현재 위치:   » 테크 » 악마를 보았다: 피싱 사기범이 서버에 남긴 정보

악마를 보았다: 피싱 사기범이 서버에 남긴 정보

이 글은 개인정보를 불법으로 취득해 보이스피싱 등 다양한 방법으로 인터넷 금융 범죄를 일으키는 데 이용한 서버를 살펴보고 정리한 글입니다. 자세한 설명 때문에 글의 길이가 조금 길지만, 범죄자들이 어떤 정보를 어떻게 이용하는지 이해하는 데 도움이 되길 바랍니다. (편집자)

2014년 11월 말, 대략 농협 텔레뱅킹 사고가 세상에 알려진 그즈음이다. 도용된 카드로 우리 회사 클라우드 서비스 요금이 결제되었다고 결제대행 PG사로부터 연락이 왔고 조금 있으니 경찰서로부터 참고인 조사받으라고 연락이 왔다.

명의를 도용해 유료 서비스를 결제했다?

고객 명세를 살펴보니 휴대폰 본인 인증을 통과하여, 이미 여러 대의 가상 서버를 신청하고 이용하고 있었다. 신청한 고객과 연락은 되지 않는 상태. 일단 서비스는 정지시키고, 서버 이용자가 연락이 올 때까지 기다렸으나 연락이 오지 않았다.

다섯 대의 가상 서버로 이 친구가 무슨 범죄를 저질렀을지가 궁금해졌다. 재미있는 건 해커도 자신의 정보 보안에는 별로 관심이 없었던 것으로 보인다. 시스템 최초 세팅 시 비밀번호를 입력한 결과 이 해커는 우리가 만들어준 최초의 비밀번호를 바꾸지 않은 상태였다.

그중 한 대의 서버에 접속해 들어간 순간 한순간 벌어진 입을 다물 수가 없었다. 악마들의 작업장이 고스란히 드러났다. 온통 훔쳐온 개인 정보, 보안 카드 사진 찍은 것, 주유소 기름 넣었을 때에 찍힌 듯한 카드 사진 등등.

일단 KISA와 경찰에 신고하고, 지디넷코리아 기자에게 이를 제보하였다. 그리고 그들이 유출된 개인정보를 이용해 어떻게 우리의 돈을 노리는 작업을 하고 있는지, 공익성 차원에서 리포팅을 해야겠다고 마음먹고 분석을 하게 되었다.

아래의 내용은 두 달여 간의 짬짬이 분석한 결과물이다.

들어가기 전에.

분석 중에 통신사 본인 인증을 통과한 휴대폰 또한 도용된 휴대폰이었다. 실제 도용당한 분이 우리 회사를 방문한 바 있다. 악의라고는 하나도 없이 평범한 직장인이 범죄의 소용돌이에 휘말린 사례다.

휴대폰이 도용된 사람의 경우 수백 개의 사이트 모든 로그인 아이디와 비밀번호 정보가 키로거(keylogger) 악성코드 공격으로 해커들에게 다 넘어간 상태여서 정상적인 생활이 불가능할 것으로 보였다.

인증서 파일과 잔액조회까지 마친 상태로 보이는 파일들

인증서 파일과 잔액조회까지 마친 상태로 보이는 파일들

고객용 뱅킹 보안카드 이미지 파일

고객용 뱅킹 보안카드 이미지 파일

우선, KISA에 신고했다

사장님이 경찰서를 갔다 오시면서 서버를 하나 던져 주셨다. 서버를 대략 살펴보니 며칠 전 TV에서 봤던 뱅킹 사고가 생각났다. 아무래도 이번 뱅킹 해킹 사건과 관련이 있을 거라 생각들이 들어 ‘국번 없이 118’ 한국인터넷진흥원(이하 KISA)에 전화를 걸어서 이 사실을 알렸다.

“불특정 다수 국민의 개인 정보가 불법적으로 수집되어 있는 서버가 있다.”

그러니 KISA 개인정보보호사이트 내에 개인정보침해신고센터에 신고를 하라고 하였다. 신고하기 버튼을 눌러 양식을 보니 보통 피해를 본 사람이 피해를 입힌 사람을 신고하는 양식인 듯했다.

양식은 간단하다. 피해자가 가해자를 신고하면 된다.

양식은 간단하다. 피해자가 가해자를 신고하면 된다.

어찌 되었던 신고를 해보자. 신청인에는 나의 정보를 적고 피신청인은 이 사람이 누군지 모르니 ‘미상’으로 적어 신고하였으며 또한 사이버 경찰 수사관에 의뢰하여 서버에 대한 조사도 진행하였다.

그리고 일주일이 지난 뒤 KISA로부터 처리 결과가 수신되었다.

어려운 말 같지만 한마디로 경찰서에 신고하라는 것이다.

어려운 말 같지만 한마디로 경찰서에 신고하라는 것이다.

해커가 남긴 것을 살펴보았다

이미 경찰은 한번 왔다 갔으니 범인을 잡길 기다리면 되는 것이고, 나는 혹시나 해커가 남긴 단서가 있을지도 모르니 조용히 추적을 해보았다.

해커가 이용한 상품

해커는 탈취한 공인인증서를 기반으로 명의를 도용하여 서비스 신청을 하였으며 스마일서브에서 제공하는 “WIN MAX 64” 라는 클라우드 서비스를 이용하였다.

해커가 이용한 서버 사양

해커가 이용한 서버 사양

  • OS: WINDOWS 2012
  • CPU SHARED
  • RAM: 1GB
  • 저장공간: 100GB

해커가 사용한 서버 스펙이다. 저렴한 가격에 윈도우 서버를 사용할 수 있으며 기본적으로 사용하는 데는 큰 불편함이 없는 사양이다.

서버 로그인 화면

바탕화면에는 디렉터리, 아이콘, 파일 등이 정리되지 않은 채로 사용하고 있었다.

바탕화면에는 디렉터리, 아이콘, 파일 등이 정리되지 않은 채로 사용하고 있었다.

최초 세팅 때 기본으로 제공하는 비밀번호를 바꾸지 않아서 로그인하는 데는 무리가 없었다. 파일에 비밀번호 지정하거나 방화벽 설정 등의 특별한 보안 설정은 확인할 수 없었으며 바탕화면에는 의심스러운 이름의 폴더들이 지저분하게 널려 있었다.

윈도우 감사 로그 확인 / IP 추출

실제 서버의 이용자였을 해커가 어디쯤 위치하는지 파악하기 위해서 윈도우 감사 로그를 점검해보았다.

우선 로그인 성공한 로그만을 필터 설정하여서 접속한 IP만 추출해보았다.

우선 로그인 성공한 로그만을 필터 설정하여서 접속한 IP만 추출해보았다.

해커들은 어디에서 접속하였을까?

추출한 IP는 IP 검색 툴로 질의하였다.

추출한 IP는 IP 검색 툴로 질의하였다.

18개의 IP에서 해당 서버로 접근한 로그가 남아 있으며 중국 14개의 IP는 IP가 등록된 주소는 베이징, 산둥성, 산시성이며 국내 IP 4개는 분당 정자동, 서울 송파동 쪽이었다. 중국과 한국이 연관되어 있는 간접적인 증거가 될 수 있겠다.

서버에 설치된 프로그램

프로그램 리스트를 간략하게 분류해서 정리해 보았다.

  • 압축 관련 프로그램
  • 인터넷 보안 (뱅킹) 로그인에 사용되는 모듈 프로그램
  • 인증서 관련 모듈 ( 보관 서비스, 로밍서비스, 증명서 발급)
  • 자료 공유를 위한 클라우드 서비스와 메신저
    • 다음(Daum) 스마트 업로더 ActiveX
    • 에버노트
    • 구글 드라이브
    • 유클라우드
    • 텐센트 클라우드
    • 바이두 클라우드
    • QQ 인터내셔널
  • Eyagi 2.0: 이야기 알뜰폰과 관련된 모듈
  • 오라클 VM 버추얼박스: 가상화 서버를 생성할 수 있는 프로그램 (Vmware와 유사)
  • 프로세스 클린(Process clean): 시스템 정보 및 레지스트리 관련 툴
  • WPS 오피스: 중국에서 제작된 무료 오피스 프로그램

뱅킹 관련 프로그램이 많이 설치돼 있었으며 중국에서 사용하는 메신저, 클라우드 등의 프로그램도 설치되어 있었다. 설치된 프로그램에 혹시나 자동 로그인 설정이 되어 있는 것이 있는지 확인하였으며 에버노트의 자동 로그인 기능이 활성화되어 있었다.

에버노트는 스마트폰과 PC에서 각종 메모나 이미지 등을 효율적으로 보관하기 위한 노트 프로그램이다.

에버노트는 스마트폰과 PC에서 각종 메모나 이미지 등을 효율적으로 보관하기 위한 노트 프로그램이다.

이 에버노트에는 686건의 자료가 저장되어 있었으며 여러 개인정보도 보관되어 있었다. 에버노트를 이용해 정보를 업데이트하고 공유하였을 것으로 파악된다.

해커가 남겨놓은 개인정보들

그렇다면 개인정보에는 무엇이 있는가? 서버에 남은 에버노트와 엑셀 파일 등을 종류별로 분류해보았다.

개인 인터넷 뱅킹 정보 (약 241건)

이름, 주민등록번호, 휴대폰 번호, 계좌번호, 비밀번호, 일련번호, 인증서 비밀번호, 계정, 보안코드, IP 정보가 저장되어 있었다.

뱅킹 보안 설정이 없는 상태라면 공인 인증서만 있으면 이체 가능하리라 본다.

뱅킹 보안 설정이 없는 상태라면 공인 인증서만 있으면 이체 가능하리라 본다.

텔레뱅킹 정보 (2건)

해당 서버에는 텔레뱅킹 정보도 소수 포함되어 있었다.

해당 서버에는 텔레뱅킹 정보도 소수 포함되어 있었다.

뱅킹 보안카드 이미지 파일 (약 10건)

보안카드 이미지 파일을 저장매체에 저장하다가 유출된 것으로 파악된다.

보안카드 이미지 파일을 저장매체에 저장하다가 유출된 것으로 파악된다.

공인인증서 파일 (약 234건)

개인 공인인증서 유출은 꽤 심각해 보인다.

개인 공인인증서 유출은 꽤 심각해 보인다.

엑셀파일로 정리한 개인 계좌정보 (약 531명)

엑셀로 정리한 개인 계좌정보

은행 목록은 “신X, 농X, 국X, 외X, 삼X, 하X, 우X, 새X, 기X” 은행 이용자들이었다.

아이핀 계정 정보 (약 15건)

이용자 실명인증과 아이디/비밀번호 찾기가 가능하므로 아이핀의 계정 정보가 유출되면 치명적이다.

이동통신사 계정 (약 6건)

전화 착신이 목적이었을 텐데 수집된 양은 많지 않았다. 그 이유는 무엇일까. 아마도 다음의 이유가 아니었을까 싶다.

  1. 몇 년 전 착신으로 인한 뱅킹 사고가 이미 이슈화되었으며
  2. 이용자들이 스마트폰 데이터 사용량을 확인하기 위해 자주 로그인을 하며
  3. 착신 전환된 전화로는 인증이 안 되는 은행이 많기 때문이 아닐까 싶다.

전화와 휴대폰을 착신하기 위한 메모들이 아래와 같이 저장되어 있었다.

통신사별 착신하는 방법과 필요한 서류, 그리고 착신 전환된 전화로 인증 가능한 은행 등의 정보들이 에버노트에 저장되어 있었다.

통신사별 착신하는 방법과 필요한 서류, 그리고 착신 전환된 전화로 인증 가능한 은행 등의 정보들이 에버노트에 저장되어 있었다.

신용카드 정보 (약 28건)

카드 번호, 카드 비밀번호, 유효기간, CVC 코드

카드 번호, 카드 비밀번호, 유효기간, CVC 코드

신용카드 이미지 파일 (약 31건)

주유소에서 고객 카드를 카메라로 찍어 저장한 모습이라 추측한다. 배경화면과 검은 장갑이 사진을 찍은 장소가 주유소라는 걸 말해주고 있다.

주유소에서 고객 카드를 카메라로 찍어 저장한 모습이라 추측한다. 배경화면과 검은 장갑이 사진을 찍은 장소가 주유소라는 걸 말해주고 있다.

실제 대전에서 아래 링크와 같은 사건이 발생한 적 있다.

이렇게 작업한 카드 정보들은 수집해서 판매하고 있는 것 같다.

카드 DB의 거래가 이루어지는 이유 중 하나는 이렇게 국내 게임사이트 인증에 이용할 수 있기 때문인 것 같다.

카드 DB의 거래가 이루어지는 이유 중 하나는 이렇게 국내 게임사이트 인증에 이용할 수 있기 때문인 것 같다.

카드 정보만 거래된다면 그나마 다행이다. 하지만 시중에는 카드 복제도 가능하리라 판단되는 마그네틱 카드 read/write 프로그램도 있다.

다행히도(?) 이 프로그램은 해당 서버에서는 찾아볼 수 없었다.

다행히도(?) 이 프로그램은 해당 서버에서는 찾아볼 수 없었다.

개인정보 (67건)와 불완전한 뱅킹정보 (67건)

이름, 주민번호, 핸드폰 번호, 계좌번호, 계좌 비밀번호, 이체 비밀번호, 아이디 등의 목록이 적힌 메모도 발견되었다.

하지만 이 정보만으로는 금전적 이득을 취하기 불가능하며 해커 집단에서는 계속 보이스피싱 및 무작위 대입 등의 방법으로 또 다른 비밀번호를 찾아내려고 노력할 것이다.

자주 사용하는 비밀번호를 메신저로 주고받은 메모

자주 이용하는 비밀번호를 메모해 놓음

위와 같이 비밀번호 패턴 추출 가능한 이유 중 하나는 많은 이용자는 자신의 어떤 신체정보, 주소, 생일, 전화번호 등과 같은 자신의 개인 정보들을 조합하여 비밀번호를 만들기 때문이다.

다음은 어떤 사이트에서 유출되었는지 모르겠으나 아이디, 비밀번호, 이름, 주민등록번호가 저장된 파일이다.

아이디, 비밀번호, 이름, 주민등록번호 정보 (약 1,500건)

아이디, 비밀번호, 이름, 주민등록번호 정보 (약 1,500건)

유출된 사이트와 동일한 아이디와 비밀번호를 사용하는 경우에는 가입된 또 다른 사이트도 털리게 되는 피해가 발생할 수 있다.

무작위 휴대폰 번호 모음

010으로 시작하는 단순 이동통신사 전화번호 텍스트 파일 (약 325,000개 번호)

010으로 시작하는 단순 이동통신사 전화번호 텍스트 파일 (약 325,000개 번호)

위 정보에는 휴대폰 번호만 나열되어 있으므로 용도는 대량 스팸 발송하여 피싱사이트로 유인하기 위해 사용되었을 것이다.

보이스피싱에 이용하는 다양한 정보들

보이스피싱에 관련된 정보도 다량 수집되어 있었다.

대출정보 (약 627명 정보)

이름, 주민번호는 기본이고, 대출구분과 직장명, 대출받은 지점과 처리상태까지 표시되어 있었다.

이름, 주민번호는 기본이고, 대출구분과 직장명, 대출받은 지점과 처리상태까지 표시되어 있었다.

보이스피싱 멘트들

위 대출정보를 이용한 보이스피싱에 이용하는 걸로 보이는 멘트들이 저장되어 있었다.

위 대출정보를 이용한 보이스피싱에 이용하는 걸로 보이는 멘트들이 저장되어 있었다.

그렇다면 알고도 속는 보이스피싱 멘트에는 무엇이 있을까. 아래의 스크립트를 보자.

이동통신사 보이스피싱 예 #1

박OO 고객님, 안녕하세요. OO텔레콤 OO담당 OOO 팀장입니다.

다름이 아니고 어제 저녁 즉, 6월 3일 저녁 6시경 강원 OOO동에 위치한 OO텔레콤 OO대리점을 방문한 사실이 있는지요?

고객님의 신분증을 제시하고 휴대폰 개통 신청이 접수되었는데, 현재 고객님의 거주지와 강원 OOO는 거리가 너무 멀어서 일단 개통 보류를 하고, 고객님께 확인 후 개통을 도와드리려고 전화를 드렸습니다. 개통 사실이 있으신가요?

제 육안으로 확인되진 않았지만 현재 서류 상으로 보아도 고객님의 신분증을 위조하여 지방 대리점을 다니며 개통을 시도하는 것으로 포착되고 있습니다. 저희 OO텔레콤에서는 고객님의 피해를 최소화하기 위해 자체 신규개통 블라인드 시스템을 도입하고 지금부터 OOO 고객님은 본인 외 어떤 대리인도 대신하여 휴대폰 개통을 할 수 없게 조치하는 것에 동의 하시는 거죠?

네, 감사합니다. 그럼 본인 확인절차를 하겠습니다. 현재 이용 중이신 휴대폰 010-OOOO-OOOO 맞으세요? 그럼 본인의 신분증 발행일 또는 운전면허증의 면허 번호를 부탁드립니다

네, 감사합니다. 확인되셨구요. 앞으로도 명의도용이나 부정개통 피해 없길 바랍니다. 고객님 저는 상담원 OOO 이었습니다.

이동통신사 보이스피싱 예 #2

고객님, 고객만족 OO입니다. 김팀장 입니다.

다름이 아니고 오늘 고객님 휴대폰 분실정지건 때문에 전화드렸습니다

고객님 본인이 직접 하시거나 가족 분중에 실수로 접수된것 아니신 거죠?

그럼 전혀 모르는 제3의 인물이 OOO 고객님의 개인정보를 취득해서 본인 동의 없이 저지른 행위로 판단되는데… 고객님의 개인정보를 알고 있기에 또 같은 일이 발생할 수도 있기에 이런 상황에서는 개인정보 블라인드라는 제도가 있습니다.

이 제도는 본인 또는 개인정보를 알고 있는 타인이라고 해도 미리 설정해 두신 비밀번호를 모른다면 변경, 해지 또는 어떤 작은 일이라도 할수 없도록 보호하는 안전한 제도라고 보시면 됩니다.

이용 방법은 앞으로 매장을 방문을 하시거나 ARS고객센터를 이용하셔도 되는데 안내맨트 후에 비밀번호를 누르라는 맨트가 나오실 겁니다. 그러면 설정하신 비밀번호를 누르셔야 다음 진행이 됩니다. 네 그럼 설정하실 비밀번호를 4자리를 말씀해 주세요.

만약에 비밀번호를 기억하시지 못할 때는 대리점 방문은 안되고요 각 지점을 신분증을 지참 하셔서 비밀번호 변경을 하셔야 합니다.

3077 번호는 음성사서함 또는 개인인증 번호로 설정 되어있어서 같은 번호는 안되시고요, 다른 번호 부탁 드립니다.

네 등록되셨구요, 그럼 앞으로는 좀전에 설명해드린 대로 이용하시면 됩니다.

혹시 궁금하신 사항이 있으신가요? 네, 감사합니다.

고객 만족 OO 담당 김OO 입니다. 감사 합니다.

카드사 보이스피싱 예 #1

회원님, 안녕하세요.

OO카드 정보유출에 의해 회원님들에 유출 여부를 진단해 드리고 있습니다. 회원님이 맞으신다면 지금 바로 개인정보 유출 여부를 알려드리겠습니다.

OO카드를 소유 하고 계신 고객님 맞으시면 “예” 또는 “아니요”로 답변 부탁드립니다. 소유하고 계신 카드 번호 마지막 4자리와 CVC 카드 뒷면에 숫자 7자리 중에 마지막 숫자 3자리를 적어서 보내주시면 바로 결과를 알려 드리겠습니다.

카드사 보이스피싱 예 #2

답변 부탁 드려요. 전OO 고객님.

주유상품권은 자택으로 베송해 드리겠습니다.

자택주소: 서울시 XX구 XX동 맞으시죠?
연락처: 010 – **** – 0*1* 맞으시죠.?

OOO님이 현제 보유하고 계신 저의 OO카드

카드번호: **** – **1* – 2*9* – *0?? ㅊㅍㅍ 102

마지막 2자리 숫자 부탁 드립니다.

CVV: 카드 뒷면 마지막3자리 숫자 부탁드립니다.

그리고 마지막으로 카드의 비밀번호 뒤에 2자리 숫자 부탁드립니다.

이것으로 OO카드 고객정보 유출로 인한 보상지원 안내를 끝으로 말씀드렸던 “주유권 3만원권”을 자택으로 발송해드리겠습니다.

질문에 답해주신 OOO 고객님께 다시한번 감사 드립니다.

OO카드 고객만족 OO이었습니다.

대출정보를 이용한 보이스피싱 예

안녕하세요. 저희는 OO OO 지원 센터입니다.

금융권 관련대출 연체나 채무로 인하여 어려움 겪고 있는 분들을 위해 정부에서 지원해주는 제도로 원금 일부와 이자를 탕감해주는 제도가 있어서 연락 드렸습니다. 혹시 현재 채무로 인하여 추심중에 계시거나 은행권 거래 정지, 재산 압류 압류 들어와 있지는 않으신지요?

(네)

개인회생 제도로써 도움을 드리려고 연락 드렸습니다. 채무금액이 천만원 이상이신분들에게 개인회생 제도가 적용되고 있습니다. 채무금액이 얼마나 되시는지요?

(천만원이상)

이후 상담일지에 있는 부분을 질의응답한다.

이미 전화한 상대방의 모든 신상 금융 정보를 알고 있으며 전화를 건 목적은 중요한 몇 개의 정보를 더 알아내기 위함이다. 이미 알고 있는 정보를 던지고 필요로 하는 정보를 얻어내는 패턴이다.

그 외 개인정보들

단말기와 USIM 변경 신청서 (2건)

신청서 2건 (이용자 이름 : 정XX, 원XX)

신청서 2건 (이용자 이름 : 정XX, 원XX)

이는 도용한 명의일 거라 판단되며 대포폰으로 활용될 수 있다.

신분증 스캔본 4개 (한국 2개, 중국 2개)

신분증 스캔본 4개 (한국 2개, 중국 2개)

한국 신분증 2개는 위의 휴대폰 개통 신청서에 사용된 명의와 일치한다.

도용한 명의로 가입한 사이트로 보이는 정보 (7건)

가입된 사이트들은 차이가 있지만 대부분 200~400개 정도이다.

가입된 사이트들은 차이가 있지만 대부분 200~400개 정도이다.

가입에 이용한 명의는 총 7명의 것으로 파악된다. (권XX, 전XX, korXXX, 서XX, 정XX, 박XX, 최XX)

그냥 우리가 알고 있는 사이트는 다 가입되어 있다고 봐도 무방하며 실제 위 도용된 명의 중 하나가 우리 사이트에 가입신청을 하여 서비스를 이용하기도 하였다.

금융권 ARS 전화번호

은행 이외 카드사, 보험사 등의 전화번호가 저장되어 있었다.

은행 이외 카드사, 보험사 등의 전화번호가 저장되어 있었다.

실제로 보이스피싱이나 취득한 금융 개인 정보를 활용하기 위한 문의전화를 하였던 건 아니었을까 조심스레 유추해본다.

해외 개인 정보 (31건)

해외 개인정보 리스트도 있었다.

해외 개인정보 리스트도 있었다.

나라, 이용자 이름과 일련번호로 이루어진 2개의 필드 값을 가지고 있었는데 어떠한 용도일지는 확실치 않다.

개인정보 불법 취득 위해 이용한 자원들

그렇다면 개인정보를 불법적으로 취득하기 위해 이용한 서비스와 자원들의 흔적으로는 무엇이 있을까.

VPN 계정 정보 (2개 계정)

국내 VPN 서비스의 주소와 아이디, 비밀번호가 저장되어 있었다. VPN 서버는 주로 해커들이 자신의 IP를 감추기 위해 사용된다.

윈도우 서버 계정 정보 (4개 계정)

IP 주소, 접속 아이디, 비밀번호가 4쌍이 있었다. 윈도우 서버는 원활한 자료 공유나 테스트를 위해 사용할 가능성이 높다.

070 인터넷전화 계정 정보 (3개 계정)

070 전화번호와 이이디, 비밀번호, 서버 IP 등도 저장되어 있었다. 070 인터넷 전화 특성상 IP 추적이 힘들어 보이스피싱 용도로 사용되었을 거로 추정한다.

클라우드 계정 (1건)

에버노트와 마찬가지로 데이터 공유 및 저장을 위해 사용되었을 것이며 명의 도용된 피해자 계정일 수도 있기 때문에 따로 확인은 하지 않았다.

메신저 대화 내역 캡처 내역 (약 10건)

메신저로 대화한 내용을 캡처해 놓았다.

메신저로 대화한 내용을 캡처해 놓았다.

서로 간 자료 공유 및 의사소통을 위하여 메신저를 사용하고 있음을 확인할 수 있다.

그 외 저장된 해커의 정보

작업(?)을 하면서 기록한 각종 메모

작업(?)을 하면서 기록한 각종 메모

중국어로 된 문서도 하나 확인했는데 금융 관련 서비스 가입신청서다.

중국어로 된 문서도 하나 확인했는데 금융 관련 서비스 가입신청서다.

참고로 파일 중에는 “조선인민 민주주의만세(1)(1).xls”와 같은 제목으로 된 파일도 하나 있었는데 실제 내용은 북한과 관련된 내용은 아니었다.

서버에 남아있는 해킹툴

지금부터는 서버에 저장된 해킹툴에 대해서 확인해 보자. 우선 서버에 저장된 프로그램들을 모아서 한 폴더에 간추려 보았다.

하나의 디렉토리에 실행 가능하거나 문서 이외에 모든 파일을 모아보았다

하나의 디렉토리에 실행 가능하거나 문서 이외에 모든 파일을 모아보았다

각종 해킹툴 모음

신상털기, 디도스, 누킹, 도배기, 스니퍼 관련한 해킹 툴이 저장되어 있다. 일일이 다 실행해보지는 않았지만 대체로 인터넷에서 구할 수 있을 것 같다.

한우툴 (Season Zero)

한우툴 시즌 제로

좀비 PC를 만들 수 있고 디도스 공격 등 여러 가지 해킹 기능이 포함된 해킹툴이다. 여러 폴더에 버전별로 저장되어 있었으며 위 화면만 출력된 후 특정 DLL 파일이 없다는 메시지와 함께 실행되지는 않았다.

익스텐션 스푸퍼

익스텐션 스푸퍼 (Extension spoofer)

파일의 확장자를 변조할 수 있는 유틸리티다. 주로 exe 악성코드 실행파일을 mp3, 동영상 파일 등으로 변조할 때 사용된다.

AWRC 프로

아틀리에 웹 리모트 커맨더 프로패셔널 (Atelier Web Remote Commander Professional)

원격 제어 프로그램인데 좀비 PC들의 원격제어를 위해 사용한 거라 판단한다.

브루트포스

브루트포스

이름을 입력하면 주민등록번호를 웹하드 DB에 검색한 뒤 출력한다고 한다. 실제로 실행시켜봤지만 동작하지는 않았다.

HDSI 3.0

HDSI 3.0

SQL 인젝션 공격에 사용되며 정보 유출의 목적으로 사용한 것 같다.

해킹툴을 살펴보니…

서버에 저장된 해킹툴을 살펴보았으나 실행되는 건 거의 없었으며 백신에서 해당 해킹툴을 잡아내어 실행할 수 없었다. 서버에 많이 저장된 툴 중 하나는 “한우툴”이라는 해킹툴인데 인터넷에서는 프로그램과 좀비 PC들도 거래되고 있는 상황인 것 같다. 시간이 된다면 한우툴에 대해서 좀 더 분석이 필요하리라 생각된다.

내용을 분석한 결과…

두 달 동안 서버를 분석한 결과 아래와 같은 결과에 도달했다.

“해커들의 타깃은 일반 뱅킹 이용자이며 직접 은행을 해킹한 근거는 없다.”

서버에 저장된 정보를 분석해보면 이미 노출된 개인 정보를 바탕으로 보이스피싱을 시도하고 악성코드를 통해서 좀비 PC로 만들거나 피싱이나 파밍을 통해 계좌정보, 보안카드 정보, 공인인증서 등의 정보를 획득한 것으로 파악된다.

다만 해당 서버는 정보 공유의 목적으로 이용된 서버이기 때문에 구체적인 해킹 방법이나 해커들의 실체에 대해서 더는 알 수는 없었다. 하지만 이러한 분석을 통해서 해커들이 어떠한 정보를 원하는지를 통해 우리가 지켜야 할 개인 정보와 예방 방법을 유추할 수가 있었다.

금융 피해 예방법

개인적으로 생각하는 금융 피해 예방법을 추려보았다.

PC 보안

  1. 불안하면 PC 포맷 후 백신프로그램 설치한다.
  2. 무료 백신 혹은 결제하고 유료 백신을 사용한다. (한번 술값이면 1년간 사용 가능함)
  3. 가능하다면 인터넷 뱅킹하는 PC를 다른 용도의 PC와 분리한다.
  4. 인터넷에서 돌아다니는 파일을 아무거나 실행하지 않는다. (정품 사용하기)
  5. PC에 개인 정보 저장을 하지 말고 인터넷상에 개인 정보를 저장하지 않는다.
  6. 가입된 사이트 3개월마다 비밀번호 변경한다.
  7. 비밀번호에는 자기 개인 정보를 포함하지 않는다. (생일, 전화번호, 주소 등)
  8. 모든 사이트의 비밀번호는 동일하게 사용하지 않는다.
  9. 특히 공인인증서, 아이핀, 계좌 비밀번호, 카드 비밀번호 등은 영문자, 숫자, 특수문자 포함하여 최대한 복잡하게 구성하고 중복하여 사용하지 않는다.
  10. 토렌트 프로그램 사용을 자제한다. (악성코드 파일 배포 가능성 존재함)
  11. 비밀번호 자동 저장 및 관리해주는 프로그램은 편리하지만 유출되면 치명적이라는 사실을 인지한다.
  12. 신용카드는 평상시에 해외 결제 차단으로 설정해둔다.
  13. 은행 사이트에서 제공하는 모든 보안 서비스를 설정하여 사용한다.
  14. 불편하더라도 계좌의 1회 혹은 1일 최대 이체 한도를 반드시 최소로 지정한다.
  15. 공인인증서는 USB에 보관하되 아무 데서나 꼽지 않으며 사용할 때만 연결한다.
  16. 될 수 있으면 보안카드보다는 안전한 OTP를 사용한다.

보이스피싱 예방

  1. 전화상으로 개인 정보 말하지 않는다. (문자 포함)
  2. 전화 온 상대방이 진짜 콜센터 직원인지 의심해야 한다.
  3. 무료, 이벤트, 각종 문자 및 모든 ARS 모든 메시지는 모두 의심해야 한다.
  4. 보이스피싱은 자기만 조심한다고 끝나는 게 아니며 가족에게도 시도한다는 걸 인지한다.

일상생활

  1. 스마트폰 및 마그네틱 카드는 빌려주지 않는다.
  2. 카드 결제 시 카드 단말기 앞에서 자신이 직접 결제한다.
  3. 스팸 전화 차단 부가서비스를 이용힌다.

현재 금융권에서는 FDS(이상 징후 탐지시스템)을 구축 중이다. 고객들의 금융 활동 패턴이 수집되려면 시간이 소요되며 100% 완벽한 시스템은 아니므로 이용자의 안전은 스스로 지켜야 한다. 현재 이 글에서 파악한 에버노트 해커의 계정은 아직도 업데이트가 계속 진행되고 있으며 방치하는 경우 금융 피해자가 늘어갈 것으로 보인다.

본 글을 통해서 인터넷 뱅킹 사용에 대한 경각심을 가졌으면 하는 바람이며 예방 방법을 통해서 자신의 재산을 안전하게 지켰으면 한다.

좋은 기사 공유하고 알리기
슬로우뉴스에 커피 한잔의 여유를 후원해주세요. 필자 원고료와 최소한의 경비로 이용됩니다.

필자 소개

김진현
초대 필자, 서버 엔지니어

스마일서브(cloudv.kr) 8년차 엔지니어, 보안 및 클라우드 서비스를 담당하고 있습니다.

작성 기사 수 : 1개
필자의 홈페이지

©슬로우뉴스 | 개인정보취급방침 | 청소년보호정책 | 슬로우뉴스 안내 | 제보/기고하기 | 제휴/광고문의
등록번호: 경기아51089 | 등록일자: 2014년 2월 10일 | 발행일: 2012년 3월 26일
주소: 경기도 성남시 분당구 동판교로 153 802-902 | 발행인: 김상인 | 편집인: 강성모 | 청소년보호책임자: 강성모

Scroll to top