• 북한 해킹 조직 'Kimsuky(김수키)', 한국·일본 집중 공격

  [시큐리티팩트=최석윤 기자] 북한의 국가 지원 해킹 조직으로 알려진 '김수키(Kimsuky)'가 최근 새롭고 지능적인 악성 캠페인으로 한국·일본 집중 타격하고 있다고 21일(현지시각) 해커뉴스가 보도했다. 이들은 이미 보안 업데이트로 막힌 과거의 취약점을 악용하여 초기 침투에 성공하는 수법을 사용하고 있어 더욱 심각한 위협으로 간주된다. 2023년부터 한·미·일 등 전 세계 국가 공격 이번 Kimsuky의 악성 캠페인은 2023년 10월부터 본격적으로 시작된 것으로 추정되며, 주로 한국과 일본의 소프트웨어, 에너지, 금융 분야 기업들을 집중적으로 노리고 있다. 하지만 이들의 공격 대상은 한일 양국에 국한되지 않았다. 미국, 중국, 독일, 싱가포르, 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등 전 세계 10여 개국 또한 Kimsuky 공격 대상에 포함된 것으로 밝혀졌다. 국내 사이버 보안 업체인 안랩(AhnLab)의 보안정보센터(ASEC)는 이번 Kimsuky의 활동을 'Larva-24005'라는 이름으로 명명하고, 이들의 공격 방식을 면밀히 분석하고 있다. 과거 'BlueKeep' 취약점 노려 침투 ASEC의 분석에 따르면, Kimsuky는 일부 시스템에서 '블루킵(BlueKeep)'이라는 이름으로 널리 알려진 'CVE-2019-0708' 취약점을 악용하여 초기 접근 권한을 획득했다. 이 취약점은 마이크로소프트 원격 데스크톱 서비스(Remote Desktop Services, RDS)의 심각한 보안 결함으로, 인증되지 않은 공격자가 원격으로 코드를 실행하여 시스템을 완전히 장악할 수 있는 매우 위험한 버그이다. 당시 보안 점수가 무려 9.8점으로 평가될 만큼 심각한 수준이었다. 다행히 마이크로소프트는 2019년 5월에 이 취약점에 대한 보안 업데이트를 배포하여 문제를 해결했다. 하지만 Kimsuky는 아직 업데이트를 적용하지 않은 시스템을 찾아 과거 보안 구멍을 파고드는 방식으로 침투를 시도하고 있다. ASEC 측은 "침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 악용 증거는 아직 명확하게 확인되지 않았다"고 밝혔다. 이와 더불어 Kimsuky는 또 다른 초기 침투 경로로 '피싱 메일'을 여전히 적극적으로 사용하고 있다. 이들은 'CVE-2017-11882' 취약점을 유발하는 악성 파일을 이메일에 첨부하여 사용자가 무심코 열어보도록 유도한다. 이 취약점은 마이크로소프트의 수식 편집기(Equation Editor)의 오래된 보안 결함으로, 이를 악용하면 공격자가 임의의 코드를 실행할 수 있다. 악성코드 'MySpy'와 '키로거' 심어 정보 탈취 일단 시스템에 침투하는 데 성공하면, Kimsuky는 '드로퍼(Dropper)'라는 악성 프로그램을 이용하여 추가적인 악성 도구를 설치한다. 그중 하나가 바로 'MySpy'라는 악성코드다. MySpy는 감염된 시스템의 기본적인 정보를 수집하는 기능을 수행한다. 이와 함께 Kimsuky는 원격 데스크톱 접근을 용이하게 하기 위해 'RDPWrap'이라는 합법적인 도구를 몰래 설치하고, 원격 데스크톱 연결을 허용하도록 시스템 설정을 변경하는 치밀함을 보였다. 최종적으로 Kimsuky의 공격은 사용자의 키보드 입력 내용을 몰래 기록하여 중요한 정보를 빼가는 '키로거' 악성 프로그램을 배포하는 것으로 마무리된다. 이번 캠페인에서는 'KimaLogger'와 'RandomQuery'라는 두 종류의 키로거가 사용된 것으로 확인됐다. 과거 취약점 악용, 보안 업데이트 '필수' 이번 Kimsuky의 새로운 악성 캠페인은 이미 패치된 과거의 취약점을 능숙하게 활용하여 공격 효율성을 높이고 있다는 점에서 더욱 위협적이다. 특히 한국과 일본의 주요 산업 분야를 집중적으로 노리고 있다는 점은 국가적인 차원에서도 심각한 우려를 낳고 있다. 사이버 보안 전문가들은 Kimsuky의 공격 수법이 점차 고도화되고 있는 만큼, 개인 사용자뿐만 아니라 기업과 기관에서도 운영체제 및 소프트웨어의 최신 보안 업데이트를 반드시 적용하고, 출처가 불분명한 이메일이나 첨부 파일을 열어보지 않도록 각별한 주의를 기울여야 한다고 강조한다. 과거의 작은 보안 구멍 하나가 예상치 못한 심각한 결과를 초래할 수 있다.

• 바이비트 "1조3000억 추적 가능".. 북한 해킹조직 라자루스 압박

  [시큐리티팩트=최석윤 기자] 암호화폐 거래소 바이비트(Bybit)가 북한의 악명 높은 해킹 조직 라자루스 그룹(Lazarus Group)에게 탈취당한 막대한 양의 암호화폐 자금 추적에 여전히 박차를 가하고 있다. 21일(현지시각) 코인텔레그래프에 따르면, 바이비트의 공동 설립자 겸 CEO인 벤 저우(Ben Zhou)는 지난 2월 발생한 이 초대형 해킹 사건과 관련하여, 현재까지 탈취 자금의 상당 부분이 추적 가능한 상태로 남아있다고 밝혔다. 1조9000억 해킹, 68% 이상 여전히 '추적 가능' 벤 저우 CEO는 21일 자신의 X(구 트위터) 계정을 통해 해킹된 바이비트 자금에 대한 상세한 요약 보고서를 공개했다. 보고서에 따르면, 총 14억 달러(약 1조9800억원)에 달하는 해킹 자금 중 68.6%는 여전히 '추적 가능한 상태'인 것으로 나타났다. 반면 27.6%는 여러 단계를 거쳐 추적이 어려운 '암흑 상태'에 놓였으며, 3.8%는 바이비트 측의 노력으로 동결 조치된 것으로 확인됐다. 저우 CEO는 추적이 불가능해진 자금의 상당 부분이 암호화폐 믹서(거래 기록을 섞어 추적을 어렵게 만드는 서비스)를 거쳐 여러 '암호화폐 다리'(서로 다른 블록체인 간 자산 이동을 돕는 서비스)를 통해 개인 간(P2P) 거래 플랫폼이나 장외거래(OTC) 플랫폼으로 흘러 들어갔다고 설명했다. 라자루스 그룹 '믹싱' 수법 확인 지난 2월, 라자루스 그룹과 연계된 해커들은 바이비트의 콜드 월렛(인터넷과 분리된 안전한 지갑) 시스템의 취약점을 악용하여 암호화폐 거래소 역사상 최대 규모로 기록될 14억 달러 상당의 디지털 자산을 탈취했다. 저우 CEO는 "최근 북한 해커들이 주로 사용하는 믹서가 '와사비(Wasabi)'인 것을 확인했다"고 언급하며, 비트코인(BTC)이 와사비 믹서를 거친 후 "일부는 크립토믹서(CryptoMixer), 토네이도 캐시(Tornado Cash), 레일건(Railgun)으로 유입됐다"고 덧붙였다. 토네이도 캐시와 레일건은 익명성 강화를 특징으로 하는 암호화폐 믹서 서비스이다. 구체적으로, 저우 CEO는 약 9000만 달러(약 1270억원) 상당의 944개 비트코인이 와사비 믹서를 거친 것을 확인했다. 또한, 탈취된 자금은 쏜체인(THORChain), eXch, 롬바르드(Lombard), LI.FI, 스타게이트(Stargate), 선스왑(SunSwap)과 같은 다양한 플랫폼을 통해 여러 블록체인 간 이동 및 암호화폐 교환 과정을 거쳐 최종적으로 개인 간 거래나 장외거래 서비스를 통해 현금화되었을 가능성을 시사했다. 이더리움 43만 개 이상, 비트코인으로 전환 주목할 만한 점은 총 12억1000만 달러(약 1조7000억원) 상당의 약 84%에 해당하는 43만2748개의 이더(ETH)가 쏜체인(THORChain)을 통해 이더리움 블록체인에서 비트코인 블록체인으로 이동했다는 것이다. 저우 CEO는 이 중 약 3분의 2에 해당하는 9억6000만 달러(약 1조3600억원) 상당 이더가 3만5772개의 서로 다른 지갑을 거쳐 1만3개의 비트코인으로 전환되었다고 밝혔다. 다행히 모든 자금이 흔적 없이 사라진 것은 아니다. 저우 CEO는 약 1700만 달러(약 2400억원) 상당 이더가 여전히 1만2490개 지갑에 걸쳐 이더리움 블록체인에 남아 있다고 보고했다. 이는 바이비트와 국제 공조 수사 기관의 지속적인 추적 노력을 통해 일부 자금 회수 가능성을 열어두고 있음을 의미한다. '현상금 사냥꾼' 활약.. 4200만 달러 동결 바이비트는 해킹 자금 동결에 결정적인 정보를 제공하는 사람들에게 총 1억4000만 달러의 파격적인 현상금을 내걸고 '라자루스 바운티(Lazarus Bounty)' 프로그램을 운영하고 있다. 저우 CEO는 지난 60일 동안 접수된 5443건의 제보 중 70건만이 유효한 정보로 판단되었으며, 현재까지 12명의 '현상금 사냥꾼'에게 총 230만 달러(약 32억원)의 보상금이 지급되었다고 밝혔다. 특히 맨틀(Mantle) 레이어-2 플랫폼이라는 한 기관의 결정적인 제보를 통해 4200만 달러(약 590억원) 상당의 자금을 동결하는 성과를 거두었다. 저우 CEO는 "더 많은 제보를 환영하며, 앞으로 더 많은 도움이 필요하기 때문에 믹서를 해독할 수 있는 더 많은 현상금 사냥꾼이 필요하다"고 강조하며, 암호화폐 믹서 추적의 어려움을 토로하는 동시에 정보 제공자들의 적극적인 참여를 독려했다. 자금세탁 의혹 거래소 'eXch', 결국 폐쇄 한편, 지난 17일에는 암호화폐 거래소 eXch가 바이비트 해킹으로 인한 자금 세탁에 이용되었다는 보도가 나온 후 오는 5월 1일부로 운영을 중단할 것이라고 발표했다. 이는 해킹 자금 추적 과정에서 자금 세탁에 연루된 것으로 의심되는 거래소까지 압박하는 국제적인 공조 수사가 진행되고 있음을 시사한다. 바이비트와 벤 저우 CEO의 지속적인 자금 추적 노력 공개는 거액의 암호화폐 해킹 사건 발생에도 불구하고 범죄 행위에 대한 경각심을 높이고 끝까지 책임을 묻겠다는 의지를 보여주는 것으로 해석된다.

• 애플, 긴급 보안 경고 발표.. "매우 위험한" 해킹

  [시큐리티팩트=최석윤 기자] 애플이 20일(현지시각) 아이폰 사용자들에게 긴급 보안 경고를 발표했다. 언론인과 공무원 등 특정인을 겨냥한 매우 위험한 해킹 공격이 발견되어, 아이폰을 즉시 최신 버전으로 업데이트해야 한다는 내용이다. 뭐가 문제길래? 핵심 취약점 두 가지 이번에 발견된 심각한 보안 문제는 크게 두 가지이다. 코어 오디오(CoreAudio): 아이폰이 특정 방식으로 만들어진 음악이나 음성 파일을 처리할 때, 해커가 멋대로 코드를 실행시켜 아이폰 내부를 장악할 수 있는 허점이 발견됐다. 이를 통해 해커는 이용자의 오디오 스트림을 엿듣거나, 저장된 민감한 정보를 빼낼 수 있다. 마치 잠겨있는 집에 창문이 깨져 누구나 들어올 수 있게 된 것과 같다. RPAC 취약점: 이 취약점은 아이폰, 아이패드, 맥, 심지어 애플 TV와 비전 프로까지 애플의 여러 기기에 영향을 미친다. 해커가 이 허점을 이용하면 시스템의 가장 기본적인 보안 장치를 무력화시키고, 여러분의 기기에 읽고 쓰는 모든 권한을 얻을 수 있다. 이는 금고의 잠금장치가 완전히 망가져 해커가 원하는 대로 정보를 빼가거나 조작할 수 있게 되는 것과 같다. RPAC은 Return Pointer Authentication Code의 약자다. 쉽게 말해, '돌아가는 길'에 붙이는 일종의 '보안 스티커'라고 생각하시면 된다. 컴퓨터 프로그램은 여러 기능을 수행하기 위해 다양한 '조각'(코드)들을 실행한다. 어떤 조각을 실행하고 나서 원래 위치로 '돌아가야' 다음 작업을 계속할 수 있다. 이때 '돌아가는 길'을 알려주는 정보가 바로 '포인터(Pointer)'이다. RPAC 취약점은 이 '돌아가는 길'에 붙은 '보안 스티커'가 제대로 확인되지 않는 허점이다. 마치 가짜 '보안 스티커'를 붙인 '돌아가는 길'로 해커가 프로그램을 속여서 원하는 대로 '엉뚱한 길'로 가게 만들 수 있는 것과 같다. 애플은 이러한 심각한 결함들이 이미 유명인을 대상으로 한 실제 공격에 사용되었다는 사실을 확인하여 긴장감을 더욱 높이고 있다. iOS 18.4.1, 무엇을 고쳤나? 다행히 애플은 이러한 위험한 취약점을 해결한 긴급 업데이트, 'iOS 18.4.1'을 배포했다. 이번 업데이트를 통해 다음과 같은 문제들이 해결됐다. 코어 오디오(CoreAudio) 메모리 손상 패치: CoreAudio 취약점을 근본적으로 막아, 악의적인 파일로 인한 해킹 위험을 차단했다. 강화된 포인터 인증으로 우회 격차 해소: RPAC 취약점을 악용하여 보안 장치를 우회하려는 시도를 원천적으로 봉쇄했다. 마치 더욱 강력하고 빈틈없는 자물쇠로 금고를 다시 잠근 것과 같다. 무선 카플레이(CarPlay) 연결 문제 수정: 보안 문제 외에도 일부 사용자들에게 불편을 주었던 CarPlay 연결 오류도 함께 해결됐다. 다른 애플 기기도 업데이트해야 이번 긴급 보안 업데이트는 아이폰뿐만 아니라 다른 애플 기기에도 해당된다. 따라서 아래 기기를 사용하고 있다면 즉시 업데이트를 진행해야 한다. 아이패드: iPadOS 18.4.1 맥: macOS 세쿼이아 15.4.1 애플 TV: tvOS 18.4.1 비전 프로: visionOS 2.4.1 업데이트, 어떻게 해야 하나 아이폰 업데이트는 매우 간단하다. 아래 단계를 따라 진행하면 된다. 1. '설정' 앱을 연다. 2. '일반' 탭을 선택한다. 3. '소프트웨어 업데이트'를 탭한다. 4. '다운로드 및 설치'를 탭한다. 업데이트를 시작하기 전에 아이폰이 Wi-Fi에 연결되어 있고 충분히 충전되어 있거나 전원에 연결되어 있는지 확인하는 것이 중요하다. 최근 iOS 위협 중 가장 심각한 수준 애플은 보안 공지를 통해 이례적으로 강력한 어조로 사용자들에게 즉각적인 업데이트를 촉구하고 있다. 이는 이번 취약점이 현재 활발하게 악용되고 있으며, 특정인을 겨냥한 매우 정교한 공격이라는 심각성을 인지하고 있기 때문이다. 사이버 보안 전문가들 역시 감시, 개인 정보 유출, 기기 손상 등 심각한 피해를 막기 위해 '즉시 업데이트'할 것을 강력히 권고하고 있다. 이번 보안 취약점은 최근 몇 년간 발견된 iOS 위협 중 가장 심각한 수준으로 평가받고 있다. 따라서 모든 아이폰 사용자는 안심하고 기기를 사용하기 위해 지금 바로 업데이트를 진행해야 한다. 소중한 개인 정보를 보호하는 가장 확실하고 빠른 방법이다.

• “한국 온라인 뱅킹 사용자, 가짜 청첩장 조심하라”

  [시큐리티팩트=김상규 기자] 한국 온라인 뱅킹 사용자가 청첩장 링크를 클릭하면 숨니봇 멀웨어가 설치되어 개인 데이터 및 은행 디지털 인증서 등의 중요한 정보가 탈취될 수 있다는 경고가 나왔다. 글로벌 사이버 보안 기업인 카스퍼스키는 사이버 범죄자들이 인생에서 가장 소중한 기념일인 결혼식 청첩장을 악용하여 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 18일 밝혔다. 카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포하여 피해자가 2024년에 카스퍼스키가 처음 발견한 뱅킹 트로이 목마인 ‘숨니봇(SoumniBot)’을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다. 이 스팸은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 하지만 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며, 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다. 카스퍼스키 전문가들은 2024년 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다. 카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 “이 공격자들은 청첩장을 악용하여 특히 사회공학 기법을 매우 효과적으로 활용하고 있다. 이것을 악의적이라고 즉시 의심하는 사람은 거의 없다”라고 말하며, “항상 그렇듯이 멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용하여 잠재적인 보안 조치를 우회하는 완벽한 예시다"라고 말했다. ‘숨니봇’은 일단 설치되면 은밀하게 작동되며 쉽게 탐지되지 않도록 앱 아이콘 숨기기, 연락처, SMS 메시지, 사진 및 동영상 탈취, 한국의 은행에서 사용하는 디지털 인증서 탈취, 피해자 기기에서 임의의 SMS 메시지 전송, 15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다. 이 악성코드는 ▲압축 방법 조작 ▲매니페스트 크기 변조 ▲분석 도구를 압도하는 매우 긴 이름 공간 문자열 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다. 특히 숨니봇은 우리나라 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다는 점이 우려된다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례다. 카스퍼스키는 아래와 같이 숨니봇 멀웨어 예방활동 실천을 권장했다. 첫째, 보안 검사를 통해 악성 앱을 걸러내는 Google Play와 같은 공식 스토어에서만 애플리케이션 다운로드해라. 둘째, 예상치 못한 청첩장이나 기타 감정적인 유혹, 특히 앱 다운로드를 요청하는 경우 주의하라. 셋째, 앱 권한을 신중하게 확인하고 접근성 서비스와 같은 고위험 권한을 부여하기 전에 두 번 생각해라. 넷째, 많은 보안 문제가 업데이트를 통해 해결되므로 운영 체제 및 중요한 앱을 최신 상태로 유지하라.

• 라쿠텐·노무라·SBI 증권 털렸다.. 일본 '주식 계좌 하이재킹' 공포

  [시큐리티팩트=최석윤 기자] 일본 온라인 증권 시장이 심각한 계좌 하이재킹 사건으로 몸살을 앓고 있다. 범죄 조직이 탈취한 계좌를 이용해 주가를 인위적으로 조작하려 한다는 우려가 커지면서, 금융 당국과 증권사들이 바짝 긴장하고 있다. 17일(현지시각) 재팬타임스에 따르면, 이번 사태는 지난 3월 말, 일본의 대표적인 온라인 증권사인 라쿠텐 증권(Rakuten Securities)이 다수의 고객 계정이 무단으로 탈취된 사실을 공개하면서 수면 위로 드러났다. 이후 노무라증권(Nomura Securities), SBI증권(SBI Securities) 등 주요 증권사들 역시 유사한 계좌 탈취 피해 사례를 잇따라 확인하면서 사태의 심각성을 더하고 있다. 증권사들에 따르면, 공격자들은 정교하게 위장한 피싱 웹사이트를 통해 고객들의 사용자 ID와 비밀번호를 빼돌리는 수법을 사용했다. 이렇게 확보한 정보를 바탕으로 고객 계정에 무단으로 접속하여 본인도 모르는 사이에 주식 거래를 실행한 것이다. 외국·일본 주식, '묻지마' 매수로 주가 조작 시도 초기 보고에서는 공격자들이 주로 외국 주식을 표적으로 삼은 것으로 알려졌습니다. 이에 라쿠텐 증권은 일부 중국 주식에 대한 매수 주문을 일시적으로 중단하는 긴급 조치를 취하기도 했다. 하지만 우려스럽게도 이러한 불법적인 움직임은 곧 국내 주식으로까지 확산되었고, 비정상적인 거래 활동으로 인해 일부 종목의 거래가 일시 중단되는 상황까지 발생했다. 수사 당국은 범인들이 유동성이 낮고 가격 변동성이 큰 주식을 대량으로 매수하여 인위적으로 주가를 끌어올린 뒤, 차익을 실현하고 빠져나가는 수법을 사용한 것으로 보고 있다. 만약 이러한 행위가 명백한 시장 조작으로 확인될 경우, 이는 일본 금융상품거래법을 위반하는 심각한 범죄 행위에 해당된다. 사태가 심각해짐에 따라 증권사들은 고객들에게 각별한 주의를 당부하고 있으며, 금융 당국 역시 감시망을 더욱 강화하고 있다. 증권거래감시위원회(SESC)의 한 소식통은 "상당수의 주가가 조작되었을 가능성이 있으며, 이는 결코 간과할 수 없는 사안"이라고 강조했다. 이 소식통은 100개가 넘는 종목에서 비정상적인 가격 변동이 포착되었을 수 있다고 언급하며 "이 정도 규모의 계좌 탈취는 전례가 없는 일"이라고 덧붙였다. 법적 보호 받기 어려운 피해자 속출 계정 하이재킹은 일본의 '부정 액세스 금지법'에 명백히 위배되는 불법 행위이다. SESC 관계자는 공격의 배후를 신속하게 밝혀내야 한다고 강조했지만, "우리 조사만으로는 한계가 있다"며 법 집행 기관과의 협력이 "필수적일 수 있다"고 밝혔다. 현재 경찰은 관련 정보를 수집하며 수사에 착수한 것으로 알려졌지만, 사이버 범죄의 특성상 범인 검거까지는 상당한 어려움이 예상된다. 추가적인 피해를 막기 위해 전문가들은 투자자들에게 각별한 주의를 당부하고 있다. 사이버 보안 업체인 트렌드마이크로의 대변인은 "출처가 불분명한 이메일이나 SMS 메시지에 포함된 링크를 무심코 클릭해서는 안 된다"며 "각 증권사 공식 앱을 사용하는 것이 자신을 보호하는 효과적인 방법"이라고 조언했다. 하지만 이미 많은 투자자들이 속수무책으로 계좌 도용 피해를 입고 혼란과 분노를 느끼고 있다. 라쿠텐 증권을 10년 넘게 이용해 온 36세 회사원 남성은 이번 사기 수법으로 약 210만 엔(약 2100만원)의 손실을 입었다. 그는 경찰에 피해 사실을 신고했지만, 안타깝게도 그의 사건은 '고객이 아닌 중개업체가 법적 피해자'라는 이유로 형사 고소조차 받아들여지지 않았다. 그는 "이 돈을 어디서 메꿔야 할지 막막하다. 범죄자들은 원하는 대로 활개 치고 있다"며 절망감을 토로했다. 그는 결혼과 노후 자금 마련을 위해 약 1200만 엔(약 1억2000만원) 상당의 일본 주식을 꼼꼼히 관리해 왔으며, 거의 매일 주가를 확인했다. 하지만 지난 3월 20일, 그는 자신이 보유한 모든 주식이 전날 장 마감 직전에 매도되었고, 그 수익금으로 홍콩에 본사를 둔 생소한 AI 회사의 주식 20만 주가 매수된 것을 발견했다. 즉시 매도했지만, 이미 200만 엔(약 2000만원)이 넘는 손실을 본 뒤였다. 라쿠텐 증권 측은 피싱 공격에 사용된 가짜 웹사이트에 대해 사용자들에게 경고했지만, 이 남성은 의심스러운 페이지에 비밀번호를 입력한 적이 없다고 주장하고 있다. SBI 증권 "정상 거래.. 보상 책임 없다" SBI 증권을 이용하는 35세 남성 역시 비슷한 피해를 겪었다. 그의 계좌는 도용되어 약 960만 엔(약 9600만원) 상당의 중국 주식이 본인도 모르게 매수됐다. 거래 기록에는 그가 거주하지 않는 지역에서 계정에 로그인한 흔적이 남아있었지만, SBI 증권 측은 "정상적인 사용자 이름과 비밀번호가 사용된 거래에 대해서는 보상 책임이 없다"는 입장을 밝혔다. 이에 대해 그는 "이는 그들의 보안 시스템에 결함이 있다 하더라도 아무런 책임을 지지 않겠다는 의미로밖에 받아들일 수 없다"며 분통을 터뜨렸다. 라쿠텐 증권 대변인은 기자들에게 "경찰 수사에 적극적으로 협조하고 있으며, 각 사건을 개별적으로 평가할 것"이라고 밝혔지만, 피해자들의 불안감과 불신은 쉽게 가라앉지 않을 것으로 보인다. 온라인 증권 거래의 편리함 뒤에 숨겨진 보안 취약점이 이번 사태를 통해 여실히 드러나면서, 투자자 보호를 위한 보다 강력한 대책 마련이 시급하다는 목소리가 높아지고 있다.

• 엔디비아 'AI 심장부' GPU에 보안 구멍.. '즉시 패치' 비상

  [시큐리티팩트=최석윤 기자] 인공지능(AI) 기술 개발의 핵심 동력인 엔비디아(NVIDIA) GPU를 사용하는 기업들에게 심각한 보안 위협이 감지됐다고 다크리딩이 17일(현지시각) 보도했다. 연구진들은 AI 관련 작업을 위해 엔비디아 GPU 환경에서 컨테이너를 실행하는 데 필수적인 'NVIDIA Container Toolkit'에서 중요한 보안 취약점을 발견하고, 즉시 시스템을 패치할 것을 강력히 촉구하고 있다. 이 허점을 악용한 공격자는 민감한 데이터 탈취, 핵심 AI 모델 유출, 심지어 시스템 운영 중단까지 초래할 수 있어 각별한 주의가 요구된다. 엔비디아 "패치 처리".. '2차 결함' 여전히 위협 엔비디아는 이미 지난해 9월, NVIDIA Container Toolkit에서 발견된 심각한 취약점(CVE-2024-0132)에 대한 업데이트를 발표했다. CVSS 위험도 점수가 10점 만점에 9점에 달하는 이 취약점은 '체크 시점과 사용 시점 간의 시간차(TOCTOU)' 문제로, 자칫 심각한 보안 사고로 이어질 수 있는 잠재력을 안고 있었다. 하지만 보안 전문가들의 면밀한 조사 결과, 이 초기 패치에도 불구하고 완전히 해결되지 않은 2차 결함이 추가로 발견된 것으로 드러났다. 트렌드마이크로(Trend Micro)와 위즈(Wiz)의 연구원들은 초기 패치 이후에도 일부 환경에서 여전히 공격에 취약할 수 있다는 사실을 밝혀내 충격을 주고 있다. 트렌드마이크로 연구진은 최근 블로그를 통해 CVE-2024-0132에 대한 엔비디아의 수정이 "불완전 하다"고 지적하며, 관련 버그가 '서비스 거부(DoS)' 공격을 허용할 수 있다고 경고했다. 이는 초기 패치가 적용되면 시스템이 안전하다고 믿었던 사용자들에게 혼란을 야기할 수 있다고 보안 전문가들은 우려하고 있다. 엔비디아의 지난해 9월 보안 권고에 따르면, CVE-2024-0132를 악용하면 코드 실행, 서비스 거부, 권한 상승, 정보 유출, 데이터 변조 등 광범위한 악성 행위가 가능했다. 위즈 연구진이 발견한 또 다른 'DoS' 취약점 한편, 트렌드마이크로는 지난 2월 엔비디아가 발표한 보안 권고를 통해 위즈 리서치 연구원들이 발견한 또 다른 '서비스 거부' 관련 버그(ZDI-25-087 또는 CVE-2025-23359)를 추적했다. 엔비디아 대변인 로렌 핑클은 지난 14일 외신과의 인터뷰에서 위즈 측이 CVE-2025-23359에 대한 자체 보고서를 발표했다고 밝혔다. 하지만 그는 트렌드마이크로의 관련 보고서가 뒤늦게 공개된 이유나, 양사 연구진의 보고 시점 차이에 대해서는 추가적인 언급을 피했다. 트렌드마이크로 역시 거듭된 논평 요청에 응답하지 않아 의혹을 증폭시키고 있다. AI 기술 관련 기업들, 보안 '발등의 불' 보안 전문가들은 현재 두 가지 결함 모두에 대한 패치가 완료되었지만, 초기 패치에 대한 혼란과 뒤늦게 발견된 추가 결함으로 인해 이미 업무 과부하에 시달리는 IT 보안팀에 상당한 부담이 가중되고 있다고 지적한다. 이는 공급업체가 초기 배포 단계부터 패치가 제대로 작동하는지 더욱 철저하게 검증해야 할 필요성을 시사한다. 인증서 관리 기업 섹티고(Sectigo)의 선임 연구원 제이슨 소로코는 "이번 연구 결과는 보안 담당자들이 패치의 완전성에 의문을 제기하고, 드라이버 무결성 검증에 더욱 적극적인 자세를 취하도록 촉구하는 계기가 될 것"이라며 "이미 바쁜 사이버 방어 인력에게 또 다른 부담을 안겨주는 셈"이라고 우려를 표했다. 두 번째 결함인 CVE-2025-23359의 직접 영향을 받는 조직은 AI, 클라우드, 컨테이너화된 환경에서 NVIDIA Container Toolkit 또는 Docker를 사용하는 곳이다. 특히 최신 버전에 도입된 기본 설정이나 특정 툴킷 기능을 활용하는 조직은 더욱 위험에 노출될 수 있다. 트렌드마이크로는 AI 관련 작업이나 Docker 기반 컨테이너 인프라를 운영하는 기업들은 잠재적으로 심각한 위험에 처할 수 있다고 경고했다. 트렌드마이크로 연구진은 "만약 공격이 성공적으로 이루어진다면, 민감한 호스트 데이터에 대한 무단 접근, 독점적인 AI 모델 또는 지적 재산 탈취, 심각한 운영 중단, 시스템 접근 불가능으로 인한 가동 시간 지연 등 심각한 결과를 초래할 수 있다"고 강조했다. 광범위한 공격 표면에 '즉각 패치' 필수 애플리케이션 보안 기업 블랙 덕(Black Duck)의 인프라 보안 실무 책임자 토마스 리차즈는 엔비디아 프로세서가 이미 "AI 처리의 사실상 표준"으로 자리 잡았다는 점을 감안할 때, 패치되지 않은 시스템에서 두 가지 결함을 모두 악용하기 위한 공격 표면은 매우 넓다고 지적했다. 그는 "이러한 취약점의 심각성을 고려할 때, 조직은 시스템을 패치하기 위한 즉각적인 조치를 취해야 한다"고 강력히 권고했다. NVIDIA Container Toolkit은 사용자가 GPU 가속 컨테이너를 구축하고 실행할 수 있도록 지원하는 핵심 도구다. 엔비디아의 설명에 따르면, 공격자는 툴킷의 기본 설정에서 CVE-2024-0132를 악용할 수 있지만, 컨테이너 장치 인터페이스(CDI)를 사용하는 경우에는 해당되지 않는다. 두 번째 결함인 CVE-2025-23359는 리눅스(Linux) 환경에서 Docker를 사용하는 시스템에서 툴킷 사용에 영향을 미친다. 이 결함은 공격자가 호스트 시스템에 접근 가능한 악성 컨테이너를 생성할 수 있도록 허용할 뿐만 아니라, 호스트 인터페이스에서 서비스 거부(DoS) 공격을 유발할 수 있는 성능 문제까지 포함한다. 트렌드마이크로 연구진은 Docker API가 권한 있는 인터페이스로 처리되어, 결과적으로 API 접근 권한을 가진 모든 사용자에게 호스트에 대한 루트 수준의 권한을 부여하기 때문에 이러한 문제가 발생한다고 설명했다. 다만, 이 문제가 Docker 런타임 자체에서 비롯된 것인지, 아니면 리눅스 커널에 존재하는 것인지는 아직 명확하지 않다고 덧붙였다. 한편, 공격자는 먼저 볼륨 심볼릭 링크를 통해 서로 연결된 두 개의 악성 컨테이너 이미지를 생성하는 방식으로 CVE-2025-23359를 악용할 수 있다. 그런 다음 공급망 공격이나 사회 공학적 기법 등을 통해 직간접적으로 피해자의 플랫폼에서 해당 이미지를 실행할 수 있다. 이를 통해 공격자는 '경쟁 조건(race condition)'이라는 취약점을 이용하여 호스트 파일 시스템에 접근할 수 있게 된다. 이러한 접근 권한을 획득한 공격자는 컨테이너 런타임 유닉스 소켓에 접근하여 루트 권한으로 임의의 명령을 실행함으로써, 궁극적으로 감염된 시스템에 대한 완전한 원격 제어 권한을 손에 넣을 수 있다. 즉각 패치와 다각적 보안 강화 조치 필요 앞서 언급했듯이, NVIDIA Container Toolkit의 취약점에 대해서는 현재 엔비디아, 트렌드마이크로 및 기타 보안 전문가들이 영향을 받는 조직에 즉시 적용할 것을 권고하는 패치가 존재한다. 트렌드마이크로는 이와 더불어 Docker API 접근 및 권한을 승인된 직원으로만 제한하는 등 조직이 취할 수 있는 추가적인 완화 조치를 권장했다. 또한 잠재 노출을 최소화하기 위해 불필요한 루트 수준 권한 또는 권한 상승을 허용하지 않아야 한다고 강조했다. 뿐만 아니라, 공격 표면을 줄이기 위해 NVIDIA Container Toolkit의 불필요한 기능을 비활성화하고, CI/CD 파이프라인 내에 강력한 허용 제어 정책을 적용하여 컨테이너 이미지 허용 제어를 구현하는 것도 중요한 보안 강화 방안으로 제시됐다. 트렌드마이크로는 컨테이너와 호스트 간의 상호 작용을 정기적으로 감사하고, 무단 호스트 파일 시스템 바인딩 또는 비정상적인 컨테이너 활동과 같은 런타임 이상 징후 탐지 시스템을 구축하는 것이 문제 악용 징후를 식별하는 데 도움이 될 수 있다고 조언했다.

실시간 시큐리티 기사

• “요즘 안랩 마케팅 직원들 바쁘네”…안랩, 글로벌 보안 전시회 잇달아 참가

  [시큐리티팩트=김상규 기자] 안랩 마케팅 직원들이 요즘 바쁜 날을 보내고 있다. 안랩은 이달부터 다음달까지 미국, 일본, 대만 등 주요국가의 글로벌 보안 전시회에 참가하며 글로벌 인지도를 높여 나간다. 안랩은 대만 ‘CYBERSEC 2025’(4.15~17), 일본 ‘Japan IT Week Spring 2025’(4.23~25), 미국 ‘RSA Conference 2025’(현지시각 4.28~5.1) 등 전 세계에서 열리는 주요 IT·보안 전시회에 참가한다. 안랩은 먼저 15일부터 17일까지 대만 ‘사이버섹(CYBERSEC) 2025’서 ▲CPS 보안 제품군(AhnLab EPS/XTD/Xcanner) ▲안티 랜섬웨어 제품군(AhnLab EDR/MDS) 등 현지 맞춤형 보안 솔루션을 소개했다. ‘CYBERSEC’은 대만의 대표 IT 전문 매체 ‘iThome’이 2015년부터 주최하는 대만 최대의 연례 사이버 보안 행사다. 올해 행사에서는 글로벌 사이버 보안 기업 400여 곳과 참관객 2만여 명이 참여한 가운데 ‘Team Cybersecurity’를 주제로 끊임없이 진화하는 디지털 위협에 대응하기 위한 협력의 중요성이 논의되었다. 안랩은 올해 처음으로 ‘CYBERSEC’에 참여해 현지 공인 파트너 ‘T-Tech System Corp.(티테크 시스템 코퍼레이션)’과 전시 부스를 공동 운영했다. ‘T-Tech System Corp.’은 2005년 설립된 대만의 사이버 보안 전문 기업으로 지난 3월 안랩과 파트너십을 체결했다. 엔드포인트 보호, 네트워크 보안, 데이터 백업 등 차세대 보안 솔루션 및 서비스를 제공하고 있다. 안랩은 이번 행사에서 IT-OT 융합 사이버물리시스템(CPS) 보안 제품군과 안티 랜섬웨어 제품군 등 대만의 산업 환경에 적합한 주요 보안 솔루션을 소개했다. 행사 기간 동안 약 1000명의 참관객이 안랩 부스를 방문해 제품 시연 및 도입 상담을 진행하며 전시 제품 전반에 대한 높은 관심을 보였다고 안랩은 밝혔다. 특히 최근 대만의 핵심 산업과 기반 시설을 노리는 사이버 공격이 급증하면서 참관객들은 기존 OT 영역에 더해 이와 연결된 IT 환경까지 폭넓게 보호하는 통합 CPS 플랫폼인 ‘안랩 CPS PLUS’에 주목했다고 강조했다. ‘안랩 CPS PLUS’를 구성하는 여러 솔루션 중에서도 ‘안랩 Xcanner’가 에이전트 설치 없이 USB 형태로 작동하며 폐쇄망이나 저사양 장비 환경에서도 악성코드 검사 및 치료가 가능하다는 점에서 큰 호응을 얻었다고 덧붙였다. 안티 랜섬웨어 제품군에 대한 문의도 꾸준했다. 지능형 위협 대응 솔루션 ‘안랩 MDS’와 OT 전용 엔드포인트 보안 솔루션 ‘안랩 EPS’를 연동해 OT 영역 내 신·변종 보안 위협을 모니터링할 수 있다는 점이 이목을 끌었다. 차세대 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR’이 글로벌 보안 제품 평가인 ‘마이터어택 평가’에서 입증한 뛰어난 ‘위협 탐지(Detection)’ 역량도 관심을 모았다. 이상국 안랩 마케팅&글로벌사업부문 전무는 “이번 행사에서는 현지 제조업 및 주요 인프라 관계자들의 니즈와 맞물려 안랩의 30년 보안 노하우가 담긴 OT, 안티 랜섬웨어 솔루션이 좋은 반응을 얻었다”고 말했다. 그는 "현지 파트너와의 긴밀한 협업으로 대만을 비롯한 아시아권 고객들과의 소통을 한층 더 강화해 나갈 것”이라고 강조했다.

  • 시큐리티

  2025.04.18 14:42

• 어나니머스, 러시아 해킹.. 국가 DB '전체 분량' 털렸다

  [시큐리티팩트=최석윤 기자] 국제적인 해킹 그룹 '어나니머스(Anonymous)'가 러시아를 대상으로 한 대규모 사이버 공격을 감행, 무려 10테라바이트(TB)에 달하는 방대한 양의 유출 데이터를 온라인에 공개했다고 16일(현지시각) 외신이 보도했다. 10TB는 일반 문서로 파일(약 1MB) 약 1000만 개, 사진으로는 고화질 사진(약 4MB) 약 250만 장 분량이다. 10TB의 유출은 단순한 몇 개의 파일이 아니라, 국가나 기업의 중요한 데이터베이스 전체가 털린 것과 비슷한 규모라고 볼 수 있다. 2000년대 중반부터 활동해 온 것으로 알려진 탈중앙화된 해킹 조직 어나니머스는 특정 리더나 조직 구조 없이 온라인을 통해 자발적으로 모인 개인들의 연합체이다. 이들은 사회적, 정치적 메시지 전달이나 특정 이슈에 대한 항의의 표시로 '핵티비즘(hacktivism)'이라 불리는 사이버 공격을 감행하는 것으로 유명하다. 특히, 영화 '브이 포 벤데타'에 등장하는 가이 포크스 마스크는 이들의 익명성과 저항 정신을 상징하는 아이콘으로 널리 알려져 있다. 어나니머스는 이미 올해 초 인터넷 사용자들에게 도널드 트럼프 미국 대통령의 행보와 블라디미르 푸틴 러시아 대통령과의 관계에 대해 경고한 바 있어, 이번 대규모 데이터 유출 사건에 더욱 관심이 쏠리고 있다. 러시아와 트럼프 정보까지?.. '전례 없는' 데이터 공개 어나니머스는 지난 15일, 소셜 미디어 플랫폼 X(구 트위터)를 통해 이번 사이버 공격 사실을 알리며 "우크라이나를 방어하기 위해 어나니머스는 러시아에서 운영되는 모든 기업, 서방의 모든 크렘린 자산, 친러시아 관리, 도널드 트럼프 등에 대한 10TB의 유출 데이터를 공개했다"고 주장했다. 이번에 공개된 10TB의 데이터에는 러시아 정치 상황에 대한 민감한 정보는 물론, 러시아 지역 비즈니스 관련 정보, 친러시아 관료 및 해외 크렘린궁 자산에 대한 기밀 정보까지 포함된 것으로 알려져 충격을 주고 있다. 특히, 어나니머스는 이번 유출 데이터에 도널드 트럼프 미국 대통령과 관련된 정보도 포함되어 있다고 주장해 파장이 더욱 커지고 있다. 어나니머스의 주장에 따르면, 이번 '데이터 폭탄' 투척은 러시아 기업들의 금융 활동 및 연계 관계 등 그동안 베일에 싸여 있던 여러 사적인 주제들에 대한 상세한 정보를 폭로한 것으로 보인다. 뿐만 아니라, 특히 서방 국가 내 일부 크렘린궁 자산이 영향력 네트워크 하에 있다는 사실이 드러났으며, 관련 관리들의 이름과 그동안 공개되지 않았던 활동 내역에 대한 관심이 집중되고 있다. 추가 폭로 언급없어.. 트럼프 행정부에 비판 입장 이번 어나니머스의 대규모 사이버 공격은 러시아와 우크라이나 간의 전쟁이 장기화되고 있는 가운데 발생했다. 미국의 개입에도 불구하고 평화 협상의 실마리가 보이지 않는 상황에서, 러시아 영토의 약 5분의 1을 여전히 점령하고 있는 러시아에 대한 이번 공격의 장기적인 영향은 아직 예측하기 어렵다. 현재까지 어나니머스는 추가적인 업데이트나 정보 공개에 대한 위협을 발표하지 않고 있다. 하지만 이들은 소셜 미디어를 통해 우크라이나 전쟁 관련 게시물을 꾸준히 올리고 있으며, 도널드 트럼프 행정부와 그의 전 세계 국가에 대한 관세 부과 움직임에 대해 비판적인 입장을 견지하고 있다. 한편, 중국은 트럼프 행정부의 이러한 조치에 대해 지속적으로 반발하며 강경한 태도를 보이고 있다. 트럼프 대통령은 러시아-우크라이나 분쟁의 책임을 푸틴, 바이든, 젤렌스키 세 사람에게 돌리며 '수백만의 죽음'에 대한 책임이 있다고 주장하기도 했다. 이에 대해 어나니머스는 최근 X 팔로워들에게 "트럼프는 우크라이나를 상대로 적극적으로 일하고 있다. 그는 러시아 편에 서 있다. 그의 목표가 유럽, 우크라이나인, 또는 미국의 안보를 돕는 것이라고 한순간도 생각하지 말라"고 경고하며 "그는 일을 망치러 왔고, 그 일은 세계 민주주의, 국제법, 그리고 당신을 약화시키고 궁극적으로 파괴하는 것"이라고 강하게 비판했다.

  • 시큐리티

  2025.04.17 09:05

• 한전KDN∙샌즈랩∙케이사인, 양자내성암호 시범 전환 사업 공동 수주

  [시큐리티팩트=김상규 기자] 한전KDN∙샌즈랩∙케이사인은 한국인터넷진흥원이 공모한 ‘2025년 양자내성암호 시범 전환 지원 사업’을 공동으로 수주했다. 이번 사업은 양자컴퓨터의 발전으로 기존 암호체계의 안전성 위협에 대비하기 위해 산업 분야의 현행 암호체계를 양자내성암호(PQC)로 전환 필요에 따라 공모되었다. 국민의 생활과 밀접하게 연결되어 있는 각종 인프라들의 암호화가 무력화되면 국가 차원의 광범위한 사회·경제적 손실을 야기시킬 수 있기 때문이다. 이번 사업에서는 에너지, 의료, 행정 총 3개 분야별 정보시스템의 암호체계를 양자내성암호 체계로 전환하고자 하는 기업 및 기관을 지원하고 산업 분야별 암호체계 시범 전환을 통한 전환 절차와 적용 사례를 확보한다. 기존 시스템과의 호환성, 상호 운용성 등의 기술 검증을 통해 전 과정에 대한 양자내성암호 생태계 구축의 토대도 마련한다. 주관사인 한전KDN은 샌즈랩, 케이사인과 컨소시엄을 구성해 에너지 분야인 AMI 양자내성암호 시범 전환 및 검증을 수행한다. AMI(Advanced Metering Infrastructure)는 국민 전체의 전력 사용량을 원격으로 검침하고 실시간으로 모니터링 하는 개방형 시스템이다. AMI 시스템이 양자취약 암호 공격을 입게 되면 소비자들의 개인정보 유출이나 금전적 피해로 그치는 것이 아니라 금융 시스템 마비, 대규모 정전 등의 국가 인프라의 연쇄적 마비를 초래해 양자내성암호 체계 전환이 시급한 분야다. 한전KDN은 양자내성암호 전환 핵심 요소를 모두 준용하는 모델 구현과 전환에 대한 실질적 검증이 가능할 수 있도록 AMI 암호체계를 잘 이해하고 실질적인 경험과 노하우를 보유한 영역별 전문 기업들과 사업에 착수할 예정이다. 여기에 컨소시엄사인 케이사인은 기존 레거시와의 호환성 유지를 위한 하이브리드 인증 시스템을, 샌즈랩은 암호전환 관리 시스템 개발을 담당한다. 샌즈랩과 캐이사인은 이번 사업에 앞서 지난 3월 양자내성암호 기술을 공동 개발한다고 밝힌 바 있다. 양사는 당시 케이사인의 전통적인 암호화·인증 기술과 샌즈랩의 혁신적인 AI·네트워크 보안 기술을 하나로 합친 하이브리드 기술로 양자내성암호 체계 전환에 필요한 핵심 보안 기술을 개발하겠다는 계획을 발표했다. 암호화 전환이 시범적으로 이루어지면 AMI 인프라뿐만 아니라 국가 공동인증 인프라, 사설 인증 PKI 등에 적용할 수 있는 기반 조성에 기여할 것이라는 게 컨소시엄 관계자 설명이다. 나아가 암호화 시범전환을 마치면 전 세계적으로 초기 단계인 양자 보안 기술을 선도할 기회를 확보하고 장기적으로 빈번한 알고리즘 변화에 따른 보안 유지 비용 절감 및 운영 효율성 향상을 얻을 수 있다고 강조했다.

  • 시큐리티

  2025.04.16 11:52

• 티베트는 '디지털 감옥'… 중국, 전화·인터넷 활동 빌미 '탄압‘

  [시큐리티팩트=최석윤 기자] 국제 인권 단체 휴먼라이츠워치(Human Rights Watch)는 15일(현지시각) 2021년 이후 중국 티베트 지역에서 최소 60명 이상의 티베트인이 전화 및 인터넷 사용과 관련된 '범죄' 혐의로 체포되었다고 밝혔다. 이는 중국 정부가 티베트인들의 온라인 활동을 광범위하게 감시하고, 이를 빌미로 탄압을 강화하고 있음을 시사하는 내용이다. 휴먼라이츠워치는 티베트 정부가 기소나 구금 관련 공식 데이터를 발표하지 않기 때문에 실제 체포된 인원은 이보다 훨씬 더 많을 것으로 추정했다. 이는 티베트 전역에서 강화되고 있는 감시 체제와 맞물려 티베트인들의 기본적인 자유가 심각하게 침해받고 있음을 보여준다. "휴대전화가 추적장치로.. 일상 활동이 체포·고문" 휴먼라이츠워치의 중국 담당 부국장 마야 왕(Maya Wang)은 "티베트인들에게는 이제 휴대전화를 사용하는 것만으로도 위험한 일이 되었으며, 유머러스한 동영상을 게시하거나 해외에 있는 사랑하는 사람들과 연락하는 것과 같은 일상적인 활동이 체포, 구금, 심지어 고문으로 이어질 수 있다"고 강하게 비판했다. 그녀는 이어 "한때 휴대폰 등장에 환호하며 친구나 가족과 자유롭게 소통했던 티베트인들, 특히 외딴 지역에 거주하는 사람들에게 그들의 휴대폰은 이제 사실상 정부의 추적 장치가 되어버렸다"고 개탄했다. 종교·언어·해외 소통 '죄목'… 광범위한 탄압 체포된 티베트인들 중 상당수는 티베트 종교 지도자와 관련된 자료와 같은 '불법 콘텐츠' 소지 혐의를 받고 있다. 중국 정부는 이미 2022년에 정부의 허가 없이 모든 종교 콘텐츠를 온라인에 공유하는 것을 금지한 바 있다. 실제로 같은 해에는 한 남성이 존경받는 불교 원로 승려의 생일을 축하하기 위해 당국의 '허가 없이' 위챗 그룹을 만들었다는 이유로 체포되기도 했다. 뿐만 아니라, 티베트어 사용을 장려하고 학교에서 만다린어(표준 중국어) 사용을 의무화하는 최근 정책 변경에 반대하는 내용의 콘텐츠를 소셜 미디어에 공유한 혐의로 체포된 사례도 있다. 심지어 가족을 포함한 외국과의 서신 교환을 이유로 구금된 티베트인들도 있는 것으로 알려져 국제 사회에 큰 충격을 줬다. '정치 교육' 빌미 대규모 구금… 소셜 미디어 검열 강화 2021년부터 중국 경찰은 티베트 일부 지역에서 대대적인 전화 수색을 시작했으며, 그 결과 '정치 교육'이라는 명목으로 대규모 구금이 이루어졌다. 이는 중국 정부가 티베트인들의 사상 통제를 더욱 강화하려는 의도를 드러내는 것으로 해석된다. 연구자들은 또한 2024년 쓰촨성에서 벌어진 댐 건설 반대 시위와 같은 민감한 사건에 대응하기 위해 당국이 주민들의 소셜 미디어를 철저하게 검열하는 사례가 빈번하다고 밝혔다. 경찰은 위챗과 틱톡 계정에서 시위 동영상을 공유하거나 외부 세계와 소통한 흔적을 찾아내 체포의 근거로 삼았다. 강제 설치 앱 통한 감시… 소수 민족 탄압 방식과 유사 티베트인들을 감시하고 추적하는 또 다른 방법은 '사기 행위 방지'를 명목으로 강제 설치하도록 하는 앱을 이용하는 것이다. 티베트 옹호 연구 네트워크인 터콰이즈 루프(Turquoise Roof)는 이 애플리케이션에 대해 "민감한 사용자 데이터에 대한 접근 권한 또는 주요 장치 기능에 대한 제어권을 부여하여 매우 침습적인 감시를 가능하게 한다"고 경고했다. 이는 사실상 모든 온라인 활동을 정부가 들여다볼 수 있게 만드는 심각한 사생활 침해에 해당한다. 휴먼라이츠워치는 중국 정부가 신장 위구르 자치구의 위구르족과 같이 정치적으로 위협으로 간주하는 다른 소수 민족에 대해서도 유사한 집중적인 감시 전술을 사용해 왔다고 지적하며, 티베트인들에 대한 탄압이 특정 지역에 국한된 문제가 아님을 강조했다. 망명 정부, 불교 지도자 사망 조사 촉구 한편, 지난주 티베트 망명 정부는 56세의 영향력 있는 불교 지도자의 갑작스러운 죽음에 대한 조사를 촉구했다. 이 지도자는 지난 9월 중국 당국을 피해 베트남으로 피신한 것으로 알려졌으나, 인권 단체들은 그가 3월 말 호치민시에서 체포된 후 중국으로 압송되어 구금 상태에서 사망했다고 주장하고 있어 국제 사회의 우려가 더욱 커지고 있다.

  • 시큐리티

  2025.04.16 10:27

• 마에스트로 포렌식, macOS 포렌식 솔루션 ‘마에스트로 위즈덤’ 런칭

  [시큐리티팩트=김상규 기자] 마에스트로 포렌식은 macOS 시스템 라이브 증거 데이터 추출, 원격 이미징, 침해사고 조사, 악성코드 탐지, 디지털 포렌식 증거분석 작업이 모두 가능한 통합 컴퓨터 포렌식 솔루션 ‘마에스트로 위즈덤(MAESTRO WISDOM)’을 공식 출시했다. ‘마에스트로 위즈덤’은 외산 주도의 macOS 이미징 제품과 증거분석 제품이 각각 별도로 존재하는 한계점을 극복하고 고객들이 각 제품들을 개별 구매해야 하는 가격적 부담을 줄이면서 macOS 이미징과 증거분석 기능을 동시에 제공하는 최신의 macOS 디지털 포렌식 제품이다. 이 제품은 기존 윈도우, 모바일 분석을 포함한 ‘마에스트로 시리즈(MAESTRO Series)’ 제품으로, 원격에서 디스크 이미징, 실시간 파일 추출, 디지털 포렌식 조사와 악성코드 탐지 및 분석, 침해사고 대응과 분석 기능을 수행할 수 있다. 사이버 위협 인텔리전스 솔루션을 연동시켜 악성코드 탐지 및 분석, 원격 및 로컬 파일 조사 분석을 동시에 수행하여 신속하게 보안태세를 강화할 수도 있다. 기업과 기관 내 macOS 기기의 사용이 증가함에 따라 기존 윈도우 중심의 디지털포렌식 체계로는 분석 대응이 어려웠던 보안 위협 탐지 및 컴퓨터 포렌식에 매우 효과적으로 대응할 수 있도록 설계되었다는 게 회사측 설명이다. 마에스트로 위즈덤 주요 기능은 ▲macOS 데이터 추출 및 디스크 이미징 ▲원격 및 로컬 메모리 덤프 수집 및 분석 ▲macOS 중요 증거 데이터 분석 ▲악성코드 탐지 및 행위 분석 ▲사이버 위협 인텔리전스 플랫폼 연동 등이다. 마에스트로 위즈덤은 macOS 기반 시스템에서 로컬 및 원격으로 데이터를 안전하게 추출하고 디스크 이미징을 수행할 수 있다. APFS, HFS+, CoreStorage 등 다양한 macOS 파일 시스템을 지원하며, 포렌식 표준 포맷(E01, RAW 등)으로 이미지를 생성하여 디지털 증거의 신뢰성과 무결성을 확보한다. 마에스트로 위즈덤은 macOS 기기의 메모리를 로컬뿐만 아니라 원격에서도 실시간으로 덤프 수집하고 분석할 수 있는 기능을 제공한다. 실행 중인 프로세스, 시스템 커널, 네트워크 연결 등 메모리 기반 정보를 확보해, 악성코드나 침해 행위를 심층 분석할 수 있다. 메모리 수집은 침해사고 발생 초기의 결정적 증거 확보에 필수적이다. 또한 macOS 시스템에 접근해 파일 조사와 분석을 수행할 수 있으며 사용자 파일, 시스템 구성 파일, 다운로드 파일 등을 폭넓게 분석할 수 있다. 이를 통해 사용자 행위 추적, 정보 유출 조사, 내부자 조사, 지능형 위협(APT) 대응 등 다양한 보안 조사 시나리오에 유연하게 대응 가능하다. 마에스트로 위즈덤은 macOS 환경에 최적화된 AI 기반 악성코드 탐지 및 분석 기능을 탑재하고 있다. 의심 파일을 정적 및 동적 분석하고 비정상적인 코드 서명, 시스템 훅, 이상 행위 등을 자동으로 식별한다. 최신 위협 정보를 기반으로 분석 결과를 직관적인 리포트로 제공하며 신규 또는 변종 악성코드에 대해서도 신속한 대응이 가능하다. 마지막으로 마에스트로 포렌식의 위협 인텔리전스 플랫폼인 Maestro CTIP과 연동되어 원격지에서 수집된 데이터 및 악성코드를 실시간 위협 정보와 비교 분석할 수 있다. 글로벌 보안 솔루션들과의 API 연계를 통해 유사 공격 사례를 탐색하고 악성코드의 기원, 유포 경로, 행위 패턴 등을 빠르게 파악함으로써 포렌식 분석의 깊이와 정확성을 높인다. 마에스트로 포렌식은 이 솔루션을 수사기관, 금융기관, 언론사, 게임 개발사, 법무기관, 디지털 포렌식 전문기관은 물론, 디자인/영상 산업 등 다양한 고객층을 대상으로 공급할 예정이다.

  • 시큐리티

  2025.04.15 17:13

• AI, 진화하는 피싱과 전쟁에 새로운 '방패'되나

  [시큐리티팩트=최석윤 기자] 끊임없이 진화하는 사이버 보안 환경 속에서 '피싱 공격'은 여전히 가장 흔하고 위협적인 존재로 개인과 조직 모두를 괴롭힌다. 사람들을 속여 중요한 정보를 빼앗거나 악성 프로그램을 몰래 설치하는 이 교묘한 공격 수법은 시간이 흐를수록 더욱 정교해지고 있다. 이러한 위협에 맞서 싸우기 위해 인공지능(AI) 기술이 새로운 해결책으로 떠오르고 있다. AI 기반 피싱 탐지 시스템은 향상된 정확성과 효율성을 약속하며, 기존의 보안 방식으로는 놓치기 쉬운 피싱 시도를 효과적으로 찾아낼 수 있다는 기대를 받고 있다. 이러한 AI 시스템은 머신 러닝(기계 학습), 자연어 처리(NLP), 그리고 사용자의 행동 패턴 분석 등 첨단 기술을 융합하여 작동한다. 하지만 조직들이 AI 기반 솔루션에 막대한 투자를 하는 만큼, 과연 AI 기반 피싱 탐지가 진정으로 약속된 효과를 보여줄 수 있을지에 대한 중요한 질문을 던져봐야 한다. 14일(현지시각) 사이버시큐리티뉴스는 끊임없이 진화하는 피싱 공격의 실태, AI가 탐지 기능을 어떻게 혁신하고 있는지, 그리고 이러한 AI 기술을 도입하는 조직의 리더들이 반드시 고려해야 할 핵심 사항들을 자세히 보도했다. AI 기술로 무장한 피싱 범죄자들 초창기 피싱 공격은 어색한 문법과 엉성한 내용으로 가득 찬 조잡한 이메일 형태가 대부분이었다. 하지만 오늘날 피싱 공격은 상상 이상으로 정교해졌으며, 고도의 사회 공학 기법을 활용하여 아무리 주의 깊은 사용자라도 속아 넘어가기 쉽다. 사이버 범죄자들은 이제 개인 정보를 활용하여 매우 설득력 있는 이야기를 만들어내고, 특정 개인이나 조직에 맞춤화된 메시지를 제작한다. 특히 '스피어 피싱'이라는 표적형 피싱은 공격자가 합법적인 통신 방식을 교묘하게 모방하여 신뢰를 얻기 때문에 그 효과가 더욱 강력하다. 최근에는 생성형 AI 기술까지 피싱 공격에 통합되면서 위협의 수준이 한층 더 높아졌다. 사이버 범죄자들은 AI 도구를 사용하여 대규모로 매우 현실적인 메시지를 순식간에 만들어낼 수 있으며, 기존 피싱 메일에서 흔히 발견되던 어색한 문법이나 일관성 없는 형식 등의 허점을 완벽하게 제거할 수 있다. 이러한 AI 기반 피싱 시도는 소셜 미디어 프로필, 기업 웹사이트 등 공개적으로 이용 가능한 데이터를 분석하여 개인화된 공격을 생성하기 때문에 더욱 탐지하기 어렵다. 그 결과, 블랙리스트나 미리 정의된 패턴(시그니처)에 의존하는 기존의 보안 방식은 이러한 역동적인 위협에 제대로 대응하지 못하고 있다. 따라서 악의적인 의도를 숨기고 있는 미묘한 징후들을 정확하게 식별할 수 있는 더욱 발전된 탐지 시스템의 필요성이 절실하다. AI, 어떻게 피싱 탐지 능력을 혁신하나 인공지능(AI)은 단순한 규칙이나 미리 정해진 패턴을 넘어 피싱 탐지에 혁신적인 변화를 가져오고 있다. 이미 알려진 위협을 찾아내는 데 집중했던 기존 방식과는 달리, AI 기반 시스템은 방대한 데이터를 분석하여 피싱 시도를 나타내는 비정상적인 패턴이나 행동을 스스로 학습하고 탐지한다. 이러한 AI 시스템은 강력한 보호 기능을 제공하기 위해 다양한 첨단 기술들을 통합하여 작동한다. 머신 러닝 모델: AI 시스템은 방대한 양의 이메일 및 웹 페이지 데이터를 머신 러닝 알고리즘을 통해 분석하고, 이전에 발견되지 않았던 새로운 형태의 피싱 시도와 관련된 패턴까지 식별해낸다. 마치 숙련된 탐정이 수많은 단서 속에서 범죄의 흔적을 찾아내는 것과 같다. 자연어 처리(NLP): NLP 기술을 통해 AI 시스템은 메시지의 내용뿐만 아니라 그 맥락과 어조까지 이해할 수 있다. 이를 통해 피싱 공격자들이 흔히 사용하는 긴급성을 강조하거나 감정을 자극하는 등의 조작 전술을 정확하게 탐지한다. 마치 사람의 미묘한 감정 변화를 포착하는 것처럼, 텍스트 속에 숨겨진 악의적인 의도를 파악하는 것이다. 행동 패턴 분석: AI 도구는 계정이 해킹되었거나 성공적인 피싱 공격의 징후일 수 있는 사용자의 비정상적인 행동 패턴을 지속적으로 모니터링한다. 평소와 다른 로그인 시도, 수상한 파일 접근 등 눈에 띄지 않는 이상 징후를 포착하여 잠재적인 위협을 사전에 감지하는 것이다. 컴퓨터 비전 기술: 일부 피싱 시도는 합법적인 웹사이트나 이메일을 시각적으로 매우 흡사하게 모방하는 수법을 사용한다. 컴퓨터에게 '보는 능력'과 '이해하는 능력'을 부여하는 '컴퓨터 비전 기술'은 로고, 웹사이트 레이아웃, 디자인 요소 등을 정밀하게 분석하여 이러한 시각적인 속임수를 감지하는 데 도움을 준다. 마치 위조지폐 감별사가 숨겨진 그림이나 질감을 확인하는 것처럼, 이미지 속의 미묘한 차이를 구별해내는 것이다. 실시간 위협 정보: AI 시스템은 전 세계적인 위협 정보 네트워크의 데이터를 지속적으로 학습하고 업데이트한다. 이를 통해 새롭게 등장하는 공격 기술에 효과적으로 대응하고, 알려지지 않은 새로운 유형의 피싱 공격까지 탐지할 수 있는 능력을 키운다. 마치 백신 프로그램이 새로운 바이러스 정보를 업데이트하여 방어력을 강화하는 것과 유사하다. AI 기반 솔루션의 가장 큰 장점은 바로 이러한 '적응력'이다. 기존 보안 방식은 새로운 공격 수법에 취약한 경우가 많지만, AI 시스템은 새로운 데이터를 통해 끊임없이 학습하고 시간이 지날수록 탐지 능력을 스스로 향상시킨다. 사이버 위협과 함께 진화할 수 있는 이러한 능력 덕분에 AI는 피싱과의 싸움에서 매우 중요한 무기가 될 수 있다. AI 기반 피싱 탐지 시스템, 어떻게 도입하나 AI 기반 피싱 탐지 솔루션을 도입하려는 조직의 리더들에게는 신중한 전략적 계획이 필수적이다. 이러한 첨단 기술은 분명 상당한 이점을 제공하지만, 그 효과는 조직의 광범위한 사이버 보안 체계에 얼마나 적절하게 통합되느냐에 달려있다. 리더들은 AI 기반 솔루션을 도입할 때 다음과 같은 몇 가지 중요한 요소를 반드시 고려해야 한다. 종합적인 보안 전략: 효과적인 피싱 방어를 위해서는 기술적인 방어 시스템 구축과 함께 직원 교육을 병행하는 다층적인 접근 방식이 필요하다. 아무리 뛰어난 AI 기술이라도, 공격자들이 파고드는 인간의 심리적 취약성을 해결하는 보안 인식 교육의 중요성은 여전히 간과할 수 없다. 맞춤형 솔루션 선택: 조직은 자신들의 특정 산업 분야의 요구 사항과 현재 직면한 위협 환경에 최적화된 AI 도구를 신중하게 선택해야 한다. 예를 들어, 금융 기관은 사기 방지 기능에 우선순위를 둘 수 있는 반면, 의료 서비스 제공업체는 환자 데이터 보호에 더욱 집중할 수 있다. 기존 시스템과 원활한 통합: 현재 사용하고 있는 보안 시스템과의 충돌이나 보안 공백을 최소화하기 위해서는 AI 기반 솔루션의 원활한 통합이 매우 중요하다. 새로운 기술 도입이 기존 시스템의 약점을 드러내는 결과를 초래해서는 안 된다. 명확한 성능 평가 지표 설정: 도입한 AI 솔루션의 효과를 객관적으로 평가하기 위한 명확한 지표를 설정하는 것이 필수적이다. 피싱 공격 성공률 감소, 탐지 시간 단축 등의 측정 가능한 지표를 통해 시스템 성능에 대한 정확한 통찰력을 얻을 수 있다.

  • 시큐리티

  2025.04.15 15:54

• AI로 보안 강화…안랩, AI 플랫폼 '안랩 AI 플러스' 출시

  [시큐리티팩트=김상규 기자] 안랩이 30년간 축적한 위협 분석 데이터, 악성코드 및 침해 사고 대응 경험 등 방대한 보안 정보를 기반으로 개발한 자체 AI 플랫폼 ‘안랩 AI 플러스’를 출시했다. ‘안랩 AI 플러스’는 ▲생성형 AI 및 LLM 기반 지능형 보안 탐지·분석 강화 ▲다양한 제품·서비스 적용으로 AI 기반 운영 확장 ▲자체 수집 데이터 기반 학습 체계로 고도화된 AI 서비스 제공 및 보안성 확보 등 주요 기능으로 자사 제품 및 서비스 전반의 AI 기반 지능화를 지원한다. 안랩은 우선 SaaS형 ‘안랩 XDR’에 AI 보안 어시스턴트 ‘애니(Annie)’를 연동하며 ‘안랩 AI 플러스’ 적용을 시작했다. 이번 ‘안랩 XDR’의 AI 어시스턴트 적용을 시작으로 다양한 제품과 서비스로 AI 기능을 확장해 갈 예정이다. 향후에는 AI가 상황을 인식하고 분석해 스스로 대응하는 AI 에이전트(Agentic AI) 기반 자율 보안 운영까지 구현해 나갈 계획이다. 안랩 AI 플러스는 생성형 AI와 대규모 언어 모델(LLM) 기술을 적용해 기존 머신러닝·딥러닝 기반 탐지 기술을 한층 고도화했다. 파일, URL, 행위 정보, 스미싱 문자 등 다양한 형태의 비정형 데이터를 분석하고 위협 발생 원인과 공격 방식을 심층적으로 파악해 탐지 결과와 대응 가이드를 함께 제공한다. 이로써 보안 담당자는 보안 이벤트를 보다 직관적으로 이해하고 빠르게 위협 요소를 식별할 수 있다. 보안 운영의 정확성과 대응 속도가 높아져 다양한 위협 상황에서도 효율적인 대응이 가능한 게 특징이다. 또한 안랩 AI 플러스는 ‘안랩 XDR’을 시작으로 안랩의 다양한 제품과 서비스에 적용할 수 있도록 설계됐다. 제품 UI에서 대화형 AI 보안 어시스턴트를 제공하고 실시간 위협 탐지, 대응 전략(플레이북) 제시, 추가 질문 추천 등 보안 운영을 지원하는 다양한 기능이 탑재됐다. 고객은 복잡한 위협 환경에서도 보안 현황을 쉽게 파악하고 보다 신속하고 체계적인 대응 체계를 구축할 수 있다고 안랩은 설명했다. 한편 안랩 AI 플러스는 고객 데이터를 수집하거나 활용하지 않고 안랩의 악성코드 분석, 침해 사고 대응 노하우와 차세대 위협 인텔리전스 플랫폼 ‘안랩 티아이피’ 및 안랩의 클라우드 기반 분석시스템 ‘ASD(AhnLab Smart Defense)’ 등으로 수집한 파일, URL, IP, 행위 정보 등의 빅데이터와 보안 인텔리전스를 글로벌 수준으로 확보하면서 AI 서비스의 품질을 지속적으로 높이고 있다. 고객은 보유하고 있는 데이터의 외부 유출 우려 없이 안랩이 축적한 방대한 위협 인텔리전스를 기반으로 한 높은 수준의 AI 서비스를 제공받을 수 있다. 강석균 안랩 대표는 “안랩이 30년간 축적한 위협 인텔리전스와 최신 AI 기술을 결합한 ‘안랩 AI 플러스’는 안랩이 월드클래스 기업으로 도약하는 핵심 기반이 될 것”이라며, “안랩은 앞으로도 위협 대응 역량과 지속적인 AI 기술 혁신을 바탕으로 성장을 이어가겠다”고 말했다.

  • 시큐리티

  2025.04.15 11:07

• 전 세계 교육기관 '사이버 공격 쓰나미'… 중국·이란 연계 'APT 그룹' 표적

  [시큐리티팩트=최석윤 기자] 마이크로소프트의 최근 보고에 따르면, 전 세계 교육 기관들이 이전과는 비교할 수 없을 정도로 정교해진 사이버 공격의 거센 물결에 직면하고 있다. 14일(현지시각) 사이버시큐리티뉴스에 따르면, 2024년 2분기에 교육 부문이 사이버 공격의 표적이 된 산업 중 세 번째로 높은 순위를 기록하며, 더 이상 안전지대가 아님이 밝혀졌다. 이러한 놀라운 추세는 사이버 위협을 가하는 주체들의 관심이 전략적으로 변화하고 있음을 시사한다. 사이버 공격자들은 교육 환경이 가진 고유한 취약점을 점점 더 적극적으로 파고들고 있다. 실제로 2024년 4월부터 9월까지 교육 기관은 중국과 연계된 APT(Advanced Persistent Threat, 지능형 지속 위협) 그룹에게 가장 많이 공격받은 상위 3개 산업에 포함되었으며, 북한과 연계된 공격자는 상위 2위, 이란과 러시아와 연계된 위협 운영자 역시 모두 상위 6위 안에 이름을 올렸다. 이는 특정 국가 지원을 받는 해킹 조직들이 교육 기관을 주요 공격 대상으로 인식하고 있다는 심각한 경고이다. 기업보다 사이버 공격에 더 취약 최근 통계는 교육 기관의 사이버 보안 상황이 얼마나 심각한지를 여실히 드러낸다. 지난 한 해 동안 영국 중등학교 71%와 대학교 97%가 심각한 보안 침해를 경험했다는 조사 결과는 충격적이다. 이는 기업에서 관찰된 50%라는 수치와 비교했을 때, 교육 기관이 사이버 공격에 훨씬 더 취약한 상황에 놓여 있음을 보여준다. 미국 역시 상황은 마찬가지로 암울하다. K12 보안 정보 교환(SIX)의 보고에 따르면, 2016년부터 2022년 사이에 미국 학교에서는 하루에 한 건 이상의 사이버 사고가 발생했다. 이는 교육 기관이 더 이상 안전한 울타리 안에 있지 않으며, 사이버 공격으로부터 적극적인 보호가 시급하다는 것을 의미한다. 교육 기관, 보안 취약한 '데이터 보고' 사이버 보안 전문가들은 교육 기관이 사이버 공격자들에게 특히 매력적인 표적이 되는 이유로 '취약한 데이터의 보고' 임을 지적한다. 여기에는 다음과 같은 요인들이 복합적으로 작용한다. 광범위하고 허술한 네트워크: 수천 명 사용자가 연결된 교육 기관의 네트워크는 그 규모만큼이나 접근 통제가 어렵고, 보안 허점이 존재할 가능성이 높다. 수익성 있는 데이터의 보고: 교육 기관은 학생 개인 정보, 학업 기록, 연구 데이터 등 금전적 가치를 지닌 민감한 정보를 대량으로 보유하고 있다. 또한, 국가 차원에서 중요한 지적 재산이 축적되어 있는 경우도 많다. 방어 허술한 보안 체계: 기업에 비해 상대적으로 사이버 보안에 투자하는 예산과 전문 인력이 부족해 효과적인 방어 체계를 구축하기 어렵다. 이러한 취약점들의 결합은 단순히 금전적인 이득을 노리는 사이버 범죄자뿐만 아니라, 지적 재산 탈취를 목표로 하는 국가 지원 해킹 조직들에게도 이상적인 공격 환경을 제공한다. 이란 연계 APT 그룹의 정교한 공격 특히 정교한 공격 기법 중 하나는 복잡한 회피 기술을 사용하는 APT(Advanced Persistent Threat) 그룹과 관련이 있다. 이란과 연계된 것으로 알려진 '발리스틱 밥캣(Ballistic Bobcat)'(APT35 또는 민트 샌드스톰이라고도 불림) 그룹은 교육 네트워크를 대상으로 다단계 공격을 수행하는 것이 관찰됐다. 이들의 주요 공격 방법 중 하나는 '프로세스 주입(Process Injection)' 기술이다. 이는 악성 코드를 정상 시스템 프로세스에 몰래 삽입하여 탐지를 피하는 고도의 은닉 기술이다. 마치 합법 프로그램 일부처럼 위장하여 보안 시스템의 눈을 속이는 것이다. QR코드 피싱부터 랜섬웨어까지 '다단계 공격' 위협 행위자들의 공격 과정은 신중하게 제작된 피싱 캠페인으로 시작되는 경우가 많다. 이들은 종종 재정 지원 양식, 주차권, 또는 학교 행정 알림과 같이 합법 교육 자료로 위장한 이메일에 악성 링크 대신 QR 코드를 삽입한다. 사용자가 무심코 이 QR 코드를 스캔하면 악성 웹사이트로 연결되거나 악성 파일이 다운로드되어 초기 침투가 이루어진다. 일단 시스템에 침투한 악성 코드는 정교한 탐지 회피 전략을 활용한다. ESET 연구원들은 APT35 운영자들이 무해한 시스템 프로세스에 악성 코드를 주입하여 엔드포인트 탐지 및 대응(EDR) 솔루션을 효과적으로 우회하는 사례를 상세히 기록했다. 이러한 '프로세스 주입' 기술을 사용하면 삽입된 악성 코드가 보안 솔루션이 일반적으로 신뢰하는 합법 프로세스의 맥락 내에서 작동하기 때문에 악성 행위가 탐지되지 않은 채 오랫동안 시스템 내에 은닉될 수 있다. 이러한 악성 코드는 여러 개의 모듈화된 구성 요소를 활용하여 은밀하게 작동하며, 민감한 연구 데이터를 외부로 유출하거나, 심지어 랜섬웨어 공격을 감행하여 시스템을 마비시키고 금전을 요구하는 등 심각한 피해를 초래할 수 있다. 실제로 미국의 교육 기관들은 2018년 이후 랜섬웨어 공격으로 인한 시스템 다운타임으로만 약 25억 달러(약 3조5000억원)에 달하는 막대한 손실을 입은 것으로 추정된다.

  • 시큐리티

  2025.04.15 09:29

• 파키스탄 연계 해킹 그룹, 인도 정부·국방·해양 집중 공격

  [시큐리티팩트=최석윤 기자] 파키스탄과 관련된 것으로 추정되는 해킹 조직이 '제노 RAT(Xeno RAT)', '스파크 RAT(Spark RAT)'와 같은 다양한 원격 제어 악성 프로그램(RAT, Remote Access Trojan)과 함께 이전에 발견되지 않았던 새로운 악성코드 '컬백 RAT(CurlBack RAT)'를 사용하여 인도의 여러 중요 부문을 집중적으로 공격하고 있는 것으로 드러났다고 14일 해커뉴스가 보도했다. 사이버 보안 업체 SEQRITE가 2024년 12월에 처음 포착한 이들의 공격 활동은 인도 철도, 석유 및 가스 관련 기업, 그리고 외무부 산하 기관들을 표적으로 삼았다. 이는 해당 해킹 조직의 공격 대상 범위가 기존의 정부, 국방, 해양 부문 및 대학뿐만 아니라 더욱 넓은 영역으로 확대되고 있음을 시사하여 우려를 낳고 있다. 윈도우 프로그램 설치때 악성코드 심어 보안 연구원 사트위크 람 프라키(Sathwik Ram Prakki)는 "최근 공격 캠페인에서 주목할 만한 변화 중 하나는 공격 초기 단계에서 악성 파일을 실행하기 위해 주로 사용되던 HTA(HTML Application) 파일 대신 MSI(Microsoft Installer) 패키지를 주요 방식으로 채택했다는 점"이라고 분석했다. MSI 패키지는 윈도우 프로그램 설치에 사용되는 파일 형식으로, 이를 악용하여 악성코드를 은밀하게 시스템에 설치하려는 시도로 보인다. 이 해킹 그룹은 '사이드카피(SideCopy)'라는 이름으로 알려져 있으며, 최소 2019년부터 활동해 온 '트랜스페어런트 트라이브(Transparent Tribe)'(또 다른 이름: APT36) 내의 하위 조직으로 추정된다. '사이드카피'라는 이름은 자신들의 악성코드를 전달하는 방식이 '사이드와인더(SideWinder)'라는 또 다른 위협 행위자와 관련된 공격 방식을 모방하는 것처럼 보여서 붙여졌다. 과거 '사이드와인더' 공격 방식 모방 2024년 6월, SEQRITE는 '사이드카피'가 이전에 '사이드와인더' 공격에서 관찰된 기술을 활용하여 난독화된(알아보기 어렵게 만든) HTA 파일을 사용하는 것을 확인했다. 또한, 해당 파일에서는 '사이드와인더'가 사용했던 것으로 알려진 RTF 파일을 호스팅하는 웹사이트 주소에 대한 정보도 발견됐다. 지금까지 '사이드카피'와 관련된 것으로 알려진 악성코드로는 '액션 RAT(Action RAT)'와 '리버스 RAT(ReverseRAT)'가 있으며, 이들은 주로 문서나 이미지 파일을 훔치는 데 사용된다. 이 외에도 연결된 USB 드라이브에서 데이터를 몰래 복사하는 'USB 복사기', 그리고 원격 서버로부터 30개의 다양한 명령을 실행할 수 있는 .NET 기반의 '게타 RAT(Geta RAT)' 등이 있다. 특히, 이들이 사용하는 RAT(원격 제어 악성 프로그램)는 '어싱크 RAT(AsyncRAT)'에서 차용한 기능을 통해 파이어폭스(Firefox) 및 크롬(Chromium) 기반 브라우저에 저장된 모든 계정 정보, 프로필, 쿠키 데이터까지 훔칠 수 있는 능력을 갖추고 있어 심각한 개인 정보 유출 위험을 내포하고 있다. 당시 SEQRITE는 "'APT36'이 주로 리눅스(Linux) 시스템에 초점을 맞추고 있는 반면, '사이드카피'는 윈도우(Windows) 시스템을 대상으로 하며, 공격에 사용하는 악성코드 종류를 계속해서 늘려가고 있다"고 분석했다. 이메일 피싱 활용, 악성코드 유포 최신 연구 결과는 이 해킹 그룹이 이메일을 이용한 피싱 공격을 악성코드 유포 방식으로 적극적으로 활용하고 있으며, 동시에 그들의 공격 능력이 꾸준히 발전하고 있음을 보여준다. 이들이 사용하는 이메일에는 철도 직원 휴가 목록부터 공기업인 힌두스탄 석유 공사(HPCL)에서 발행한 사이버 보안 지침에 이르기까지 다양한 내용으로 위장한 미끼 문서가 첨부되어 사용자의 의심을 피하고 악성 파일을 실행하도록 유도한다. 특히 주목할 만한 것은 윈도우와 리눅스 시스템 모두를 공격 대상으로 삼을 수 있는 활동 클러스터이다. 이들은 최종적으로 '스파크 RAT(Spark RAT)'라는 이름의 크로스 플랫폼(다양한 운영체제에서 작동하는) 원격 제어 악성 프로그램과, 시스템 정보를 수집하고, 감염된 컴퓨터에서 파일을 다운로드하고, 임의의 명령을 실행하고, 시스템 권한을 상승시키고, 사용자 계정 목록을 확인할 수 있는 '컬백 RAT(CurlBack RAT)'라는 새로운 윈도우 기반 악성코드를 유포한다. 미끼 파일 이용해 악성코드 시스템에 침투 또 다른 공격 클러스터에서는 기본적인 문자열 조작 기법을 통합한 맞춤형 버전의 '제노 RAT(Xeno RAT)'를 유포하는 다단계 감염 과정을 사용하는 것이 관찰됐다. 이들은 미끼 파일을 이용하여 악성코드를 은밀하게 시스템에 침투시키는 방식을 사용한다. SEQRITE는 "이 그룹은 악성 파일 실행 초기 단계에서 HTA 파일을 사용하는 방식에서 MSI 패키지로 전환했으며, DLL 사이드 로딩(정상적인 프로그램이 악성 DLL 파일을 대신 로드하도록 속이는 기술), 반사 로딩(악성코드를 메모리에 직접 로드하여 파일 시스템에 기록하지 않는 기술), 그리고 파워쉘(PowerShell)을 통한 AES 암호화 해제와 같은 고급 기술을 지속적으로 사용하고 있다"고 분석했다. 또한, "이들은 '제노 RAT' 및 '스파크 RAT'와 같은 맞춤형 오픈 소스 도구를 활용하고, 새롭게 발견된 '컬백 RAT'를 유포하고 있다. 탈취된 도메인과 가짜 웹사이트는 사용자 계정 정보 탈취 및 악성코드 호스팅에 사용되고 있으며, 이는 공격의 지속성을 높이고 탐지를 회피하려는 이 그룹의 끊임없는 노력을 강조한다"고 경고했다.

  • 시큐리티

  2025.04.14 17:05

• 중국發 '스미싱 트라이어드', 전 세계 121개국 금융 정보 노린다

  [시큐리티팩트=최석윤 기자] 악명 높은 중국 기반의 전자 범죄 그룹 '스미싱 트라이어드(Smishing Triad)'가 전 세계 최소 121개국의 광범위한 조직과 개인을 대상으로 활동 영역을 확장하며 사이버 보안에 심각한 위협을 가하고 있다고 13일(현지시각) 사이버시큐리티뉴스가 보도했다. 2023년부터 활발하게 활동해 온 이들은 SMS 피싱, 즉 '스미싱' 캠페인을 통해 우편, 물류, 통신, 운송, 소매, 공공 부문 등 다양한 산업을 체계적으로 공격해 왔다. '캠페인(campaign)'은 일회성 공격이 아니라, 특정 목표를 달성하기 위해 일정 기간 동안 조직적이고 계획적으로 수행되는 일련의 활동을 의미한다. 전문가들은 이들의 공격 규모가 전례 없는 수준이며, 매일 새롭게 활성화되는 악성 웹사이트의 수가 수만 개에 달할 것으로 추정하고 있다. 초기 정부 사칭에서 은행 정보 탈취로 전환 초기에는 소포 배송 문제나 정부 서비스 관련 사칭에 집중했던 스미싱 트라이어드가 최근 들어 은행 계정 정보 탈취로 공격의 중심을 옮기고 있는 것으로 분석된다. 이들은 피해자에게 마치 합법 웹사이트처럼 보이는 교묘한 복제 웹사이트로 연결하는 피싱 링크를 담은 기만적인 SMS 메시지를 대량으로 발송한다. 이러한 메시지는 종종 택배 배송에 문제가 발생했거나, 미납된 통행료가 있다는 등의 긴급한 상황을 가장하여 사용자가 무심코 악성 링크를 클릭하도록 유도하는 수법을 사용한다. 이 그룹은 탐지와 차단을 피하기 위해 도메인을 매우 빈번하게 변경하는 전략을 구사하며, 놀랍게도 8일 동안 약 2만5000개의 새로운 도메인을 온라인에 활성화시키는 치밀함을 보인다. 호주 금융기관 공략 '라이트하우스' 피싱 키트 발견 지난 3월, 사이버 보안 분석 기업 사일런트 푸시(Silent Push)의연구진은 스미싱 트라이어드가 '라이트하우스(Lighthouse)'라는 새롭고 정교한 피싱 키트를 개발하여 주요 금융 기관을 집중적으로 표적으로 삼고 있다는 사실을 밝혀냈다. 이 강력한 도구는 특히 호주 내 금융 기관과 주요 서구 은행들을 주요 공격 대상으로 삼고 있는 것으로 드러났다. 더욱 놀라운 점은 이 그룹이 사기 행각을 지원하는 '전 세계 300명 이상의 프런트 데스크 직원'을 운영하고 있다는 사실이다. 이는 스미싱 트라이어드가 막대한 자원을 보유한 고도로 조직화된 범죄 기업임을 시사하는 명백한 증거이다. 이들이 사용하는 피싱 인프라의 절반 이상은 중국의 거대 IT 기업인 텐센트(Tencent)와 알리바바(Alibaba)에 의해 호스팅되고 있다는 점도 주목할 만하다. '라이트하우스' 피싱 키트, 기능 정교 '라이트하우스' 피싱 키트는 스미싱 트라이어드의 공격 능력이 이전과는 비교할 수 없을 정도로 크게 발전했음을 보여주는 핵심적인 증거이다. 개발자 '왕두유(Wang Duo Yu)'의 유출된 텔레그램 대화 내용에 따르면, 이 키트는 '실시간 동기화, 원클릭 설정, 원클릭 업데이트, 자동 전환'과 같은 사용자 편의 기능을 제공하며, OTP(일회용 비밀번호) 인증, 앱 인증, PIN(개인 식별 번호) 인증, 3DS(3D 시큐어) 인증 등 다양한 최신 인증 방식을 모방하여 피해자를 속이는 데 특화되어 있다. '라이트하우스'와 관련된 자바스크립트 파일(index-D76-mPwS.js)에 대한 심층적인 기술 분석 결과, 페이팔, 마스터카드, 비자, HSBC를 포함한 수많은 국제적인 금융 기관과 더불어 다수 호주 은행을 구체적으로 표적으로 삼는 설정 매개변수가 확인됐다. 이 키트는 매우 정교한 다단계 검증 프로세스를 갖춘 은행 웹사이트 인터페이스의 설득력 있는 복제본을 실시간으로 생성하여 사용자가 실제 은행 사이트라고 착각하도록 정교하게 설계됐다. 공격자 맞춤형 관리 패널과 다국어 지원 '라이트하우스' 피싱 관리 패널을 통해 공격자는 피싱 공격에 사용되는 디렉터리 구조를 자유롭게 맞춤 설정하고, 특정 국가의 IP 주소를 기반으로 접근을 차단하는 IP 필터링 기능을 손쉽게 적용할 수 있다. 또한, 피해자에게 요구하는 결제 금액을 공격 상황에 따라 유연하게 조정할 수 있는 기능까지 제공된다. 특히 눈에 띄는 점은 이 관리 인터페이스가 모바일 전용 렌더링 옵션을 포함하고 있다는 것이다. 이는 스미싱 트라이어드의 공격 초점이 스마트폰 사용자를 대상으로 하고 있음을 명확히 보여준다. 키트의 세션 관리 기능은 피싱 공격 과정을 통해 피해자의 진행 상황을 실시간으로 추적하며, 자바스크립트 코드 내에 포함된 중국어 상태 메시지("当前正在首页" - 현재 홈페이지에 있음, "当前已填写完成" - 현재 작성 완료, "当前正在填卡页面" - 현재 카드 작성 페이지에 있음)는 공격자들이 중국어를 모국어로 사용하는 조직임을 다시 한번 확인시켜 준다. 사이버 보안 전문가들은 금융 기관과 사용자 모두 다단계 인증 방식을 적극적으로 도입하고, 스미싱 위협에 대한 교육을 강화하여 점점 더 정교해지는 이러한 금융 정보 탈취 공격으로부터 자신을 보호해야 한다고 강력하게 권고하고 있다.

  • 시큐리티

  2025.04.14 08:09

• 아프리카에 사이버 전쟁 발발.. 알제리 선제 해킹에 모로코 보복

  [시큐리티팩트=최석윤 기자] 모로코 해킹 그룹 '팬텀 아틀라스(Phantom Atlas)'가 알제리 해커들의 모로코 국가사회보장기금(CNSS)에 대한 대규모 데이터 유출 사건에 대한 보복으로 알제리 정부 기관들을 대상으로 사이버 공격을 시작했다고 주장하며 양국 간 사이버 갈등이 고조되고 있다. 10일(현지시각) 모로코월드뉴스에 따르면, 팬텀 아틀라스는 텔레그램 채널을 통해 CNSS 공격 발생 후 24시간 이내에 알제리 우정통신 공사(MGPTT, General Post and Telecommunications Corporation)의 내부 시스템을 성공적으로 침해했다고 발표했다. 이들은 개인 정보와 '매우 민감한 전략 문서'를 포함한 '13기가바이트 이상의 기밀 파일'을 빼냈다고 주장했으며, 일부 보도에서는 도난당한 데이터의 양이 최대 20기가바이트에 달할 수 있다고 언급하고 있다. 팬텀 아틀라스는 성명을 통해 알제리 정부를 직접 겨냥하며 "우리는 지켜보고 있으며, 능력이 있다. 앞으로 어떤 도발 행위도 표적이 되어 불균형적인 대응에 직면하게 될 것"이라고 강력하게 경고했다. 모로코 해커, 알제리 노동부 시스템 침투 주장 모로코 해커들은 여기서 멈추지 않고 알제리 노동부의 시스템에도 침투했다고 주장하며, "주요 국가 기관 내의 깊은 구조적 결함과 오랫동안 지속된 관리 부실"을 드러내는 문서를 확보했다고 밝혔다. 또한, 팬텀 아틀라스는 서사하라 분쟁에 대해 명확한 입장을 표명하며 "모로코 사하라는 논쟁의 대상이 아니며, 완전한 모로코 주권 아래 영원히 남을 것이다. 모로코는 단 한 치의 땅도 양보하지 않을 것이다"라고 강조했다. MGPTT 사무총장 제크리 마흐무드(Zekri Mahmoud)가 이번 데이터 유출 사건을 대수롭지 않게 여기려는 듯한 발언을 한 것에 대해, 팬텀 아틀라스는 오늘 아침 "거짓된 슬로건 뒤에 숨어 자신의 실패를 감추려는 사람들에게 최근의 유출 사건은 단순한 사건이 아니라 간접적인 메시지"라고 경고했다. 또한, "이 사건을 축소하려는 당신들의 시도는 결코 간과될 수 없을 것"이라며 강한 불쾌감을 드러냈다. 또 다른 모로코 조직, 알제리 정부 웹사이트 공격 이와 동시에 'OPx005'라는 또 다른 모로코 조직은 총리실, 외무부, 내무부, 국방부 등 여러 알제리 정부 웹사이트를 대상으로 대규모 분산 서비스 거부(DDoS, Distributed Denial of Service) 공격을 실행하여 웹사이트들을 마비시킨 것으로 알려졌다. DDoS 공격은 많은 수의 컴퓨터에서 동시에 특정 서버에 접속을 시도하여 서버를 과부하 상태로 만들어 정상적인 서비스를 방해하는 공격 방식이다. 알제리 해킹 그룹, 모로코 50만개 기업의 200만명 정보 빼내 이번 모로코 측의 보복 공격은 알제리 해킹 그룹 '자바루트(Jabaroot)'가 CNSS 시스템을 뚫고 약 50만 개 기업에 소속된 약 200만 명의 모로코 직원 개인 데이터를 유출한 사건에 대한 대응으로 이루어졌다. 유출된 문서에는 왕실 지주 회사인 SIGER와 모로코 수도 라바트에 있는 이스라엘 연락 사무소를 포함한 다양한 기관의 급여 명세서와 직원 목록이 포함된 것으로 알려져 충격을 주고 있다. CNSS는 9일 공식 성명을 통해 데이터 유출 사실을 인정했지만, 초기 조사 결과 유출된 문서가 "종종 거짓이거나 부정확하거나 일부 내용이 잘린 것"이라고 주장하며 피해를 축소하려는 모습을 보였다. 그러나 CNSS는 자사의 컴퓨터 시스템이 "보안 조치를 우회하려는 일련의 사이버 공격"의 표적이 되었다는 사실은 인정했다. 또한, "데이터 유출 사고가 발생하자마자 사용된 공격 경로를 차단하고 IT 인프라를 강화하는 긴급 조치와 함께 IT 보안 프로토콜이 즉시 가동되었으며, 유출된 데이터를 정확하게 파악하기 위한 조치를 취하고 있다"고 덧붙였다. 이에 대해 자바루트는 하산 부브릭(Hassan Boubrik) CNSS 사무총장의 개인 정보를 공개하며 CNSS 측에 정면으로 맞섰다. 그들은 "CNSS가 유출된 문서, 특히 고위 공무원의 급여와 관련된 내용 중 단 하나라도 거짓임을 증명할 수 있다면 즉시 사과하고 공개된 모든 데이터를 철회할 준비가 되어 있다"고 CNSS에 도전했다. 자바루트, "모로코의 괴롭힘에 대한 보복" 주장 한편, 알제리 해커 그룹인 자바루트는 초기 CNSS 공격이 "알제리 공식 소셜 미디어 페이지에 대한 모로코 측의 지속적인 괴롭힘"에 대한 보복이었다고 주장하며 공격의 배경을 설명했다. 특히 소셜 미디어 플랫폼 X(구 트위터)에서 알제리 국영 언론 서비스(APS) 계정이 정지된 사건을 구체적인 이유로 언급했다. 팬텀 아틀라스 "침략에 침묵하지 않을 것" 엄중 경고 이에 대해 팬텀 아틀라스는 자신들의 메시지를 엄중한 경고로 마무리했다. "이것은 단순한 사이버 공격이 아니다. 그것은 억지와 저항의 메시지이다. 우리는 침략에 직면하여 결코 침묵하지 않을 것이다"라고 강한 의지를 표명했다. 또한, "모로코, 모로코 국민, 그리고 모로코의 주권에 대한 모든 적대 행위는 반드시 응징될 것이다. 이것은 우리의 힘, 회복력, 그리고 전략적인 영향력을 보여주는 것이다. 당신들은 우리를 과소평가했다. 이제 그 결과를 똑똑히 목격하게 될 것이다"라며 알제리 측에 강력한 메시지를 전달했다.

  • 시큐리티

  2025.04.11 14:58

• 러시아 해킹 그룹 '가마레돈', 우크라이나 내 서방 군사 목표 공격

  [시큐리티팩트=최석윤 기자] 러시아가 배후로 알려진 해킹 그룹 '가마레돈'(Gamaredon, 일명 '슈크웜'(Shuckworm))이 우크라이나에 있는 서방 국가들의 군사 관련 목표를 집중 공격하고 있는 것으로 드러났다고 10일(현지시각) 브리핑컴퓨터가 밝혔다. 특히 이들은 이동식 저장 장치(USB 드라이브 등)를 통해 악성코드를 퍼뜨리는 방식으로 은밀하게 침투하고 있어 주의가 요구된다. 보안 기업 시만텍 "2월부터 지속 공격" 밝혀 글로벌 사이버 보안 기업 시만텍(Symantec)의 위협 연구팀은 이 공격이 지난 2월에 시작되어 3월까지 이어진 것으로 분석했다. 연구팀에 따르면, 가마레돈 그룹은 표적 시스템에서 민감한 정보를 빼내기 위해 '감마스틸(GammaSteel)'이라는 정보 탈취 악성코드의 업데이트된 버전을 사용했다. 감염된 시스템에 대한 최초 접근 경로는 악성 '.LNK' 파일, 즉 바로가기 파일이었는데, 이는 가마레돈 그룹이 과거에도 자주 사용했던 침투 방식이다. 공격 방식 진화.. 은폐·회피 기술 강화 시만텍 연구팀은 이번 공격에서 가마레돈 그룹의 전술에 주목할 만한 변화가 감지되었다고 밝혔다. 과거에는 악성 VBS 스크립트를 주로 사용했지만, 이번에는 파워쉘(PowerShell) 기반의 도구를 활용하는 빈도가 늘었다. 또한, 악성코드 활동을 숨기기 위한 난독화(코드를 알아보기 어렵게 만드는 기술) 수준을 높이고, 합법 서비스를 악용하여 탐지를 회피하려는 시도가 증가한 것으로 분석됐다. 이번 조사 과정에서 연구팀은 감염된 시스템의 윈도우 레지스트리에서 'UserAssist' 키 아래에 새로운 값이 생성된 것을 발견했다. 이는 'files.lnk'라는 이름의 바로가기 파일이 외부 드라이브, 즉 이동식 저장 장치를 통해 감염이 시작되었음을 시사하는 중요한 증거이다. 악성 스크립트 실행, C2 서버 통신 감염 이후, 난독화 처리된 악성 스크립트는 두 개의 파일을 생성하고 실행한다. 첫 번째 파일은 공격자의 명령 및 제어(C2) 서버와 통신을 담당한다. 이 과정에서 합법 서비스를 이용하여 실제 서버 주소를 숨기고, 클라우드플레어(Cloudflare)로 보호된 URL을 통해 통신을 시도한다. 두 번째 파일은 LNK 파일을 이용하여 다른 이동식 드라이브와 네트워크 드라이브를 감염시키는 확산 메커니즘을 처리한다. 동시에 특정 폴더와 시스템 파일을 숨겨 시스템 손상 위험을 은폐하려는 시도를 보인다. 정보 수집·유출.. 스크린샷, 백신 정보, 파일 탈취 다음 단계에서 가마레돈 그룹은 감염된 장치의 스크린샷을 찍어 유출하고, 설치된 백신 프로그램 목록, 파일 정보, 실행 중인 프로세스 목록 등 시스템 정보를 수집하는 정찰용 파워쉘 스크립트를 사용했다. 최종적으로 사용된 악성 페이로드는 윈도우 레지스트리에 저장된 파워쉘 기반의 업데이트된 감마스틸(GammaSteel) 정보 탈취 악성코드였다. 이 악성코드는 바탕화면, 문서, 다운로드 폴더 등 다양한 위치에서 문서 파일(.DOC, .PDF, .XLS, .TXT)을 훔칠 수 있어, 가마레돈 그룹의 지속적인 정보 탈취 활동에 대한 관심을 다시 한번 확인시켜준다. 탈취된 파일은 'certutil.exe'라는 합법적인 명령줄 도구를 사용하여 해시 처리된 후, 파워쉘 웹 요청을 통해 외부로 유출된다. 만약 유출에 실패할 경우, 가마레돈 그룹은 익명 통신 네트워크인 Tor(토르)를 통해 cURL(명령줄 웹 요청 도구)을 사용하여 훔친 데이터를 전송하는 치밀함을 보였다. 마지막으로, 공격자들은 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run' 레지스트리 키에 새로운 값을 추가하여 대상 컴퓨터에서 악성코드가 지속적으로 실행되도록 설정했다. 기술 개선, 서방 네트워크 위협 수준 높아져 시만텍 측은 이번 가마레돈 그룹의 최신 공격 캠페인이 다른 러시아 정부 배후 해킹 그룹에 비해 기술적인 정교함은 제한적일 수 있지만, 작전 은폐성과 효율성을 높이려는 뚜렷한 노력을 보여준다고 분석했다. 특히 가마레돈 그룹의 끈질긴 공격 성향을 고려할 때, 이들의 전술, 기술 및 절차(TTP)가 점진적이지만 의미 있게 개선되고 있다는 점은 서방 네트워크에 대한 위협 수준이 더욱 높아졌음을 의미한다고 시만텍은 경고했다. 이동식 저장 장치를 이용한 침투 방식은 초기 감염 경로를 숨기고 탐지를 어렵게 만들 수 있어 더욱 주의가 필요하다.

  • 시큐리티

  2025.04.11 10:49

• 핀란드 Qt그룹, CVE 보안취약점 자체관리 기관 공식 지정

  [시큐리티팩트=김상규 기자] Qt그룹(Qt Group)이 국제 사이버 보안 표준 프로그램인 CVE로부터 보안취약점 자체관리 기관(CAN)으로 공식 선정됐다. 이번 지정을 통해 Qt는 자사 제품에서 발견된 보안 취약점에 대해 고유 식별번호를 직접 발급하고 이를 공식적으로 등록할 수 있는 권한을 확보하게 됐다. 이번 CNA 지정은 Qt의 전사적 보안 전략을 상징하는 이정표로, ISO/IEC 27001:2022 보안 인증 취득, 사전 경고 리스트 도입, 소프트웨어 구성 요소 목록(SBOM) 제공, 장기 지원 버전의 지원 기간 확대 등 기존 보안 활동과 함께 유럽연합의 사이버 복원력법(CRA)을 포함한 글로벌 보안 규제 대응에 중대한 진전을 의미한다. CVE 프로그램은 전 세계 보안 커뮤니티가 협력해 보안 취약점을 표준화된 방식으로 식별·공유함으로써 조직과 전문가들이 보다 신속하고 정확하게 사이버 위협에 대응할 수 있도록 지원하는 국제 프로그램이다. CNA는 개별 취약점에 대한 고유 ID를 부여하고 이를 공식적으로 등록하는 역할을 수행한다. Qt 그룹의 연구개발(R&D) 디렉터 카이 쾨네는 “이번 CNA 지정은 Qt가 보안 대응에 있어 보다 신속하고 투명하게 접근할 수 있도록 한다. 고객과 커뮤니티에 신뢰할 수 있는 고품질 보안 정보를 제공하고, 안전한 개발 환경을 조성하는 데 있어 중요한 전환점이 될 것”이라고 밝혔다. Qt는 앞으로도 보안 관련 투자와 글로벌 협력을 지속 확대해 나가며 제품 및 서비스의 보안 신뢰도를 더욱 강화해 나갈 예정이다. 핀란드에 본사를 둔 Qt 그룹은 Qt 개발 프레임워크를 상용 라이선스와 오픈소스 라이선스로 개발 및 배포하고 있다. 전 세계에서 100만 명이 넘는 Qt 개발자들이 차량용 인포테인먼트 시스템(IVI), 자동화 시스템(Automation), 의료 (Medical), 가전 제품 및 군사용 소프트웨어에 이르기까지 70여 종류의 다양한 산업군에서 핵심적인 소프트웨어 개발에 Qt 개발 프레임워크를 사용하고 있다.

  • 시큐리티

  2025.04.11 10:22

• 은둔 왕국을 해킹 초강대국으로.. 북한 '라자루스 그룹' 실체

  [시큐리티팩트=최석윤 기자] 10일(현지시각) 아일랜드 인디펜던트는 "북한의 '라자루스 그룹'은 어떻게 은둔의 왕국을 세계적인 해킹 초강대국으로 만들었는가"라는 제목의 기획 기사를 통해 '라자루스 그룹'의 범죄 행각을 자세히 보도했다. 겉으로 보기에 '매트(Matt)'는 회사의 늘어나는 IT 수요를 완벽하게 충족시켜줄 인재였다. 작은 소프트웨어 회사에서 일한 경력에, 스스로 시작하는 동시에 팀워크도 중시한다는 이력서는 매력적이었다. 화상 면접에서도 좋은 인상을 남긴 그는 곧 채용되어 다른 직원들이 꺼리는 야간 근무를 집에서 처리하게 되었다. 하지만 회사가 랜섬웨어 공격을 받은 지 불과 몇 주 만에, '팀 플레이어' 매트의 진짜 정체가 드러난다. 그의 진짜 보스는 북한 정부였고, 그는 북한에서 훈련받은 엘리트 해커 팀의 일원이었다. 그에게 훌륭한 추천서를 써준 소프트웨어 회사는 가짜였고, 그의 면접조차 AI 소프트웨어를 이용해 다른 사람의 영상을 송출하는 가짜였다. 다행히 회사는 사이버 공격 보험에 가입되어 있었고, 100만 파운드(약 18억원)를 지불하는 조건으로 매트는 데이터를 삭제하지 않기로 합의한다. 하지만 북한 해커들의 교묘한 속임수에 넘어간 모든 이들이 이렇게 쉽게 벗어나는 것은 아니다. 지난 2월 두바이에 본사를 둔 암호화폐 거래소 바이비트에 대한 파괴적인 공격이 이를 증명한다. 영화보다 더 영화 같은 '라자루스 그룹'의 범죄 행각 위에서 설명한 가상 시나리오와 유사한 수법을 사용한 것으로 추정되는 이 급습에서, 평양의 한 팀은 범죄 역사상 가장 큰 규모인 15억 달러(약 2조1700억원)를 훔쳤다. 이 금액은 1983년 런던 브링크스매트 금고 강도 사건에서 도난당한 2600만 파운드(약 480억원)의 거의 50배에 달하며, 브래드 피트와 조지 클루니가 출연한 영화 '오션스 시리즈'세 편의 범죄 수익을 모두 합친 것보다 더 많다. 실제로 평양 사이버 범죄 조직으로 악명 높은 라자루스 그룹(Lazarus Group)의 범죄 수법은 그 자체로 영화 프랜차이즈를 만들 수 있을 정도이다. 2016년, 그들은 국제 은행 간 통신망인 스위프트(SWIFT) 시스템을 통해 거의 1억 달러(약 1450억원)를 훔친 방글라데시 중앙은행 해킹 사건을 주도했다. 이듬해에는 전 세계적으로 워너크라이(WannaCry) 공격을 일으켜 150개국의 구형 윈도우 시스템을 마비시키기도 했다. 북한에서 어떻게 세계 최고 해커 집단이 나왔나 라자루스 그룹의 놀라운 실력은 폐쇄적이고 권위주의적인 국가라는 북한의 이미지를 고려할 때 더욱 놀랍다. 대다수 국민이 인터넷 연결은 고사하고 휴대폰조차 제대로 사용하지 못하는 나라(인터넷은 수천 명의 고위 간부에게만 허용된 특권)에서, 어떻게 컴퓨터를 다룰 줄 아는 인재를 찾고, 매년 수억 달러 상당의 돈을 훔치는 세계 최고 수준의 해커로 성장할 수 있었을까? 그 답을 찾기 위해서는 1990년대 후반으로 거슬러 올라가야 한다. 당시 수줍음 많던 십 대 북한 학생이 스위스의 호화로운 기숙학교에 등록하면서 다른 학생들에게 자신이 평양 외교관의 아들이라고 소개했다. 사실 그는 훗날 북한의 최고 지도자가 되는 김정은이었고, 그의 아버지이자 당시 북한의 최고 지도자였던 김정일은 외부 세계에 대해 배우도록 그를 비밀리에 파견했다. 눈에 띄지 않는 평범한 학생이었던 김정은은 비디오 게임을 하며 많은 시간을 보냈다. 하지만 그는 컴퓨터가 현대 생활의 중심이 되고 있다는 것을 예리하게 인식했다. 그리고 몇 년 후 그와 그의 형 김정철이 북한으로 돌아왔을 때, 그 깨달음은 아버지에게 전달되었다. 2016년 한국으로 망명한 태용호 전 런던 주재 북한 대사는 "그들이 아버지를 깨우쳐 준 사람들이었다"고 말했다. 김정일은 이러한 컴퓨터와 네트워킹의 장점을 빠르게 파악했다. 태 전 대사에 따르면 김정일은 컴퓨터화를 단순히 경찰 국가를 운영하는 '더 효율적인' 방법으로 여겼고, 곧 첨단 기술 스파이, 간첩 활동, 전쟁을 전문으로 하는 특별 학교를 설립했다. 김정은 체제에서 더욱 강화된 사이버 공격 역량 2011년 김정은이 아버지 사망 후 권력을 잡으면서 이러한 추세는 더욱 가속화됐다. 그리고 5년 후, 북한 해커들은 한국의 군사 기밀 문서를 훔쳐냄으로써 상당한 '배당금'을 챙겼다. 이 문서에는 한국의 북한 침공 시나리오와 김정은 암살 계획 등 민감한 정보가 담겨 있었다. 하지만 자기 보존을 위한 도구로 시작된 사이버 공격은 점점 더 자기 충족을 위한 수단으로 변모하고 있다. 북한의 핵무기 프로그램에 대한 국제 제재로 인해 북한 경제가 어려움을 겪는 상황에서, 라자루스 그룹이 불법적으로 얻는 수익은 이제 중요한 외화 수입원이 되었다. 2023년 유엔 감시단은 사이버 절도가 북한 총 외화 수입의 절반을 차지한다고 보고했으며, 이 수익금의 대부분은 무기 개발 프로그램에 사용되는 것으로 추정된다. 체계적인 해커 양성 시스템과 끊임없는 집념 오늘날 북한 사이버 부대는 8000명 이상으로 추정되며, 이들 대부분은 학교에서 선발된 재능 있는 수학 전공 학생들이다. 이들을 모집하고 훈련하는 시스템은 냉전 시대 소련이 운동선수와 체스 신동을 육성하기 위해 사용했던 방식과 유사하다. 가족과 떨어져 오랜 시간 동안 고된 훈련을 받는 것이다. 하지만 라자루스 그룹의 성공은 단순히 뛰어난 기술력 때문만은 아니다. 은행 강도가 기관의 약점을 잘 아는 내부자를 이용하는 것처럼, 대부분의 사이버 공격은 '피싱' 이메일을 보내거나 사람들을 속여 비밀번호를 알아내는 등 '인간의 심리적 취약점'을 이용한다. 미국 사이버 보안 회사 시큐어웍스(SecureWorks)의 북한 전문가 사라 컨(Sarah Kern)은 "가장 중요한 것은 끈기에 달려 있다"고 말한다. 그는 "북한 해커들은 수개월 또는 그 이상에 걸쳐 사회 공학적 대화와 관계를 구축하여 잠재적 목표와 신뢰를 쌓아, 결국 악의적 행위를 위한 연결 고리를 열 수 있을 만큼 자신들을 믿게 만든다"고 밝혔다. 이는 바이비트 공격에도 사용된 수법으로 추정되지만, 바이비트는 해커의 정확한 침투 방법을 공개하지 않았다. 컨 전문가는 해커들이 블록체인 엔지니어와 소프트웨어 개발자들의 온라인 커뮤니티에 침투하여 서서히 관계를 구축해 나간다고 설명한다. 유럽 사이버 보안 회사 ESET의 전직 경찰 사이버 보안 전문가 제이크 무어(Jake Moore)에 따르면, 해커들은 또한 아첨을 이용한다. 한 가지 전술은 링크드인에서 온라인 헤드헌터로 가장하여 고액 연봉을 제시하며 소프트웨어 개발자에게 접근하는 것이다. 북한은 '가장 정교한 암호화폐 세탁 조직' 바이비트 해킹 사건 발생 직후, 해커들은 자금 출처를 숨기기 위해 다른 거래소와 콜드 월렛 네트워크를 통해 훔친 돈을 빠르게 이동시켰다. 전문가들은 북한이 특히 이 분야에 능숙하며, 일부는 북한을 '가장 정교한 암호화폐 세탁 조직'이라고까지 평가한다. 하지만 라자루스 그룹의 모든 해킹 활동이 대규모 절도와 관련된 것은 아니다. 아일랜드 인디펜던트에 따르면, 지난해 미국 검찰은 수천 명의 북한 해커들이 미국과 유럽에서 원격 근무 IT 전문가로 고임금 일자리를 구하고 있다고 경고했다. 이는 오늘날 보편화된 재택근무 환경에서 많은 직원들이 회사 사무실에 출근하지 않는다는 점을 악용한 것이다. 미국 검찰은 기술직에 지원하기 위해 온라인에서 미국 시민으로 위장한 14명의 북한 주민에 대해 500만 달러(약 72조원)의 현상금을 걸었다. 일부는 심지어 실제 미국인 공범을 고용하여 면접에 대신 참석시키기도 했다. 공격 목적은 단순히 정기적인 급여를 받는 것처럼 보였지만(일부 직업은 연간 30만 달러(약 4억3000만원)에 달했다), 해커들은 종종 랜섬웨어 공격을 통해 고용을 종료했다. 한편, 이러한 침투를 통해 그들은 미국 기업의 기술 시스템 운영 방식에 대한 귀중한 실무 경험을 얻고 있었다. '인간 심리' 파고드는 사회 공학적 해킹의 위협 이러한 일이 자신에게는 절대 일어나지 않을 것이라고 생각하는 고용주들을 위해, 제이크 무어 전문가는 자신이 자문했던 영국 로펌에서 진행했던 '사회 공학적 실험'에 대한 경고 이야기를 들려준다. 그는 젊고 매력적인 여성 법학도 '제시카'의 가짜 온라인 프로필을 만들었고, 제시카는 링크드인을 통해 회사 직원 100명에게 구직 메시지를 보냈다. 그녀가 이력서를 이메일로 보내도 괜찮겠냐는 문의에, 세 명의 직원이 긍정적인 반응을 보였고 심지어 그녀에게 술 약속을 제안하기도 했다. 무어 전문가는 "이력서 안에는 악성코드 조각이 숨겨져 있었는데, 이는 실제 해커가 침투할 수 있는 통로를 제공했을 것이다. 회사 대부분은 속지 않았지만, 세 명이나 속았고 심지어 그녀에게 만나서 술을 마시고 싶다고 물어보기까지 했다. 해커는 사람들이 생각하는 것보다 훨씬 쉽게 활동할 수 있다"라고 경고했다. 북한의 라자루스 그룹은 은둔의 왕국을 넘어 전 세계를 상대로 사이버 공격을 감행하는 강력한 해킹 조직으로 성장했다. 그들의 성공 뒤에는 국가 차원의 체계적인 인재 양성 시스템, 끊임없는 기술 개발 노력, 그리고 인간 심리의 취약점을 교묘하게 파고드는 사회 공학적 기법이 자리 잡고 있다. 국제 사회의 제재 속에서 외화벌이를 위한 수단으로까지 활용되는 북한의 사이버 공격 능력은 앞으로도 전 세계에 끊임없는 위협이 될 것으로 보인다.

  • 시큐리티

  2025.04.11 07:30

• 오라클, 해킹 '부인' 논란 속 고객에 뒤늦은 통지...비판 쇄도

  [시큐리티팩트=최석윤 기자] 세계적인 IT 기업 오라클이 최근 발생한 사이버 보안 사고와 관련하여 고객들에게 뒤늦게 서면 통지를 시작했지만, 사건 초기 해킹 사실을 부인하고 소극적인 태도를 보여 거센 비판에 직면하고 있다고 9일(현지시각) 시큐리티위크가 보도했다. 사건의 발단은 지난 3월 20일, 한 해커가 온라인 사이버 범죄 포럼을 통해 오라클 클라우드 서버를 해킹했다고 주장하면서 시작됐다. 이 해커는 암호화되거나 해시 처리된 사용자 계정 정보를 포함하여 14만 개 이상의 사용자(테넌트)와 관련된 수백만 건 기록을 판매하겠다고 공언했다. 오라클, 초기 '완강 부인'… 정보 유출 정황 속 '말 바꾸기' 하지만 오라클은 초기 대응에서 자사의 오라클 클라우드 시스템이 해킹당했다는 주장을 강하게 부인하며, 해킹 자체를 전면 부인하는 듯한 태도를 보였다. 그러나 해커는 훔쳤다고 주장하는 정보의 일부를 온라인에 유출하기 시작했고, 보안 전문가들은 해당 정보가 실제 유출된 것일 가능성이 높다고 평가했다. 심지어 일부 오라클 고객들은 자신들의 데이터가 유출된 정보에 포함되어 있다는 사실을 확인하면서 오라클 주장에 신뢰성이 떨어진다는 지적이 잇따랐다. 점점 더 많은 증거들이 오라클 시스템에 영향을 미치는 데이터 유출을 가리키자, 오라클은 기존 공식 부인과는 달리 일부 시스템이 실제로 침해당했다는 사실을 고객들에게 비공식으로 알리기 시작했다. 다만, 이 과정에서도 오라클은 자사 핵심 클라우드 시스템인 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 강조하며 논란을 증폭시켰다. 사건 발생 2주 넘어 고객에 서면 통지 해킹 사건이 처음 알려진 지 2주가 넘은 4월 7일, 오라클은 마침내 고객들에게 서면 알림을 발송하기 시작했다. 이 공식 알림에서도 오라클은 오라클 클라우드 인프라스트럭처(OCI)는 "보안 침해를 경험하지 않았다"고 재차 강조했다. 보안 전문가 맥스 솔론스키(Max Solonski)가 입수한 해당 알림 이메일에서 오라클은 "OCI 고객 환경에 침투한 적이 없다. OCI 고객 데이터를 보거나 도난당한 적이 없다. 어떤 식으로든 OCI 서비스가 중단되거나 손상되지 않았다"라고 명확히 선을 그었다. 하지만 이 알림은 동시에 "해커가 OCI 일부가 아닌 두 개의 구형 서버에서 사용자 이름에 접근하여 이를 게시했다"는 사실을 인정했다. 오라클은 "해커는 두 서버 비밀번호가 암호화되거나 해시 처리되어 있었기 때문에 실제 사용 가능한 비밀번호를 노출시키지는 못했다. 따라서 해커는 고객 환경이나 고객 데이터에 접근할 수 없었다"라고 덧붙였다. 해커가 암호화된 비밀번호를 해독할 수 없다는 점을 강조한 것이다. 보안 전문가들, 오라클 '미흡한 대응' 쓴소리 하지만 보안 전문가인 솔론스키를 비롯한 많은 이들은 이번 사건에 대한 오라클의 대응 방식을 강하게 비판하고 있다. 솔론스키는 해커가 비록 암호화된 비밀번호를 당장 해독할 수 없다고 하더라도, 미래에는 충분히 가능성이 있을 수 있다고 지적했다. 더욱이 해커가 사용자 이름만 확보했다 하더라도, 이는 충분히 개인 정보에 해당하며 고객 데이터로 간주될 수 있다고 강조했다. 이번 사건을 꾸준히 주시해 온 보안 연구원 케빈 보몬트(Kevin Beaumont) 역시 오라클 대응을 "극도로 민감한 데이터를 관리하는 회사에 대해 매우 형편없는 대응"이라고 강하게 비난했다. 보몬트 연구원은 해커가 오라클의 초기 구형 클라우드 서비스에 사용되던 서버(일명 Gen1 서버)를 표적으로 삼았을 가능성이 있다고 추측한다. 이러한 추측은 오라클이 자사 핵심 클라우드 서비스 OCI 침해는 단호히 부인하면서도, 일부 시스템 침해 사실은 인정하는 모순적인 태도를 설명해 줄 수 있다. 해킹 방법, 유출 데이터 시점 등 풀리지 않은 숙제로 현재까지 오라클 시스템 해킹에 사용된 구체적인 방법과 유출된 데이터의 정확한 생성 시점 등 몇 가지 중요한 질문들은 여전히 풀리지 않은 숙제로 남아 있다. 일부 보도에 따르면 오라클 시스템은 오래된 보안 취약점을 이용하여 침해된 것으로 알려졌다. 데이터 생성 시점에 대해서도 오라클은 고객들에게 오래된 데이터라고 설명했지만, 일부 보도에서는 2024년부터의 데이터이며 해커는 2025년부터 해당 데이터에 접근했다고 주장하는 등 진실 공방이 이어지고 있다. 결국 이번 오라클의 사이버 보안 사고 대응은 초기 안일한 부인과 뒤늦은 소극적인 정보 공개로 인해 고객들의 불신을 키우고, 기업의 신뢰도에 심각한 타격을 입혔다는 평가를 받고 있다.

  • 시큐리티

  2025.04.10 10:18