개인정보에다 통화기록까지 서버에 통째로! 부동산 프로그램이 위험하다

부동산 중개 프로그램의 개인정보 유출 위험성 지적에도 문제해결 ‘지지부진’

고객들은 물론 중개업소들도 중개 프로그램 서버로 전송되는지 ‘몰라’

정부부처의 떠넘기기식 대응과 실태 점검 미흡이 문제 키워...전수조사 필요성

[보안뉴스 권 준 기자] 부동산을 거래하는 과정에서 민감한 개인정보와 통신비밀 등이 누설될 우려가 크다는 지적(보안뉴스 12월 2일자, 부동산 중개 프로그램, 개인정보 유출 우려 ‘심각’)이 제기된 가운데 유관 정부부처 및 유관기관이 ‘떠넘기기’식 대응으로 일관해 문제를 키우고 있다는 비판이 잇따르고 있다.

그간 제기된 문제는 부동산 거래를 위해 부동산 사무실(이하 중개업소)과 전화 통화를 하거나 방문해서 상담하는 경우, 중개업소가 사무실 PC에 설치된 부동산 중개 프로그램(이하 부동산 프로그램)에 입력하는 개인정보와 통신사실확인자료 등의 일체가 실시간으로 ‘서버버전 프로그램 서비스 업체(이하 서버회사)’의 서버를 통해 통째로 유출되고 있다는 점이다.

​ 

조선일보 전광판, 중학생에게 해킹 당했나? 전광판 디페이스 ‘화제’

화면 바꾸는 디페이스 공격의 일종, 홈페이지에선 자주 발생

특정 언론사 전광판 피해 입혀...공격주체와 방법 등 갑론을박

사건 원인과 관련해 팀뷰어 어드민 계정 노출에 따른 비정상 로그인 추정

[보안뉴스 권 준 기자] 부산의 중심지인 서면역 근처 건물 위에 설치된 디지털조선일보 전광판이 해킹 피해를 당했던 것으로 추정된다.

14일 오후부터 소셜미디어와 인터넷 커뮤니티 등에서는 디지털조선일보 전광판에 기존에 나오던 뉴스가 아닌 해킹으로 추정되는 문구가 들어간 사진이 올라와 큰 이슈가 되고 있다.

부산광역시 부산진구 부전동의 한 건물에 설치된 해당 전광판에 ‘조선일보 전광판 중학생한테 다 털렸죠? ㅋㅋㅋㅋㅋㅋㅋㅋㅋ’라는 문구가 표출된 것. 이에 주변을 지나던 시민들이 이를 사진으로 남기고 SNS 등을 통해 공유하면서 확산된 것으로 보인다.

​ 

참조사이트  
 http://www.dailysecu.com
 http://www.boannews.com
 http://www.boan.com
 http://www.dt.co.kr/
 http://www.datanet.co.kr/
 http://www.itdaily.kr


 [패치 및 업데이트]
 금일 최신 패치 및 업데이트는 없습니다.

 [최신 바이러스 정보]

Trojan/Win32.MalPe.R299953

최초 발견일: 2019-12-13

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Trojan/Win32.MalPe.R299953은 정상적인 실행파일에서는 흔히 쓰이지 않는 패커이며 사용자의 의심을 피하기 위해 정상프로그램으로 위장한다.

Malware/RL.Generic.R243904

최초 발견일: 2019-12-13

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ Malware/RL.Generic.R243904은 사용자 정보 수집 및 탈취, 공격자로부터의 명령 수행 등의 악의적인 행위 가능성이 존재하는 악성코드이다.

JPG/Scam

최초 발견일: 2019-12-13

종    류: 트로이목마

형    태: 실행파일

감염/설치경로: 파일실행, 메일, 다운로드

설   명: ​ JPG/Scam은 JPG 파일에 보여지는 거짓 정보를 통해 사용자를 속게 하며, 사용자의 개인정보나 금전 등을 공격자의 이메일 및 계좌로 요구하는 유형의 악성코드이다.

  ​

[보안TIP]

부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재

[보안뉴스 문가용 기자] 오래된 공격 캠페인 중 하나인 워터베어(Waterbear)가 API 후킹(API Hooking)이라는 새로운 탐지 우회 기능을 가지고 부활했다. 이 기술을 통해 워터베어 공격자들은 자신들이 네트워크 안에서 벌이는 행위를 감출 수 있게 된다고 한다. 보안 업체 트렌드 마이크로(Trend Micro)가 발표했다.

워터베어 캠페인의 배후에는 블랙테크(BlackTech)라는 사이버 정찰 그룹이 있는 것으로 알려져 왔다. 보안 업체 이셋(ESET)은 올해 초 블랙테크가 에이수스(ASUS) 업데이트 절차를 악용해 멀웨어를 퍼트리고 있는 것을 발견하기도 했다. 워터베어 캠페인에서 블랙테크는 모듈화 된 멀웨어를 활용해, 원격에서 각종 기능을 덧붙이는 것을 특징으로 한다.

이번에 새롭게 시작된 워터베어 캠페인의 경우 “API 후킹이라는 기술이 새롭게 추가됐”는데, “아태지역에 있는 한 보안 업체의 탐지를 피하기 위해 활용되고 있다”고 한다. 이 업체는 블랙테크가 표적으로 삼고 있는 국가들과 밀접한 관련이 있는 것으로 나타났다. “블랙테크는 이 업체에서 내는 제품들이 정보를 수집하고 분석하는 방식을 잘 알고 있는 것으로 보입니다.”

워터베어는 DLL 로더를 사용해 RC4로 암호화 된 페이로드를 복호화 하고 실행시킨다. 이 페이로드는 1단계 백도어로, 성공적으로 안착해 실행될 경우 또 다른 페이로드를 가져와 실행시킨다. 이 두 번째 페이로드 역시 백도어로, C&C 서버와 접속하거나 특정 포트를 관찰하는 기능을 수행한다.

워터베어 캠페인의 일환으로 벌어지는 공격 중 일부에서는 암호화 된 페이로드에 대한 파일 경로가 하드코드 되어 있기도 했다. “이를 봤을 때 공격자들은 표적의 환경에 대해 아주 잘 알고 있다는 걸 알 수 있습니다. 워터베어 캠페인을 운영하는 자들은 표적의 네트워크에 오래 머물기 위해 여러 장치를 활용하고 있을 가능성이 높습니다.” 트렌드 마이크로의 설명이다.

DLL 로더의 경우 두 가지 종류가 발견됐다. 하나는 정상 서버 애플리케이션을 바꿔 로더를 임포트 하고 로딩하는 방식으로 작동하고, 다른 하나는 가짜 DLL 하이재킹 및 DLL 사이드 로딩을 실시하는 방식으로 작동한다. 두 DLL 로더 모두 실행된 이후 하드코드 된 파일 경로를 찾고, 그 경로에 걸려 있는 페이로드를 가져와 복호화 한다. 복호화 된 페이로드는 정상 윈도우 서비스인 LanmanServer에 주입된다(svchost.exe).

페이로드는 악성 행위를 실행하기 직전까지 기능을 암호화 해서 감춘다. 메모리 내에서의 스캐닝을 피하기 위해서다. 필요할 때마다 기능을 복호화 해서 실행시키고, 일이 끝나면 다시 암호화 한다. “최근 공격에서는 두 가지 페이로드가 사용됐습니다. 하나는 특정 보안 제품에 코드를 주입해 백도어를 감추는 것이었습니다. 워터베어 캠페인에서는 처음 보는 것이었습니다. 다른 페이로드는 전형적인 1단계 백도어였습니다.”

1단계 백도어를 감추기 위해 API 후킹을 통해 보안 제품을 무력화시킨다. 트렌드 마이크로는 이를 다음과 같이 풀어서 설명한다. “페이로드가 보안 제품 프로세스의 메모리에 있는 기능을 조작합니다. 이 때문에 해당 보안 제품이 정상적으로 작동하지 않게 되고, 따라서 탐지가 잘 되지 않게 됩니다.”

트렌드 마이크로는 “워터베어 캠페인을 운영하는 자들이 백도어를 감추려고 하는 건 처음 있는 일”이라고 말한다. “그것도 이렇게 구체적인 제품만을 불능 상태로 만드는 걸 보면 이들이 자신의 표적을 매우 꼼꼼하게 이해하고 있다는 걸 알 수 있습니다. 해당 조직이 어떤 보안 제품을 사용하는지, 그 제품이 어떤 식으로 작동하는지까지도요.”

http://www.krcert.or.kr/data/secNoticeList.do
http://www.microsoft.com/korea/security/default.mspx
http://www.adobe.com/kr/downloads/updates/