[IT 알아보기]/보안 이슈

KT 홈페이지 해킹 1,200만 개인정보 유출건 사고사례

이호스트ICT 2014. 3. 6. 17:18

안녕하세요.

이호스트데이터센터 지게꾼입니다.

 

카드사 개인정보 유출 사건이 아물지도 않은 상황에서 KT 홈페이지 해킹사건이 발생하였습니다.

 

 

1. 사고 내용
- 전문 해커 2명이 KT 홈페이지를 해킹하여, 고객정보 1,200만건을 획득함.
- 획득한 고객정보 가입고객 1,600만명 중 1,200만건은 텔레마케팅 업체의 휴대폰 개통/판매 영업에

   활용되었음.

 

2. 해킹 기법
- 지난해 2월 부터 '파로스 프로그램'을 이용하여 신종 해킹 프로그램을 개발.
- KT 홈페이지에 로그인 후 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는

   기법으로 개인정보를 탈취.
- 확보한 개인 정보에 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌등이 포함되어 있음.
- 무작위 입력 방식이기 때문에 1년 동안 성공률이 높을 때는 하루 20만~30만건의 개인정보를 탈취함.
- 상기 방식으로 빼돌린 고객정보를 휴대폰 개통/판대 영업에 활용, 1년간 115억원의 부당이익을 챙김.
  
1) 홈페이지 파라미터 변조 방지 보안 대책
- 중요한 정보가 있는 페이지(계좌이체 등)는 재 인증 적용
- 안전하다고 확인된 라이브러리나 프레임워크(OpenSSL이나 ESAPI의 보안 기능 등)를 사용
- 응용프로그램이 제공하는 정보와 기능을 역할에 따라 배분함으로써 공격자에게 노출되는 공격노출면

   최소화

- 사용자의 권한에 따른 ACL(Access Control List) 관리

 

2) 보안 진단
- 시큐어코딩 적용
- 소스코드 진단 시행

 

출처: SK인포섹

 

관련기사
http://www.yonhapnews.co.kr/bulletin/2014/03/06/0200000000AKR20140306145700065.HTML
http://www.asiae.co.kr/news/view.htm?idxno=20140306151242708251 
 

- 한줄 광고 -

서버호스팅 사양

Intel Xeon 쿼드코어 2.26GHz * 2CPU / RAM 24GB / HDD 1TB

+

1G Dedicated LIne 제공

 

무약정 월 150,000원

 

이벤트 기간: 2014.03.01 ~ 04.30

이벤트 혜택 1. 서버호스팅 2+1 혜택 / 2대 신청시 동일 스펙 1대를 5만원에 지원

이벤트 혜택 2. 서버호스팅 월비용 중 3,6,9,12개월째는 해당 비용의 50% 할인

이벤트 혜택 3. 윈도우 라이센스 MS-ASP (Standard) 1 copy 무료 지원

이벤트 혜택 4. 서버호스팅 신청시 보안서비스(네트워크 방화벽, 웹방화벽, IPS UTM) 30%

이벤트 혜택 5. 호스팅 신청 시 1만원 추가하면 100GB 원격스토리지 백업 서비스 지원


 

이벤트 바로가기 : www.ehostidc.co.kr