보안 이슈 정리 [강의]

11년 SK 컴즈 개인정보 유출 사례

• 직원들이 안전이 확인되지 않은 개인용 프로그램을 무분별하게 사용한 것이 원인이다
• DBA PC가 해킹되어 사실상 DB Dump 수준으로 유출된 경였음

어떻게 해킹했을까?

1. 한국 서버 2대 해킹 (경유지 확보) -> 이스트소프트 업데이트 서버 해킹

• 좀비 서버 확보: 국내 중소기업 서버 2대 -> C&C서버로 활용
• 공급망 공격: SK컴즈 직원들이 공통으로 사용하는 AlTools 타깃
• 업데이트 로직 변조: 이스트소프트의 업데이트 서버에 침투 -> 업데이트 요청이 들어오면 해커가 심어둔 악성 파일(변조된 DLL)을 다운받게 redirect

  2. 침투 및 감염

• 정상 프로세스 위장: 다운로드된 악성코드 -> .exe가 아니라 DLL(동적 링크 라이브러리)형태로 숨어서 백신 탐지 우회
• 내부망의 인터넷 허용 문제: DBA의 PC가 외부와 통신이 가능한 상태였음

  3. 내부 장악 및 권한 탈취: 로그인/세션 유지 이슈로 키보드 해킹 없이 계정 획득

• 세션 하이재킹과 유사한 상황이었음: DBA가 업무를 위해서 DB 접속 툴에 이미 로그인해 있거나, 자동 로그인 설정을 해둔 상태면 해커는 그냥 비밀번호 몰라도 열린 창에 쿼리 날리면 됐음

  4. 데이터 유출: 악성코드 Shell Reverse -> DBA 접속 -> SQL Dump -> FTP로 업로드

• IPS가 밖으로 나가는 공격을 안 막아서 생긴 이슈
• 리버스 쉘: 보통 방화벽/IPS는 외부->내부(InBound) 접속은 엄격히 막음. 하지만 내부->외부(outbound) 접속은 허용하는 경우가 있음. 그래서 이걸 이용해서? 피해자 PC가 해커 서버로 먼저 연결을 요청하게 되면 방화벽을 통과할 수 있게 됨
• SQL Dump: DBA 권한으로 DB 전체를 파일로 저장하는 Dump 명령어
• FTP 전송: DLP(Data Loss Prevention) 솔루션이나 아웃바운드 트래픽 모니터링이 정상 작동하지 않아서 대용량 데이터가 빠져나가는 걸 못 막음

  5. ISMS-P와 현재의 대응

• 이 사건 이후 만들어진 규제들
• 망 분리 의무화: DBA PC는 인터넷이 되는 망과 완전히 분리되어야 함
• 접근 통제: DB접근은 오직 지정된 IP나 Bastion host를 통해서만 가능함
• 이상 징후 탐지: 평소와 다른 대용량 트래픽이 발생하면 즉시 차단되어야 함