[단독] 국내 특정 포털 사이트 이용자 추정 ‘계정정보’ 1,300여건 유출

페이스트빈에 특정 포털 사이트 이용자의 메일주소와 비밀번호 함께 노출

[보안뉴스 원병철 기자] 국내 특정 포털 사이트의 사용자 계정정보로 추정되는 1,300여 개의 이메일 주소와 비밀번호가 유출된 것으로 확인돼 충격을 주고 있다. 순천향대학교 SCH사이버보안연구센터(센터장 염흥열 교수, 이하 SCH사이버보안연구센터)는 지난 2월 4일 페이스트빈에 해당정보가 노출됐다고 밝혔다.

SCH사이버보안연구센터에 따르면 정보 공유 웹 사이트 페이스트빈(PASTEBIN)에 이메일 주소 및 비밀번호가 담긴 리스트가 2월 4일 게시됐다. ‘1.3k Korea Selatan valid mail access By Evr!’라는 제목의 해당 리스트에는 국내 특정 포털 사이트 이용자들의 메일 주소와 비밀번호가 그대로 노출되어 있다.

​ 

셰어포인트에서 발견된 취약점, 사이버전 부대들이 좋아한다

작년 2월에 이미 패치된 CVE-2019-0604...익스플로잇 하면 임의 코드 실행 가능

작년 9월부터 이 취약점 통한 중동 정부 표적 공격 발견돼...패치 서둘러야

[보안뉴스 문가용 기자] 셰어포인트(SharePoint)에서 발견된 취약점인 CVE-2019-0604가 국가 지원을 받는 전문 해킹 부대의 사랑을 받고 있다는 소식이다. 특히 중동의 정부 기관을 노리는 공격에 이 취약점이 널리 활용되고 있다고 한다. 최근 UN 기구를 겨냥한 침투 공격에도 CVE-2019-0604가 활용되었다.

CVE-2019-0604는 셰어포인트가 애플리케이션 패키지의 소스 마크업을 확인하는 데 실패할 때 발동된다. 공격자들은 특수하게 조작된 셰어포인트 애플리케이션 패키지를 업로드 함으로써 취약점을 발동시키고 익스플로잇 할 수 있다. 성공한다면 임의의 코드를 실행할 수 있게 된다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Win-AppCare/Portscan.587776

최초 발견일: 2020-02-05

종    류: 유해가능

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Win-AppCare/Portscan. 587776는 특정 네트워크의 포트를 스캔하는 유해가능 프로그램이다.

Win-Trojan/MalPe.Suspicious.X1920

최초 발견일: 2020-02-05

종    류: 트로이목마, 트로이목마(데이터파괴)

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Win-Trojan/MalPe. Suspicious.X1920는 사용자의 파일을 암호화하며 이를 인질로 금전을 요구하는 랜섬웨어다.

[보안TIP]

애슐리 매디슨 유출 사고, 5년 만에 다시 시작되는 악몽

[보안뉴스 문가용 기자] 불륜 조장 사이트인 애슐리 매디슨(Ashley Madion)에서 발생한 개인정보 유출 사건이 벌써 5년 전의 일이다. 그런데 지난 1~2주 동안 당시 개인정보가 유출된 사람들을 겨냥한 협박 공격이 증가하기 시작했다고 한다.

애슐리 매디슨에 등록된 3200만 개 계정들은 지난 2015년 유출되어 온라인 상에서 거래되고 공개되기도 했다. 계정 정보에는 이름, 비밀번호, 전화번호, 신용카드 정보 등이 포함되어 있었다. 그러고 나서 약 1년여 동안 애슐리 매디슨 사용자들은 각종 신용카드 및 물품 거래 사기 등에 끊임없이 휘말렸다.

최근 사이버 범죄자들은 이 데이터를 다시 한 번 활용하기 시작했다. 이번에는 고도로 표적화 혹은 개인화 된 공격이었다. 보안 업체 베이드 시큐어(Vade Secure)에 의하면 공격자들은 애슐리 매디슨 사용자들에게 협박성 이메일을 보내고 있다고 한다. “지난 1~2주 동안 베이드 시큐어는 수백 통의 협박 이메일을 발견할 수 있었습니다. 미국, 호주, 인도에 있는 애슐리 매디슨 사용자들 중 2015년 개인정보가 유출된 사람들이 표적입니다.”

베이드 시큐어의 에드 해들리(Ed Hadley)는 “2015년 유출된 계정이 3200만 개였다는 것을 생각하면, 지난 몇 주 동안 일어난 수백 건의 사건은 시작에 불과하다고 볼 수 있다”고 경고하기도 했다. “게다가 이런 류의 사건은 피해자들이 수치심 때문에 어디에 고발하거나 알리지도 않죠. 알게 모르게 끙끙 앓기 시작하는 사람들이 늘어날 것으로 봅니다.”

협박 메일의 내용은 현재까지 비슷하다. 애슐리 매디슨 계정의 정보를 지인과 가족들에게 공개하겠다는 것이다. 애슐리 매디슨의 계정에는 각종 개인정보는 물론, 성적 취향과 구매 내역 등 민감한 정보까지도 포함되어 있다. 그러면서 범인들은 비트코인으로 돈을 내라고 요구 중에 있다. 메일마다 금액이 조금씩 다르지만 약 1천 달러 정도다.

샘플로서 공개된 협박 이메일을 보면 “당신이 남성용 도구들을 이런 저런 날짜에 구매했다는 걸 알고 있다”는 내용과 “당신의 파트너는, 당신이 화학물질의 도움을 받았다는 사실을 알고 있는가?”라는 질문이 적혀 있다. 고도로 개인화 된 이메일, 즉 범인들의 요구를 거절할 수 없는 이메일이 현재 전송되고 있다는 것이다. 메일에는 PDF 파일이 첨부되어 있고, 이 파일에는 범인들이 보유하고 있는 다른 피해자 정보가 저장되어 있다. 또한 액수, 송금할 곳, 송금 방법 등도 명시되어 있다.

베이드 측은 “송금에 관한 핵심적인 내용이 이메일 본문에 있지 않고 PDF에 첨부되어 있으며, 심지어 그 파일이 암호로 보호되어 있다는 것이 흥미롭다”고 짚는다. “공격자들이 이메일 보안 솔루션을 피해가기 위해 취한 방법으로 보입니다. 즉, 아무나 걸려라, 라는 식으로 진행되는 캠페인이 아니라는 겁니다. 확실하게 돈을 벌겠다는 의지가 엿보입니다.”

그 의지가 엿보이는 부분이 또 있다. PDF 내에 보다 쉬운 송금을 위한 큐알 코드까지 있다는 것이다. “게다가 큐알 코드를 피싱 메일에 사용하면, 보안 솔루션들이 URL을 스캔할 수 없어서 잘 탐지가 되지 않죠. 피해자들은 보다 쉽게 송금 문제를 해결할 수 있고요. 일석이조의 방법이며, 그래서 그런지 요즘 공격자들이 피싱 공격에 큐알 코드를 많이 활용하는 추세이기도 합니다.”

이렇게 성적인 소재를 가지고 협박하는 사이버 공격을 섹스토션(sextortion)이라고 한다. 사이버 공격자들 사이에서 섹스토션은 쉽게 돈을 벌 수 있는 방법 중 하나로 꼽힌다. 각종 방어 기술을 소셜 엔지니어링으로 회피하기 시작하면서, 섹스토션이나 그 외 사기 공격이 성행하고 있는 게 요즘이다. 2020년에도 소셜 엔지니어링은 더욱 벼려질 것이라고 베이드 시큐어 측은 예상하고 있다.

해들리는 “데이터 유출 사고의 피해는 수년 동안 이어지고, 또 다른 사건을 계속해서 낳는다는 것이 다시 한 번 입증되었다”며 “유출 사고로 빠져나간 개인정보는 다크웹에서 거래되는 것만이 아니라, 개인화 된 피싱 공격이라는 결과를 낳는다는 것을 반드시 기억해야 한다”고 강조했다.

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/