(보안전문가의 생각) SKT에 이은 LGU+, KT 해킹 사태!?

지난달 8/19일 미국 해킹 전문지 Phrack (https://phrack.org/issues/72/7_md) 에서는 LGU+, KT가 해커 조직 김수키에 의해 해킹 당했다는 글을 게재했다.

1. KT는 원격 제어 서비스의 인증서와 개인키가 해킹 당해서 KT에서 원격 지원을 제공한 모든 회사에 접근할 수 있었다는 내용 

2. LGU+는 해커가 LGU+에서 사용하는 SECUREKI를 해킹한 뒤, 이를 통해 LGU+ 내부 네트워크로 침투하여 계정과 비밀번호가 해킹 당했다는 내용 (4만 2526개 계정 및 직원 167명과 협력사 ID, 실명 등이 포함)

Phrack에서의 정확한 표현은 다음과 같다.

- There is a cert and private key for rc.kt.co.kr, South Korea
  Telecom's Remote Control Service. It runs remote support backend from
  https://www.rsupport.com. Kim may have access to any company that Korea
  Telecom was providing remote support for.

- Lots of passwords in mnt/hgfs/Desktop/111/account/account.txt from "LG
  Uplus" (LGU), a South Korean mobile operator. The favicon-search indicates
  that KIM first hacked into SECUREKI, a company supplying MFA and password
  services to LGU and from there pivoted into LGU's internal network.

8/22 프랙 보고서 분석회 발표는 고려대 정보보호대학원 김휘강 교수님이 해 주셨는데,

국회에 따르면 KT와 LGU+는 해킹으로 볼 수 없다고 버티면서 정밀조사가 진행되고 있지 않다고 한다.

현행법상 기업의 자진신고가 없으면 강제로 현장 정밀 조사를 할 수 없기 때문에 그렇다.

솔직히 Phrack의 글만 보았을 때는 SKT 사태처럼 유심 관련 정보가 털렸다고 생각되지는 않는다. 

그런데 문제는 이것이 전부가 아닐수 있다는 점이고, 그것이 가장 무서운 점이다.

실제로 최근 KT에서 소액결제가 사용자 모르게 강제로 일어나고 있어 주의가 필요한 상황이라고 하는데,

왜 사용자가 주의 해야 하는지...어떻게 주의해야하는지 참... 난감하다

참고로 KT처럼 서버의 인증서와 개인키를 탈취당하게 되면, 중간자 공격이 가능하다는게 메인 임팩트지만 

사실 개인키가 탈취 당하는 과정을 생각해보면 서버의 모든 것이 완전히 장악 당했다고 봐도 무방하다. 

Read More