CJ헬로비전·LH 등 개인정보 유·노출 사건과 공유기 해킹 이슈 발생
스미싱, 분리수거·택배·교통범칙금 등 발견
군관련 기관 웹사이트 및 채용 사이트 악성링크 기승
[보안뉴스 김경애] 1월 넷째 주에는 공유기 해킹 이슈, 악성코드 유포 증가, 관리자 권한 해제를 방해하는 악성앱 등장, 개인정보 유출사건 등 다양한 보안이슈들이 발생했다. 이에 본지는 한주 간 발생한 주요 이슈들을 모아 정리해보고자 한다.
1. 사건·사고: CJ헬로비전, 개인정보 유출 외
먼저 한 주간 발생한 주요 정보보안 사건·사고부터 살펴보자. 지난 22일에는 종합방송통신기업인 씨제이헬로비전에서 총 233,788건의 고객 개인정보가 유출됐다 회수되는 사건이 있었다. 이번 사건은 씨제이헬로비전의 협력사인 한일정보통신 소속 내부 직원이 자신의 컴퓨터에 CJ헬로비전 고객 이름과 전화번호를 유출해 보관해왔다 적발된 것으로 파악됐다.
이보다 앞서 지난 21일에는 한국토지주택공사가 지난해 채용한 시니어 인력 5000명의 개인정보가 노출된 사건이 발생했으며, 지난 15일에는 경기중소기업종합지원센터가 운영하고 있는 ‘G-신제품개발센터’ 홈페이지가 해킹돼 홈페이지가 위·변조되는 사건이 발생하기도 했다.
특히, 한주 간에는 지난해부터 공유기 해킹을 통한 파밍 사건이 잇따라 발생하고 있는 가운데 사건을 일으킨 중국해커들이 사용하는 것으로 추정되는 해킹 툴이 발견돼 공유기 보안에 비상등이 커졌다.
이와 관련 이슈메이커스랩 최상명 리더는 지난 20일 “작년 4월부터 공유기 해킹 이슈가 빈번하자, RedAlert팀과 함께 추적한 결과 중국해커들이 국내 공유기를 해킹하는 도구를 만들어서 사용하고 있는 것을 확인했다”며 “DNS 설정을 변경해주는 공유기 해킹 툴을 만들어 사용하고 있는 것으로 확인돼 보안위협이 더욱 커지고 있다”고 주의를 당부했다. 또한, RedAlert팀은 공유기 해킹이슈에 대한 상세 분석보고서를 발표하기도 했다. 분석보고서는 보안뉴스 컨텐츠에서 확인할 수 있다.
2. 스미싱: 분리수거·교통위반·택배 사칭
그 다음은 지난 19일부터 22일까지 한 주간 발생한 주요 스미싱 문자유형을 살펴보자. 한국인터넷진흥원이 운영하는 모바일앱 폰키퍼에 따르면 지난 22일 ‘교통법위반’을 사칭한 스미싱 문자가, 이보다 앞서 지난 21일에는 ‘로젠택배’를 사칭한 스미싱 문자가 잇따라 발견됐다. 또한, 20일에는 교통위반 사칭 문자가, 19일에는 ‘{분리수고}위반 통보 해 드립니다.상세한 확인’을 사칭한 스미싱이 발견됐다.
모두 전형적인 사회공학적 수법으로 이용자가 쉽게 속을 수 있는 쓰레기 분리수거, 교통위반 범칙금 확인, 택배회사를 사칭해 이용자를 현혹하고 있다. 이러한 스미싱은 기존에 가장 많이 발생했던 단골 스미싱 유형이다.
특히, 한국인터넷진흥원은 최근 분석된 일부 악성앱의 경우 관리자 권한을 요구할 뿐만 아니라 관리자 권한 해제를 방해하도록 제작돼 쉽게 삭제할 수 없다고 주의를 당부했다. 이러한 스미싱은 앱 업데이트를 가장해 정상적인 은행앱을 삭제하고, 가짜 은행앱을 설치하도록 유도하고 있어 개인정보, 금융정보가 유출될 우려가 있다는 것이다. 따라서 이용자는 스미싱 문자에 피해를 입지 않도록 각별히 주의해야 한다.
3. 악성링크: 여전히 곳곳에서 ‘기승’
이어 지난 한 주간은 국내 웹사이트 보안에도 경고등이 커졌다. 공공기관 산하 서비스 해외한국어방송사 지원시스템에서 관리자권한을 획득해 공격코드를 올리고, 악성코드 확산에 직접 이용된 정황이 발견됐다.
이와 관련 빛스캔은 지난 21일 “공격링크는 지난 14일 저녁 최초로 발견됐으며, 15일 오후에 사이트에서 제거된 것으로 추정된다”며 “파일공유사이트 사용자들을 대상으로 한 공격에 직접 이용된 상황이 관찰됐다”고 밝혔다.
공격기법은 카이홍 98.xxx.188.xx:801/index.html 오랜지 스윗 변종 98.xxx.188.xx:801/2.html 두 종류가 복합적으로 사용됐으며, 최종 악성파일은 파밍 및 공인인증서 탈취 기능을 기본으로 내장한 악성코드로 분석됐다.
이어 군사관련 연구사이트에서도 지난해 4월과 5월, 악성링크가 발견됐으며, 지난해 11월부터 최근까지는 악성링크가 삽입된 채로 웹사이트가 방치된 것으로 드러났다. 특히, 지난해 11월 공격당시 발견됐던 CVE-2014-6332의 취약점을 이용한 악성링크는 삭제됐지만, 이전부터 영향을 주었던 레드킷으로 추정되는 악성링크는 지난 14일까지 남아있었던 것으로 알려졌다.
이보다 앞서 지난 13일 12시경에는 국내 취업 사이트로 유명한 XX어의 공용모듈에서 악성링크가 발견돼 구인구직을 위해 방문한 사용자에게 영향을 준 것으로 드러났다.
또한 지난 10일에는 정부부처의 한 공모전 사이트가 악성코드 경유지로 악용됐다. 이 사이트에서 연결되는 링크는 카이홍 공격킷이 삽입된 공격코드 유포지이며, 유포지에서 다운로드 되는 파일은 파밍 악성코드로 확인됐다.
이와 관련 빛스캔은 “공모전 서비스 자체에 대해 공격자들이 권한을 가지고 임의로 악성페이지를 생성, 다른 웹서비스들의 소스에 추가되어 일반 방문자들을 공격하는 데 이용했다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
