![[긴급] 사이트 제작 대행 B모 社, MySQL 계정 정보 유출 정황](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbABoly%2FbtsEdBgeDw6%2Fvm1PYCKf1nOcxkJkN0lXQk%2Fimg.jpg)
[ 문의: admin@ssogari.dev / t.me/sgr_tgr ]
경성대학교, 청주시 교통국, 순천향대, 숙명여대 등 국내 여러 기관을 대상으로 한 무차별 공격을 이어가고 있는 중국 해커 '니옌(年)'이 이번에는 사이트 제작 대행 업체인 B모 社를 공격하여 MySQL 계정 정보를 유출한 정황이 포착됐다.
해커는 30일 오후 8시 30분 경, 텔레그램 채널에 '韩国数据库账号密码.xlsx (한국 데이터베이스 계정 비밀번호.xlsx) '라는 이름의 엑셀 파일을 공유했다. 이 파일에는 90개에 달하는 사이트의 도메인과 IP, 포트 번호, ID와 패스워드가 기록되어 있었다. 해당 파일의 내용 중에선 공통적으로 포트 번호가 3306번으로 일치했다. 이는 일반적으로 데이터베이스 관리 시스템인 MySQL을 운용하는 포트 번호로 알려져있다.
이 파일은 B모 사이트 제작 대행 업체에서 유출된 것으로 추정된다. 추정 근거는 아래와 같다.
(1) B모 업체에서 운영하는 호스팅을 이용
Whois Lookup을 통해 위 엑셀 파일의 도메인 정보를 조회해보면 65개의 업체가 공통적으로 B모 업체의 네임서버를 가리키고 있는 것으로 확인된다. 해당 업체는 사이트 제작 대행 서비스 뿐만 아니라 웹 서버 호스팅을 운영 중이다. 보통 이런 업체의 경우 사이트를 제작하면서 자사의 호스팅 업체를 사용하는 경우가 많기 때문에, 해당 업체의 경우 B모 업체에서 운영했을 가능성을 높게 판단한다.
(2) B모 업체의 포트폴리오 및 사이트 내 흔적
(1)에서 추론할 수 없는 B모 업체 外 호스팅 업체를 사용하는 경우 이 경우에 해당한다. 위의 사진과 같이 해당 업체의 포트폴리오에서 목록에 있는 도메인과 업체 명을 찾을 수 있었다. 즉, 해당 업체의 호스팅을 사용하지 않는 경우에도 이 업체의 사이트 제작 대행 서비스를 이용한 적이 있다는 것이다.
(1)과 (2)의 근거를 토대로 위 90개 업체가 모두 공통된 업체에서 관리를 해왔으며, 해당 업체에서 관리하던 DB 계정 정보가 유출되었음을 추론할 수 있다.
만일 해당 DB 계정 정보가 사이트 제작 대행 업체에서 유출된 것이 맞다면 우려되는 것은 개인정보 유출이다. 회원제로 운영되는 사이트의 경우, 사이트와 함께 DB를 운영하며 해당 DB에 회원 정보(이름, 아이디, 전화번호, 주소 등)를 저장하는데 이 목록의 DB가 탈취된 경우 이러한 개인정보의 유출이 되지 않았으리라 장담할 수 없어진다.
피해 업체 중에는 병원, 한의원 등의 의료 기관과 협회, 법인 등의 단체가 여러 확인되는데 해당 업체, 단체의 회원 명단의 경우 사이트 회원과는 별개로 운영 및 관리되므로 실제 피해 규모는 적을 것으로 추정된다. 즉, 병원 사이트의 DB가 유출되었다고 해서 병원에 다니는 환자의 명단이 유출된 것은 아니라는 뜻이다.
이와 관련하여 사고 인지 즉시 한국인터넷진흥원(118) 콜센터와 해당 업체의 고객지원 번호로 연락을 취해 현재 상황에 대해 SQL 계정 정보가 대거 탈취되어 공유하고 있다는 내용을 공유를 했고 즉각적인 조치를 기대했으나, 아쉽게도 지금 당장은 조치가 어렵다는 답변을 받았다.
한국인터넷진흥원 118 상담 전화
결과적으로 (DB 계정 정보가) 노출이 되어있다라고 하면, 저희가 지금 보호나라(boho.or.kr)라든지 이런 쪽으로 신고를 받고 있는데 개인을 대상으로 해서는 신고를 받지 않고 있고, 말씀하신 그런 기업을 대상으로 해서 신고를 받고 있어서 업체가 신고를 해야된다. 그래서 개인이신 선생님께서는 지금 당장 뭔가 조치가 진행을 하시기는 조금 어려울 거 같다.
해당 업체 고객지원 전화
지금 일반 업무는 받지 않고 있다. 제가 담당하고 있는 건 서버 장애에 대한 부분이고, 제가 지금 확인해드릴 수 있는 부분은 아닌 거 같다. 낮 시간대 다시 전화를 해달라.
보안 사고의 경우 관련 기관과 업체의 즉각적인 조치로 피해를 최소화해야 하나, 단순 개인은 신고를 할 수 없거나 담당자의 보안 의식 부족 등으로 인해 조치되지 않는 경우는 상당히 아쉬움이 남는다. 또, 이번 사고의 경우 MySQL 계정 정보를 한 엑셀 파일에 담아 저장 및 보관하다가 탈취된 경우로 계정 관리 대장에 문서 암호화와 같은 어떠한 보안 조치도 되어있지 않았다는 점이 피해를 확산시킬 수 있다는 점에서 업체의 보안 조치가 미흡하지 않았나 하는 생각이 든다.
'[ IT ] > Security' 카테고리의 다른 글
| 한컴오피스 2024 크랙 버전을 통해 유포되는 악성코드 주의 (0) | 2024.04.19 |
|---|---|
| [긴급] 순천향대 사이트 공격으로 개인정보 유출 (229) | 2024.01.28 |
| 네이버 로그인 피싱 팝업을 발생시키는 '맘스터치' 사이트 해킹 (22. 11. 29.) (802) | 2022.11.29 |
| Behavior:Win32/Hive.ZY 탐지 알림을 발생하는 Defender 오류 (22. 9. 4.) (12) | 2022.09.04 |
| 가천대학교 생활관 공용 PC의 LNK 바이러스 (바로가기 바이러스) (12) | 2021.07.30 |
개발 적당히, 정치 적당히, 일상 적당히, 그냥 뭐든지 적당히만 하는 소프트웨어전공 대학생, 쏘가리입니다. Profile Image by REN (Twt@Ren_S2_)
포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!
![[긴급] 순천향대 사이트 공격으로 개인정보 유출](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FmI55B%2FbtsD2xzgebk%2FdSag5mBB6fdxhmfNltTu7K%2Fimg.jpg)
