본문 바로가기
카테고리 없음

22GB 개인정보, 다크웹에 팔렸다! KS한국고용정보 해킹사고 전말

by 스푼스토리 2025. 4. 28.
반응형

최근 SKT해킹 사고로 인해 불안한 요즘입니다. 내 개인정보가 어디선가 새나가고, 이로 인해 피해를 입을까 걱정되는 분들이 많으실 겁니다. 특히 이번 KS한국고용정보 해킹 사건까지 그 심각성과 파장이 매우 커서 많은 분들이 불안해하고 계십니다. 이번 사건의 핵심 내용을 쉽고, 한눈에 파악할 수 있도록 정리했습니다.

KS한국고용정보 22GB 개인정보 유출 사건, 무엇이 문제인가?

1. 사건 개요

  • 2025년 4월, 국내 BPO(비즈니스 프로세스 아웃소싱) 전문기업 KS한국고용정보가 해킹 공격을 받아 내부 데이터 22GB가 유출됨.
  • 유출된 데이터는 현재 다크웹 해킹 포럼에서 15,000달러(약 2천만 원)에 판매 중임.

2. 유출 경로 및 해킹 수법

  • 초기 침해: 4월 5일, KS한국고용정보 공식 도메인(ksjob.co.kr) 관리자 계정이 'LummaC2' 인포스틸러 악성코드에 감염되어 계정 정보가 탈취됨.
  • 내부 침투: 해커는 탈취한 계정으로 내부 시스템에 접근, 대량의 개인정보 및 문서 파일을 외부로 유출
  • 다크웹 판매: 4월 22일, 다크웹 포럼(Exploit Forum)에 'Thales'라는 해커가 22GB 분량의 데이터를 15,000달러에 판매한다는 게시글을 올림.

3. 유출된 정보의 종류

구분 유출 정보 내용
기본정보 이름, 생년월일, 주민등록번호 뒷자리, 이메일, 주소, 전화번호, 비밀번호, 계좌번호(일부 암호화)
고위험 문서 주민등록증/운전면허증 사본, 통장 사본, 임직원 사진, 근로계약서, 자필 서명, 급여명세서, 가족관계증명서, 주민등록등본, 혼인관계증명서 등(암호화 안 됨)
기타 수년 전 퇴사자 정보까지 포함(개인정보 보관·삭제 정책 미흡 지적)

4. 사건의 심각성 및 2차 피해 우려

  • 문서 기반 고위험 정보가 대거 유출되어, 신분 도용·사칭·피싱 등 2차 범죄에 악용될 가능성이 매우 높음.
  • 퇴사자 정보까지 유출된 점에서, 개인정보 관리 미흡에 대한 비판이 커짐.
  • 실제로 다크웹에서 거래가 확인된 만큼, 피해 확산이 우려됨.

5. 보안 전문가 평가 및 대응 조치

  • 이번 해킹은 단순 침투가 아닌 APT(지능형 지속 위협) 수준의 고도화된 공격으로 평가됨.
  • 보안 전문가들은 △퇴직자 개인정보 자동 삭제 △문서 보안 체계 강화 △다크웹 위협 인텔리전스 도입 등을 권고.
  • KS한국고용정보는 사고 직후 임직원에게 공지, 비밀번호 변경 등 보안 조치 권고, 유출 항목 조회 시스템 제공, 관련 기관 신고 및 서버 분리 등 조치.

출처:KS한국고용정보

내 정보가 유출됐을 때, 어떻게 해야 하나?

  • 비밀번호 즉시 변경(다른 사이트도 동일 비밀번호 사용 시 모두 변경)
  • 이상한 문자·전화·이메일 주의(피싱, 사칭 등)
  • 내 정보 유출 여부 확인: KS한국고용정보에서 제공하는 유출 항목 조회 시스템 활용
  • 2차 피해 예방: 금융사기, 명의도용 등 의심될 경우 즉시 신고

정리

이번 KS한국고용정보 해킹 사건은 단순한 개인정보 유출을 넘어, 실제 다크웹에서 거래가 확인된 심각한 보안 사고입니다. 특히 암호화되지 않은 신분증, 통장 사본 등 고위험 문서까지 대량 유출되어 2차 피해 위험이 매우 높습니다. 내 정보가 포함됐는지 확인하고, 즉각적인 보안 조치와 주의가 필요합니다.

KS한국고용정보 해킹 사고 후 조치 사항 한눈에 정리

KS한국고용정보는 해킹 사고 인지 직후부터 다음과 같은 대응 조치를 신속하게 시행했습니다.

1. 피해 사실 공지 및 유출 항목 조회 시스템 제공

  • 임직원들에게 해킹 사고 사실을 긴급 공지하고, 각자 유출된 개인정보 항목을 직접 확인할 수 있도록 ‘유출 항목 조회 시스템’을 마련했습니다. 임직원은 사원번호 입력으로 본인 유출 정보를 확인할 수 있습니다.

2. 비밀번호 변경 등 보안 강화 권고

  • 임직원 전원에게 비밀번호 변경을 즉시 권고하고, 계정 보안 강화를 위한 안내를 실시했습니다. 시스템 취약점 점검과 보완도 병행했습니다.

3. 해킹된 시스템 분리 및 신규 서버 이전

  • 해킹이 발생한 인사관리시스템(HRMS)을 즉시 네트워크에서 분리하고, 웹사이트를 신규 서버로 이전해 추가 피해 확산을 막았습니다.

4. 유관 기관 신고 및 조사 협조

  • 한국인터넷진흥원(KISA) 등 관련 기관에 해킹 사실을 신고하고, 개인정보보호위원회(PIPC) 등과의 조사에도 적극 협조하고 있습니다.

5. 2차 피해 예방 및 지원 체계 마련

  • 임직원들에게 명의도용, 보이스피싱 등 2차 피해 예방을 위한 주의사항을 안내하고, 피해 발생 시 개인정보 분쟁조정위원회 신청 방법도 안내했습니다.
  • 헬프데스크팀(전화, 이메일) 운영 등 지원 체계도 마련했습니다.

조치 항목 세부 내용
피해 사실 공지 임직원 대상 긴급 공지, 유출 항목 조회 시스템 제공
보안 강화 비밀번호 변경 권고, 시스템 취약점 점검 및 보완
시스템 분리 및 서버 이전 해킹된 시스템 네트워크 분리, 신규 서버로 웹사이트 이전
유관 기관 신고 KISA 등 관련 기관 신고 및 조사 협조
2차 피해 예방 및 지원 명의도용·보이스피싱 주의 안내, 분쟁조정 신청 안내, 헬프데스크 운영
 
아쉬운 점 및 추가 과제
  • 이미 데이터가 유출된 후 조치가 이뤄져 근본적인 침입 경로 차단 여부는 불확실하며, 퇴직자 통지 방법 등은 명확히 공개되지 않았습니다.
  • 다중 인증(MFA) 도입, 비정형 데이터 암호화 등 근본적인 보안 강화 계획에 대한 구체적 발표는 아직 부족한 상황입니다.

KS한국고용정보는 표준적인 사고 대응 절차를 신속하게 이행했으나, 장기적인 보안 체계 강화와 사전 예방 조치에 대한 체계적인 개선이 필요하다는 지적도 나오고 있습니다.

출처:KS한국고용정보

LummaC2 악성코드는 어떻게 작동하나요?

LummaC2 악성코드는 고도화된 정보 탈취 기술을 활용해 개인 및 기업의 민감한 데이터를 집중적으로 수집하는 위협 프로그램입니다. 주로 다크웹에서 유포되며, 최근 업데이트를 통해 탐지 회피 기법이 더욱 강화되었습니다.

LummaC2의 주요 작동 메커니즘

1. 초기 감염 경로

  • 불법 소프트웨어 위장: 크랙된 프로그램/게임, 키젠 도구 등에 악성 코드를 삽입해 유포
  • 정상 파일 변조: 국내 유명 소프트웨어의 버전 정보·아이콘을 복제한 뒤 내부에 악성 페이로드 포함
  • 파워셸 오브퓨스케이션: 최신 변종은 난독화된 파워셸 명령어로 악성 스크립트 다운로드

2. 데이터 탈취 프로세스

  • 시스템 정보 수집:
    • OS 버전, 하드웨어 ID, CPU/RAM 사양, 화면 해상도, 시스템 언어
    • GetCurrentHwProfileA API로 하드웨어 고유 식별자 추출
  • 표적 대상 및 탈취 정보:
     
    세부 내용
    브라우저 Chrome, Edge, Firefox 등 10종 ➜ 로그인 데이터·쿠키·검색 기록
    암호화폐 Binance, Electrum, Ethereum 등 30+ 지갑 ➜ 개인 키·트랜잭션 기록
    2FA 확장 Google Authenticator, Authy 등 ➜ 2단계 인증 코드
    기타 메일 클라이언트, 문서 파일(.txt), 데스크톱 스크린샷
     
     
  • 데이터 압축·전송:
 
python
# 탈취 데이터 처리 예시 stolen_data = collect_browser_data() + collect_crypto_wallets() zip_file = compress_data(stolen_data) send_to_c2(zip_file) # HTTP POST /c2sock 엔드포인트 사용[2]

3. 탐지 회피 기술

  • 프로세스 인젝션:
    choice.exe  AutoIT 스크립트 → LummaC2 인젝션 체인으로 실행
  • LOLbins 악용:
    Mshta.exe(HTML 애플리케이션 실행), Dllhost.exe(C2 통신) 등 정상 윈도우 도구 활용
  • 지속성 확보:
    레지스트리(HKCU\Software\Microsoft\Windows\CurrentVersion\Run) 수정을 통한 부팅 시 자동 실행

4. 최신 변종의 진화된 공격 패턴

  • 3단계 데이터 유출:
    1단계(기본 정보) → 2단계(브라우저 데이터) → 3단계(암호화폐·2FA) 순차적 전송
  • 멀티파트 전송:
    multipart/form-data로 ZIP 파일·하드웨어 ID·Lumma ID(빌드 식별자) 패킹
  • MaaS(Model-as-a-Service):
    다크웹에서 구매 가능한 서비스 형태로, 다양한 범죄 집단이 활용

5. 피해 사례 및 대응 방안

  • 실제 피해 사례:
    • 개인: 암호화폐 지갑 해킹, 온라인 뱅킹 계정 탈취
    • 기업: 내부 시스템 크리덴셜 유출로 인한 APT 공격 연계
  • 예방 조치:
    • 신뢰할 수 없는 소프트웨어 다운로드 금지
    • 엔드포인트 보안 솔루션(EDR) 배치 및 공격 표면 감소(ASR) 규칙 적용
    • 2FA 도입 시 하드웨어 토큰(OATH) 사용 권고

이처럼 LummaC2는 지속적인 기능 업데이트를 통해 진화 중인 위협으로, 사용자와 기업 모두 사전 예방적 보안 체계 구축이 필수적입니다.

출처:KS한국고용정보

 

내 명의 도용 확인하는 3가지 방법 (+카카오페이, PASS, KAIT)

🔐 내 명의, 혹시 도용됐을까?최근 개인정보 유출 사건이 빈번하게 발생하면서, 내 명의로 모르게 휴대폰이 개통되거나 계좌가 개설되는 등 명의도용 피해가 증가하고 있습니다. 명의도용은 개

1.nomadslow.com

 

 

반응형

티스토리툴바