라인 쇼핑몰에 피싱 결제 페이지를 삽입하는 해킹 수법을 통해 진행된 것으로 추정

- 카드정보: 카드번호, 유효기간, CVC, 비밀번호 2자리

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

- 안내 메일을 참고하여 카드 재발급 신청

3. 다크웹에 '업카' 회원 정보 유출

1. 개요

- 박차컴퍼니에서 운영하는 중고차 거래 플랫폼 업카의 회원정보가 다크웹에 유출

- 현대캐피탈과 제휴하여 운영중인 플랫폼

2. 주요내용

- 해킹포럼에 1만6000명여건의 정보를 갖고 있다고 주장하며, 데이터를 판매한다는 게시글이 업로드

- 박차 홈페이지 게시글 "[공지] 박차컴퍼니 해킹에 대한 후속조치 보고서"에 따르면 SQL Injection 공격으로 데이터 탈취 발생

- 게시정보: 담당자명, 업체 주소, 이메일주소, 전화번호, 팩스정보, 사업자번호, 법인번호, 환불계좌

3. 대응방안

- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화

4. Lockbit 랜섬웨어 국세청 해킹 주장

1. 개요

- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급

2. 주요내용

- 23.04.01 오후 8시 유출 데이터 공개 예고

- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음

3. 대응방안

- 랜섬웨어 대응 방안 준수 및 모니터링 강화

5. 쿠팡 개인정보 유출

1. 개요

- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시

2. 주요내용

- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출

- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등

- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단

※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음

- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표

※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중

3. 대응방안

- 해킹 관련 대응 방안 준수 및 모니터링 강화

6. 해외사례

- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개

※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등

7. 참고사항

- 금융사에서는 2차 피해 예방을 위한 조치 필요 - FDS 등 모니터링

- 랜섬웨어, 공급망 공격 등에 대한 대응방안 모색 필요