내용 요약
신생 해커조직 ‘코인베이스카르텔(CoinbaseCartel)’이 국내 통신사 소스코드와 프로젝트 파일을 탈취했다는 협박성을 게시글을 올렸으나, 실제로 유출된 514 MB의 데이터는 티맵모빌리티(T map Mobility) 관련 자료였고, 이는 2024년에 외부 협력업체 직원의 데스크톱 PC가 해킹당하면서 이미 유출된 오래된 테스트용 데이터임이 밝혀졌습니다.
핵심 포인트
- 소스코드 탈취 주장 vs 실제 유출 데이터: 해커조직이 주장한 국내 통신사 자료는 존재하지 않았으며, 잘못된 데이터가 외부에서 유출된 사례를 오인했습니다.
- 기존 테스트 데이터 유출: 2024년에 외부 협력업체 직원의 데스크톱이 침해되면서 이미 유출된 테스트용 자료가 다시 공개되었음이 드러났습니다.
- 외부 계약자 보안 취약점: 외부 협력업체 직원의 엔드포인트 보안 부재가 핵심 유출 원인이었으며, 이는 엔드포인트 관리와 계약자 보안 정책 강화의 필요성을 시사합니다.
기술 세부 내용
1️⃣ Source Code & Project File Exfiltration (Source Code Theft)
| 단계 | 세부 설명 | 방지 조치 |
|---|---|---|
| ① 자산 파악 | 공격자는 대상 조직의 공개 및 내부 저장소(예: Git, Azure DevOps)를 스캔합니다. 민감한 소스코드가 있는 레포지토리, 설정 파일, CI/CD 파이프라인 정보가 수집됩니다. | 정책: 소스코드 접근 권한 최소화, 레포지토리 별 보안 라벨링. |
| ② 인증 우회 | 공개 키/토큰 유출, 약한 비밀번호, MFA 미구현 등을 이용해 인증을 획득합니다. 때로는 내부 직원의 피싱을 통해 자격 증명을 탈취하기도 합니다. | 보안: 다단계 인증(2FA) 필수, 토큰 주기적 회전, 비밀번호 매니저 사용. |
| ③ 데이터 수집 | 소스코드, 빌드 스크립트, 의존성 파일, API 키 등 민감 데이터를 다운로드합니다. 대용량 파일은 압축·분할하여 전송합니다. | 감지: 파일 전송 모니터링, 비정상적인 Git Pull/Push 감시. |
| ④ 탈출 | 외부 서버(예: S3, GitHub Enterprise) 또는 개인 서버로 파일을 업로드하거나, 암호화된 채널(예: VPN, SSH)을 통해 직접 전송합니다. | 방어: DLP(데이터 손실 방지) 솔루션, 네트워크 트래픽 암호화. |
| ⑤ 가명화 | 공격자는 탈취 사실을 은폐하기 위해 가명화(예: 코인베이스카르텔)의 이름을 사용하거나, 데이터를 조작해 자신들의 주장에 신빙성을 부여하려 합니다. | 분석: 보안 커뮤니티와 SIEM 연동, 악성 주장 식별. |
핵심 이슈: 해커조직이 주장한 “국내 통신사 소스코드”는 실제 존재하지 않았음이 밝혀졌으며, 이는 소스코드 보안 프로세스가 잘 설계되지 않았거나, 내부자와 같은 잘못된 주장을 통해 오해가 발생했음을 시사합니다.
2️⃣ Compromised Endpoint Exploitation (Desktop PC Compromise)
| 단계 | 세부 설명 | 방지 조치 |
|---|---|---|
| ① 초기 접근 | 외부 협력업체 직원이 설치한 악성 스피어 피싱 링크(예: PDF, Excel) 클릭으로 악성코드가 실행됩니다. | 교육: 피싱 인식 교육, 메일 필터링. |
| ② 실행 및 권한 상승 | 악성코드는 UAC 우회, DLL 하이재킹, 로컬 권한 상승(예: EternalBlue, CVE‑2021‑26855)을 시도합니다. | 패치: 최신 보안 패치 적용, UAC 강화. |
| ③ 후킹/디버깅 방지 | 악성코드는 로컬 디버거, 프로세스 모니터링 도구를 탐지하고 차단합니다. | 보안: Endpoint Detection & Response(EDR) 도구 설치. |
| ④ 크레덴셜 수집 | 디스크 탐색, 메모리 덤프, 레지스트리 스캔으로 사용자의 자격 증명(예: RDP, VPN 토큰)이나 API 키를 수집합니다. | 정책: 비밀번호 및 토큰 주기적 회전, MFA. |
| ⑤ 원격 제어 | C2(Command & Control) 서버와의 TLS/SSH 통신을 설정, 원격 쉘(예: PowerShell Remoting) 실행. | 방어: 외부 트래픽 차단, 내부망 분리. |
| ⑥ 데이터 전송 | 수집된 민감 파일(예: 테스트 데이터, 프로젝트 파일)을 암호화해 외부 서버에 업로드. | 감시: 파일 전송 로깅, 비정상적인 업로드 탐지. |
| ⑦ 정리 | 악성코드는 설치된 서비스 삭제, 레지스트리 클린업, 로그 삭제를 시도합니다. | 대응: 정기적인 시스템 검사, EDR 경보 대응. |
핵심 이슈: 외부 협력업체 직원의 데스크톱이 2024년 해킹당해 유출된 테스트 데이터가 다시 공개된 사건은, 계약자 엔드포인트 보안이 조직 전체 보안에 미치는 영향을 보여줍니다.
3️⃣ Legacy Test Data Exposure (Old Test Data Leakage)
| 단계 | 세부 설명 | 방지 조치 |
|---|---|---|
| ① 생성 | 개발팀이 기능 검증을 위해 테스트용 데이터(예: 가상 고객, GPS 트래픽)를 생성합니다. 이 데이터는 민감한 정보(예: 개인 위치, 사용자 이름)를 포함할 수 있습니다. | 정책: 테스트 데이터 최소화, 가명화(예: Faker, Data Masking). |
| ② 저장 | 생성된 데이터는 내부 공유 드라이브, 클라우드 스토리지(예: OneDrive, SharePoint) 혹은 테스트 서버에 저장됩니다. 접근 권한이 불명확하거나 과도하게 부여될 수 있습니다. | 보안: 데이터 저장소에 역할 기반 접근 제어(RBAC), 파일 암호화. |
| ③ 사용 | 테스트용 데이터는 QA, 인프라 테스트, 자동화 스크립트에 활용됩니다. 이 과정에서 데이터가 프로덕션 환경으로 유입될 위험이 있습니다. | 감시: 테스트 vs 프로덕션 데이터 흐름 모니터링. |
| ④ 유출 경로 | 엔드포인트가 해킹되면 테스트 데이터가 외부로 유출됩니다. 또는 잘못 구성된 파일 공유(공개 링크, 오픈된 폴더)가 원인일 수 있습니다. | 방어: 최소 권한 원칙, 파일 공유 정책 강화. |
| ⑤ 재사용 및 노출 | 유출된 테스트 데이터가 외부에서 재사용되거나 공개적으로 공유됩니다. 이는 보안 사고를 재연하게 만들 수 있습니다. | 정책: 데이터 유출 시점에 즉시 재활용 금지, 재검증 절차. |
| ⑥ 보안 감사 | 데이터 유출 이후 보안 감사가 진행됩니다. 테스트 데이터가 실제 민감 데이터와 혼동되는 경우가 있으므로, 감사는 세밀한 데이터 라벨링을 요구합니다. | 교육: 데이터 라벨링 교육, 감사 로그 확보. |
핵심 이슈: 514 MB 규모의 T map Mobility 관련 테스트 데이터는 이미 외부에서 유출된 오래된 자료였으며, 이는 테스트 데이터 관리 부재와 엔드포인트 보안 실패가 복합적으로 작용했음을 보여줍니다.
4️⃣ 보안 커뮤니티와 인시던트 대응
| 단계 | 세부 설명 | 방지 조치 |
|---|---|---|
| ① 주장의 검증 | 보안 커뮤니티는 해커조직이 주장한 자료가 실제 존재하는지, 파일 해시(예: SHA‑256)와 비교합니다. | 검증: 공개 해시 데이터베이스와 비교, 내부 검증 프로세스 구축. |
| ② 정보 공유 | 유출 자료의 범위와 유형을 정리해 보안 커뮤니티(예: KISA, SANS Korea)와 공유합니다. | 공유: 사고 보고서 작성, 커뮤니티 게시판 활용. |
| ③ 대응 조치 | 조직 내부에서는 외부 협력업체와의 보안 계약 재검토, 엔드포인트 보안 강화, 테스트 데이터 라벨링 프로세스를 도입합니다. | 정책: 보안 계약서 보안 조항 삽입, EDR 확대 적용. |
| ④ 사후 분석 | 공격 경로, 데이터 유출 원인, 조직 내부 통제 결함을 분석합니다. | 분석: 보안 로그 수집, 사고 재현 실습. |
| ⑤ 지속적인 모니터링 | 데이터 유출 경고(예: DLP)와 엔드포인트 보안 알림을 지속적으로 모니터링합니다. | 감시: SIEM + SOAR 통합, 보안 운영 센터( SOC) 운영. |
핵심 이슈: 실제 유출 데이터가 테스트용 자료임을 밝혀내는 과정은 보안 커뮤니티와 협업, 신속한 인시던트 대응 프로세스가 얼마나 중요한지를 명확히 보여줍니다.
마무리 정리
- 해커조직의 주장이 실제 사실과 다르게 표현된 사례는, 공격자가 정보의 무결성을 왜곡할 수 있다는 점을 상기시킵니다.
- 외부 계약자 엔드포인트 보안과 테스트 데이터 관리는 조직 전체 보안에 큰 영향을 미치므로, 정책·기술·교육 세 가지 측면에서 통합적 대책이 필요합니다.
- 보안 커뮤니티와 협업을 통해 빠른 사실 파악과 사고 대응이 가능하며, 이는 보안 리스크를 줄이는 핵심 요소입니다.
이 문서는 보안 전문가가 “소스코드 탈취 주장의 신뢰성 검증”과 “테스트 데이터 유출 방지”를 효과적으로 수행할 수 있도록 단계별 가이드를 제공하기 위해 작성되었습니다.
출처: https://www.dailysecu.com/news/articleView.html?idxno=201489
728x90
반응형
'보안이슈' 카테고리의 다른 글
| [데일리시큐][단독] “SK쉴더스 해킹해 24GB 내부 데이터 확보”…신생 해커그룹 ‘블랙 슈란탁’ 주장…공급망 보안위협↑, SK계열사 각별히 주의 (0) | 2025.10.17 |
|---|---|
| [데일리시큐]국정원, 온나라시스템 정교한 해킹 침투 확인…“행정망 인증체계 허점 악용” (0) | 2025.10.17 |
| [보안뉴스]‘오네’·‘윤800’체, 아름다운 상표·한글디자인에 피선 (0) | 2025.10.17 |
| [보안뉴스]구혁채 차관 “공공기관 보안 강화 핵심과제...지원 아끼지 않을 것“ (0) | 2025.10.17 |
| [보안뉴스][단독] 국회, ‘정부 해킹’ 끝내 침묵하나...국정원 3차장 국감 증인 신청 철회 (1) | 2025.10.17 |