개인정보 유출 사례 웹 브라우저를 통한 유출을 소개하는 포스팅을 하겠습니다. 웹 브라우저는 사용자 편의를 위해 웹 사이트 방문 중 로그인 양식에 입력한 계정과 비밀번호를 보관하고, 재방문 시 자동으로 입력해 주는 기능을 제공합니다. 크로미엄(Chromium) 기반 웹 브라우저인 엣지, 크롬에서는 기본적으로 비밀번호 관리 기능이 활성화돼 있습니다. 로그인 시 입력한 정보는 웹 브라우저의 비밀번호 관리 기능에 의해 ‘Login Data' 파일에 저장됩니다.
위의 경로가 크로미엄 기반 웹 브라우저의 Login Data 저장 경로입니다.
개인정보 유출을 한 악성코드는 레드라인(RedLine) 인포스틸러 계열 악성코드입니다. 레드라인 인포스틸러는 웹 브라우저에 저장한 계정 정보를 수집하는 인포스틸러 유형의 악성코드로 2020년 3월 러시아 다크웹에 처음 등장했습니다. REDGlade(레드글레이즈)라는 이름의 사용자는 여러 해킹 포럼에 레드라인 인포스틸러에 포함된 다양한 기능을 설명하며 $150 ~ $200에 해당 악성코드를 판매하는 홍보 글을 게시하기 했습니다.
레드라인 인포스틸러는 다크웹에서 구매자를 가리지 않고, 불특정 다수에게 판매하는 악성코드이므로, 악성코드 제작자와 공격자를 직접 연관시키기는 어렵습니다. 또한, 다크웹에서 악성코드 외에도 레드라인 인포스틸러를 사용해 유출한 자격증명 정보도 판매하고 있습니다.
레드라인 인포스틸러 악성코드는 2020년 3월경 처음으로 등장했으며, 코로나 19 이슈를 악용한 피싱 메일에 자주 이용됩니다. 이후 피싱 메일, 구글 광고 악용, 사진 편집 프로그램 위장 등 다양한 방식으로 악성 파일이 유포된 것으로 알려져 있습니다.
이번 사건에서 레드라인 인포스틸러 악성코드는 음정 보정프로그램인 Waves(웨이브스)사의 SoundShifter(사우드쉬프터)의 크랙 프로그램으로 위장하여 온라인상에 유포돼 있었습니다. 사용자는 소프트웨어 이름과 ‘crack’(크랙)‘ 및 ’free(무료)‘ 등을 검색어로 입력해 파일을 검색하고 내려받았으며, 내려받은 파일을 직접 실행해 악성 파일에 감염되었습니다.
레드라인 인포스틸러 악성코드의 주요 기능은 아래와 같습니다.
웹 브라우저 계정 정보 보관기능은 매우 편리한 기능이지만, 악성코드 감염 시 쉽게 계정 정보가 노출될 우려가 있으므로, 보안적으로는 사용하지 않는 것이 좋습니다. 또한, 출처가 불분명한 프로그램은 사용을 자제하고 믿을 만한 백신 1개를 설치하셔서 항상 최신 버전으로 업데이트하며 이용하셔야 하십니다.
이상 개인정보 유출 사례 웹 브라우저를 통한 유출을 소개하는 포스팅을 하였습니다. 보통 유료 프로그램 무료로 사용하려고 불법 다운로드 하다가 악성코드에 감염되기 쉽습니다. 그러니 가급적 유료 프로그램은 돈을 지불하고 사용하는 것이 좋습니다. 행복하세요!!