https://theqoo.net/square/3896400312 이 글에서 댓글 단 덬인데

어디까지나 현재 나온 정황에 대한 얘기만 알려줄께

 

MBC가 인용했던, 김수키라는 조직을 해킹한 해커가 공개해 놓은 글을 기반으로 간단하게 설명만 하고 싶어서 급히 글 적음

뭔지 모를 불안감의 기사로부터 좀 해방이 필요하다고 생각했음

 

 

https://phrack.org/issues/72/7_md 이게 저 MBC가 인용한 해킹 매거진 phrack의 글이야. 

내가 저기 있는 파일들까지 다 까보지는 않았지만 저기 본문에 나온 내용과 보도를 비교해서 보여줄께

 

일단 MBC 보도랑 비교를 해 볼께

 

- LG U+에 대해서

 

MBC 기사 : 그런데, 한 폴더에선 LG유플러스 내부 서버 8천 9백여 개와 계정 4만여 개의 정보, 직원 167명의 실명과 계정 정보가 나왔습니다.

프랙 내용 :

- Lots of passwords in mnt/hgfs/Desktop/111/account/account.txt from "LG
  Uplus" (LGU), a South Korean mobile operator. The favicon-search indicates
  that KIM first hacked into SECUREKI, a company supplying MFA and password
  services to LGU and from there pivoted into LGU's internal network.

- APPM_TRANS.txt and 111/config.txt contain credentials to internal servers
  at LGU.

 

+ 추가

MBC : 해커가 올해 4월 접속한 기록도 확인됐습니다.

[김휘강/고려대 정보보호대학원 교수]
"통신사 중에 일부는 내부망까지 침투된 흔적이 보이고요. 그 모든 침투 경로가 다 나온 것은 아니기 때문에…"

 

 

설명: 

해킹 방법에 대한 디테일 설명도 살짝 나와있긴 한데, 나도 이건 전문가가 아니니 보이는대로 간단하게 얘기하자면

- SECUREKI라는 서비스가 있는데 우리 구글 패스워드나 삼성패스같이 패스워드 저장해주는 서비스임. 근데 여기가 먼저 털림. 근데 LGU+정보가 있음

- 해커가 저걸로 내부에 침투함.

 

일단 털린 정황은 저걸로 보여. 간단하게 말하면 등록된 서버 패스워드를 다 가져가긴 한거임

근데 접속에는 아이디랑 패스워드만 가지고 하는건 아니거든. 가장 기본적으로 방화벽부터 다 뚫어야 접속할 수 있다보니 접속한 서버를 기점으로 해서 하나씩 다 붙어봐야 갈 수 있음

그러다보니 내부라고만 되어있어서 어디까지인지를 모르겠음

집에 침투한 흔적이 있다인데 이게 마당에만 어지럽게 발자국이 있는건지, 창문 틀에 발자국이 나 있는건지를 현재로서는 알 수가 없어.

 

다른 주어진 정보 없이 그냥 생각하는 바로는, 

LG U+는 "침해 정황은 발견되지 않았고, 정부 조사에 적극 협조하고 있다"고 밝혔습니다.

이 말이 맞다면 실제 데이터까지는 건드리지 못 했을거다 라고는 일단 생각하는데, 당연히 LG는 LG에 유리하게 쓸거니까 이건 일단 나한테는 미지수의 영역이기도 하지만 실제로 해킹한 데이터가 확인되거나 해킹 흔적이 보이는 건 아닌 걸로 보여

 

따라서 LG는 추가적인 보도나 정부 대응 등을 보는게 맞을 것 같고

 

 

- KT에 대해서

MBC 기사 : 다른 폴더에선 KT 웹서버의 보안 인증서와 개인 키가 발견됐습니다.

지금은 인증서 유효 기간이 만료됐지만, 만료 전이었다면 이론적으로는 해커가 가짜 KT 사이트를 만들어, 고객을 유인할 수도 있었던 겁니다.
 

프랙 내용 : There is a cert and private key for rc.kt.co.kr, South Korea
  Telecom's Remote Control Service. It runs remote support backend from
  https://www.rsupport.com. Kim may have access to any company that Korea
  Telecom was providing remote support for.

 

MBC 기사 내 KT 주장 : KT는 "유출된 것으로 지목된 보안인증서는, KT망에서 유출된 게 아니"라고 주장했습니다.

 

 

저 말 대로 보안 인증서랑 개인키가 발견되었다는데, 사이트를 보니까 rc.kt.co.kr라고 되어있는 사이트야. 

원문에 따르면 이 도메인은 KT의 원격 제어 서비스(Remote Control Service)에 사용되는 것으로, 이 서비스는 Rsupport라는 회사의 원격 지원 백엔드를 사용합니다. 라고 되어있어. 
여기서 알 수 있는건 저게 사이트의 보안인증서 및 키의 이야기가 아니라, 원격 제어 서비스에 사용되는걸 수도 있는데 최악의 경우 사용자의 핸드폰에 접속해서 원격지원의 탈을 쓰고 해킹을 할 수도 있어. 다만 원격제어의 경우 '사용자가 승인하는 과정'이 들어가고 (쉽게 말하면 문자가 오고 그 숫자를 입력해야 접속 가능함) 작동하는 화면을 동시에 사용자가 볼 수 있다보니 정말 짧을 수도 있는 개인적인 생각인데 크게 영향을 주기는 어려웠을거야

 

또한 KT가 저런말을 한게 '우리서버가 털린게 아니라 다른데가 털렸어. 인증서가 털린건 맞는데 위험한건 우리 서버는 아님' 이라고 얘기하고 있는거

(당연히 KT가 한 말이라 유리하게 말할 수 있는 점 고려해야됨)

 

개인적으로는 위 정황을 봤을때

 

LGU+ : 추가적으로 봐야 하지만 아직까지는 확신할만한 뭔가는 없음. 마당까지 발자국이 있는지 집까지 있는지는 모르겠는데 정부조사에 협조하고 있다는 말로 미루어보아 집까지 발자국이 있는건 아닌 듯 함 (발자국이 없다고 안 들어왔다는건 아니지만, 발자국이 있으면 들어왔단 얘기니까)

 

KT : 명패만 털려서 누가 우리집인 척 하고 택배 받는거 외에는 집 안에 들어올 수도 집 안 물건을 건드릴 수도 없음. (심지어는 만료되어서 지금은 더 의미없음)

 

라고 생각함

 

+ 추가

SKT는 진짜 기둥뿌리까지 뽑아간 상태고 솔까 LGU+가 암호화를 해 둔 상태에서 털렸으면 SKT처럼 문제가 되지도 않을거임

솔까 나는 해킹에 안전한 서버는 없다고 생각하거든

그런데 SKT가 충격적인건 해킹 당했을때의 대비가 없었던거임 (데이터 암호화 등)

 

우리도 아이디 비번 틀리면 2차 인증 걸잖아 근데 SKT는 1차인증만 있었다고 보면 됨. 아이디 패스워드만 털면 자유가 된다 이거임

 

---------

 

2만 4천포인트밖에 없어서 스퀘어에 못 쓰고 여기 옴 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 아 억울해