• 최종편집 2025-04-18 (금)

시큐리티
Home >  시큐리티  > 

실시간 기사

  • 안랩, 차세대 네트워크 통합 보안 솔루션 ‘안랩 XTG’ 출시
    [시큐리티팩트=김상규 기자] 안랩이 최신 네트워크 보안 기능을 대폭 강화한 차세대 네트워크 통합 보안 솔루션 ‘AhnLab XTG(안랩 XTG)’를 출시했다. ‘안랩 XTG’는 안랩의 고성능 방화벽 역량과 제로트러스트네트워크액세스(ZTNA), 소프트웨어기반 네트워크 기술(SD-WAN) 등 최신 네트워크 보안 기능을 기반으로 유연하고 강력한 네트워크 통합 보안을 제공한다. 또한‘안랩 트러스가드’의 보안 역량을 바탕으로 트래픽 처리 성능과 시스템 안정성을 대폭 강화한 고성능 방화벽 기능을 갖췄다. 이와 함께 안랩 트러스가드가 지원하는 애플리케이션 제어, 침입 방지(IPS), DDoS 대응, 암호화 트래픽 검사, 가상 시스템 분리 등 다양한 고급 보안 기능을 제공한다. 강석균 안랩 대표는 “안랩 XTG는 안랩이 2005년‘안랩 트러스가드 3100’ 출시로 네트워크 보안 시장에 진출한 이후 20년간 축적해온 네트워크 보안 노하우가 반영된 제품”이라며, “고객의 네트워크 보안 환경을 보다 안전하게 보호하고 고도화되는 위협에 선제적으로 대응할 수 있는 기반을 제공할 것”이라고 말했다.
    • 시큐리티
    2025.04.07 10:20
  • 페스카로, 특수 모빌리티 분야로 사이버보안 사업 확장
    [시큐리티팩트=김상규 기자] 페스카로가 커넥티드 및 자율주행을 통해 스마트화되고 있는 농기계·건설기계 등 특수 모빌리티 분야로 사이버보안 사업을 확장한다고 3일 밝혔다. 모빌리티 산업 전반에 걸쳐 디지털 전환이 가속화되며 사이버보안의 중요성이 부각되고 있다. 최근 5년 간 유럽연합(EU), 중국, 한국 등 다양한 국가에서 자동차 사이버보안 법규를 제정하며 보안 강화에 나섰다. 이어 지난해에는 EU가 디지털 생태계의 안전을 위한 사이버복원력법(CRA)을 채택하며, 농기계와 건설기계 등으로 사이버보안 규제가 확대될 예정이다. CRA 인증이 농기계와 건설기계 제조업체의 글로벌 경쟁력을 입증하는 핵심 요건이 될 것으로 전망됨에 따라 CRA에 대응할 수 있는 전문 기업들이 주목받고 있다. 페스카로는 자동차 사이버보안 법규에 성공적으로 대응했던 경험과 기술력을 바탕으로 농기계 및 건설기계에서도 경쟁력을 확보할 것으로 기대한다. 페스카로는 글로벌 승용차 및 상용차 제작사들의 유럽 법규(UN R155· UN R156) 대응을 성공적으로 지원하며, 세계 4대 자동차 사이버보안 인증 컨설팅 ‘그랜드슬램’을 국내 최초로 달성했다. 인증 컨설팅, TARA(위협분석 및 위험평가), 보안솔루션, 보안테스팅 등 사이버보안 법규 대응을 위한 솔루션을 원스톱으로 제공함으로써 전문 기술력을 입증했다. 이러한 전문성을 기반으로 복잡한 사이버보안 규제 대응 업무를 간편하게 만들어줄 자동화 솔루션, CSMS 포털(Portal)을 올해 6월에 출시할 예정이다. 최근 독일 기반의 글로벌 인증평가기관 티유브이노르트(TUV NORD)와 업무협약(MOU)을 체결하며 법규 인증 사업에서의 역량도 한층 강화했다. 구성서 페스카로 상무는 “현재 다양한 국내외 농기계 및 건설기계 제조업체들로부터 관련 문의가 이어지고 있으며, 고객사 환경에 최적화된 솔루션을 제안하며 본격적인 대응 준비를 마쳤다”라며, “이를 기반으로 자동차 산업을 넘어 전체 모빌리티 분야로 사업을 적극 확장할 것”이라고 강조했다.
    • 시큐리티
    2025.04.03 22:08
  • 카스퍼스키 EDR, 3년 연속 AV-Comparatives EPR 테스트 ‘리더’ 선정
    [시큐리티팩트=김상규기자] 카스퍼스키 EDR 솔루션이 3일 AV-Comparatives의 2024년 엔드포인트 예방 및 대응(EPR) 테스트에서 3년 연속 최고 등급인 '전략적 리더'로 선정됐다. 카스퍼스키 측은 이 솔루션이 합리적인 비용과 높은 운영 정확성을 유지하면서도 사이버 공격 예방과 대응에 탁월한 효과를 보여 3년 연속으로 인정받았다고 밝혔다. AV-Comparatives는 12개 엔드포인트 보안 솔루션을 대상으로 50가지의 실제 공격 시나리오를 적용하여 위협 차단 능력과 정교한 공격에 대한 분석 정보를 제공하는 능력을 평가했다. 테스트 결과, 카스퍼스키 EDR은 50개 모든 공격 시나리오의 1, 2단계에서 액티브 및 패시브 대응 모두 100% 성공률을 기록했으며, 통합 예방/대응 성능에서 99.3%로 전체 1위를 차지했다. 특히, 파일 분석 중에도 시스템 멈춤 현상 없이 원활한 작업을 보장하여 업무 지연 비용이 전혀 발생하지 않았다는 점이 눈에 띈다. 더불어 총 소유 비용(TCO) 또한 업계 최저 수준을 나타냈다. 카스퍼스키의 위협 연구 책임자인 알렉산더 리스킨은 "카스퍼스키는 뛰어난 탐지 및 대응 능력은 물론, 업무 흐름 방해 없이 쾌적한 사용자 경험을 제공하기 위해 지속적으로 기술을 발전시켜 왔다. 이번 엄격한 독립 테스트를 통해 이러한 노력이 인정받게 되어 매우 기쁘다"라고 소감을 전했다.
    • 시큐리티
    2025.04.03 22:00
  • 러시아, 급증하는 ‘사이버 사기’에 칼 빼들다
    [시큐리티팩트=최석윤 기자] 러시아 내 금융 사이버 범죄가 기록적인 수준으로 치솟자, 블라디미르 푸틴 러시아 대통령이 시민들을 사이버 사기로부터 보호하기 위한 강력한 법안에 최종 서명하며 사이버 보안 강화에 본격적으로 나섰다고 2일(현지시각) 더레코드가 보도했다. 이번에 발효된 법안은 국가 기관, 은행, 그리고 일일 이용자 수가 50만 명 이상인 주요 디지털 플랫폼들이 업무상 커뮤니케이션 때 외국산 메신저 앱을 사용하는 것을 엄격히 금지하는 내용을 핵심으로 담고 있다. 이는 정보 유출과 보안 취약성에 대한 우려를 해소하고, 국가 차원의 디지털 보안을 강화하기 위한 조치로 풀이된다. 이와 함께, 공격자들이 발신자 번호를 조작하여 타인을 사칭하는 수법의 금융 사기를 예방하기 위해, 조직들은 수신 전화에 발신자의 공식 명칭을 명확하게 표시하도록 의무화된다. 이를 통해 시민들은 발신자를 쉽게 식별하고, 의심스러운 전화에 대한 경각심을 높일 수 있을 것으로 예상된다. 사이버 범죄에 연루된 개인들을 효과적으로 추적하고 대응하기 위해 국가가 운영하는 정보 시스템 구축을 의무화하는 조항도 포함됐다. 러시아 의회는 끊임없이 증가하는 사이버 사기와 개인 정보 유출 사례에 대한 심각한 우려를 표하며, 이러한 선제 조치들이 국민들의 금융 자산을 보호하는 데 필수적이라고 강조했다. 지난해 사기 피해액 4700억 육박 러시아 중앙은행의 최근 발표에 따르면, 지난해 한 해 동안 사기범들은 러시아 은행 계좌에서 275억 루블 (약 4700억원)에 달하는 금액을 탈취한 것으로 드러났다. 이는 전년 대비 74.4%나 증가한 수치로, 러시아 내 금융 사기 문제가 얼마나 심각한 수준에 도달했는지 여실히 보여준다. 사기 수법의 대부분은 공격자들이 악성 소프트웨어를 유포하거나, SMS 메시지의 피싱 링크, 허위 광고 등 사회공학적 기법을 활용하여 피해자들의 모바일 뱅킹 앱 접근 권한을 탈취하는 방식으로 이루어졌다. 금융 기관들 역시 예외없이 사이버 공격으로 받는 피해가 증가했다. 러시아 은행들은 사이버 사고와 관련하여 신용 기관으로부터 750건 이상의 보고를 받았으며, 특히 다수 서버에 동시 접속을 시도하여 시스템을 마비시키는 분산 서비스 거부 (DDoS) 공격이 가장 빈번하게 발생한 것으로 나타났다. 러시아 의회는 이처럼 급증하는 사이버 범죄의 주요 원인 중 하나로 대규모 개인 정보 유출 사태를 지목했다. 현지 전문가들 분석에 따르면, 지난 한 해 동안 해커들은 약 2억 8600만 건의 러시아 고유 전화번호와 9600만 건의 이메일 주소를 유출했으며, 특히 금융 부문에서 유출된 개인 정보 양이 가장 많은 것으로 확인됐다. 디지털 생태계 통제 강화 움직임 이러한 심각한 위협에 대응하기 위해 푸틴 대통령은 이미 지난해 11월, 데이터 유출과 개인 정보의 불법 유통에 대한 행정과 형사 처벌을 대폭 강화하는 법안에 서명한 바 있다. 이와 유사한 시기에, 국영 통신 대기업 로스텔레콤 CEO는 러시아 전체 시민의 개인 데이터가 유출되어 온라인상에 광범위하게 유포되었다고 밝혀 충격을 주었다. 러시아 최대 금융 기관 중 하나인 스베르방크 역시, 이번 대규모 정보 유출 사태로 인해 러시아 사용자 데이터의 약 90%가 영향을 받았을 것으로 추정했다. 크렘린궁은 사이버 위협에 대한 우려와 더불어 고조되는 지정학적 긴장 속에서, 러시아의 디지털 생태계에 대한 통제력을 더욱 강화하려는 움직임을 노골적으로 드러내고 있다. ‘비우호 국가’ 사이버 보안 서비스 금지 광범위한 사이버 보안 강화 노력의 일환으로, 푸틴 대통령은 이전에 ‘비우호 국가’의 사이버 보안 서비스 사용을 금지하는 조치를 단행하기도 했다. 이러한 제재는 GitHub와 같은 국제적 오픈 소스 저장소는 물론, 외국 클라우드 서비스와 보안 기술 전반을 대상으로 한다. 러시아의 외국 기술 서비스에 대한 강경한 입장은 크렘린의 디지털 격리 정책과 맥을 같이하며, 러시아 현지 기업들이 국가가 통제하는 인프라로 전환하도록 압박하는 요인으로 작용하고 있다. 한편, 지난 3월 초 러시아 인터넷 사용자들은 광범위한 서비스 중단 사태를 겪었는데, 당시 규제 당국은 이를 ‘외국 서버 인프라’ 문제로 설명했다. 하지만 현지 전문가들은 이러한 혼란이 사이버 공격 상황에서도 웹사이트의 보안 유지, 빠른 로딩 속도, 그리고 안정적 접속 환경을 지원하는 미국의 대표적 콘텐츠 전송 네트워크 (CDN) 서비스인 클라우드플레어(Cloudflare)를 러시아가 차단했기 때문에 발생한 것이라고 분석했다.
    • 시큐리티
    2025.04.03 13:44
  • ‘클라우드 데이터 유출’ 부인하는 오라클.. 하지만 “위험하다”
    최근 오라클 클라우드 서비스에서 대규모 데이터 유출 가능성이 제기되며 사용자들의 불안감이 증폭되고 있다고 2일(현지시각) 다크리딩이 보도했다. 오라클 측은 클라우드 인프라 서비스 침해 사실을 강력히 부인하고 있지만, 보안 전문가들은 사용자들에게 선제적인 대응을 촉구하고 있다. 이번 논란은 해커 'rose87168'이 사이버 범죄 포럼에서 오라클의 싱글 사인온(SSO)과 경량 디렉토리 액세스 프로토콜(LDAP) 시스템에서 확보한 것으로 추정되는 약 600만 개의 레코드를 판매하려 시도했다는 보고가 나오면서 시작됐다. 유출된 데이터에는 암호화된 SSO 비밀번호, Java KeyStore(JKS) 파일, 키 파일, 14만 개 이상의 오라클 클라우드 고객 관련 엔터프라이즈 관리자 JPS 키 등이 포함된 것으로 알려졌다. 보안 전문가들은 이번 유출이 사실일 경우, 공격자들이 도난 데이터를 이용해 클라우드 환경에 침투하고 관리 권한을 확대하여 심각한 피해를 초래할 수 있다고 경고한다. 특히, 개인 식별 정보(PII)와 비밀번호가 유출되었을 경우, GDPR, HIPAA 등 관련 법규에 따라 기업들은 엄격한 준수 의무를 이행해야 한다. 트러스트웨이브(Trustwave) 연구원들은 "이번 유출은 신원 및 권한 관련 보안에 대한 심각한 침해"라며, "유출된 정보, 특히 관리자 그룹에 연결된 접근 권한은 랜섬웨어 공격, 데이터 유출, 장기간의 간첩 활동의 주요 통로가 될 수 있다"고 지적했다. 오라클의 부인에도 불구하고, 해커는 유출된 것으로 추정되는 1만 개의 레코드 샘플을 공개하며 논란은 더욱 커지고 있다. 보안 전문가들은 해당 레코드 분석 결과, 오라클 클라우드 환경 침해 가능성이 매우 높다고 판단하고 있다. 이에 따라 보안 전문가들은 오라클 클라우드 사용자들에게 다음과 같은 즉각적인 대응 조치를 권고했다. -오라클 클라우드 SSO, LDAP, 암호화된 구성 파일의 모든 자격 증명 재설정 -기존 세션 및 토큰 무효화 -오라클 클라우드 구성 요소 전반의 접근 로그, 인증 기록, 애플리케이션 동작 검토 -모든 암호화 키와 비밀 순환 -영향받는 환경에 대한 지속적인 모니터링 구현 -다중 요소 인증 시행 -휴면 및 미사용 계정 감사 및 취소 -중요 시스템 격리 및 모니터링 강화 일각에서는 오라클이 'OCI(Oracle Cloud Infrastructure)'를 구체적으로 언급하며 침해 사실을 부인하는 것에 대해 의도적으로 범위를 좁혀 책임을 회피하려는 시도라고 비판한다. 보안 연구원 케빈 보몬트는 "오라클은 매우 구체적인 단어를 사용하여 책임을 회피하려 한다"며, "무슨 일이 일어났는지, 고객에게 어떤 영향을 미치는지, 그리고 이에 대해 무엇을 하고 있는지 명확하고 공개적으로 전달해야 한다"고 강조했다.
    • 시큐리티
    2025.04.03 09:41
  • 일본, '적극적 사이버 방위법' 통과.. 공격 포착시 선제 조치
    [시큐리티팩트=최석윤 기자] 일본이 급증하는 사이버 위협에 선제 대응하기 위해 군대와 법 집행 기관에 공격적인 권한을 부여하는 '적극적 사이버 방위법'을 통과시켜 사이버 안보 태세 강화에 나섰다고 2일 다크리딩이 보도했다. 이번 법안은 수동 방어 체계를 넘어, 사이버 공격 징후 포착 시 선제 조치를 취할 수 있도록 허용한다는 점에서 주목받고 있다. 새롭게 통과된 적극적 사이버 방위법은 크게 두 가지 핵심 접근 방식을 포함한다. 첫째, 사이버 보안 위원회와 감독 위원회를 신설하여 기존의 수동적 방어 메커니즘을 강화한다. 이를 통해 위협 분석 역량을 향상시키고 사이버 관련 정보 수집 활동을 확대할 계획이다. 둘째, 중요 인프라 제공 사업자에게 사이버 보안 사고 발생 시 신속 보고 의무를 부과하고, 정부가 통신 사업자로부터 인터넷 프로토콜(IP) 주소와 송수신 시간 등 기계적 정보를 수집할 수 있도록 허용한다. 이는 잠재적인 사이버 공격 발생 시 일본과 외국 간 통신 흐름을 실시간으로 모니터링하여 초기 대응 능력을 강화하기 위한 조치로 풀이된다. 특히 이번 법안은 일본 국가 군대에 사이버 공격 발생 시 적의 서버를 방해하는 적극 대응 권한을 부여하고, 중대한 사이버 사건 발생 시 대응을 총괄하는 '사이버 피해 방지 책임자'를 임명할 수 있도록 규정했다. 이는 기존 방어적 입장에서 벗어나, 공격적 사이버 작전을 수행할 수 있는 기반을 마련했다는 평가를 받고 있다. 일본 정부는 이번 적극적 사이버 방위법 통과를 통해 사이버 안보 분야에서 뒤처졌다는 평가를 극복하고, 주요 선진국 수준의 사이버 방어 체계를 구축할 수 있을 것으로 기대하고 있다. 갈수록 지능화되고 고도화되는 사이버 위협에 대해 보다 효과적으로 대응하고, 국가 안보를 강화하겠다는 의지를 드러낸 것으로 해석된다. 그러나 이번 법안 통과에 대한 우려의 목소리도 적지 않다. 특히 정부와 군대, 법 집행 기관에 광범위한 정보 수집과 공격 권한을 부여함으로써 발생할 수 있는 권한 남용 가능성에 대한 지적이 제기되고 있다. 사이버 보안 전문가 조쉬 브레이커-롤프는 트립와이어(Tripwire) 블로그 게시물을 통해 "사이버 전쟁이 거의 끊임없는 위협인 세상에서, 법 집행 기관에 공격적인 사이버 보안 조치를 개시할 권한을 부여하는 것은, 잠재적으로 명시적인 허가 없이 우려스러운 전망"이라고 밝혔다. Tripwire 역시 정부, 군대, 법 집행 기관이 정부의 충분한 감독 없이 광범위한 정보를 수집하고 독자 행동할 수 있게 됨으로써, 적절한 견제와 균형 장치 없이 이러한 권한이 오용될 가능성이 여전히 존재한다고 경고했다.
    • 시큐리티
    2025.04.02 14:49
  • 북한 사이버 위협, 유럽까지 뻗었다.. 위조 IT 인력 신분으로 침투
    [시큐리티팩트=김상규 기자] 북한의 사이버 위협 활동이 미국을 넘어 유럽 대륙까지 광범위하게 확장되고 있다는 분석이 제기되며 국제적인 안보 우려가 고조되고 있다. 구글 위협 인텔리전스 그룹은 최근 발표한 블로그를 통해 이 같은 심각한 상황을 경고했다. 구글 위협 인텔리전스 그룹은 최근 미국에서 북한 IT 인력에 대한 단속 및 적발 사례가 증가함에 따라 지난 몇 달 사이에 북한 IT 인력의 활동 범위와 규모가 미국을 넘어 전 세계로 확대되고 있음을 포착했다. 미국 내 이들의 위협에 대한 인식이 높아지면서 북한 IT 인력은 공격 범위의 글로벌 확장, 갈취 전술의 고도화, 가상 인프라 활용 등 새로운 전략을 구사하며 계속해서 글로벌 위협 생태계를 구축해 나가고 있다. 2024년 말 북한의 한 IT 근로자는 12개 이상의 위조 신분을 사용해 유럽 내 여러 조직, 그 중에서도 방위 산업 및 정부 기관에 적극적으로 취업을 시도했다. 해당 IT 근로자는 조작된 추천서를 제공하고 채용 담당자와 친분을 쌓으며 추가 신분을 활용하는 패턴을 활용했다. 또 다른 IT 근로자는 독일과 포르투갈에서 구직활동을 하며 유럽 내 구직 웹사이트 및 자본 관리 플랫폼에서 로그인 자격증명을 활용한 것으로 나타났다. 영국에서는 북한 IT 근로자들의 보다 다양한 프로젝트가 관찰됐는데 웹 개발부터 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술 등이 포함되어 있었다. 이는 북한 IT 인력이 전통적인 웹 개발부터 고급 블록체인 및 AI 애플리케이션에 이르기까지 광범위한 기술 전문성을 보유하고 있음을 시사한다고 구글측은 밝혔다. 북한 IT 인력은 일자리를 확보하기 위해 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국적으로 위장해 실제 인물과 가상 인물의 신원 정보를 조합해 신분을 속이는 데 사용했다. 유럽에서 활동하는 북한 IT 인력은 업워크(Upwork), 텔레그램(Telegram), 프리랜서(Freelancer) 등 다양한 온라인 플랫폼을 통해 모집되었다. 임금은 자금의 출처와 목적지를 감추기 위해 암호화폐, 트랜스퍼와이즈(TransferWise) 서비스, 페이오니아(Payoneer) 등을 통해 이루어졌다. 북한의 갈취 공격이 증가하고 있으며 전술 또한 고도화하고 있다. 2024년 10월 말부터 북한 IT 인력의 갈취 시도와 공격 규모가 크게 증가했다. 이는 미국의 단속 및 처벌 집행이 강화된 시기와 맞물려 있다. 이는 강화된 조치에 압박을 느낀 북한 IT 인력이 사이버 위협을 통한 수익을 유지하기 위해 대기업을 겨냥해 보다 공격적인 활동을 전개한다는 잠재적 가능성을 시사한다고 구글은 설명했다. 구글 위협 인텔리전스 그룹 유럽 지역 수석 고문인 제이미 콜리어는 “북한은 지난 10년 간 SWIFT 공격(금융 기관이나 은행의 내부 시스템 해킹), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 자행해 왔다. 이러한 끊임없는 진화는 사이버 공격을 통해 정권에 자금을 조달하려는 북한의 오랜 노력을 보여준다”고 설명했다. 이어 “북한 IT 인력의 작전이 여지껏 성공해온 것을 감안하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다. 아시아태평양 지역도 이미 예외는 아니다. 이러한 공격은 사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편”이라고 경고했다.
    • 시큐리티
    2025.04.02 13:08
  • 중국발 사이버 스파이 '어스 알룩스' 등장.. 각국 정부·핵심산업 표적
    [시큐리티팩트=최석윤 기자] 사이버 보안 연구진 트렌드마이크로가 아시아태평양(APAC)과 라틴아메리카(LATAM) 지역 정부, 기술, 물류, 제조, 통신, IT 서비스, 소매 등 다양한 핵심 산업을 표적으로 삼는 새로운 중국 관련 위협 행위자 '어스 알룩스(Earth Alux)'를 발견했다고 1일(현지시각) 더해커뉴스가 보도했다. 트렌드마이크로 연구진은 2023년 2분기 APAC 지역에서 처음 포착된 이들의 활동이 2024년 중반부터는 라틴아메리카까지 확장되었다고 밝혔다. 어스 알룩스의 주요 타깃 국가는 태국, 필리핀, 말레이시아, 대만, 브라질 등이며, 공격은 인터넷에 노출된 웹 애플리케이션의 취약한 서비스를 악용하는 방식으로 시작된다. 이후, '고질라(Godzilla)' 웹 셸을 드롭하여 '바제이트(VARGEIT)'와 '코발트 스트라이크 비컨(Cobalt Strike Beacon)'으로 알려진 '코비컨(COBEACON)' 백도어를 포함한 추가 페이로드 배포를 용이하게 한다. 특히, 바제이트 백도어는 명령 및 제어(C&C) 서버에서 새로 생성된 마이크로소프트 페인트(mspaint.exe) 프로세스로 도구를 직접 로드하여 정찰, 수집, 반출을 용이하게 하는 기능을 제공한다. 트렌드마이크로 연구진은 "바제이트는 어스 알룩스가 파일리스 방식으로 측면 이동 및 네트워크 검색과 같은 다양한 작업을 위한 보조 도구를 운영하는 주요 방법"이라고 설명했다. 어스 알룩스는 1단계, 2단계 또는 후기 단계 백도어로 바제이트를 사용하는 반면, 코비컨은 1단계 백도어로 이용한다. 후자는 '마스큐로더(MASQLOADER)'라는 로더 또는 러스트 기반 명령줄 셸코드 로더인 '알에스빈젝트(RSBINJECT)'를 통해 시작된다. 또한, 마스큐로더의 후속 반복에서는 보안 프로그램에서 삽입한 NTDLL.dll 후크를 덮어쓰고, 윈도우에서 실행 중인 의심스러운 프로세스를 감지하여 맬웨어와 그 안에 포함된 페이로드가 탐지되지 않도록 하는 안티 API 후킹 기술을 구현하는 것이 관찰됐다. 바제이트는 HTTP, TCP, UDP, ICMP, DNS 및 마이크로소프트 아웃룩을 통한 C&C 통신을 위한 10개의 서로 다른 채널을 지원하는 기능이 가장 두드러진 특징이다. 특히, 마이크로소프트 그래프 API를 활용하여 공격자가 관리하는 사서함의 임시 보관함 폴더를 사용하여 미리 결정된 형식으로 명령을 교환한다. 트렌드마이크로 연구진은 "어스 알룩스는 정교하고 진화하는 사이버 스파이 위협으로, 다양한 툴킷과 첨단 기술을 활용하여 특히 APAC 지역과 라틴아메리카의 다양한 부문에 침투하고 침해한다"고 결론지었다. 또, 이 그룹의 지속적인 도구 테스트 및 개발은 기능을 개선하고 탐지를 회피하려는 노력을 나타낸다고 덧붙였다.
    • 시큐리티
    2025.04.02 10:03
  • 삼성 독일, 고객 데이터 27만건 해킹.. 어떤 DB가 어떻게 노출됐나
    [시큐리티팩트=최석윤 기자] 삼성 독일에서 27만 건에 달하는 고객 지원 티켓 데이터가 해킹 포럼에 유출되는 심각한 데이터 침해 사고가 발생했다고 1일(현지시각) 사이버시큐리티뉴스가 보도했다. 이번 사건은 단순한 데이터 유출을 넘어, 2021년 발생한 인포스틸러 멀웨어 공격으로 유출된 자격 증명이 수년간 방치되면서 발생한 결과라는 점에서 더욱 큰 우려를 낳고 있다. 2021년 멀웨어 공격에서부터 시작 사이버 보안 전문가들은 이번 침해의 원인을 2021년 발생한 ‘Raccoon Infostealer 멀웨어’ 공격으로 지목했다. 당시 공격으로 삼성 독일의 티켓팅 시스템 관리 업체인 ‘Spectos GmbH’ 직원의 로그인 자격 증명이 유출되었고, 이 자격 증명이 2025년까지 악용되지 않은 채 방치되면서 이번 데이터 유출 사고로 이어진 것이다. 유출된 데이터, 개인·거래 정보 포함 유출된 데이터에는 고객의 이름, 이메일 주소, 집 주소 등 개인 식별 정보는 물론, 주문 번호, 제품 모델 번호, 결제 방법 등 거래 정보, 그리고 고객 지원 티켓 내용과 배송 추적 URL까지 포함되어 있어 피해 규모가 상당하다. AI 활용한 2차 피해 우려 고조 특히, 이번 데이터 유출은 AI 기술이 악용될 경우 더욱 심각한 2차 피해를 야기할 수 있다는 점에서 우려를 낳고 있다. 유출된 데이터를 AI가 분석하여 개인 맞춤형 피싱 공격, 배송 도난, 허위 보증 청구, 고객 지원 담당자 사칭 등 다양한 범죄에 악용할 수 있다는 분석이다. 유사 사례 잇따라 보안 강화 시급 이번 사건은 테레포니카(Telefonica), 재규어 랜드로버 등 유사한 인포스틸러 멀웨어 공격이 잇따라 발생하고 있다는 점에서 더욱 심각성을 더한다. 기업들은 고객 데이터 시스템에 대한 자격 증명 모니터링 서비스 도입과 정기적인 접근 자격 증명 교체 등 보안 강화에 힘써야 한다. 삼성 독일은 이번 데이터 유출로 인한 고객 피해를 최소화하기 위해 노력하고 있으며, 고객들에게 삼성 구매와 관련된 의심스러운 연락에 각별히 주의할 것을 당부했다.
    • 시큐리티
    2025.04.02 09:10
  • 파고네트웍스, 23일 ‘PAGO 시큐리티 서밋 2025’ 개최
    [시큐리티팩트=김상규 기자] 파고네트웍스가 오는 23일 그랜드 인터컨티넨탈 서울 파르나스에서 ‘PAGO Security Summit 2025’를 개최한다. 이번 행사는 ‘보안의 최전선을 정의하다(Defining the Frontline)’를 주제로 AI 기반 보안 기술, 위협 탐지 및 대응 전략, 그리고 보안 회복탄력성 강화를 위한 실질적인 방안을 소개하는 자리다. 올해 행사에는 센티넬원(SentinelOne), 스텔라사이버(Stellar Cyber), 스텔스몰(StealthMole), 버카다(Verkada) 등 글로벌 보안 솔루션 리더들도 함께 해 최첨단 기술과 성공 사례를 공유한다.
    • 시큐리티
    2025.04.01 18:26
  • 안랩 V3, 독일 보안 ‘AV-TEST’서 만점으로 인증 통과
    [시큐리티팩트=김상규 기자] 안랩은 PC용 백신 솔루션 V3가 독일 IT 보안 연구기관이 주관하는 글로벌 보안제품 성능 테스트 'AV-TEST'의 2025년 첫 평가에서 모든 평가 항목 만점을 기록하며 인증을 획득했다고 1일 밝혔다. 안랩은 이번 평가에서 '홈 유저'와 '비즈니스 유저' 부문에 참가해 ▲악성코드 탐지 능력인 진단율 ▲제품 실행 시 PC 성능에 미치는 영향력인 성능 ▲오탐 여부인 사용성 등 3가지 평가 항목에서 각각 6점 만점, 총 18점을 기록했다. 또한, 상위권 성적을 기록한 제품에 주어지는 '우수 제품(Top Product)'에도 선정됐다. 안랩 V3는 국내 PC용 보안 솔루션으로는 유일하게 2013년부터 AV-TEST에 꾸준히 참가하며 인증을 획득하고 있다. AV-TEST는 독일의 IT 보안 연구기관인 AV-TEST Institute가 주관하는 글로벌 보안 인증 평가로, 전 세계 주요 보안 솔루션의 성능을 평가한다.
    • 시큐리티
    2025.04.01 16:11
  • 애플, 차별적 ‘개인정보 보호 프레임워크’ 2300억원 벌금
    [시큐리티팩트=최석윤 기자] 애플이 앱 추적 투명성(ATT) 개인 정보 보호 프레임워크를 구현하는 과정에서 차별적 동의 관행을 보였다는 이유로 프랑스 규제 당국으로부터 1억 5000만 유로(약 2300억원)의 벌금을 부과받았다고 1일(현지시각) 더해커뉴스가 보도했다. 프랑스 경쟁 감시단(Autorité de la concurrence)은 애플이 2021년 4월 26일부터 2023년 7월 25일 사이에 iOS 및 iPadOS 기기용 모바일 애플리케이션 유통업체로서의 지배적 지위를 남용했다고 판단했다. 특히, iOS 14.5, iPadOS 14.5 및 tvOS 14.5를 탑재한 iPhone 제조업체가 도입한 ATT 프레임워크가 문제가 됐다. ATT는 모바일 앱이 기기의 고유 광고 식별자(IDFA)에 액세스하고 타겟팅 광고 목적으로 앱과 웹 사이트에서 사용자를 추적하기 위해 사용자의 명시적 동의를 구하도록 요구하는 프레임워크이다. 규제 당국은 ATT가 "인위적으로 복잡하다"고 설명하며, 프레임워크를 통해 얻은 동의가 프랑스 데이터 보호법에 따라 요구되는 법적 의무를 충족하지 못한다고 밝혔다. 또한, ATT 구현 방식에서 추적에 대한 동의는 사용자가 두 번 확인해야 하는 반면, 거부는 1단계 프로세스라는 점이라는 비대칭성을 지적했다. 또, 타사 앱은 사용자로부터 이중 동의를 얻어야 했지만, 애플은 자사 앱 사용자의 동의를 구하지 않았다는 점도 거론했다. 규제 당국은 이러한 비대칭성은 ‘프레임워크의 중립성’을 훼손하는 측면이라고 밝혔다. 애플은 ATT 프롬프트가 자사를 포함한 모든 개발자에게 일관되게 적용되며, 전 세계 소비자, 개인 정보 보호 옹호자 및 데이터 보호 당국으로부터 이 기능에 대한 ‘강력한 지원’을 받았다고 주장했다. 하지만, 이번 벌금 부과로 인해 애플은 상당한 타격을 입게 됐다. 벌금 부과가 ATT 프레임워크에 직접적인 변경을 요구하는 것은 아니지만, 애플은 판결을 준수해야 한다.
    • 시큐리티
    2025.04.01 15:52
  • 시큐아이, '2025 파트너스 데이' 개최.. AI 중심 보안 플랫폼 기업 도약 선언
    [시큐리티팩트=김상규 기자] 시큐아이(정삼용 대표)가 지난달 27일 서울 중구에서 '2025 시큐아이 파트너스 데이'를 개최하고, 올해 사업 방향 및 전략을 공유하며 우수 파트너 시상식을 진행했다고 1일 밝혔다. 이번 행사는 시큐아이의 주요 경영진과 88개의 총판 및 파트너사가 참석하여 성황리에 진행됐다. 창립 25주년을 맞이한 시큐아이는 이번 행사에서 역대 최고 매출 달성과 신제품 출시 등 지난 한 해 동안의 사업 성과를 공유하고, 2025년 사업 방향성, 파트너 상생 전략, 제품 개발 로드맵, 서비스 경쟁력 확보 방안 등을 소개했다. 특히, 시큐아이는 '블루맥스(BLUEMAX)' 시리즈에 인공지능(AI) 코파일럿 기술을 내재화하여 위협 대응과 관제 업무 자동화를 실현한 'AI 중심' 서비스를 제공할 계획이라고 전했다. 시큐아이는 또 자체 개발한 AI 기반 위협 대응 플랫폼 'TARP'를 통해 더욱 정확하고 신속한 보안 관제 서비스를 제공하고, 통합 보안 플랫폼 '에스스퀘어오픈(S2OPEN)'을 'AI 중심 시큐리티 플랫폼'으로 완성할 계획이다. 이를 통해 시큐아이는 AI 기반의 보안 플랫폼 기업으로 도약하겠다는 포부를 밝혔다. 정삼용 시큐아이 대표는 "경기 불확실성이 커지는 상황 속에서도 파트너들과의 긴밀한 협력 덕분에 시큐아이는 역대 최고 매출을 달성할 수 있었다"며, "앞으로도 파트너사와 함께 국내 스타 기업으로 도약하는 한 해를 만들기 위해 최선을 다할 것"이라고 강조했다.
    • 시큐리티
    2025.04.01 15:33
  • 러시아 해킹그룹, 우크라이나에 ‘트로이 목마’ 사이버 공격 지속
    [시큐리티팩트=최석윤 기자] 러시아 해킹 그룹이 우크라이나 기관들을 대상으로 정교하게 설계된 피싱 캠페인을 지속적으로 펼치고 있는 것으로 드러났다. 31일(현지시각) 해커뉴스에 따르면, 러시아 해킹 그룹은 ‘Remcos RAT(원격 접속 트로이 목마)’라는 악성코드를 유포해 우크라이나 기관의 정보를 탈취하고 시스템을 장악하려 시도하고 있다. 시스코 탈로스(Cisco Talos) 연구원 길례르메 베네레는 이번 공격의 배후에 가마레돈(Gamaredon)이라는 러시아 해킹 그룹이 있는 것으로 추정된다고 밝혔다. 러시아 연방 보안국(FSB)과 연계된 것으로 알려진 가마레돈은 우크라이나 조직을 대상으로 오랜 기간 동안 간첩 활동과 데이터 절도를 수행해왔다. 이번 공격의 특징은 공격자들은 러시아어로 된 군대 이동 관련 단어를 사용하여 파일 이름을 위장하고, 마이크로소프트 오피스 문서로 위장한 ‘윈도우 바로가기(LNK) 파일’을 집(ZIP) 아카이브에 압축해 배포한다. 이는 사용자들이 파일을 열도록 유도하기 위한 미끼로 사용된다. 악성코드 유포 방식 또한 매우 정교하다. 피싱 이메일을 통해 ZIP 아카이브를 전송하고, 사용자가 파일을 열면 파워쉘(PowerShell) 다운로더를 사용하여 러시아와 독일에 위치한 서버에서 렘코스(Remcos) 백도어가 포함된 파일을 다운로드한다. 또한, ‘DLL 사이드 로딩 기술’을 사용하여 악성 DLL을 실행하고, 최종 ‘렘코스 페이로드’를 실행한다. 공격자들은 정보 수집에도 적극적으로 나서고 있다. 미국 중앙정보국(CIA), 러시아 의용대, 리버티 리전(Liberty Legion), 우크라이나 국가 프로젝트 ‘Hochu Zhit’(나는 살고 싶다) 핫라인 등을 사칭하여 피싱 웹사이트를 운영하고, 구글 양식과 이메일 응답을 통해 피해자의 정치적 견해, 개인 정보 등을 수집한다. 사일런트 푸시(Silent Push) 보고에 따르면, 이번 피싱 캠페인은 러시아 정보국 또는 러시아와 연계된 위협 행위자의 소행일 가능성이 높다. 이는 우크라이나에 대한 러시아의 사이버 전쟁이 지속되고 있음을 보여준다.
    • 시큐리티
    2025.04.01 09:52
  • 오라클 클라우드 데이터 유출 의혹 증폭, 기업 보안 비상
    [시큐리티팩트=최석윤 기자] 오라클의 클라우드 인프라 서비스(OCI)가 사이버 공격에 노출되었을 가능성을 두고 논란이 거세지고 있다고 1일(현지시각) 다크리딩이 보도했다. 오라클 측은 자사의 클라우드 서비스가 침해당했다는 주장을 강력하게 부인하고 있지만, 보안 전문가들은 심각한 우려를 표하며 오라클 클라우드 사용자들에게 즉각적인 보안 점검과 필요한 조치를 취할 것을 촉구하고 있다. 이번 논란은 해커 'rose87168'이 사이버 범죄 포럼에서 오라클의 싱글 사인온(SSO) 및 경량 디렉토리 액세스 프로토콜(LDAP) 시스템에서 얻은 것으로 추정되는 약 600만 건의 레코드를 판매하려 시도하면서 불거졌다. 유출된 데이터에는 암호화된 SSO 비밀번호, Java KeyStore(JKS) 파일, 키 파일, 14만 개 이상의 오라클 클라우드 고객 관련 엔터프라이즈 관리자 JPS 키 등이 포함된 것으로 알려져 충격을 더했다. 보안 전문가들은 유출된 데이터 샘플을 분석한 결과, 오라클 클라우드 환경이 실제로 침해되었을 가능성이 매우 높다고 판단하고 있다. 특히, 일부 오라클 클라우드 고객들은 유출된 데이터가 자사의 정보와 일치한다고 직접 확인하면서 이러한 주장에 신빙성을 더했다. 만약 실제로 침해가 발생했다면, 공격자는 유출된 데이터를 이용하여 클라우드 환경에 침투하고, 관리 권한을 확대하며, 자격 증명 재사용을 통해 조직 전체로 공격 범위를 넓힐 수 있다. 이는 랜섬웨어 공격, 데이터 유출, 장기간에 걸친 사이버 간첩 행위 등 심각한 피해로 이어진다. 또한, 개인 식별 정보(PII) 및 비밀번호 유출은 GDPR, HIPAA 등 개인정보보호 규정 위반으로 이어져 기업의 신뢰도 하락과 법적 책임 문제까지 야기할 수 있다. 이에 보안 전문가들은 오라클 클라우드 사용자들에게 다음과 같은 즉각적인 조치를 권고했다. -오라클 클라우드 SSO, LDAP, 암호화된 구성 파일의 모든 자격 증명 재설정 -기존 세션 및 토큰 무효화 -액세스 로그, 인증 기록, 애플리케이션 동작 검토 -암호화 키 및 비밀 정보 순환 -영향을 받는 환경에 대한 지속적인 모니터링 -다중 인증 요소 설정 -유휴 상태의 계정 삭제 -중요 시스템의 격리 및 모니터링 또한, 보고된 침해가 자사에 영향을 미쳤는지 자체적으로 확인해야 한다고 밝혔다. 오라클 측은 OCI 침해를 부인하고 있지만, 일각에서는 오라클의 주장이 의도적으로 범위를 좁히고 있다고 비판했다. 보안 전문가들은 오라클이 이번 사태에 대해 명확하고 투명하게 상황을 공개하고 필요한 조치를 취해야 한다고 촉구하고 나섰다. 이번 오라클 클라우드 침해 논란은 아직 명확히 규명되지 않았지만, 보안 전문가들은 사용자들에게 선제적인 보안 조치를 권고했다. 오라클 클라우드 사용자는 잠재적인 위험에 대비하여 즉시 보안 점검을 실시하고 필요한 조치를 취해야 한다.
    • 시큐리티
    2025.04.01 08:37
비밀번호 :