해커 / 해킹 / 엘지 / 통신사 / 웹셀 /
LG유플러스 해킹, 2022~2023
과학기술정보통신부와 한국인터넷진흥원(KISA)은 2023-04-27 정부서울청사에서 ’LG유플러스 사이버 침해사고 원인분석 및 조치방안’을 발표하고 해킹당한 개인정보가 LG유플러스 고객정보가 맞다고 밝혔다.
LG유플러스가 해커로부터 확보한 데이터 60만건을 분석:
- 데이터베이스(DB) 형태의 텍스트 파일로 26개 칼럼으로 구성돼 있다.
- 동일인 중복 데이터를 제거해 29만6477명의 정보를 확인
- 또 LG유플러스가 해커로부터 추가로 확보한 이미지로 된 데이터 --> 1039명의 정보를 새로 확보했다. 다만 이 중 399명의 정보는 DB에서 정확히 확인되지 않음.
해킹 방법
KISA 의 분석:
파일유출 시점은 마지막 업데이트가 이뤄진 2018년 6월15일 오전 3시58분 직후로 보인다 --> 누군가 관리자 계정에 웹셸 같은 악성코드를 설치 --> 정확한 유출 경로는 2018년 당시 DB 접속 로그 정보가 거의 남아 있지 않아 조사에 한계
해커가 웹셸(webshell) 방식을 이용해 개인정보를 탈취했을 것으로 추정
webshell 공격 me: 생각보다 간단하다. web page 또는 api 를 열어놓는다. 그래서 특정 인자를 받으면, 관련해서 system command 를 실행할 수 있게 만들어 놓는다. php 에서는 간단히 아래처럼 가능하다. 다만 이번 경우는 db 이기에 아마도 db 관련 query 를 마음대로 사용할 수 있도록 webshell 을 작성했을 듯.
// localhost/test.php?q=ls <?php system($_GET['q']); ?>
해킹을 당한 이유
- 고객인증 DB의 관리자 계정의 암호를 초기암호로 방치 –> 해킹(웹셸 방식)
- 모니터링 시스템 부재 : 대용량 데이터 외부 유출 시 비정상 행위를 실시간 감시할 수 없었다.
- 정보보안관련 예산 및 인원이 3사중 가장 적다, (LG유플러스: 292억원, 91명)
2022년 통신 3사의 정보보호 투자액과 담당 직원
- LG유플러스: 292억원, 91명
- SK텔레콤: 860억원, 305명
- KT: 1021억원, 336명
2023년 초 LG유플러스 서비스 장애를 일으킨 분산서비스거부(DDos·디도스) 공격
- 라우터에 과부하를 유발하는 수법
- 당시 LG유플러스는 68개 이상의 라우터 정보가 외부에 노출
- 신뢰할 수 없는 장비와 통신이 가능한 상태
- ’포트 스캔’을 통해 LG유플러스 라우터를 특정하고 노출된 포트를 대상으로 디도스 공격
- ‘접근제어 정책’(Access control policy)을 통해 라우터 간 통신 유형을 제한하지만 이 같은 조치가 미흡
- 1월29일과 2월4일 총 5회
- 공격자는 1월29일 3회에 걸쳐 63분 동안 주요 네트워크 장비 14대를 공격했고 전국적으로 서비스 장애
- 2월4일에도 2회에 걸쳐 57분 동안 일부 지역 엣지 라우터 320대를 공격해 장애가 생겼다.
- 공격 IP가 변조돼 디도스 공격 주체가 누구인지 파악하지 못했다.
댓글 없음:
댓글 쓰기