피해규모가 가장 큰 해킹사건 TOP 5

 

순위	사건	발생 년도	피해액	주요 피해대상
1	NotPetya 랜섬웨어 공격	2017	약 100억 달러 이상	Maersk, Merck, 우크라이나 정부 등
2	Equifax 데이터 유출	2017	약 14억 달러 이상	미국, 영국, 캐나다 시민 등
3	WannaCry 랜섬웨어 공격	2017	약 40억 달러	NHS, FedEx, Renault 등
4	Bangladesh 중앙은행 해킹	2016	8,100만 달러 이상	방글라데시 중앙은행
5	Carbanak 해킹 캠페인	2013–2018	약 10억 달러 이상	전 세계 은행 및 금융기관

 

 

 

 

 

TOP 1: NotPetya 랜섬웨어 공격

1. 개요

• 발생 시점: 2017년 6월 27일
• 공격 유형: 파괴적 랜섬웨어 (실제로는 데이터 복구 불가, 즉 Wiper 유형)
• 피해 규모: 약 100억 달러 이상
• 주요 피해 기업: Maersk(해운), Merck(제약), Rosneft(러시아 국영 석유), FedEx TNT Express 등
• 의심 주체: 러시아 국가 지원 해커 그룹인 Sandworm(=GRU)

---

2. 기술적 해킹 방식

2.1 감염 경로

• 우크라이나에서 광범위하게 사용되던 회계 소프트웨어 M.E.Doc의 자동 업데이트 기능을 악용.
• 공급망 공격(Supply Chain Attack)을 통해 공식 소프트웨어 배포 채널에 악성코드를 삽입함.

2.2 확산 방식

NotPetya는 아래와 같은 여러 방식으로 네트워크 내부로 빠르게 확산됨:

(1) EternalBlue 취약점 (MS17-010)

• NSA에서 유출된 SMBv1 취약점
• Windows SMB 프로토콜을 통한 원격 코드 실행 가능
• WannaCry와 동일한 취약점 이용

(2) Credential Harvesting + PsExec / WMI

• LSASS 메모리 덤프 → 계정 정보 탈취
• 탈취한 계정으로 내부 시스템에 PsExec 또는 WMI 명령 실행

(3) Mimikatz 기반 기술

• 메모리 내 평문 자격 증명 추출
• 도메인 관리자 계정 탈취 시 도메인 전체 감염 가능

---

3. 감염 증상 및 작동 메커니즘

작동 순서 요약

1. 시스템 부트 레코드(MBR)를 덮어쓰기
2. 시스템 재부팅 강제 → 부팅 시 디스크 전체 암호화 시도
3. 복호화 키 제공 없음 (→ 랜섬웨어가 아닌 Wiper로 분류)
4. “If you see this text, your files are no longer accessible…” 메시지 출력

---

4. 발견 및 탐지 방법

4.1 사전 탐지 지표 (IOCs)

• 파일 해시: 특이한 SHA256 해시 (예: 71b6a493388e7d0b40c83ce903bc6b04e88b99c5)
• 파일명: perfc.dat, perfc.dll, perfc.exe
• C2 주소: me_doc_cdn.* 형태의 가짜 도메인 또는 비트코인 주소 사용

4.2 탐지 도구

• EDR (Endpoint Detection & Response): 비정상 SMB 패킷 탐지
• SIEM 로그 분석: PsExec 또는 WMI 원격 실행 이력 탐지
• Memory Forensics: LSASS 메모리 덤프 흔적 확인

---

5. 방어 대책

5.1 기술적 방어

구분대책

SMB 차단	내부망에서 TCP 445 포트 차단
패치 적용	MS17-010 보안 패치 적용 필수
계정 보호	관리자 권한 최소화, Credential Guard 사용
Lateral Movement 차단	PsExec, WMI 등 도구 실행 제어, Application Whitelisting
백업 전략	물리적 격리 백업 또는 Immutable Backup (쓰기 방지) 활용

 

5.2 정책적/운영적 대책

• 공급망 보안 점검 강화 (업데이트 경로 모니터링)
• 랜섬웨어 모의훈련 및 대응 프로세스 수립
• 보안 솔루션 로그 상시 모니터링 (24x7 SOC 운영)

---

6. 후속 대응 및 변화

주요 대응

• Maersk: 전사적 시스템 재설치에 1주 이상 소요, 전 세계 항만 시스템 일시 마비
• Merck: 생산 중단 및 공급망 피해로 수억 달러 손실
• 미국/영국 정부: 공식적으로 러시아 정부를 공격 주체로 지목

산업 전반 영향

• Wiper형 공격의 위협성 인식 확대
• **공급망 공격(Supply Chain Attack)**의 심각성 부각
• 랜섬웨어 대응 가이드라인 재정립 (NIST, ENISA 등)

---

7. 종합 분석

특징 요약

• 전형적인 랜섬웨어와 달리 실질 복구가 불가능한 파괴적 성격
• 복호화 키 미제공 → 금전 목적보다 정치적 목적이 강함
• 감염 후 내부망 lateral movement가 매우 빠르고 은밀함

기술적 교훈

• 내부망 격리, 접근권한 최소화, EDR 탐지체계, 백업 격리가 핵심 방어 요소
• 국가급 공격자는 제로데이 + 사회공학 + 정교한 lateral movement를 복합적으로 사용

---

출처

• Wikipedia - NotPetya
• Kaspersky 분석 보고서
• Symantec 기술 백서
• NSA EternalBlue Leak - Shadow Brokers

 

 

 

 

TOP 2: Equifax 해킹 사건

1. 개요

• 발생 시점: 2017년 3월 ~ 7월 (4개월간 침입 지속)
• 발각 시점: 2017년 7월 29일
• 공개 시점: 2017년 9월
• 공격 유형: 개인정보 탈취 / 데이터 유출
• 피해 규모: 약 1억 4,700만 명의 미국 내 개인 정보 유출 (영국, 캐나다 포함하면 1억 5천만 명 이상)
• 피해액: 추정 약 14억 달러 이상
• 의심 주체: 중국 정부 지원 해커 그룹 (미 법무부 공식 발표)

---

2. 기술적 해킹 방식

2.1 취약점 개요

• 사용된 취약점: Apache Struts2 프레임워크의 취약점
• CVE 번호: CVE-2017-5638
• 발표일: 2017년 3월 6일
• 취약 내용: 파일 업로드 기능에서 Content-Type 필드 조작을 통한 원격 코드 실행 (RCE)

2.2 침투 과정

1. 공격자는 Equifax 웹 서버에서 Struts2 취약점이 패치되지 않은 채 운영 중인 것을 발견
2. 특수하게 조작된 HTTP POST 요청을 통해 명령어 삽입 및 원격 쉘 획득
3. 이후 내부 네트워크 침투 (Lateral Movement) 및 데이터베이스 접근

---

3. 감염 증상 및 작동 메커니즘

주요 유출 데이터

• 전체 미국 인구의 절반에 해당하는 개인 식별 정보 (PII)
  • 주민등록번호(SSN), 이름, 생년월일, 주소, 성별, 운전면허 정보
• 약 20만 명의 신용카드 정보
• 약 200만 건의 운전면허 이미지 스캔 파일

추가 침입 행위

• 웹쉘 설치 및 지속적인 C2 통신으로 명령 수신
• 탈취 데이터는 외부 서버로 암호화 전송됨

---

4. 발견 및 탐지 방법

4.1 IOC (Indicators of Compromise)

• 의심 User-Agent 헤더 패턴
• 로그 상 반복된 Content-Type 오류
• 내부 방화벽 로그 상 이상 트래픽 흐름

4.2 탐지 가능 도구

• WAF (웹방화벽): 특이한 POST 요청 탐지
• SIEM 연동 분석: HTTP 헤더 이상 탐지
• EDR/보안 로그: 내부 접근 이상 징후 포착

---

5. 방어 대책

5.1 기술적 방어

구분대책

웹 취약점 대응	Apache Struts 패치 주기적 확인 및 즉시 반영
IDS/WAF	Content-Type 조작 요청에 대한 탐지 룰 적용
네트워크 분리	DB와 외부 웹서버간 격리된 네트워크 구성
암호화	민감 정보는 반드시 AES-256 수준의 암호화 저장
계정 관리	DB 접근 계정에 대한 최소 권한 원칙 적용

 

5.2 정책적 대응

• 패치 관리 시스템 강화 (Patch Management System)
• 공급망 보안 검토 및 웹 모듈 업데이트 검증
• 위협 인텔리전스 공유 체계 연동

---

6. 후속 대응 및 변화

기업 대응

• 미국 의회 및 고객들에게 공식 사과
• CEO, CSO 등 고위 경영진 사임
• 약 7억 달러 이상 피해자 보상에 사용

산업적 영향

• 미국 전역에서 PII 보호 법제화 강화
• CVE 기반의 취약점 관리 자동화 도입 확대
• Bug Bounty, 취약점 신고 체계 활성화 계기

---

7. 종합 분석

주요 기술 포인트

• 기존에 공개된 취약점을 4개월 이상 방치한 것이 핵심 실패 원인
• 공격자 입장에서 비교적 단순한 RCE 취약점으로도 대규모 침입 가능
• 단일 취약점 → DB 접근 → 민감정보 유출이라는 고전적 침투 경로

기술적 교훈

• 패치 미루는 것은 실질적 보안 리스크
• 웹 프레임워크 레벨의 보안 점검 필요
• 웹-DB 분리, IAM 관리, 로그 모니터링이 동시에 필요함

---

🔗 출처 및 참고 자료

• CVE-2017-5638 정보 (MITRE)
• Wikipedia - Equifax Data Breach
• U.S. DOJ 기소 문서 (중국 정부 해커 기소)
• Apache 공식 보안 패치 안내
• Equifax 사건 분석 보고서 - FireEye

 

 

 

TOP 3: WannaCry 랜섬웨어 공격

1. 개요

• 발생 시점: 2017년 5월 12일
• 공격 유형: 랜섬웨어 (Ransomware, 암호화 후 금전 요구)
• 감염 속도: 150개국 30만 대 이상의 시스템 감염
• 피해액: 최소 40억 달러 이상 (추정)
• 주요 피해 대상: 영국 NHS(국민보건서비스), Renault, FedEx, Telefonica, 러시아 내무부 등
• 의심 주체: 북한 연계 해커 그룹 Lazarus

---

2. 기술적 해킹 방식

2.1 전파 취약점: EternalBlue (CVE-2017-0144)

• NSA 개발 → 해킹 그룹 Shadow Brokers에 의해 유출됨
• Windows SMBv1 취약점: 인증 없이 원격에서 코드 실행 가능
• MS17-010 패치로 해결 가능했지만 수많은 시스템이 미적용 상태였음

2.2 SMB Worm 기능

• WannaCry는 단순한 랜섬웨어가 아니라 웜(Worm) 기능을 탑재:
  • SMB 스캐닝 → 취약한 시스템 발견 → 자동 전파
  • 네트워크 안의 모든 Windows 시스템에 빠르게 확산

---

3. 감염 증상 및 작동 메커니즘

작동 순서

1. SMBv1 취약점을 이용하여 시스템 침입
2. 암호화 대상 파일 확장자 탐색 (.doc, .jpg, .xls, .db, 등 176종 이상)
3. AES-128 + RSA 공개키 암호화 방식으로 파일 암호화
4. 배경화면을 변경하고 복호화 비용(300~600달러 상당의 Bitcoin) 요구

랜섬 노트 메시지

• 영어 기반 GUI 제공
• "Oops, your files have been encrypted!"라는 메시지
• 지불 기한이 지나면 복호화 키 삭제 경고

---

4. 발견 및 탐지 방법

4.1 IOC (Indicators of Compromise)

• 파일명: @WanaDecryptor@.exe, taskdl.exe
• 랜섬 노트: !Please Read Me!.txt
• 비트코인 지갑 주소 및 TOR 사이트 주소 포함
• 도메인: kill-switch용 도메인 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

4.2 탐지 도구 및 기법

도구탐지 내용

IDS/IPS	SMBv1 취약점 기반 익스플로잇 트래픽 탐지
EDR	WanaDecryptor.exe 및 DLL 인젝션 탐지
AntiVirus	시그니처 기반 랜섬웨어 탐지 (단 초기 대응 한계 존재)
SIEM	이상 네트워크 트래픽, SMB 스캐닝 탐지

 

---

5. 방어 대책

5.1 기술적 방어

항목대책

SMB 비활성화	SMBv1 프로토콜 비활성화 (Windows 기능에서 제거)
패치 적용	MS17-010 보안 패치 즉시 적용
포트 차단	TCP 445번 포트 내부/외부 방화벽에서 차단
권한 관리	관리자 권한 최소화, 도메인 사용자 권한 제한
백업	이중 백업: NAS + 오프라인 백업(Immutable Backup)

 

5.2 탐지 및 차단 전략

• 파일 생성 모니터링 (*.WNCRY, @WanaDecryptor@.exe)
• 실시간 랜섬웨어 동작 행위 탐지 (파일 암호화 속도, 확장자 변경 등)

---

6. 후속 대응 및 변화

6.1 글로벌 대응

• MalwareTech 블로거가 우연히 발견한 kill-switch 도메인을 등록해 확산 차단 성공
• Microsoft는 XP/2003 등 지원 종료 OS에도 긴급 패치 배포
• 국가 기관, 의료기관, 공항 등 일시적 마비 → 사이버 재난 수준

6.2 보안 업계 변화

• 웜 기반 랜섬웨어의 등장 → EDR/XDR 시장 급격히 성장
• 취약점 익스플로잇 + 자율 확산 조합이 랜섬웨어의 새로운 트렌드로 자리잡음
• 이후 등장한 NotPetya, BadRabbit 등의 기반이 됨

---

7. 종합 분석

주요 기술 요약

• EternalBlue 취약점 활용 → 인증 없는 RCE → SMB 웜 형태 확산
• 정적 시그니처 탐지 우회 가능 → 동적 행위 기반 분석 필요
• 일부 보안 제품은 SMB 수준의 보안 로깅이 없어 탐지 실패

보안적 교훈

• 이미 알려진 취약점이라도 패치를 미루면 치명적 결과
• 웜 기반의 내부망 확산을 막기 위해 망 분리 및 내부 방화벽 필수
• 도메인 기반 Kill-switch 기법은 공격자의 실수이자 방어의 결정적 기회

---

🔗 출처 및 참고 자료

• Wikipedia - WannaCry ransomware attack
• Microsoft - MS17-010 보안 권고
• MalwareTech 분석
• Kaspersky Lab 분석 보고서
• US-CERT Alert (TA17-132A)

 

 

 

 

TOP 4: Bangladesh 중앙은행 해킹 사건

1. 개요

• 발생 시점: 2016년 2월 4~5일
• 공격 유형: 국가 중앙은행 자금 탈취 (SWIFT 위조)
• 피해 규모: $1억 달러 탈취 시도 중 약 8,100만 달러 실제 탈취
• 피해 기관: Bangladesh Bank (방글라데시 중앙은행)
• 의심 주체: 북한 정부 연계 해커 그룹 Lazarus
• 전 세계 금융권에 광범위한 영향

---

2. 기술적 해킹 방식

2.1 침입 경로

• 내부 직원에게 피싱 이메일 발송 → 악성 워드 파일 첨부
• 피해자의 시스템 감염 후 중앙은행 내부망 침투
• 내부망에서 SWIFT 메시지 생성 시스템 접속 성공

2.2 공격 방식 요약

1. SWIFT 접속용 시스템에 트로이목마 설치
2. 위조된 SWIFT MT103 송금 메시지를 미국 뉴욕 연방준비은행으로 전송
3. 송금 대상: 필리핀 RCBC 은행 및 스리랑카 개인 계좌
4. 총 35건, 약 $10억 달러 송금 시도 → 그 중 $8,100만 송금 성공

2.3 송금 내역 위조

• 내부 프린트 로그 위조 프로그램 설치
• SWIFT 메시지를 출력하는 PDF 파일 조작하여 직원이 확인 불가

---

3. 감염 증상 및 작동 메커니즘

주요 행위

• 공격자는 SWIFT Alliance Access 서버의 인증 정보를 탈취
• 내부 방화벽을 통해 인터넷 연결 가능한 시스템과 SWIFT 시스템 연결
• “Receiver and Intermediary Bank” 정보를 위조
• 방글라데시 Bank의 실제 SWIFT 키를 사용하여 정상 메시지처럼 위장

실수로 인해 발각된 사례

• 하나의 메시지에 “foundation” 오타 → Deutsche Bank가 이를 수상히 여김
• 이후 수사로 추가 송금 중단, 약 $9억 달러 송금 실패

---

4. 발견 및 탐지 방법

4.1 발견 배경

• 주말 사이 이상 징후 미탐지
• 월요일 오전 업무 개시 이후 스리랑카 경유 송금 실패 알림으로 내부 감사 시작

4.2 탐지 포인트

• SWIFT 로그와 내부 시스템의 출력 문서 불일치
• 방화벽 로그에 존재하는 이상 접속 이력 및 데이터 송수신 기록
• 심야 시간대의 대량 송금 요청

---

5. 방어 대책

5.1 기술적 방어

항목대책

SWIFT 시스템	별도 독립망으로 운영, 외부 인터넷 연결 차단
계정 보호	2단계 인증, OTP 기반 로그인 도입
로그 모니터링	송금 시간, 수신자, 금액 이상 징후 실시간 분석
문서 위조 방지	출력물/로그 모두 디지털 서명 도입
EDR 도입	서버 내 이상 행위 감지, 프로세스 실행 이력 추적

 

5.2 조직적 대응

• 야간 자동 송금 중지, 고액 이체는 2인 인증 체계
• 취약점 점검 및 보안 훈련 강화
• 공급망 보안: PC, 프린터, 네트워크 모두 보안 인증 제품 사용

---

6. 후속 대응 및 변화

방글라데시 중앙은행 대응

• 뉴욕 연준에 송금 중단 요청
• 스리랑카와 필리핀에서 국제 공동조사 요청
• 자금 중 일부 카지노를 통해 세탁되어 회수 실패

SWIFT 측 대응

• “Customer Security Programme” (CSP) 발표
• SWIFT 사용 기관에게 의무 보안 규정 적용
• 침해 탐지 모듈, 탈취 계정 알림, 이상행위 감지 솔루션 도입

금융권 전반 영향

• 중앙은행 시스템도 해킹 가능하다는 인식 확대
• SWIFT 메시지 자체의 위조 가능성 → 보안 무결성 검증 필요성 대두

---

7. 종합 분석

기술적 요약

• SWIFT 시스템은 국제 송금의 핵심이지만, 인증 강도와 행위 분석이 부재
• 공격자는 일반적인 RAT, Mimikatz 도구, AutoIt 스크립트 등을 조합하여 침투
• 전통적인 금융 보안체계는 APT 기반 사이버 공격에 매우 취약

보안 교훈

• 프린트 위조 → 내부 시스템과 사람이 동시에 속는 구조
• 외부 인터넷 연결된 시스템과 금융 송금 시스템은 반드시 망 분리
• 국제 송금에서는 행위 기반 이상 탐지가 중요 (시간, 수취은행, 지역 등)

---

🔗 출처 및 참고 자료

• Wikipedia - Bangladesh Bank Robbery
• SWIFT CSP 공식 페이지
• BIS - Cyber resilience in the financial sector
• Kaspersky 분석 보고서: Lazarus and SWIFT
• FireEye 보고서 - Lazarus 및 SWIFT 연계 분석

 

 

 

TOP 5: Carbanak 해킹 캠페인

1. 개요

• 공격 기간: 2013년부터 최소 2018년까지 (5년 이상 지속)
• 공격 주체: 러시아 기반의 사이버 범죄 조직 Carbanak Group, 이후 FIN7 또는 Cobalt Gang으로 분화
• 피해액: 약 10억 달러 이상
• 피해 대상: 전 세계 100개 이상의 금융기관, ATM, POS 시스템
• 공격 방식: APT + 내부 시스템 침투 후 자산 인출

---

2. 기술적 해킹 방식

2.1 침입 벡터: 스피어 피싱

• 은행/금융기관 직원을 타겟으로 하는 스피어 피싱 메일 발송
• 이메일에 포함된 악성 마이크로소프트 워드/엑셀 문서
• 문서에는 매크로 또는 CVE 기반 RCE 취약점이 내장됨

2.2 감염 후 내부 침투

• Carbanak 백도어 설치 (커스텀 RAT)
• 감염된 시스템에서 스크린 캡처, 키로깅, 파일 업로드/다운로드, 명령 실행 가능
• 도메인 관리자 권한 획득 → Active Directory 장악

2.3 내부 자산 시스템 공격

• 내부 자산관리 시스템(ATM 관리, 계좌 관리, 회계 등)에 접근
• 피해 은행 내부 시스템을 모니터링하여 실제 운영 프로세스를 학습
• 공격자는 직원처럼 가장하여:
  • ATM을 원격으로 제어하여 일정 시간에 자동 현금 배출
  • 가짜 계좌 생성 후 잔액 조작 및 외부 계좌로 송금
  • POS 시스템 조작하여 거래 변조

---

3. 감염 증상 및 작동 메커니즘

백도어 주요 기능

• 사용된 악성코드: Carbanak, Cobalt, Anunak 변종
• 주요 특징:
  • VNC, RDP, keylogger, cmd, screenshot 모듈 탑재
  • 명령 및 제어(C2) 서버와 암호화된 통신 유지
  • 스크린 캡처로 직원의 작업 절차 파악 후 자동화

실제 사례

• ATM에서 특정 시각에 돈이 자동 인출되고, 수거 인력이 대기
• 계좌의 잔액을 임의 조작 후 수백만 달러 송금

---

4. 발견 및 탐지 방법

4.1 IOCs (Indicators of Compromise)

• 파일 해시 및 디지털 서명 위조된 실행 파일 (svchost.exe, msiexec.exe 위장)
• C2 주소 목록: 주기적으로 IP 변경 (fast flux DNS 사용)
• 의심 레지스트리 경로:
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System

4.2 탐지 도구

도구탐지 기법

EDR	사용자 권한 상승 및 내부 lateral movement 탐지
SIEM	업무 시간 외 비정상 관리자 로그인, 원격 명령 실행 탐지
AntiVirus	시그니처 기반 탐지 (Carbanak 변종 DB 필요)
UEBA	사용자 행위 기반 이상 탐지 (예: ATM 대량 인출 전 이상 명령)

 

---

5. 방어 대책

5.1 기술적 방어

항목대책

스피어피싱 대응	이메일 보안 솔루션 (샌드박스, 링크 검사, 첨부 실행 차단)
사용자 인증	관리자 계정 다중 인증(MFA), 권한 분리
내부망 보호	AD 접근 제한, 도메인 계정 모니터링
백업	자산 관리 시스템 주기적 백업 및 무결성 검증
접근통제	ATM 및 계좌 시스템은 별도 VLAN 및 접근 ACL 적용

 

5.2 운영적 대응

• 보안 인식 교육: 금융권 종사자 대상 피싱 훈련
• 행위 분석 기반 탐지 체계 구축
• 모의 해킹/레드팀 훈련 정기적 수행
• 로그 중앙집중화 및 이상 이벤트 대응 매뉴얼 마련

---

6. 후속 대응 및 변화

주요 체포 사건

• 2018년 스페인 경찰이 Carbanak 조직의 리더 체포 발표
• 이후 조직은 FIN7, Cobalt 등 다양한 이름으로 활동 지속

보안 산업 변화

• ATM 시스템 보안성 강화
• 내부 직원 행위 모니터링 강화 (Insider Threat)
• APT 공격이 “국가급이 아닌 범죄조직”에도 가능하다는 인식 확산

---

7. 종합 분석

기술적 요약

• APT 수법 + 금융 내 업무 자동화 시스템 학습 + 돈의 흐름 조작
• 전통적 네트워크 방화벽이나 백신으로는 탐지 어려움
• 단순한 멀웨어 공격이 아니라 "인간+자동화" 기반의 정교한 범죄 시나리오

보안적 교훈

• 공격자들은 직원처럼 행동하며 내부 보안 정책을 악용
• 사람의 실수(피싱 클릭) → 시스템 장악 → 자금 획득 흐름
• 단일 보안 솔루션이 아니라 종합적 보안 체계(EDR+UEBA+SIEM) 필요

---

🔗 출처 및 참고 자료

• Europol - Carbanak Gang Arrest Press Release
• Kaspersky Report - Carbanak APT
• FireEye Threat Group - FIN7
• MITRE ATT&CK - Carbanak