2014/06/19

대한민국 보안 사고 관련 history 요약 정리

요즘 시간이 남는 관계로 그동안 있었던 보안 사고에 대한 요약 정리를 한번 해 보았다.
뭐 상세한 내용들은 해당 키워드로 인터넷을 검색하면 자세히 나와 있고,
나는 어떤 일이 있었고 그게 대략 무슨 일이었는지만 remind 할 수 있는 수준의 메모를 남김.


1. 1.25 인터넷 대란 (2003년 1월)
- PC 웜 바이러스를 이용한 인터넷 대란
SQL 서버의 슬래머 웜이 번져 DNS 서버를 공격하는 방식.
DNS 서버 불통으로 인해 전 국민이 인터넷 대란을 겪었음.
>> 보안패치의 중요성이 대두!

2. 엔씨소프트 리니지2 인증정보 유출(2005년 5월)
- 직원의 실수로 인한 정보 유출
개발자의 실수로 인해 사용자가 입력한 id/pw가 평문으로 PC에 로깅되도록 한 문제.
특히 사용자가 해당 기간 동안 PC방에서 게임 접속을 한 경우에 대한 피해가 있을 수 있었음. (접속한 id/pw가 남으므로)
바로 홈페이지에 사과문을 게재하고, 이후 피해자에게 10만원씩 배상함.
>> 라이브 업데이트 전 검수 중요성!


3. 국민은행 개인정보 유출 사건(2006년 3월)
- 직원의 실수로 인한 정보 유출
복권 서비스 이용계약을 체결한 가입 회원 32,377명에게 성명, 주민등록번호, 이메일 주소 등이 수록된 텍스트 파일을 이메일 첨부파일로 전송. 전송 도중 중단하였으나 이미 3,723명에게 발송이 되어 버렸음.


4. 옥션 개인정보 유출 사건 (2008년 1월)
 -외부 해커가 내부 직원을 대상으로 한 해킹 공격을 통해 고객정보 탈취
중국 해커의 소행으로 밝혀졌음.
CSRF 공격을 이용해 옥션 내부 직원의 권한을 획득하여 벌인 해킹.
2010년에 일당을 검거. (2010년에 이 일당이 신세계 몰에도 동일 해킹을 했음이 밝혀짐)
>> CSRF 공격에 대한 화두!


5. GS칼텍스 개인정보 유출 사건(2008년 7월)
-내부 직원에 의한 고객정보 유출 사건
내부 직원이 고객 정보가 들어있는 DB에 접속해 데이터를 탈취해 CD/DVD로 들고 나감.
이후 공범 중 한명이 개인정보 유출에 대한 소송에 이용하자며 변호사 사무실에 찾아갔더니, 유출 사고가 먼저 있어야 한다고 하여 쓰레기더미에서 CD를 발견하였다고 언론 플레이.
>> 외부 해킹 뿐 아니라 내부 직원에 의한 고객 정보 유출 위험성 대두!


6. 7.7 DDoS (2009년 7월)
- 대한민국, 미국의 주요 정부 기관, 포털, 은행 사이트에 대한 DDoS 공격
HTTP의 Get flooding, UDP flooding, ICMP flooding  공격을 혼합하여 수행.
웹 서버의 연결자원 고갈 및 NW 대역폭 고갈을 함께 수행하였음.
특징 : cache-control 필드에 no-store 설정
그동안은 네트워크 대역폭 고갈에 주로 DDoS 공격이 수행되었으나, L7(웹 어플리케이션의 자원 고갈)레벨의 공격을 처음 시도하여 방어에 시간이 걸렸음.
공격에 이용한 좀비PC들의 경우 MBR 파괴 증상이 있었음.
명령채널서버 없이 특정 시간에 자동으로 수행되도록 함.
국정원에서 북한의 소행이라 발표
>> L7에서의 DDoS 공격에 대한 대응 방법!


7. 3.2 DDoS (2011년 3월)
- 대한민국 주요 정부기관, 포털, 은행사이트에 대한 DDoS 공격
HTTP의 Get flooding, UDP flooding, ICMP flooding  공격을 혼합하여 수행.
웹 서버의 연결자원 고갈 및 NW 대역폭 고갈을 함께 수행하였음.
특징 : cache-control 필드에 no-store 설정 외로도 proxy-connection:keep-alive 등
공격 패킷에 위와 같은 특정 signature가 있고, 7.7 DDoS 공격 대응 경험이 있어 큰 피해 없이 차단함.
7.7 DDoS 공격때오는 달리 비동기식이지만 명령채널서버를 이용함.
(역시 북한의 소행이라고 국정원에서 발표)


8. 현대캐피털 고객정보 유출 (2011년 4월 8일)
- 퇴사자 직원의 ID/PW를 이용해 고객정보 해킹, 유출
- 175만건의 개인정보 유출, 노트북 컴퓨터로 무선 인터넷을 통해 회사 서버에 접속한 뒤 해킹프로그램 웹쉘을 설치해 개인정보를 빼내감


9. 농협 전산망 마비(2011년 4월 12일)
- 외주업체 직원 노트북을 통해 대다수 서버 파괴 명령어 날림
외주업체 직원의 IBM 노트북에 2010년 9월경 웹하드 프로그램을 이용해 영화 다운로드를 받다 악성코드에 감염되었음
이후 관리자 패스워드 등 전산망 정보를 수집하고 도청 프로그램을 설치함
4월 12일 오전에 공격 명령어 다운로드를 완료하고 오후 4시 50분경 동시다발적으로 서버에 삭제 명령어를 날림 (서버의 절반이 파괴됨)
악성코드의 이름, 공격 패턴 등이 7.7 DDoS, 3.4DDoS때와 유사하다고 알려져 있음.
(역시 북한의 소행이라고 국정원에서 발표)
>> 금융권의 보안 중요성, 충분한 예산, 인력 등의 배분 필요성.


10. SK컴즈 고객정보 유출 해킹 (2011년 7월 26일)
- 중국발 해킹, 이스트소프트의 업데이트 서버 해킹을 통해 해당 프로그램을 설치하였던 컴즈 내부 직원의 PC를 해킹하여 고객정보를 해킹함
- 내부정보 수집 및 DB 관리자 권한 획득, DB에서 네이트/싸이월드의 고객 회원정보 3500만건 탈취.


11. 넥슨 메이플스토리 개인정보 유출(2011년 11월)
- 백업 서버에 악성코드를 통한 외부 해킹 공격으로 고객정보가 유출됨
- 가입자 1320만명의 개인정보 유출됨


12. EBS 홈페이지 회원 개인정보 유출(2012년 5월)
- 중국발 IP로부터 해킹, 악성코드 침투
- 회원 422만 5681명의 개인정보가 유출됨


13. KT 고객정보 해킹 (2012년 7월)
- 내부 직원이 한건씩 개인정보를 조회하는 방식으로 프로그램 개발 방식으로 개인정보 유출
-  해당 IT 정보통신 업체에서 10년간 프로그램을 개발한 베테랑 프로그래머의 소행이었음.
- 가입자 유치를 위한 TM(텔레 마케팅)에 이용함
>> 동시에 대량 유출이 아닌 한건씩의 유출 시 어떻게 탐지하나?


14. 삼성 갤럭시S2 루팅 취약점 공개 (2012년 12월)
- 삼성 개발자의 실수로 Exynos4 AP Device의 권한을 잘못 설정해 공격자가 커널 영역에 메모리를 할당받고, setreuid 함수를 패치하는 방식으로 root 권한 획득
# ls -al /dev/exynos-mem
crw-rw-rw   1   system  graphics   ~~~~~~   /dev/exynos-mem
- 엑시노스란? 카메라, 그래픽 메모리 할당, HDMI의 사용을 위한 디바이스.
- 취약점에 대한 exploit 코드가 공개되었고, 삼성측에서는 이후 패치를 공개하였음.


15. 3.20 전산망 마비(2013년 3월)
- 대한민국 주요 언론사, 금융사의 PC를 해킹, 서버 파괴
- 특정 업체의 PMS 서버, 내부 인프라웨어 등을 이용하여 악성코드를 유포하였음.
- MBR 파괴 등으로 임직원 PC를 파괴.
- 기존 7.7DDoS, 3.4 DDoS와 비슷한 패턴의 악성코드, 좀비 PC 인프라 이용.
(역시 북한의 소행이라고 국정원에서 발표)


16. 6.25 DDoS 공격(2013년 6월)
- 대한민국 정부 기관, 언론사, 웹사이트 해킹(사이트 위변조) 및 DDoS 공격 병행
- 청와대 홈페이지 해킹을 통한 웹 사이트 위변조 등.
- DDoS 공격 수행시 기존과는 달리 cache 기반 DNS 특징을 이용하여 없는 도메인에 대한 쿼리문을 던지는 방식의 DDoS 공격.
- 웹하드 업체의 설치 프로그램 변조를 통해 악성코드를 유포함
(역시 북한의 소행이라고 국정원에서 발표)


17. 금융사 고객정보 유출 사건(2013년 12월)
- 시티은행, SC제일은행에서 외주직원이 USB를 통해 고객정보를 유출
>> DLP 등을 이용한 고객정보 유출 모니터링/차단 필요성 대두


18. 카드사 대규모 개인정보 유출 사건(2014년 1월)
- KCB 신용평가사 직원이 카드사에 파견나가 고객 개인정보를 USB에 담아 유출
- 국민카드, 롯데카드, 농협카드 등에서 고객정보가 유출됨
- 대출 모집인 등에 판매되었음
- 개인정보 유출 규모가 역대 최다인 1억 400만여건임.
>> 외주 개발자의 보안 관리에 대한 필요성


19. KT 고객정보 해킹 2차(2014년 3월)
- 웹 사이트 취약점을 이용한 brute-force 방식을 이용한 개인정보 해킹 방식
- 파로스 프록시 프로그램을 이용하여 '이용대금 조회 사이트'에 고객번호를 무작위 대입하는 방식으로 고객정보를 유출


20. 뱅킹 앱 악성코드의 진화, 피싱 --> 파밍--> 큐싱 (2013년~2014년)
- 인터넷뱅킹의 악성코드가 초반의 피싱 웹 사이트로의 접속을 노렸던 것에서, 파밍으로 진화하고, 이후 스마트폰의 QR코드까지 이용하는 큐싱으로 발전.
- 큐싱은 100만원 이상 이체시 이용해야 하는 2채널 인증의 서비스로 QR코드를 이용하는 방식을 악용해  피해자가 파밍 사이트에서 제공하는 QR코드를 자신의 스마트폰에서 인식하도록 하여 악성 앱 설치까지 되도록 하는 방식.


추가적으로 기억나는 보안 사건 사고 이슈가 있으면, 이 포스팅에 추가 업데이트 예정.

..