언론에 공개된 내용을 토대로 이번 해킹 사고의 방식을 추리해보면 다음과 같습니다.
알 수 없는 공격자가 사전에 SK 내부망 IP를 파악한 상태에서 개인정보 유출을 목적으로 7월 18일경 이스트소프트(ESTSoft) 알툴즈 제품군의 업데이트 서버를 해킹하여 업데이트 관련 파일을 악성 파일로 변경하였습니다.
이 상태에서 알툴즈 제품을 설치한 모든 사용자가 위험에 노출되는 것이 아니라 사전에 파악한 SK 내부망 IP를 통해 업데이트를 시도할 경우에만 추가적인 악성 파일을 SK 내부망 PC로 다운로드를 시도하여 총 62대를 감염시킨 것으로 보입니다.
감염된 PC에서 회원 정보를 탈취하기 위해 DB 서버 관리자 계정을 수집한 후 7월 26일경부터 중국에 위치한 특정 IP로 정보가 유출된 것으로 보입니다.
7월 28일 최초 언론에 해킹 사실이 알려진 후, 사고 발생과 관련하여 조사를 하던 중 알툴즈 업데이트 관련 취약점을 이용한 것으로 확인되었으며 이스트소프트사에서는 긴급 보안 패치를 8월 4일 제공하기 시작하였습니다.
이번 해킹 사고는 크게 SK 내부에서 알툴즈 공개용 소프트웨어를 불법적으로 사용한 문제와 알툴즈 업데이트 기능의 보안 문제가 혼재된 것으로 들어났습니다.
이스트소프트(ESTSoft)사에서는 이번 사고에 대한 재발 방지 및 보안 강화 대책으로 ① 업데이트 시스템의 보안 강화(업데이트 파일 무결성 검증 강화, 전송 데이터 암호화) ② 업데이트 서버 보안 강화(보안 인프라 강화, 보안 전담 조직 강화 및 전문화, 업무 프로세스 보안 강화)를 한다고 발표하였습니다.
현재 저를 포함한 많은 알툴즈 제품 사용자들 중에서는 보안 제품까지 서비스하는 업체에서 이런 해킹 공격 도구로 악용 당한 것에 대하여 신뢰를 잃고 프로그램 삭제를 고민할 것으로 보입니다.
개인적으로 이런 공격에 악용당한 알툴즈 제품 이외에도 다양한 사용자 층이 많은 유명 소프트웨어가 보안상 문제가 있을 수 있으므로 주기적인 업데이트 체크를 통한 최신 버전 사용과 함께 보안 제품 실시간 감시를 활성화 및 방화벽 설치를 하시고 인터넷을 이용하시기 바랍니다.
보안에 더욱 신경써야 할것 같습니다. ㅠㅠ
업데이트 서버의 감염을 통한 악의적인 파일 배포는 많이는 아니었지만 항상 조금씩 있어 왔고 이번에 대박이 되어 터진 건데.. 참 이스트소프트도 마른 하늘에 날벼락이군. ^^;;
저번에도 개인정보 수집인가? 그것땜에 압수수색 당하지 않았나?
올해 이스트 고생이군~
알집안쓰길 다행이다 이런씩으로 대형사고를 치다니 ㅡㅡ;