Media Log

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

 ‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

 그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

 국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

 시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

 이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

 국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

 특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

 해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.



submit

GS 칼텍스의 개인 정보 유출로 한바탕 떠들석했는데 이젠 메모리 해킹 기사가 깜짝 놀래키네요.  사용자가 정보를 입력하기를 기다릴 필요가 없이 메모리에 정보가 남아 있으면 언제든지 빼내갈 수 있다고하니 이건 좀 무섭군요.

다음은 전자신문 기사 내용입니다.

 ‘메모리만 읽어도 비밀번호를 빼낼 수 있다(?)’

 그룹웨어·메신저·웹하드 등에서 아이디와 비밀번호를 입력 즉시 암호화하지 않을 경우 메모리 해킹에 의해 언제든지 유출될 수 있다는 사실이 밝혀져 충격을 주고 있다.

 국내 최대 해커그룹 파도콘은 5일과 6일 이틀동안 제주도에서 열린 ‘한국침해사고대응팀협의회(CONCERT) 정회원 워크숍’에서 암호화되지 않은 평문 비밀번호가 얼마나 쉽게 해킹당할 수 있는지를 보여주기 위해 해킹을 시연했다.

 시연자는 한 PC에 프로그램 접속을 위해 아이디·비밀번호를 입력해 놓고, 잠시 후 다른 PC에서 해당 PC에 침입해 들어간 후 메모리 뷰어로 메모리를 읽었더니 조금 전 입력되어 있는 아이디와 비밀번호를 곧바로 찾을 수 있었다.

 이 아이디와 비밀번호는 그룹웨어·메신저·웹하드와 같은 프로그램에 접속하기 위해 입력된 것이다. 그룹웨어나 메신저와 같은 프로그램은 인터넷브라우저가 아닌 별도의 전용 창을 띄우는 프로그램으로, 이 같은 전용 프로그램은 주소를 찾기가 쉬워 아이디·비밀번호 유출 가능성이 크다.

 국내 대부분의 프로그램들이 아이디·비밀번호 입력 즉시 암호화하도록 하는 장치를 마련하지 않아 이번 시연은 보안 담당자들에게 큰 충격을 줬다.
포토기사

 특히 메모리 해킹 방식은 키로그 해킹 방식처럼 굳이 사용자가 정보를 입력할 때까지 기다려야 할 필요가 없어 해커가 마음만 먹으면 언제든지 정보를 빼낼 수 있다는 점에서 위험이 크다. 메모리해킹은 기존 보안 프로그램으로도 잡아낼 수 없어 각별한 주의가 필요할 것으로 보인다.

 해킹을 시연한 파도콘의 태인규씨는 “인터넷 사이트는 주소를 일일이 찾아야 한다는 점에서 아이디·비밀번호를 찾아내는 것이 어렵지만 해당 기능만을 위해 별도의 창을 띄워 사용하는 프로그램에서는 메모리에 쉽게 기록이 남는다”며 “대부분의 사람들이 아이디·비밀번호를 통일해 사용하는 만큼 정보가 유출되지 않도록 암호화해야 한다”고 말했다.



submit

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

<저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr



  1. at 2008.09.08 11:11 [edit/del]

    비밀댓글입니다

    Reply
  2. 오세두 at 2008.09.08 13:49 신고 [edit/del]

    정말너므들하네요

    Reply

submit

GS 칼텍스 개인 정보가 유출되었는데 개인 정보 유출을 확인하는 페이지가 오픈되었군요.

혹시나 개인 정보가 유출되었는지 고민이 되시는 분은 확인해 보시기 바랍니다.

GS 칼텍스 개인 정보 유출 확인 페이지

전 카드가 없지만 혹시나 해서 확인해 보았는데 역시나 개인 정보 유출은 되지 않았군요.

유출 여부를 확인하기 위해 이름과 주민등록번호를 입력해야 합니다.

그런데 이번 GS 칼텍스 개인정보 유출은 해킹이 아니라 내부 직원 유출이군요.
외부 해킹에 대비하는 보안도 중요하지만 더 중요한 것은 내부 직원 보안이군요.

다음은 이데일리 뉴스 기사 내용입니다.

GS칼텍스 정보유출..내부자 소행, 피의자 검거

[이데일리 정태선기자] GS(078930)칼텍스의 고객정보 유출 사건에 대해 경찰은 피의자를 검거했다고 7일 밝혔다.

경찰청은 GS칼텍스의 개인정보를 CD에 담아 외부로 유출한 혐의로 GS칼텍스의 콜센터 운영을 담담하는 자회사의 시스템 및 네크워크 관리자 C모씨 등 4명을 정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 검거해 그중 3명에 대해서는 구속영장을 신청할 예정이다.

경찰 조사결과에 따르면, 피의자들은 올해 초 발생한 '인터넷 쇼핑몰 해킹사고'처럼 기업을 상대로 한 대규모 피해자소송이 진행되면 해당 고객정보의 활용가치가 높아져 큰 돈을 벌 수 있을리라 생각하고, C모씨는 회사 고객정보를 빼내고 K모씨는 해당 고객정보 CD를 언론사 기자에게 제보하는 형식으로 이슈화 하기로 공보했다.

피의자 C모씨는 올 7월초순부터 8월초순까지 한달동안 GS칼텍스 보너스카드 고객 DB서버에 회사업무처리 권한으로 접속해 고객정보를 빼낸 뒤 주민등록번호, 성명, 주소, 자택전화, 휴대전화번호, 이메일주소 등의 개인정보만을 추출, 같은 회사직원인 B씨에게 부탁해 76개의 엑셀파일로 정리했다.

이후 고교동창생인 Y씨를 통해 K씨에게 순차적으로 유출했다.
특히 K씨는 개인정보가 담긴 CD를 유흥가 골목 쓰레기더미에서 우연히 발견한 것처럼 언론사 기자에게 제보, 사화 이슈화를 시도했다.

경찰 수사팀은 피의자들을 상대로 구체적인 범행동기, 경우 및 추가 공범 여부에 대해 집중조사를 벌이는 한편 이미 회사 외부로 유출된 고객정보의 회수에 수사력을 모으고 있다.

이와 더불어 개인정보가 유출된 회사측에 '개인정보 유출여부 확인 사이트'를 구축하도록 권고, 국민들 누구나 피해여부를 손쉽게 확인할 수 있도록 조치했다.

<저작권자ⓒ이데일리 - 1등 경제정보 멀티미디어 http://www.edaily.co.kr



submit

티스토리 툴바