꼰머의 보안공부

국내 기업 자료 유출

1. 개요

- 랜섬웨어, 해킹 등으로 탈취한 자료 다크웹 유출 및 판매

2. 주요내용

- 인포스틸러에 의한 국내 주요 인터넷 강의 사이트 로그인 정보 및 계정 정보 4만 5천 건 다크웹 유출
>  로그인 정보 4만 5,352건, 사내 계정 정보 490건, 관련 문서 143건

- EvilQueen 해커조직, 국내 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취
> 국내 온라인 쇼핑몰 웹사이트 50여개 결제창 위장해 이용자 정보 유출
> 플랫폼의 취약점과 여러 웹 취약점을 이용해 침투 후 피싱 페이지 삽입 (취약점이 확인된 구버전 PHP 사용, 2차 인증 없이 노출된 관리자 페이지, FTP 서비스 외부 오픈 등)
> 유출된 정보는 카드번호, CVC, 유효기간, 카드 비밀번호, 주민등록번호, 휴대폰 번호 등 금융정보

- 의료금융 플랫폼 개인정보 유출
> 2020년경 해킹으로 유출된 데이터가 공개
> 유·노출된 개인정보는 학교명, 학년, 직업, 계정정보(네이버, 네이트, 한메일 등) 등
> 현재 해당 플랫폼은 정보보호 전담조직이 없는 것으로 파악

- 다크웹에서 국내 자동차 부품기업 핵심자료 거래
> 랜섬웨어 공격으로 재무제표, 인사 파일, 금융 관련 자료 등 포함

3. 대응방안

- 이용자는 주기적 계정 비밀번호 변경, 2단계 인증 적용 등 보안 강화
- 추가적인 유출 방지를 위해 새로운 보안 절차 수립, 솔루션 도입, 내부 교육 등 진행
- 정기적 백업, 최신 패치 유지, 망 분리, 임직원 보안인식 제고 등 필요

해외 기업 자료 유출

1. 개요

- 해외 빅테크 기업의 데이터 유출 확인

2. 주요내용

- 하드웨어 제조업체 Acer, 필리핀 지부 데이터 유출
> 필리핀과 공급 계약을 맺고 있는 서드파티 업체로부터 사건이 시작
> 고객 데이터는 안전하며, 직원들의 개인정보가 탈취된 것으로 확인

- 통신사 AT&T, 7300만 고객 정보 유출
> 2019년까지 가입된 고객들의 사회 보장 번호를 포함한 각종 개인정보 및 민감 정보가 다크웹 유출
> 현재 AT&T 이용 고객 760만명, 과거 AT&T를 이용해본 적이 있는 고객 6,540만

- 전자제품 제조 및 판매업체 Dell, 고객 정보 유출
> 고객 정보를 저장 및 관리하고 있는 델 내부 포털이 침해되었으며, 피해자 수는 공개되지 않음
> 고객의 이름, 거주지 주소, 델에서의 구매 이력 유출

3. 대응방안

- 증가하는 SW 공급망 공격에 대한 주의 및 철저한 대응 필요 (SW 공급망 보안 가이드라인 1.0  참고)

국제 공조, 일부 다크웹 폐쇄

1. 개요

- 국제 공조로 사이버 범죄 그룹 폐쇄

2. 주요내용

- 국제 공조로 록빗, 블랙캣, 네메시스마켓, 브리치포럼즈 등 폐쇄
> 록빗, 블랙캣이 운영하던 공격 인프라, 웹사이트 폐쇄 및 복호화 키 확보 및 공유
> 사이버 범죄 대행 서비스 네메시스마켓, 브리치포럼즈 폐쇄

3. 대응방안

- 새롭게 등장하는 다크웹 포럼 등에 대한 대응책 강구 필요

새로운 유형의 ATM 멀웨어 등장

1. 개요

- 다크웹에서 높은 성공률을 보이는 새로운 ATM 멀웨어가 거래

2. 주요내용

- 유럽 내 ATM 기기의 99%, 전 세계 ATM 약 60%를 침해할 수 있는 ATM 멀웨어 3만 달러에 적극 광고
> ATM 한 대 당 3만 달러의 수익을 보장
> 침해 가능 제조사: Diebold Nixdorf, 효성, Oki, Bank of America, NCR, GRG, Hitachi 등

3. 대응방안

- 국내 ATM 기기 최신 보안 업데이트, 물리적 USB 포트 비활성화 등 점검 필요

국내 기관 대상 공격 및 자료 유출 활발

1. 개요

- 해킹 포럼에서 국내 기관 대상 공격이 활발
- 데이터 판매, 디페이스 공격 등을 수행

2. 주요내용

- 24.01.01 한국은행, 24.01.06 외교부 DDoS 공격 발생
> 해커 "‘MrCyber’" 한국은행 대상으로 공격도구 ‘ATTACK SENT’를 이용해 DDoS 감행
> 어나니머스는 이스라엘 지지를 이유로 외교부에 DDoS 감행

- 24.01.19 샤오치잉 소속 중국 해커 "니옌" 정부 기관 등 다수 웹 상디트 공격 예고 및 공격 동참 권유
> 김천녹색미래과학관 디페이스 공격을 시작으로 정부기관 및 교육 사이트 공격 예고
> 해커 "NIKTO_R007" 국내 교육 서비스 플랫폼 런피아 웹 페이지 디페이스 공격 및 공격 과정 유튜브 공개

- 24.01.23 해커 "Teamghostof_death" 해킹포럼에 우체국 개인정보 보유 및 판매 게시글 작성
> SQL 취약점을 악용해 6000개 이상의 개인정보를 탈취(1.5GB 용량) 했다 주장
> 협상을 위해 10일 동안의 시간을 제시하였으며, 결렬 시 데이터 개인정보 판매 예고
> 우정사업본부는 유출 흔적 없음 확인 발표

- 24.01.30 "니옌" 국내 공격 대상 IP, 공격 방법 등을 공개
> Oracle, SQL, WebShell 등을 이용

- 24.02.05 신원 미상 해킹그룹 대민 서비스 계정 13,000여개 유출
> 국정원은 미상 해킹그룹이 대민 서비스 이용자의 개인정보가 불법 유통되고 있는 정황 포착
> 인포스틸러 악성코드를 악용해 ID/PW 탈취

3. 대응방안

- 공격이 예고된 도메인 또는 일자 대상 모니터링 강화
- 알려진 취약점, 인증정보 등 부정사용에 대한 모니터링 강화

1. SK바이오팜 내부 정보 유출

1. 개요

- 아키라(Akira) 랜섬웨어 그룹의 피해 기업에 SK라이프사이언스 등재

2. 주요내용

- 아키라 그룹은 딥웹에 SK라이프사이언스의 데이터 공개를 예고

- SK바이오팜 관계자는 랜섬웨어 공격을 받음을 인정 및 민감정보 유출은 없으며, 구체적인 사항은 비공개

2. RA 랜섬웨어 그룹에 의한 한국 기업의 정보 유출

1. 개요

- 바북(Babuk) 랜섬웨어의 소스코드를 이용해 미국과 한국의 기업들을 침해
- 주로 제조사, 자산 관리 업체, 보험사, 제약 회사 등에서 피해가 발견

2. 주요내용

- 한국 기업과 관련된 1.4TB 크기의 데이터 유출

- 피해자 데이터의 전체 파일 목록을 다운로드할 수 있는 URL을 제공

3. 챗GPT 크리덴셜 발견

1. 개요

- 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출

2. 주요내용

- 22.06 ~ 23.05까지 다크웹에서 판매되는 정보들 중 챗GPT 크리덴셜 총 101,134개를 발견

4. 제로다크웹 다크웹 모니터링

1. 개요

- 국내 100대 기업 및 국내 30대 금융사 대상 다크웹 정보 유출 모의 조사 수행

2. 주요내용

- 국내 100대 기업 관련 내용

> 99개 사에서 유출된 계정은 총 105만 2,537개, 사내 문서 유출은 87개 회사, 해킹 우려 PC는 1만 5,028대 (81개 사) 등

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

- 국내 30대 금융사 관련 내용

> 메일 계정 유출 19만 6,395개, 사내 문서 유출 23개 금융사, PC 해킹 우려 18개 금융사 1,137대

> 23년 1월말 기준 일본 100대 기업의 경우와 비교 시 2배가 넘는 수치

3. 대응방안

- 즉시 보안 전문가 및 전문 회사를 통해 유출 경로 파악
- 유출된 정보를 보호하기 위해 비밀번호 변경 및 보안 인증 절차 강화
- 유출 경로 및 방법을 파악한 경우 관련 상세내용을 사내고지하고 사원 전원이 경계심을 갖도록 교육
- 자동 감사 솔루션을 사용하여 보안 문제 점검 및 감시
- 새로운 보안 절차 작성, 전사 취약성 확인, 지속적 모니터링 시스템의 도입 및 정기 유지보수 계획 검토

1. 카딩 서비스 바이든캐시(BidenCash), 전세계 신용카드 정보 200만건 이상 공개

1. 개요

- 카딩 서비스를 제공하는 바이든캐시에서 260MB의 데이터를 무료 공개

※ 카딩 서비스: 불법 또는 도난 당한 카드 정보를 거래 및 무단 사용을 용이하게 하는 사이버 범죄 웹사이트

- 바이든캐시는 22.10월에도 약 120만건의 카드정보를 공개했으며, 국내 카드정도보 포함되어 있음

2. 주요내용

- 공개된 데이터는 약 220만건으로, 카드정보와 개인정보를 포함

- 카드정보: 카드번호, 유효기간, CVV 번호 등

- 개인정보: 카드 소유자 이름, 이메일, 전화번호, 주소 등

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

※ FDS(Fraud Detection System):  전자 금융 거래에서 다양하게 수집된 정보를 종합적으로 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

2. 현대카드 카드정보 유출

1. 개요

- 현대카드에서 일부 회원들에게 ‘[현대카드] 카드정보 유출 관련 안내’ 메일 발송

- 최근 신용카드 카드정보가 일부 온라인 쇼핑몰이나 해외 직구사이트에서 불법 유통되고 있음이 확인

2. 주요내용

- 카드사에서 유출된 것이 아니며, 온라인 쇼핑몰에 피싱 결제 페이지를 삽입하는 해킹 수법을 통해 진행된 것으로 추정

- 카드정보: 카드번호, 유효기간, CVC, 비밀번호 2자리

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

- 안내 메일을 참고하여 카드 재발급 신청

3. 다크웹에 '업카' 회원 정보 유출

1. 개요

- 박차컴퍼니에서 운영하는 중고차 거래 플랫폼 업카의 회원정보가 다크웹에 유출

- 현대캐피탈과 제휴하여 운영중인 플랫폼

2. 주요내용

- 해킹포럼에 1만6000명여건의 정보를 갖고 있다고 주장하며, 데이터를 판매한다는 게시글이 업로드

- 박차 홈페이지 게시글 "[공지] 박차컴퍼니 해킹에 대한 후속조치 보고서"에 따르면 SQL Injection 공격으로 데이터 탈취 발생

- 게시정보: 담당자명, 업체 주소, 이메일주소, 전화번호, 팩스정보, 사업자번호, 법인번호, 환불계좌

3. 대응방안

- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화

4. Lockbit 랜섬웨어 국세청 해킹 주장

1. 개요

- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급

2. 주요내용

- 23.04.01 오후 8시 유출 데이터 공개 예고

- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음

3. 대응방안

- 랜섬웨어 대응 방안 준수 및 모니터링 강화

5. 쿠팡 개인정보 유출

1. 개요

- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시

2. 주요내용

- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출

- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등

- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단

※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음

- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표

※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중

3. 대응방안

- 해킹 관련 대응 방안 준수 및 모니터링 강화

6. 해외사례

- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개

※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등

7. 참고사항

- 금융사에서는 2차 피해 예방을 위한 조치 필요 - FDS 등 모니터링

- 랜섬웨어, 공급망 공격 등에 대한 대응방안 모색 필요