연휴기간 동안 발생한 보안사고 정리

1. 한국은행 백신 오작동으로 인한 인터넷 PC 184대 장애

10월 1일 금융기관이라고 알려진 곳에서 PC 140여대가 사이버 공격으로 의심되는 현상이 발견됐다는 뉴스기사가 나왔다.  사이버 공격으로 알려진 현상은 C 드라이브부터 순차적으로 파일 삭제가 이루어지고 C:\Windows 내 파일이 삭제되면서 PC 장애가 발생한 것이다. 해당 현상이 발생된 PC를 리부팅하면 윈도우 파일 손상으로 진행 불가 메시지가 발생하며 MBR 파괴와 같은 별도의 동작은 확인되지 않았다. 

해당 사건은 9월 29일 13시부터 최초 PC 장애가 발생했으며 10월 3일 금융기관이 한국은행으로 최종 확인되어 보도되었으며 피해 PC는 184대이며 한국은행에서 사용하고 있는 백신 오작동으로 인해 발생한 것으로 추정되고 있다. 

또한 최초 사건이 알려진 시점에 관련 악성코드로 추정되는 파일 해시가 공개되기도 했지만 현재까진 해당 해시 파일은 PC 장애와 무관한 것으로 추정된다. 

만약 백신 오작동으로 인한 문제가 맞다면 다음 부분에 문제가 발생했을 가능성이 있다. 

1) 악성판단 (오진 포함) 후 삭제 경로가 잘못 입력된 경우

2) 업데이트 

3) 언인스톨

[ 관련 기사 보러가기 ]

2016.10.01 금융기관 PC 140대 한꺼번에 장애... 사이버공격 가능성? 

2016.10.03 한국은행, 인터넷 PC 184대 장애... "백신 오작동" 문제 지목

2016.10.04 한국은행 PC 부팅장애, S사 백신 오작동?... 같은 백신 사용하는 다른 기관은 조용...

2. 백신 중계 서버 내 악성코드 확인

군이라는 특수성에 따라 군은 외부와 분리된 폐쇄망을 구성하고 있다. 이로 인해 백신과 같이 설치 유도, 외부로부터 주기적인 업데이트등내부 보안과 관련해 필요한 경우 폐쇄망 내에 별도의 서버등을 설치해 운영하고 이를 백신 중계 서버라 한다. 

이번 사건은 인터넷 접속용 PC 2만여대를 관리하는 백신 중계 서버에 악성코드가 침해한 것으로 내부 정보 유출등의 피해는 없는 것으로 보인다. 

현재 사이버 사령부 백신 운영은 하우리에서 담당하고 있다.

[ 관련 기사 보러가기 ]

2016.10.01 "군, 사이버 사령부 지난달 중순 악성코드 침해"

3. 단순한 URL 변조를 통해 다른 고객의 이름, 전화번호, 집 주소, 주문 내역등을 확인 가능

[ 관련 기사 보러가기 ]

2016.10.01 KFC 개인정보 80만 건 노출... 뻥 뚫린 보안

4. 보건복지인력개발원 5만명 개인정보 해킹

보건복지인력개발원의 "자립지원 통합 관리 시스템" 해킹으로 아동과 보호자 개인정보 5만 1152건이 중국으로 유출된 것으로 확인됐다. 

해킹 사실은 작년 12월 15일 웹 시스템 유지보수 업체에서 시스템 점검 중 확인됐으나 웹로그 기록이나 방화벽 로그(2015년 6월 5일부터 보관) 가 없어 악성코드 유입 시기, 경로 파악은 이루어지지 못하고 있다. 

현재까지 확인된 사항은 다음과 같다. 

• 백도어등 악성코드 9종, 웹쉘 2종
• 웹쉘이 2013년 6월 20일 탐지됨 (백신 탐지 로그)
• 2015년 10월 2일, 10월 12일 중국 IP로 정보 유출 (방화벽 로그)

유출 정보

• 아동 2만 6011명 : 이름, 생년월일, 전화번호, 질병력
• 보호자 2만 5141명 : 이름, 관계, 나이, 학력, 직업, 연락처

[ 관련 기사 보러가기 ]

2016.09.30 [국감브리핑] 보건복지 인력 개발원 5만명 개인정보 해킹 당해

5. "공주" 랜섬웨어 등장

12개 언어를 사용하고 감염시 복호화 비용으로 3비트코인을 요구하는 랜섬웨어로 시간이 지나면 복호화 비용이 6비트코인으로 올라가는 특징이 있다. 

• 감염 방법 : RIG 익스플로잇 킷
• 감염 확장자 : 5자리 랜덤
• 암호화 알고리즘 : AES-128

[ 관련 기사 보러가기 ]

2016.09.30 몸값 200만원 요구하는 한국어 지원 랜섬웨어 "공주" 감염 주의