ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • 연구
  • 위협 정보 단편 보고서
대한민국 환경부 소스코드 유출 사건 간략 개요
2025.01.17

✅ 보고서 제목:

대한민국 환경부 소스코드 유출 사건 간략 개요



✅ 보고서 요약:

딥다크웹의 유저 IntelBroker(인텔브로커)가 최근 대한민국 환경부의 소스코드를 유출한 정황이 포착되어 간단한 타임라인이 포함된 사건 요약 내용을 공유합니다.

올해 초 다크웹 내 유명 포럼인 Breachforums에서 IntelBroker가 한국 환경부에서 유출한 것으로 주장하는 Source code 판매 게시글을 업로드한 정황까지, 아래 보고서를 통해 확인하실 수 있습니다.

*IntelBroker가 누구인가요?

- IntelBroker 유저는 2022년 10월부터 딥다크웹 상에서 활동을 시작하며 약 23개국 기업에 대한 Ransomware Actor 및 Data Broker로 활동한 해커입니다.

- 활동 초기인 2022년 10월부터 2023년 03월에는 주로 Endurance 랜섬웨어의 개발자 및 운영자로 활동했습니다. 랜섬웨어 활동 이후에도 공격한 기업의 Database, Access, Vulnerability 등을 포럼 내 유출 및 판매하며 4,000 이상의 평판을 받는 등 활발한 활동을 했습니다. 랜섬웨어 활동 당시 개인으로 활동하였으나 이후 CyberNiggers 및 Valhal.la 해킹 그룹에 합류하여 그룹 멤버로서의 활동을 병행했습니다.

- 2024년 4월, Breachforums 포럼의 Moderator(관리자) 등급 유저가 되면서 포럼 관리자로서의 활동을 시작했습니다. IntelBroker 유저의 포럼 활동 및 Cyber Express에서 진행한 인터뷰 내용을 토대로 분석한 결과, 해당 유저는 세르비아 국적의 성인으로 추정됩니다.

- 2024년 12월 28일과 2025년 1월 1일에 CyberNiggers 그룹 소속의 IntelBroker 유저와 EnergyWeaponUser 유저가 한국 환경부에 대한 공격 및 웹사이트 소스코드를 판매한 정황이 포착되어 해당 보고서를 공유합니다.



📌 일정 별 사건의 개요는 어떻게 진행되었나요?

1) 2024-12-28: 한국 환경부 공식 트위터에 IntelBroker 유저와 EnergyWeaponUser 유저에 의해 게시된 것으로 추정되는 트윗 2건이 확인되었습니다.

“North Korea is the best Korea” 라는 내용과 공격 주체에 대한 흔적을 남기기 위한 “Breached By IntelBroker & EnergyWeaponUser” 내용으로 게시되었으며, 해당 트윗은 2024년 12월 30일 기준으로 모두 삭제된 것으로 확인됩니다.

두 유저는 주로 Breachforums 포럼에서 CyberNiggers 그룹으로 활동하고 있으며, IntelBroker 유저가 환경부 트위터에 게시한 트윗을 개인 트위터로 리트윗하며 공격 사실을 공유했습니다.

2) 2024-12-29: IntelBroker 유저가 자신의 트위터를 통해 한국 환경부 트위터 내 트윗을 게시할 때 사용한 방법을 일부 공유했습니다.

IntelBroker 유저는 환경부 트위터 계정에 2FA가 설정되어 있어, 트위터 API를 통해 트윗을 발송한 것으로 언급했습니다. (원문: they had 2FA on so we just used the twitter API to send the tweets)

3) 2025-01-01: Breachforums 포럼에서 IntelBroker 유저가 한국 환경부에서 유출한 것으로 주장하는 Source code 판매 게시글을 업로드했습니다.

IntelBroker 유저는 약 1년전인 2024년 1월에 유출된 소스코드인 것으로 언급하였으며, 해당 게시글을 통해 한국 환경부 트위터에 트윗을 게시한 내용도 언급했습니다.

유출된 소스코드는 환경부 국가미세먼지정보센터 웹사이트(air[.]go.kr)의 소스코드로 추정되며, 메인 웹페이지와 관리자 웹페이지의 소스코드가 모두 포함된 것으로 확인됩니다.

소스코드 내 트위터 인증에 사용되는 oauth 자격증명 정보가 하드코딩된 상태로 확인되었으며, 해당 자격증명 정보와 트위터 API를 이용하여 환경부 트위터에 임의로 트윗을 게시한 것으로 추정됩니다.



✅ 위협 탐지 권장 사항 및 조치 방안:

이번 유출 사고는 트위터 계정에 2FA 인증과 같은 추가적인 로그인 인증 수단을 사용하고 있었음에도, 유출된 소스 코드 내 기재된 API 자격증명 정보를 이용하여 2차 피해가 발생했습니다. 이에 2차 인증 수단을 사용하는 것 외에도, 개발 과정에서 사용된 자격증명 정보에 대한 별도 관리를 통해 데이터 유출에 따른 추가 피해가 발생되지 않도록 주의가 필요합니다.



🧑‍💻 보고서 작성자: S2W TALON (2025-01-02 기준)



👉 보고서 전문 문의하기: https://s2w.inc/ko/contact



*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.


뉴스 하이라이트
1월 2주차 위클리 다크웹
2025.01.15
이전 글
뉴스 하이라이트
1월 3주차 위클리 다크웹
2025.01.22
다음 글
목록