정보 보안 침해 사고

침해사고는 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 피해, 해킹, 컴퓨터 바이러스와 같은 방법으로 정보 통신망 또는 이와 관련된 정보 시스템이 공격을 당하여 생긴 문제를 일컫습니다.

 

최근들어 침해사고는 국내 대기업들을 타깃으로 급증하고 있으며, 해킹 주체는 중국,북한으로 추정되고 있습니다.

KISA에서 제공하는 침해사고 신고 현황

사고 신고받은 횟수만 카운트되기 때문에 실제로 신고되지 않은 침해사고는 더 많을 것으로 예상되고 있습니다.

서버해킹은 근 4년간 침해사고중에서 가장 높은 비율을 차지하고 있으며, 상대적으로 하반기에 더 많이 발생합니다.

랜섬웨어는 비율로 봤을 때 높은 비율은 아니지만 악성코드 감염 통계중 71%가량을 차지하고 있습니다.

 

최근들어 유독 침해사고가 많이 발생하는데, 최근에 떠들석했던 통신사 해킹 외에도, yes24와 한국보증공사 등 여러 기업들이 랜섬웨어,백도어에 피해를 입고 있습니다.

 

먼저 SK텔레콤 침해사고에 대해 알아보겠습니다.

 

1.악성코드 종류

BPFDoor 27종, 타이니쉘 3종, 웹쉘 1종, 오픈소스 악성코드 2종(CrossC2, 슬리버 1종)로 총 33종

그 중 가장 먼저 침투한 악성 코드는 CrossC2로 확인되었습니다.

 

2.피해 규모

유심정보 25종으로 약 9.82기가바이트, 가입자 식별번호(IMSI) 2696만건 유출

 

3.흐름

사진 출처 - 과학기술정보통신부 SK텔레콤 최종 보고서

 

1. 21년 8월 서버A에 백도어 악성코드 CrossC2 설치

2. 21년 12월 서버A에 저장되어있는 계정정보를 활용해 B서버에 접속 및 BPFDOOR설치

3. 22년 6월 고객 관리망 내 서버 접속 후 악성코드 추가 설치(BPFDoor, 웹쉘)

4. 25년 4월 초기 침투시 확보한 계정 정보로 시스템 관리망에 악성코드 추가 설치 및 유심정보를 외부 인터넷 연결 접점이 있는 서버 C를 통해 유출

 

다음은 SGI서울보증 랜섬웨어 침해사고 입니다.

1.악성코드 종류

건라라는 해외 조직에서 만든 랜섬웨어이며, 기존 콘티 랜섬웨어에서 조금 변형된 랜섬웨어입니다. 

ChaCha20  대칭키 알고리즘으로 데이터를 암호화하고, 대칭키는 다시 RSA-2048공개키로 암호화하는 하이브리드 암호화 방식이어서 정상 복구하기 어렵습니다.

또 건라는 실행중 주요 시스템 폴더나 임시 폴더 등은 암호화 대상에서 제외하고, 사용자 복구를 박기 위해 볼륨 섀도우(VSS) 목록을 조회하고 삭제합니다.

 

2.피해 규모

7월 14일부터 약 4일동안 서울보증의 모든 업무가 마비되었습니다. 그 이후 SGI측에서 협상 없이 복호화 키를 추출해내는데 성공했다고 밝혔으나, 후에 건라에서 13.2 TB 규모의 데이터를 확보했다고 밝힌 상황입니다. 아직 유출 소식은 없으나 건라 홈페이지의 피해자 목록에서 SGI이름이 내려간 것으로 보아 유출 가능성은 낮은것으로 보입니다.

 

마지막으로 샤오치잉 공격 그룹 침해사고입니다.

중국 해커 조직 샤오치잉이 2023녀 1월부터 2월까지 국내 웹페이지를 공격한 침해사고입니다.

해킹 과정에서 Sqlmap과 Nuclei등을 활용하였다.

 

1.공격 기법

SQL injection 및 WebLogic 취약점을 이용하여 정보유출 및 웹쉘 설치

 

2.피해규모

약 23000여명의 개인정보 유출 및 3개 홈페에지의 웹페이지 변조 및 DB삭제

 

이상으로 정보 보안 침해 사고에 대한 포스팅을 마치겠습니다.

KISA나 안랩에서 제공해주는 자료 퀄리티가 너무 좋아서 어려움은 없었네요.

읽어주셔서 감사합니다~

2025년 상반기 사이버 위협 동향 보고서-1.pdf

5.57MB

 

 

1.6월9일  yes24 랜섬웨어