20.10.26 ( 대출비교서비스 개인정보관리 사각지대, 디스코드를 C&C로 활용하는 멀웨어 아바돈, 정부 모바일앱 보안문제 심각, 전 시스템 관리자 해킹 사건 )

1. 대출비교서비스 개인정보관리 사각지대

 

최근 급성장하고 있는 대출비교서비스 제공기업과 금융사에서 활용되는 개인신용정보가 보안 사각지대에 놓여 있음을 국감에서 지적했다고 합니다.😀

 

이용우 의원은 카카오페이와 토스의 대출비교서비스 이용 시 개인정보 활용에 대한 필수적 동의사항과 선택적 동의사항이 구분없이 나열되어 있으며, 이는 신용정보법 제32조 제4항 '필수적 동의사항과 선택적 동의사항을 구분하여 설명'해야 하는 것을 위반할 수 있다고 주장했다고 합니다. 대출비교서비스를 이용할 경우 플랫폼 운영사가 제휴하고 있는 심사받을 모든 금융권으로 개인정보가 전송되는데, 선택권 보장 없이 모든 제휴업체에 강제로 공유된다고 지적했다고 합니다.😐

 

실제 대출모집법인인 핀테크 업체를 통해 살펴보면, 금융소비자의 개인정보는 1차로 핀테크 업체, 2차로 각 금융사로 전달된다고 합니다. 금융소비자는 금융사에서 넘어온 대출조건을 보고 한 곳의 금융사를 통해 대출을 실행하게 되는데 문제는 금융소비자의 개인정보가 대출 조건을 제공했던 모든 금융사로 전달되며, 대출이 실행되지 않더라도 3개월간 금융사에서 보관된다는 점이라고 합니다. 금융소비자는 대부분 일괄동의 등의 과정을 거치는 경우가 많아 깊숙이 명시되어 있는 개인정보 제공 및 정보보관 내용을 인지하기 어렵다고 하네요.🙄

 

이에 이용우 의원은 금융당국의 역할은 금융소비자가 금융서비스를 이용할 시 개인신용정보가 어떻게 유통되는지 이해하게 하고, 개인정보가 어떻게 관리되는지, 어떤 기준으로 제도를 개선할 것인지 대책을 마련해야 한다고 언급했다고 합니다.😀

 

 

 

2. 디스코드를 C&C로 활용하는 최초의 멀웨어 아바돈 !

 

디스코드(Discord)를 C&C로 활용하는 멀웨어가 처음으로 발견되었으며 이는 일종의 원격 접근 트로이목마로 이름은 아바돈이라고 합니다.😀

 

디스코드를 활용한 범죄는 디스코드를 데이터를 저장하는데 쓰거나, 멀웨어를 클라이언트에게 넘겨주는 장소 정도만으로 활용했다고 합니다. 그러나 멀웨어와 연동되는 C&C 서버로서 디스코드가 활용된 사례는 처음이라고 합니다.

 

아바돈을 분석한 바로는 컴퓨터를 감염시킨 후 다음과 같은 정보들을 빼돌린다고 합니다.

- 크롬 쿠키

- 크롬에 저장된 신용카드 정보와 크리덴셜

- 스팀용 크리덴셜과 설치된 게임 목록

- 디스코드 토큰과 다중인증 관련 정보

- 파일 목록

- 시스템 정보

 

이 정보는 아바돈이 자동으로 훔치며 C&C 서버와의 연동이 발휘되지 않는다고 합니다. 그러나 정보를 훔쳐낸 후 디스코드에 마련된 C&C 서버로 보내기 시작하며 다음과 같은 추가 명령을 기다리는 상태로 전환된다고 합니다.

- 컴퓨터로부터 특정 파일이나 디렉토리 전체 탈취

- 드라이브 목록 작성 및 전송

- 리버스 셸 열기

- 랜섬웨어 실행

- 추가로 수집된 정보를 서버로 보내고 난 뒤 저장된 탈취 정보 삭제

 

아바돈은 10초에 한번씩 서버와 연결하여 갱신하며 새로운 명령을 받는다고 합니다. 즉, 공격자들이 지속적으로 새로운 데이터를 탐지해 빼돌릴 수 있다는 것입니다. 그리고 새로 입수된 데이터에 따라 새로운 명령을 전송하는 것도 가능하다고 합니다.😑

 

보안전문가들이 가장 걱정하는것은 랜섬웨어 기능이라고 합니다. 분석된 바로 의하면 아바돈은 기본적인 암호화 알고리즘을 가지고 파일들을 암호화 하고, 협박 편지를 전송하여 돈을 받은 후 복호화 하는 기능을 제공한다고 하네요!

 

그러나 다행이 랜섬웨어 기능은 아직 개발단계에 있는 것으로 보인다고 합니다. 이에 전문팀은 현재 랜섬웨어가 범죄자들에게 큰 수익을 올려주는 요소이기 때문에 여러 유형의 사이버 공격과 랜섬웨어가 접목된 형태가 계속해서 나타날 것이라고 경고하기도 했다고 합니다.😁

 

 

 

3. 정부 모바일앱, 보안문제 심각!

 

컴퓨터에 대한 전문지식이 없는 일반인도 정부 모바일앱의 개발자 페이지에 접근해 앱을 위조하고 정보 왜곡까지 할 수 있는것으로 조사되었다고 합니다!

 

이는 가장 기초 암호화 조치인 '난독화' 조차 하지 않았기 때문이라고 합니다.😨

 

특히 안드로이드 기반으로 구축한 어플리케이션은 개발 언어가 공개되어 있다고 합니다.

 

국회 김영배 의원이 행정안전부 공공앱의 보안 취약점을 직접 조사했는데. '2019 공공앱 성과측정지표 결과' 누적 다운로드 횟수는 80,000 ~ 6,000,000회 정부 기관 및 지자체 제작 어플리케이션 16개 난독화 여부를 파악한 것이라고 합니다.

 

김영배 의원실에 따르면, 모바일 보안 취약점 확인 프로그램을 구글 검색으로 다운받아 어플리케이션을 분해해 침투 가능한 것으로 조사되었다고 합니다. 또한 프로그램을 비롯해 '난독화가 안 된 어플리케이션 해킹 메뉴얼'을 따라하면 비전문가도 정부앱 해킹이 가능한 상황이라고 경고했다고 합니다.😑

 

현재 서울자전거 따릉이, 공무원연금공단 모바일앱, LH청약센터 모바일, 한국전력 공사 스마트한전 등 여러 앱이 난독화가 되어있지 않은 상황이라고 하네요.😥

 

 

 

4. 미국에서 일어난 전 시스템 관리자의 해킹 사건

 

미국의 백화점 브랜드인 센추리21(Century 21)에서 악성 내부자 사건이 발생했다고 합니다.

 

이는 전 시스템 간리자가 퇴사 후 회사의 비밀 네트워크에 불법으로 접속하여 여러가지 데이터를 조작한 사건이라고 하네요.😀

 

용의자는 센추리21의 직원이었을 때 HR 시스템을 관리하는 역할을 담당했었다고 합니다. 그래서 회사의 데이터 관리 시스템이나 시간 관리 시스템에 자유롭게 접속할 수 있었다고 합니다.

 

용의자는 자택에서 센추리21의 네트워크에 접속해 데이터들을 조작해 왔으며, 자기 후임자 역할을 했던 컨설턴트들이 센추리21의 컴퓨터 네트워크에 접속해 세부적인 구조와 요소를 파악하기 힘들게 만들기 위해 여러 데이터를 삭제했다고 합니다.🙄

 

센추리21 측은 용의자의 후임들이 계속해서 시스템에 원활하게 접근하지 못하는 것을 의심하다가 이러한 사실을 알아냈다고 합니다. 이에 내부 수사를 진행했으며, 센추리21의 휴가 관리 명단과 데이터, 정책 등이 허가 없이 변경되었다는 것을 알아냈다고 합니다.

 

이 때문에 일부 직원은 휴가 기간에도 출근한 것 처럼 처리가 되어 긴 유급 휴가를 누리기도 했다고 합니다.🤣

 

하지만 오류를 파악하고 정정하는 것과 삭제되거나 변경된 데이터를 원상복귀시키는 일에 수만 달러의 비용이 들어 갔다고 합니다.

 

이 사건을 통해 내부자 보안이 참으로 중요하다는 것을 깨닫게 되네요!😁

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=92029&page=1&mkind=1&kind=2

[2020 국감] 카카오페이·토스 등 대출비교서비스 개인정보관리 사각지대

www.boannews.com/media/view.asp?idx=92034&page=1&mkind=1&kind=1

디스코드를 C&C로 활용하는 최초의 멀웨어 아바돈, 랜섬웨어도 겸해

www.dailysecu.com/news/articleView.html?idxno=115539

정부 모바일앱, 보안문제 심각…기초 보안 적용도 하지 않은 정부앱 대다수 - 데일리시큐

www.boannews.com/media/view.asp?idx=92035&page=1&mkind=1&kind=1

미국 백화점 센추리21의 전 시스템 관리자, 유급 휴가 주려고 해킹