2016년 3분기 주요 정보보안 소식 20161227 차민석_공개판

2016년 3분기주요정보보안소식

2016.12.27

안랩 시큐리티대응센터(ASEC) 분석팀

차민석 (車珉錫, CHA Minseok, Jacky Cha, mstoned7) 책임 연구원

공개판

2

알림

• 본 자료는 개인적 관심에서 정리한 자료로

안랩의 입장과 다를 수 있습니다.

•덕질 자료가 포함되어 있을 수 있습니다.

3

시작하기전에

•보안이완벽한시스템은이세상에없어

- Matthew Broderick 주연위험한게임 (War Games)

* Source : War Games (1983)

Contents

01

02

03

04

05

06

07

2016년 보안 동향 특징

2016년 국내 보안 뉴스

2016년 3분기 국내 사건 사고

2016년 국외 보안 뉴스

2016년 3분기 국외 사건 사고

2016년 3분기 취약점과 악성코드

Case Study : NSA Equation Group 해킹

01

2016 년보안동향특징

6

Ransomware 피해증가

•계속증가하는 Ransomware 피해

-

* Source : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=2&seq=24838

7

Ransomware 피해증가

•의료시설피해

-

* Source : http://arstechnica.com/security/2016/03/two-more-healthcare-networks-caught-up-in-outbreak-of-hospital-ransomware/ &

http://arstechnica.com/security/2016/04/maryland-hospital-group-denies-ignored-warnings-allowed-ransomware-attack/

02

2016년국내보안뉴스소식

9

2016 년국내정보보안소식

2016년국내정보보안소식

− 1월 14일 : Facebook 계정 해킹 일당 검거

http://www.yonhapnews.co.kr/society/2016/01/14/0706000000AKR20160114101151004.HTML

− 1월 14일 : 북핵 관련 청와대 사칭 이메일 배포 경고

http://www.etnews.com/20160114000222

− 1월 16일 : 쯔위 사태로 JYP엔터에 공격 발생

http://news.inews24.com/php/news_view.php?g_menu=020200&g_serial=938532

− 1월 16일 : POS 노린 악성코드 발견

http://news.kbs.co.kr/news/view.do?ncd=3216445

− 1월 17일 : PC방 관리 업체 통해 사기도박 프로그램 설치 일당 검거

http://www.kookje.co.kr/news2011/asp/newsbody.asp?code=0300&key=20160117.99002092048

− 1월 22일 : 국방부, 국방사이버 기술연구센터 설립 발표

http://www.yonhapnews.co.kr/bulletin/2016/01/23/0200000000AKR20160123029900014.HTML

10



− 1월 22일 : 카드 고객 개인정보 1억여건 유출사태 피해자들 법원에서 첫 배상 판결


− 1월 25일 : 동아일보, 대기업 노린 악성코드 관련 기사 보도

http://news.donga.com/3/all/20160125/76105495/1,

http://news.donga.com/3/all/20160125/76105487/1

− 1월 27일 : 동아일보, 지하철통제시스템 업체를 해킹 보도

http://news.donga.com/3/all/20160127/76151152/1

− 1월 29일 : AhnLab V3 모바일 시큐리티 발표

− 2월 13일 : 서울시 감사위원회, 서울메트로와 도시철도 감사 결과 발표

http://www.etnews.com/20160212000326?mc=ns_004_00003

− 2월 18일 : 금융권 보안솔루션 공급사 인증서로 디지털 서명 된 악성코드 발견


http://news.joins.com/article/19706272

11



− 2월 22일 : 경향신문, 한겨레 서버 해킹 보도

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201602221514151

− 2월 25일 : 경찰, 청와대 사칭 이메일 해킹은 북 소행 발표

http://vip.mk.co.kr/news/view/21/20/1371755.html

− 3월 4일 : Microsoft, 국내에 Cybercrime Center 개소


− 3월 5일 : IS, 표적 한국인 20명 명단 공개


− 3월 7일 : 정부 내 주요 인사 스마트폰 해킹 및 철도 관련 기관을 대상으로 공격


http://news.donga.com/Main/3/all/20160312/76952378/1

12



− 3월 21일 : AhnLab, 개인용 Mac 백신 제품 출시

http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50123849

− 3월 26일 : 반디 소프트, 꿀뷰 설치 파일 악성코드로 교체되어 배포

http://blog.bandisoft.com/132

− 4월 6일 : 20대 공무원 시험 응시생 인사혁신처 사무실 침입 사건 발표

http://news.jtbc.joins.com/article/article.aspx?news_id=NB11209697

− 4월 20일 : 훔친 카드 정보로 백화점 상품권 구매

http://www.moneyweek.co.kr/news/mwView.php?no=2016042014538062343&code=w0000&code2=w

0100

− 4월 24일 : 여수시, 버스정보안내기 시스템 해킹되어 음란물 영상 상영


− 4월 28일 : LG화학, 사기메일로 240 억 송금

http://www.moneyweek.co.kr/news/mwView.php?no=2016042819018074541

13



− 5월 10일 : 독도함 만든 한진 중공업 해킹 정황

http://hankookilbo.com/v/ee3b5bdb2a914fa5a9221a671ee14faf

− 5월 10일 : Symantec, CVE-2016-0189 이용한 국내 공격 주의

http://www.symantec.com/connect/blogs/internet-explorer-zero-day-exploit-used-targeted-attacks-

south-korea

− 5월 11일 : 대한항공 정비공장(테크센터) 해킹 정황

https://hankookilbo.com/v/98c8a5ccb5f24bf7827fe9ddf4f60629

− 5월 13일 : 방사청 사칭 해킹메일 유포


− 5월 25일 : 공군 홈페이지 해킹

http://news.donga.com/3/00/20160525/78301292/1

− 5월 27일 : MBC, 사내 보안 프로그램 이용해 사적 정보 불법 열람했던 사건 최종 패소

http://www.mediatoday.co.kr/?mod=news&act=articleView&idxno=130204

14



− 5월 30일 : 세번째 한글화 Ransomware 발견

http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160530151952

− 5월 31일 : 개인정보범죄 정부합동수사단, 보안업체 전자인증서 탈취 사건 수사결과 발표


http://www.zdnet.co.kr/news/news_view.asp?artice_id=20160531182617

− 6월 3일 : 뽐뿌 통해 Ransomware 배포

http://www.boannews.com/media/view.asp?idx=50853

− 6월 11일 : 사이버보안정책센터 개소


− 6월 13일 : 국내 방산 업체 해킹

http://www.yonhapnews.co.kr/northkorea/2016/06/13/1801000000AKR20160613092851004.HTML

− 6월 19일 : 해킹프로그램 제작·판매한 20대 검거

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201606191552001&code=940202

15



− 6월 23일 : 무역업체 이메일 해킹해 대금 8천여 만원 가로챔


− 6월 29일 : 하우리, 바이로봇 Anti-Ransomware 공개

http://www.hauri.co.kr/support/hauriNews_view.html?intSeq=399&page=1

− 7월 4일 : 통신사 해킹해 위치 추적한 흥신소 일당 검거

http://www.ytn.co.kr/_ln/0103_201607041549466258

− 7월 12일 : 모텔 출입 남녀에 악성코드로 협박

http://www.nocutnews.co.kr/news/4621297

− 7월 15일 : 카드 3사 1억건 고객정보 유출 유죄 판결

https://www.hankookilbo.com/v/6e461d20f24a4fb88627e7715ff58508

− 7월 18일 : 아시아나 개인정보 4만 7천건 일부 파일 유출


16



− 7월 25일 : 인터파크 해킹 보도

http://news.khan.co.kr/kh_news/khan_art_view.html?code=940202&artid=201607251546001

− 8월 1일 : 외교안보 공무원 90명 해킹 시도


− 8월 30일 : 커플 앱 훔쳐본 20대 검거

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201608301224001&code=940202

− 9월 6일 : AhnLab, 랜섬웨어 보안 폴더 기능 추가

http://www.ahnlab.com/kr/site/support/notice/noticeView.do?boardSeq=50124201

− 9월 9일 : 패션유통업체 모다아울렛 서버 중견 해킹


− 9월 12일 : 제주지방경찰청, 파밍 조직 검거

http://www.nocutnews.co.kr/news/4653805

17



− 9월 26일 : KT 자회사와 협력회사, 밴드 통해 가입자 현관문 비밀번호 공유

http://biz.chosun.com/site/data/html_dir/2016/09/26/2016092601060.html

− 9월 28일 : Netmarble에 DDoS 공격 발생

http://m.www.netmarble.net/eloa/news/news/view?seq=12773512

− 9월 29일 : 금융기관 140 대 컴퓨터 장애 발생

http://byline.network/2016/10/1-370/

03

2016년 3분기국내사건사고

19

Interpark고객정보유출

•해킹보도

-

* Source : http://news.khan.co.kr/kh_news/khan_art_view.html?code=940202&artid=201607251546001

20


•

-

21


•

-

* Source : https://incorp.interpark.com/member/memberjoin.do?_method=getMemberInfo

22


•공격자추정

-

* Source : http://www.etnews.com/20160727000670

23


•경찰수사결과

-

* Source : http://www.etnews.com/20160728000608

04

2016년국외보안뉴스

25

2016 년국외정보보안소식

2016년국외정보보안소식

− 1월 4일 : BlackEnergy trojan strikes again

http://www.welivesecurity.com/2016/01/04/blackenergy-trojan-strikes-again-attacks-ukrainian-electric-

power-industry

− 1월 5일 : Romanian 경찰, Tyupkin ATM 악성코드 제작자 검거 발표

http://www.diicot.ro/index.php/arhiva/1643-comunicat-de-presa-05-01-2016

− 1월 12일 : Microsoft, 옛 버전 Internet Explorer 지원 중단

https://www.microsoft.com/en-us/WindowsForBusiness/End-of-IE-support

− 1월 12일 : Europol, DD4BC (DDoS 4 BitCoin) 관련자 검거 발표

https://www.europol.europa.eu/content/international-action-against-dd4bc-cybercriminal-group

− 1월 15일 : Gatekeeper 우회 발견

http://arstechnica.com/security/2016/01/how-malware-developers-could-bypass-macs-gatekeeper-

without-really-trying

26



− 1월 18일 : 우크라이나 정부, 공항에 대한 사이버 공격 공개

http://en.interfax.com.ua/news/general/317972.html

− 1월 18일 : The Globe and Mail, F-35 등 미국 군수 정보 훔친 일당 보도

http://www.theglobeandmail.com/news/national/chinese-entrepreneur-living-in-canada-implicated-in-

us-military-hacking-case/article28253148/

− 1월 19일 : Linux Kernel 권한 상승 취약점 공개

http://perception-point.io/2016/01/14/analysis-and-exploitation-of-a-linux-kernel-vulnerability-cve-

2016-0728/

− 1월 19일 : 오스트레일리아 병원 악성코드 감염으로 문제 발생

https://www.thermh.org.au/news/update-regarding-computer-virus-affecting-melbourne-health-

computer-network

27



− 1월 20일 : 아일랜드 Lotto ticket terminals DDoS 공격으로 운영 중단

http://www.irishtimes.com/business/financial-services/lotto-ticket-terminals-brought-down-by-cyber-

attack-1.2503690

− 1월 21일 : SEC Consult, AMX에서 취약한 계정 발견 발표

https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20160121-

0_AMX_Deliberately_hidden_backdoor_account_v10.txt,

http://www.amx.com/techcenter/NXSecurityBrief/

− 1월 26일 : 이스라엘, 전력망 사이버공격 받음 (실제로는 랜섬웨어 감염)

http://www.timesofisrael.com/steinitz-israels-electric-authority-hit-by-severe-cyber-attack/

− 1월 29일 : 미국과 영국 Israeli drones and planes 해킹 보도

https://theintercept.com/2016/01/28/hacked-images-from-israels-drone-fleet

− 1월 29일 : HSBC DDoS 공격 받음

http://www.itv.com/news/story/2016-01-29/hsbc-online-banking-fully-recovered-after-cyber-attack

28



− 2월 4일 : 유효한 인증서로 서명된 가짜 Adobe Flash Update 발견

https://isc.sans.edu/diary/Fake+Adobe+Flash+Update+OS+X+Malware/20693

− 2월 5일 : Dridex, Avira 제품 설치. 이유는 알 수 없음

https://blog.avira.com/dridex_serves_avira/

− 2월 6일 : Russia 당국 Dyre 제작자 검거

http://www.reuters.com/article/us-cybercrime-russia-dyre-exclusive-idUSKCN0VE2QS

− 2월 8일 : 20,000 FBI, 9,000 Homeland Security 정보 인터넷 공개

https://www.rt.com/usa/331788-hacker-doj-fbi-doxxed

− 2월 12일 : 미국 할리우드 장로병원(Hollywood presbyterian medical center) ransomware 감염으로 업

무 장애 발생

http://www.nbclosangeles.com/news/local/Hollywood-Hospital-Victim-of-Cyber-Attack-368574071.html

− 2월 21일 : Mint Linux, 웹사이트 해킹되어 악성코드 포함된 ISO 이미지 배포

http://blog.linuxmint.com/?p=2994

29



− 2월 24일 : Novetta, Lazarus group 소행의 Operation Blockbuster 정보 공개

https://www.operationblockbuster.com

− 2월 24일 : 독일 경찰 악성코드 이용해 용의자 감시 가능

http://arstechnica.co.uk/tech-policy/2016/02/german-police-can-now-use-spying-malware-to-monitor-

suspects

− 2월 25일 : 독일 병원 Ransomware 감염

http://www.dw.com/en/hackers-hold-german-hospital-data-hostage/a-19076030

− 2월 29일 : Hacking Team 제작 새로운 Mac 악성코드 발견

https://reverse.put.as/2016/02/29/the-italian-morons-are-back-what-are-they-up-to-this-time/

− 3월 4일 : Rosen Hotels & Resorts 신용카드 정보 노출

http://www.rosenhotels.com/protectingourguests

30



− 3월 6일 : 변조된 Transmission 설치 파일에서 OS X Ransomware 발견

http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-

transmission-bittorrent-client-installer

− 3월 7일 : Bangladesh 중앙 은행 해킹으로 약 1천 억 원 이체 시도

http://www.nytimes.com/aponline/2016/03/15/world/asia/ap-as-bangladesh-hack-attack.html

− 3월 16일 : Palo Alto Networks, iOS Acedeceiver 발견

http://researchcenter.paloaltonetworks.com/2016/03/acedeceiver-first-ios-trojan-exploiting-apple-drm-

design-flaws-to-infect-any-ios-device/

− 3월 16일 : Anonymous, Donald Trump 에 대한 #OpWhiteRose 발표

http://hollywoodlife.com/2016/03/16/anonymous-total-war-donald-trump-dismantle-campaign-

president-watch

http://www.techinsider.io/anonymous-leak-donald-trumps-2016-3

31



− 3월 17일 : FBI, 자동차 취약점 증가 경고

http://www.ic3.gov/media/2016/160317.aspx

− 3월 23일 : Trend Micro, 인도 군 표적공격 사례 공개

http://blog.trendmicro.com/trendlabs-security-intelligence/indian-military-personnel-targeted-by-

information-theft-campaign/

− 3월 24일 : 미국 Justice Department, Dam 공격 시도 공개

https://www.helpnetsecurity.com/2016/03/24/7indicted-cyber-attacks-us-banks-dam

http://www.bloomberg.com/news/articles/2016-03-30/new-york-s-little-dam-sends-super-sized-

warning-of-cyber-attacks

− 3월 24일 : OS X System Integrity Protection 우회 취약점 발견

https://www.sentinelone.com/blog/apple-os-x-zero-day-vulnerability-can-bypass-system-integrity-

protection/

32



− 3월 24일 : Verizon 고객 정보 유출

http://krebsonsecurity.com/2016/03/crooks-steal-sell-verizon-enterprise-customer-data/

− 3월 24일 : 상수도 시설 해킹 보도

http://www.theregister.co.uk/2016/03/24/water_utility_hacked/

− 3월 24일 : 프린터 해킹 해 반유대주의 문구 출력

http://wgntv.com/2016/03/24/anti-semitic-flyer-printed-on-depaul-campus-school-investigating/

− 3월 26일 : 5년 내 원자력 발전소에 cyber attack 가능성 제기

http://www.lalibre.be/actu/belgique/attentats-d-ici-5-ans-ils-pourraient-prendre-le-controle-d-une-

centrale-nucleaire-56f58f4d35708ea2d3e8e878

− 3월 29일 : 미국 FBI, Apple 사 도움 없이 iPhone 잠금 해제 발표

http://www.telegraph.co.uk/technology/2016/03/29/fbi-finds-method-to-hack-gunmans-iphone-

without-apples-help0/

33



− 3월 30일 : Eset, Remaiten 정보 공개

http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-

and-potentially-other-iot-devices

− 4월 4일 : 터키 5천 만 명 개인 정보 유출

http://www.theregister.co.uk/2016/04/04/turkey_megaleak/

− 4월 6일 : Panama Papers 는 해킹으로 유출 주장

http://www.theaustralian.com.au/news/world/panama-papers-law-firm-says-hacked-by-servers-

abroad/news-story/fc7011ad5f6b9850b96db7c0517037cc

− 4월 9일 : 필리핀 선관위 해킹

https://www.hackread.com/anonymous-philippines-hacks-leaks-voters-data/

− 4월 14일 : LFV, 2015년 11월 4일 항공 시스템 장애는 해킹이 아닌 태양 플레어가 원인이라 발표

http://www.lfv.se/en/news/news-2016/full-capacity-after-90-minutes-radar-loss

34



− 4월 15일 : Hacking Team 해킹 방법 공개

http://pastebin.com/raw/0SNSvyjJ

− 4월 20일 : SpyEye 제작자 실형 선고

https://www.justice.gov/usao-ndga/pr/two-major-international-hackers-who-developed-spyeye-

malware-get-over-24-years-combined

− 4월 25일 : QNB (Qatar National Bank) 자료 유출

http://www.theregister.co.uk/2016/04/25/breaking_qatar_bank_hack/

http://www.qnb.com/cs/Satellite?c=QNBNews_C&cid=1355408455449&locale=1338474029767&p=134

4242846789&pagename=QNBQatar%2FQNBLayout

− 4월 25일 : Bae Systems, 방글라데시 중앙은행 해킹에 이용된 악성코드 분석 정보 공개

http://baesystemsai.blogspot.kr/2016/04/two-bytes-to-951m.html

− 4월 27일 : 독일 Gundremmingen 원전에서 과거 악성코드 발견

http://www.reuters.com/article/us-nuclearpower-cyber-Germany-idUSKCN0XN2OS

35



− 4월 27일 : Lansing Board of Water & Light 랜섬웨어에 의한 피해 발생

http://www.dailykos.com/story/2016/4/27/1520581/-First-Electric-Utility-Hit-by-RansomWare-Lansing-

MI-Board-of-Water-Light-Crippled

− 5월 2일 : Allwinner sun8i 취약점 발견

http://forum.armbian.com/index.php/topic/1108-security-alert-for-allwinner-sun8i-h3a83th8/

− 5월 4일 : Virustotal, 정책 변경

http://blog.virustotal.com/2016/05/maintaining-healthy-community.html

− 5월 5일 : Anonymous, 은행 공격하는 OpIcarus 발표

https://www.hackread.com/tag/OpIcarus/

− 5월 9일 : UAE InvestBank 해킹으로 자료 유출

https://www.hackread.com/uae-investbank-hack-passport-credit-cards-leak/

− 5월 9일 : Google Play에서 악성코드 포함된 게임 발견

http://blog.checkpoint.com/2016/05/09/viking-horde-a-new-type-of-android-malware-on-google-play/

36



− 5월 12일 : 중국산 랜섬웨어

http://blog.trendmicro.com/trendlabs-security-intelligence/chinese-language-ransomware-makes-

appearance

− 5월 12일 : Ukrainian Hacker Journalist 정보 공개

https://www.washingtonpost.com/world/ukrainian-hackers-publish-data-on-thousands-of-

journalists/2016/05/12/95222eca-187c-11e6-aa55-670cabef46e0_story.html

− 5월 12일 : Tumblr 해킹

https://staff.tumblr.com/post/144263069415/we-recently-learned-that-a-third-party-had

− 5월 13일 : 방글라데시 중앙은행 해킹 조직에 의한 Vietnamese bank 해킹 보도

http://www.ft.com/cms/s/0/bb358318-188c-11e6-b197-a4af20d5575e.html#axzz495ViDRUj

− 5월 13일 : 캄보디아 수상 홈페이지 해킹

http://asiapacific.anu.edu.au/newmandala/2016/05/13/cambodias-hack-pm-gets-hacked/

37



− 5월 17일 : Eset, Operation Groundbait 공개

http://www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf

− 5월 17일 : Ubiquiti Networks AirOS worm 발견

http://www.itnews.com.au/news/ubiquiti-airos-wi-fi-devices-under-worm-attack-419544

− 5월 18일 : 유출된 LinkedIn 계정 정보 판매

http://motherboard.vice.com/read/another-day-another-hack-117-million-linkedin-emails-and-password

− 5월 18일 : Teslacrypt Ransomware 제작자 master key 공개

http://www.welivesecurity.com/2016/05/18/eset-releases-decryptor-recent-variants-teslacrypt-

ransomware

− 5월 20일 : Ecuadorean bank 해킹

http://uk.reuters.com/article/uk-cyber-heist-swift-specialreport-idUKKCN0YB0DO

− 5월 22일 : 일본에서 복제 카드로 ATM 대규모 돈 인출

http://mainichi.jp/english/articles/20160522/p2g/00m/0dm/044000c

38



− 5월 23일 : TeamViewer, 해킹 부인

https://www.reddit.com/r/sysadmin/comments/4josd6/sudden_increase_in_teamviewer_account_compro

mises/d38c0jz

https://www.teamviewer.com/en/company/press/statement-on-potential-teamviewer-hackers

− 5월 26일 : FBI, 가짜 USB 충전기 주의 권고

https://info.publicintelligence.net/FBI-KeySweeper.pdf

− 5월 27일 : 북한 Facebook 유사 사이트 해킹

https://motherboard.vice.com/read/the-north-korean-facebook-clone-has-already-been-hacked

− 5월 27일 : MySpace 해킹으로 427 million 계정과 암호 공개

https://www.leakedsource.com/blog/myspace

− 5월 29일 : UAE 내 사용된 Stealth Falcon 악성코드

https://citizenlab.org/2016/05/stealth-falcon/

39



− 5월 31일 : Dallas 에서 Department of Transportation sign 해킹 당해 정치적 구호로 변경

http://dfw.cbslocal.com/2016/05/31/donald-trump-targeted-in-hacked-txdot-sign

− 6월 1일 : TeamViewer 해킹 가능성 보도

http://www.theregister.co.uk/2016/06/01/teamviewer_mass_breach_report

− 6월 1일 : Russia FSB, Russian financial institutions 해킹한 일당 검거 발표

http://www.fsb.ru/fsb/press/message/single.htm!id%3D10437717%40fsbMessage.html

− 6월 1일 : Spain 경찰 5,400 명 해킹 정보 유출

http://www.ibtimes.co.uk/hacker-claims-leak-personal-data-5400-spanish-police-gag-law-protest-

1563490

− 6월 2일 : FireEye, Irongate ICS 악성코드 분석 내용 공개

https://www.fireeye.com/blog/threat-research/2016/06/irongate_ics_malware.html

− 6월 5일 : vk.com 해킹

https://www.leakedsource.com/blog/vk

40



− 6월 8일 : 3289 만 명 유출 Twitter 계정 정보 판매 중

https://www.leakedsource.com/blog/twitter

− 6월 8일 : University of Calgary Ransomware 피해

http://www.ucalgary.ca/utoday/issue/2016-06-08/university-calgary-makes-significant-progress-address-

systems-issues

− 6월 12일 : Mitsubishi 자동차 해킹

https://www.pentestpartners.com/blog/hacking-the-mitsubishi-outlander-phev-hybrid-suv/

− 6월 13일 : Smart TV Ransomware Flocker

http://blog.trendmicro.com/trendlabs-security-intelligence/flocker-ransomware-crosses-smart-tv

− 6월 20일 : iTunes 내 바이러스 있다는 소문 발생

http://www.welivesecurity.com/2016/06/20/scam-virus-itunes-database/

−

41



− 6월 27일 : Ukrainian bank 해킹으로 1 천 만 달러 도난

https://www.kyivpost.com/article/content/ukraine-politics/hackers-steal-10-million-from-a-ukrainian-

bank-through-swift-loophole-417202.html

− 6월 27일 : CCTV botnet 을 이용한 DDoS 공격

https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html

− 6월 27일 : Cerber Ransomware, Office 365 취약점을 이용해 공격

http://www.avanan.com/resources/attack-on-office-365-corporate-users-with-zero-day-ransomware-

virus

− 6월 28일 : Symantec 제품 취약점 공개

https://googleprojectzero.blogspot.kr/2016/06/how-to-compromise-enterprise-endpoint.html

https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=sec

urity_advisory&year=&suid=20160628_00

42



− 6월 28일 : LibreOffice RTF Vulnerability

http://blogs.cisco.com/security/talos/vulnerability-spotlight-libreoffice

− 6월 29일 : Muslim Match 해킹 당해 15 만명 정보 유출

https://motherboard.vice.com/read/hacked-private-messages-from-dating-site-muslim-match

− 7월 6일 : OS X 악성코드 Keydnap

http://www.welivesecurity.com/2016/07/06/new-osxkeydnap-malware-hungry-credentials/

− 7월 7일 : Avast, AVG 인수 발표

https://press.avast.com/avast-announces-agreement-to-acquire-avg-for-13b

− 7월 8일 : Omni Hotels 해킹 발표

https://www.omnihotels.com/notice

− 7월 9일 : Poland Telecom Netia 해킹

https://www.hackread.com/ukranian-hacker-hacks-polish-telecom-netia/

43



− 7월 13일 : Taiwan 은행 ATM에서 돈 훔침

http://www.reuters.com/article/us-taiwan-banks-theft-idUSKCN0ZT0Y6

− 7월 22일 : WikiLeaks, DNC (Democratic National Committee) 해킹 이메일 공개

https://wikileaks.org/dnc-emails/

− 7월 25일 : Europol, Ransomware 대응 발표

https://www.europol.europa.eu/content/no-more-ransom-law-enforcement-and-it-security-companies-

join-forces-fight-ransomware

− 7월 29일 : 중국 1937cn, Vietnam 공항 시스템 공격

http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-

vietnam-airlines-website

− 8월 2일 : Iran Telegram 사용자 1500 만 명 정보 해킹

http://www.ibtimes.com/telegram-hacked-iranian-hackers-attacked-15-million-accounts-report-says-

2397224

44



− 8월 3일 : Bitfinex 해킹으로 BitCoin 가치 폭락

http://www.cnbc.com/2016/08/03/hong-kong-bitcoin-exchange-says-it-was-hacked-trading-

suspended.html

− 8월 4일 : Talos, Hacon Office 취약점 공개

http://blog.talosintel.com/2016/08/hancom-office-vulnerabilities.html

− 8월 4일 : F-Secure, NanHaiShu campaign 공개

https://labsblog.f-secure.com/2016/08/04/nanhaishu-rating-the-south-china-sea/

− 8월 4일 : Go 언어로 작성된 Linux 악성코드 Lady 발견

http://vms.drweb.com/virus/?_is=1&i=8400823

− 8월 5일 : 악의적인 USB 제작법

https://www.elie.net/blog/security/what-are-malicious-usb-keys-and-how-to-create-a-realistic-one

− 8월 7 일 : Android 취약점, QuadRooter 공개

http://blog.checkpoint.com/2016/08/07/quadrooter/

45



− 8월 12일 : HEI Hotels & Resorts 데이터 유출

http://www.heihotels.com/notice/1

− 8월 13일 : Yuliya Stepanova 위치 정보 해킹

https://www.theguardian.com/sport/2016/aug/13/russian-whistleblower-yuliya-stepanova-hacked-wada

− 8월 13일 : The Shadow Brokers, NSA Equation Group 해킹 주장

https://archive.is/rdYpc#selection-373.0-373.15

− 8월 15일 : Oracle’s MICROS 정보 유출

https://krebsonsecurity.com/2016/08/data-breach-at-oracles-micros-point-of-sale-division/

− 8월 18일 : 교통 표지판 해킹해 경찰 비난 메시지

https://www.hackread.com/traffic-sign-hacked-with-anti-police-message/

46



− 8월 23일 : 태국 은행 ATM 악성코드 감염으로 현금 인출

http://www.thailand-business-news.com/banking/54024-hackers-steal-12-million-baht-government-

savings-banks-atms.html

https://www.fireeye.com/blog/threat-research/2016/08/ripper_atm_malwarea.html

− 8월 24일 : Twitter로 운영되는 Android botnet 발견

http://www.welivesecurity.com/2016/08/24/first-twitter-controlled-android-botnet-discovered

− 8월 25일 : Lookout, iPhone 취약점 한 악성코드 감염

https://blog.lookout.com/blog/2016/08/25/trident-pegasus/

− 8월 25일 : Apple, 보안 취약점 해결된 iOS 9.3.5 발표

https://support.apple.com/en-us/HT207107

− 8월 25일 : Millennium Hotels 해킹 발표

http://www.businesswire.com/news/home/20160825005278/en/Millennium-Hotels-Resorts-North-

America-Informed-Potential

47



− 8월 25일 : OpenSource Ransomware 변형 발견

http://blog.trendmicro.com/trendlabs-security-intelligence/new-open-source-ransomwar-based-on-

hidden-tear-and-eda2-may-target-businesses/

− 8월 26일 : Opera Server 해킹

https://www.opera.com/blogs/security/2016/08/opera-server-breach-incident/

− 8월 27일 : Iran, 석유 화학 시스템에 대한 공격 발표

http://www.reuters.com/article/us-iran-security-cyber-idUSKCN1120E9

− 8월 29일 : 미국 일리노이와 애리조나 주 선거관리위원회 해킹

https://www.yahoo.com/news/fbi-says-foreign-hackers-penetrated-000000175.html

− 8월 29일 : LuaBot 발견

http://blog.malwaremustdie.org/2016/09/mmd-0057-2016-new-elf-botnet-linuxluabot.html

https://w00tsec.blogspot.kr/2016/09/luabot-malware-targeting-cable-modems.html

48



− 8월 30일 : Transmission 에서 새로운 Keydnap 발견

http://www.welivesecurity.com/2016/08/30/osxkeydnap-spreads-via-signed-transmission-application

− 8월 30일 : Dropbox 해킹으로 6,800 만 계정 정보 유출

https://www.hackread.com/hackers-stole-dropbox-passwords/

− 8월 31일 : Hacked Redis Server에 Ransomware 감염

http://www.bleepingcomputer.com/news/security/hacked-redis-servers-being-used-to-install-the-

fairware-ransomware-attack

− 8월 31일 : IoT 감염 Mirai 발견

http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html

− 9월 4일 : Sophos 오진으로 윈도우 시스템 파일 진단

https://community.sophos.com/kb/en-us/125000

49



− 9월 5일 : Umbreon Linux Rootkit

http://blog.trendmicro.com/trendlabs-security-intelligence/pokemon-themed-umbreon-linux-rootkit-

hits-x86-arm-systems/

− 9월 6일 : Russian Rambler.ru 유출 자료 공개

https://www.leakedsource.com/blog/rambler

− 9월 7일 : Crossplatform Mokes 발견

https://securelist.com/blog/research/75990/the-missing-piece-sophisticated-os-x-backdoor-discovered

− 9월 13일 : Xiaomi 제품 APP 설치 할 수 있는 취약점 발견

https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered/

− 9월 16일 : OPM 데이터 유출 사건 조사 결과

http://krebsonsecurity.com/2016/09/congressional-report-slams-opm-on-data-breach

50



− 9월 19일 : Keen Security, Tesla 자동차 Hacking

http://keenlab.tencent.com/en/2016/09/19/Keen-Security-Lab-of-Tencent-Car-Hacking-Research-

Remote-Attack-to-Tesla-Cars/

− 9월 20일 : KrebsOnSecurity 에 기록적 DDoS 공격 발생

http://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

− 9월 21일 : Blizzard DDoS 공격으로 다운

https://www.hackread.com/blizzard-suffers-ddos-attack-servers-go-down/

− 9월 22일 : Symantec, IoT 기기 이용한 DDoS 공격 증가

https://www.symantec.com/connect/blogs/iot-devices-being-increasingly-used-ddos-attacks

− 9월 22일 : Yahoo, 2014년 말 해킹으로 5억 명 계정 정보 유출 보도

http://abcnews.go.com/Technology/info-500-million-accounts-stolen-yahoo-state-

sponsored/story?id=42286309

51



− 9월 26일 : Sofacy’s ‘Komplex’ OS X Trojan

http://researchcenter.paloaltonetworks.com/2016/09/unit42-sofacys-komplex-os-x-trojan

− 9월 27일 : 해킹 된 152,000 대 IoT 를 이용한 DDoS 공격

http://thehackernews.com/2016/09/ddos-attack-iot.html

− 9월 28일 : Dlink DWR-932B LTE Router 취약점

https://pierrekim.github.io/blog/2016-09-28-dlink-dwr-932b-lte-routers-vulnerabilities.html

− 9월 28일 : MH17 조사자에 대한 해킹 시도

https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/

05

2016년 3분기국외사건사고

53

HEI 데이터유출

• HEI Hotels & Resorts 데이터유출

-

* Source : http://www.heihotels.com/notice/1

54

Iran, 석유화학시설에대한공격발표

• Iran 석유화학시설에대한공격발표

- 최근화재와는연관없다고밝힘

* Source : http://www.reuters.com/article/us-iran-security-cyber-idUSKCN1120E9

06

2016년 3분기취약점과악성코드

56

Hancom Office

• Hancom Office 다수취약점공객

-

* Source : http://blog.talosintel.com/2016/08/hancom-office-vulnerabilities.html

57

태국악성코드감염ATM

•태국ATM 악성코드감염

-12 million baht 강탈

* Source : http://www.bangkokpost.com/news/general/1069905/foreign-suspects-in-atm-malware-heist-fled-the-country

58

Apple, iOS 보안취약점업데이트

• iOS 보안취약점업데이트

-

* Source : https://support.apple.com/en-gb/HT207107

59

IoT devices 이용한DDoS 공격

• KrebsOnSecurity.com에DDoS 공격

-

* Source : https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/

07

Case Study : NSA Equation Group 해킹

61

NSA Equation Group 해킹 ?

• NSA Equation Group 해킹 ?

-

* Source : https://archive.is/rdYpc

62

확인된취약점

• Cisco 취약점확인

- CVE-2016-6366 & CVE-2016-6367

* Source : http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp &

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli

63

확인된취약점

• Cisco 취약점확인

- CVE-2016-6415

* Source : https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

64

NSA Equation Group 해킹 ?

• Snowden 유출문서에언급

-

* Source : http://www.techworm.net/2016/08/leaked-hacking-tools-belong-nsa-confirm-new-snowden-documents.html

65

현재의보안문제

• Not really a fair fight

* source : http://image-store.slidesharecdn.com/81268b95-5c3b-4604-9129-d83ab3dc4600-large.png

66

현재의보안문제

•모두가함께해야하는보안

* source : http://www.security-marathon.be/?p=1786

67

Q&A

email : [email protected] / [email protected]

http://xcoolcat7.tistory.com

https://twitter.com/xcoolcat7, https://twitter.com/mstoned7