보안정보

글로벌 정보보안 리더 윈스

[2020년 10월 14일] 주요 보안 이슈

침해사고분석팀 2020.10.14

1. [기사] 아직도 해킹 취약한 'http' 쓰는 다음 메일
[https://www.hankyung.com/it/article/2020101346561]
월간 활성 이용자(MAU)가 200만 명에 가까운 포털 다음의 모바일 메인이 보안에 취약한 것으로 드러났다. 정보를 암호화한 통신 규약인 ‘https’가 아니라 ‘http’를 사용해 해킹을 통한 개인정보 유출 가능성이 높기 때문이다. 실제 모바일 웹 브라우저에서 다음 메일에 접속 시 주소가 "http://m.mail.daum.net"인 것을 확인할 수 있다. 보안 업체에 의뢰해 사이트의 보안 수준을 점검한 결과 패킷 스니핑 공격 기법을 사용해 다른 사람의 메일 내용을 확인할 수 있었다. 카카오 관계자는 “다음 메일이 개선할 사항이 많아 우선순위를 정해 업데이트를 하고 있다”며 “지적된 부분도 올해 업데이트할 계획”이라고 전달했다.

 

2. [기사] 싱가포르 가정용 CCTV 해킹 사고! 한국에서도 피해 발생
[https://www.boannews.com/media/view.asp?idx=91740&page=1&kind=1]
싱가포르에서 가정용 CCTV 해킹 사고가 발생했다. 싱가포르의 일간지인 스트레이트타임즈에 의하면 이 사건으로 유출된 동영상들은 현재 각종 포르노 사이트에서 ‘싱가포르’라는 태그가 달려 유포 및 거래되고 있다고 한다. 싱가포르 수사 기관은 IP 카메라 해킹을 전문으로 하는 조직인 디스코드(Discord)가 해당 사건의 배후에 있는 것으로 보인다고 발표했다. 현재까지 약 4000여 개의 영상물이 담긴 700MB짜리 샘플 영상물들을 분석한 결과 피해자들은 태국, 한국, 캐나다에 분포되어 있는 것으로 나타났다. 보안 블로거인 그래함 클룰리(Graham Cluley)는 "안전 카메라를 가정에 설치하는 문제는 보다 진지한 고민을 통해 결정해야 할 것”이라고 권고했다.

 

3. [기사] 데이터센터의 장비 파괴 제대로 하지 않은 모건 스탠리, 6천만불 벌금
[https://www.boannews.com/media/view.asp?idx=91742&page=1&mkind=1&kind=1]
미국의 통화감독국이 대형 투자 은행인 모건 스탠리(Morgan Stanley)에 6천만 달러의 벌금형을 부과했다. 서드파티 업체와의 협력을 통해 데이터센터를 해체하는 과정에서 감독 역할을 소홀히 해 고객 정보를 안전하게 보호하지 못했기 때문이다. 통화감독국은 "하드웨어 해체, 서드파티 업체와의 협력 관계 형성 등에서 올 수 있는 위험 요소들을 효과적으로 평가하지 못했으며, 장비들에 저장된 고객 정보를 제대로 유지하는 데에도 실패했다"라고 결론을 내렸다.  노출된 정보는 고객들의 이름, 고객 번호, 계좌번호, 사회 보장 번호, 여권 번호, 연락처, 생년월일, 자산 관련 정보 등이었으며 약 100여 명이 이 소송에 참여했다.

 

4. [기사] 국제 로펌 Seyfarth Shaw, 랜섬웨어 피해 입다.
[https://www.bleepingcomputer.com/news/security/international-law-firm-seyfarth-discloses-ransomware-attack/]
세계에서 가장 수입이 많은 100대 로펌 중 하나인 국제 로펌 Seyfarth Shaw가 랜섬웨어 공격의 피해를 입었다. 해당 공격은 주말 근무하는 직원이 적은 토요일에 발생했으며, 여러 다른 주체가 동시게 같은 공격을 진행했다고 한다. 회사 측은 자사 모니터링 시스템을 통해 허가되지 않은 활동을 적발했으며 신속하게 확산을 막았다고 밝혔다. 이번 공격이 얼마나 큰 피해를 주는지 현재로서 알 수 없지만, Seyfarth Shaw는 공격자들이 고객이나 회사 데이터에 접근하거나 훔쳤다는 증거를 발견하지 못했다고 말한다. 현재 그들은 FBI와의 협력을 통해 기밀 정보를 보호하고 시스템을 되돌리기 위한 노력을 진행 중이라고 한다.

 

5. [기사] 안드로이드 기반 스트리밍 박스에서 취약점 발견돼
[https://threatpost.com/authentication-bug-android-smart-tv-data-theft/160025/]
HK1 S905X3 TV 박스에서 임의 코드 실행 취약점이 발견되었다. HK1 S905X3 TV 박스는 안드로이드 기반 스트리밍 박스로 TV에 접속해 유튜브, 넷플릭스 등 스트리밍 콘텐츠를 가입 없이 접속할 수 있는 스트리밍 박스다. 해당 취약점을 통해 권한이 없는 로컬 사용자가 소셜 미디어 토큰, 암호, 메시징 히스토리 등을 탈취하고 권한을 상승시킬 수 있다. 특히 직렬 포트(UART)를 통해 장치에 연결하거나 Android 디버그 브리지(adb)를 권한 없는 사용자로 사용하는 동안 셋톱의 디버깅 기능에 대해서는 인증이 부족하다는 문제가 있다. 지금까지 이 문제는 다뤄지지 않았으며, 현재 이 기기의 판매업체와 연락을 시도했으나 아무런 응답을 받지 못했다고 한다.