• 최종편집 2025-04-24 (목)

시큐리티
Home >  시큐리티

  • home>

실시간 시큐리티 기사

  •
    중국發 '스미싱 트라이어드', 전 세계 121개국 금융 정보 노린다
    [시큐리티팩트=최석윤 기자] 악명 높은 중국 기반의 전자 범죄 그룹 '스미싱 트라이어드(Smishing Triad)'가 전 세계 최소 121개국의 광범위한 조직과 개인을 대상으로 활동 영역을 확장하며 사이버 보안에 심각한 위협을 가하고 있다고 13일(현지시각) 사이버시큐리티뉴스가 보도했다. 2023년부터 활발하게 활동해 온 이들은 SMS 피싱, 즉 '스미싱' 캠페인을 통해 우편, 물류, 통신, 운송, 소매, 공공 부문 등 다양한 산업을 체계적으로 공격해 왔다. '캠페인(campaign)'은 일회성 공격이 아니라, 특정 목표를 달성하기 위해 일정 기간 동안 조직적이고 계획적으로 수행되는 일련의 활동을 의미한다. 전문가들은 이들의 공격 규모가 전례 없는 수준이며, 매일 새롭게 활성화되는 악성 웹사이트의 수가 수만 개에 달할 것으로 추정하고 있다. 초기 정부 사칭에서 은행 정보 탈취로 전환 초기에는 소포 배송 문제나 정부 서비스 관련 사칭에 집중했던 스미싱 트라이어드가 최근 들어 은행 계정 정보 탈취로 공격의 중심을 옮기고 있는 것으로 분석된다. 이들은 피해자에게 마치 합법 웹사이트처럼 보이는 교묘한 복제 웹사이트로 연결하는 피싱 링크를 담은 기만적인 SMS 메시지를 대량으로 발송한다. 이러한 메시지는 종종 택배 배송에 문제가 발생했거나, 미납된 통행료가 있다는 등의 긴급한 상황을 가장하여 사용자가 무심코 악성 링크를 클릭하도록 유도하는 수법을 사용한다. 이 그룹은 탐지와 차단을 피하기 위해 도메인을 매우 빈번하게 변경하는 전략을 구사하며, 놀랍게도 8일 동안 약 2만5000개의 새로운 도메인을 온라인에 활성화시키는 치밀함을 보인다. 호주 금융기관 공략 '라이트하우스' 피싱 키트 발견 지난 3월, 사이버 보안 분석 기업 사일런트 푸시(Silent Push)의연구진은 스미싱 트라이어드가 '라이트하우스(Lighthouse)'라는 새롭고 정교한 피싱 키트를 개발하여 주요 금융 기관을 집중적으로 표적으로 삼고 있다는 사실을 밝혀냈다. 이 강력한 도구는 특히 호주 내 금융 기관과 주요 서구 은행들을 주요 공격 대상으로 삼고 있는 것으로 드러났다. 더욱 놀라운 점은 이 그룹이 사기 행각을 지원하는 '전 세계 300명 이상의 프런트 데스크 직원'을 운영하고 있다는 사실이다. 이는 스미싱 트라이어드가 막대한 자원을 보유한 고도로 조직화된 범죄 기업임을 시사하는 명백한 증거이다. 이들이 사용하는 피싱 인프라의 절반 이상은 중국의 거대 IT 기업인 텐센트(Tencent)와 알리바바(Alibaba)에 의해 호스팅되고 있다는 점도 주목할 만하다. '라이트하우스' 피싱 키트, 기능 정교 '라이트하우스' 피싱 키트는 스미싱 트라이어드의 공격 능력이 이전과는 비교할 수 없을 정도로 크게 발전했음을 보여주는 핵심적인 증거이다. 개발자 '왕두유(Wang Duo Yu)'의 유출된 텔레그램 대화 내용에 따르면, 이 키트는 '실시간 동기화, 원클릭 설정, 원클릭 업데이트, 자동 전환'과 같은 사용자 편의 기능을 제공하며, OTP(일회용 비밀번호) 인증, 앱 인증, PIN(개인 식별 번호) 인증, 3DS(3D 시큐어) 인증 등 다양한 최신 인증 방식을 모방하여 피해자를 속이는 데 특화되어 있다. '라이트하우스'와 관련된 자바스크립트 파일(index-D76-mPwS.js)에 대한 심층적인 기술 분석 결과, 페이팔, 마스터카드, 비자, HSBC를 포함한 수많은 국제적인 금융 기관과 더불어 다수 호주 은행을 구체적으로 표적으로 삼는 설정 매개변수가 확인됐다. 이 키트는 매우 정교한 다단계 검증 프로세스를 갖춘 은행 웹사이트 인터페이스의 설득력 있는 복제본을 실시간으로 생성하여 사용자가 실제 은행 사이트라고 착각하도록 정교하게 설계됐다. 공격자 맞춤형 관리 패널과 다국어 지원 '라이트하우스' 피싱 관리 패널을 통해 공격자는 피싱 공격에 사용되는 디렉터리 구조를 자유롭게 맞춤 설정하고, 특정 국가의 IP 주소를 기반으로 접근을 차단하는 IP 필터링 기능을 손쉽게 적용할 수 있다. 또한, 피해자에게 요구하는 결제 금액을 공격 상황에 따라 유연하게 조정할 수 있는 기능까지 제공된다. 특히 눈에 띄는 점은 이 관리 인터페이스가 모바일 전용 렌더링 옵션을 포함하고 있다는 것이다. 이는 스미싱 트라이어드의 공격 초점이 스마트폰 사용자를 대상으로 하고 있음을 명확히 보여준다. 키트의 세션 관리 기능은 피싱 공격 과정을 통해 피해자의 진행 상황을 실시간으로 추적하며, 자바스크립트 코드 내에 포함된 중국어 상태 메시지("当前正在首页" - 현재 홈페이지에 있음, "当前已填写完成" - 현재 작성 완료, "当前正在填卡页面" - 현재 카드 작성 페이지에 있음)는 공격자들이 중국어를 모국어로 사용하는 조직임을 다시 한번 확인시켜 준다. 사이버 보안 전문가들은 금융 기관과 사용자 모두 다단계 인증 방식을 적극적으로 도입하고, 스미싱 위협에 대한 교육을 강화하여 점점 더 정교해지는 이러한 금융 정보 탈취 공격으로부터 자신을 보호해야 한다고 강력하게 권고하고 있다.
    • 시큐리티
    2025.04.14 08:09
  • 아프리카에 사이버 전쟁 발발.. 알제리 선제 해킹에 모로코 보복
    [시큐리티팩트=최석윤 기자] 모로코 해킹 그룹 '팬텀 아틀라스(Phantom Atlas)'가 알제리 해커들의 모로코 국가사회보장기금(CNSS)에 대한 대규모 데이터 유출 사건에 대한 보복으로 알제리 정부 기관들을 대상으로 사이버 공격을 시작했다고 주장하며 양국 간 사이버 갈등이 고조되고 있다. 10일(현지시각) 모로코월드뉴스에 따르면, 팬텀 아틀라스는 텔레그램 채널을 통해 CNSS 공격 발생 후 24시간 이내에 알제리 우정통신 공사(MGPTT, General Post and Telecommunications Corporation)의 내부 시스템을 성공적으로 침해했다고 발표했다. 이들은 개인 정보와 '매우 민감한 전략 문서'를 포함한 '13기가바이트 이상의 기밀 파일'을 빼냈다고 주장했으며, 일부 보도에서는 도난당한 데이터의 양이 최대 20기가바이트에 달할 수 있다고 언급하고 있다. 팬텀 아틀라스는 성명을 통해 알제리 정부를 직접 겨냥하며 "우리는 지켜보고 있으며, 능력이 있다. 앞으로 어떤 도발 행위도 표적이 되어 불균형적인 대응에 직면하게 될 것"이라고 강력하게 경고했다. 모로코 해커, 알제리 노동부 시스템 침투 주장 모로코 해커들은 여기서 멈추지 않고 알제리 노동부의 시스템에도 침투했다고 주장하며, "주요 국가 기관 내의 깊은 구조적 결함과 오랫동안 지속된 관리 부실"을 드러내는 문서를 확보했다고 밝혔다. 또한, 팬텀 아틀라스는 서사하라 분쟁에 대해 명확한 입장을 표명하며 "모로코 사하라는 논쟁의 대상이 아니며, 완전한 모로코 주권 아래 영원히 남을 것이다. 모로코는 단 한 치의 땅도 양보하지 않을 것이다"라고 강조했다. MGPTT 사무총장 제크리 마흐무드(Zekri Mahmoud)가 이번 데이터 유출 사건을 대수롭지 않게 여기려는 듯한 발언을 한 것에 대해, 팬텀 아틀라스는 오늘 아침 "거짓된 슬로건 뒤에 숨어 자신의 실패를 감추려는 사람들에게 최근의 유출 사건은 단순한 사건이 아니라 간접적인 메시지"라고 경고했다. 또한, "이 사건을 축소하려는 당신들의 시도는 결코 간과될 수 없을 것"이라며 강한 불쾌감을 드러냈다. 또 다른 모로코 조직, 알제리 정부 웹사이트 공격 이와 동시에 'OPx005'라는 또 다른 모로코 조직은 총리실, 외무부, 내무부, 국방부 등 여러 알제리 정부 웹사이트를 대상으로 대규모 분산 서비스 거부(DDoS, Distributed Denial of Service) 공격을 실행하여 웹사이트들을 마비시킨 것으로 알려졌다. DDoS 공격은 많은 수의 컴퓨터에서 동시에 특정 서버에 접속을 시도하여 서버를 과부하 상태로 만들어 정상적인 서비스를 방해하는 공격 방식이다. 알제리 해킹 그룹, 모로코 50만개 기업의 200만명 정보 빼내 이번 모로코 측의 보복 공격은 알제리 해킹 그룹 '자바루트(Jabaroot)'가 CNSS 시스템을 뚫고 약 50만 개 기업에 소속된 약 200만 명의 모로코 직원 개인 데이터를 유출한 사건에 대한 대응으로 이루어졌다. 유출된 문서에는 왕실 지주 회사인 SIGER와 모로코 수도 라바트에 있는 이스라엘 연락 사무소를 포함한 다양한 기관의 급여 명세서와 직원 목록이 포함된 것으로 알려져 충격을 주고 있다. CNSS는 9일 공식 성명을 통해 데이터 유출 사실을 인정했지만, 초기 조사 결과 유출된 문서가 "종종 거짓이거나 부정확하거나 일부 내용이 잘린 것"이라고 주장하며 피해를 축소하려는 모습을 보였다. 그러나 CNSS는 자사의 컴퓨터 시스템이 "보안 조치를 우회하려는 일련의 사이버 공격"의 표적이 되었다는 사실은 인정했다. 또한, "데이터 유출 사고가 발생하자마자 사용된 공격 경로를 차단하고 IT 인프라를 강화하는 긴급 조치와 함께 IT 보안 프로토콜이 즉시 가동되었으며, 유출된 데이터를 정확하게 파악하기 위한 조치를 취하고 있다"고 덧붙였다. 이에 대해 자바루트는 하산 부브릭(Hassan Boubrik) CNSS 사무총장의 개인 정보를 공개하며 CNSS 측에 정면으로 맞섰다. 그들은 "CNSS가 유출된 문서, 특히 고위 공무원의 급여와 관련된 내용 중 단 하나라도 거짓임을 증명할 수 있다면 즉시 사과하고 공개된 모든 데이터를 철회할 준비가 되어 있다"고 CNSS에 도전했다. 자바루트, "모로코의 괴롭힘에 대한 보복" 주장 한편, 알제리 해커 그룹인 자바루트는 초기 CNSS 공격이 "알제리 공식 소셜 미디어 페이지에 대한 모로코 측의 지속적인 괴롭힘"에 대한 보복이었다고 주장하며 공격의 배경을 설명했다. 특히 소셜 미디어 플랫폼 X(구 트위터)에서 알제리 국영 언론 서비스(APS) 계정이 정지된 사건을 구체적인 이유로 언급했다. 팬텀 아틀라스 "침략에 침묵하지 않을 것" 엄중 경고 이에 대해 팬텀 아틀라스는 자신들의 메시지를 엄중한 경고로 마무리했다. "이것은 단순한 사이버 공격이 아니다. 그것은 억지와 저항의 메시지이다. 우리는 침략에 직면하여 결코 침묵하지 않을 것이다"라고 강한 의지를 표명했다. 또한, "모로코, 모로코 국민, 그리고 모로코의 주권에 대한 모든 적대 행위는 반드시 응징될 것이다. 이것은 우리의 힘, 회복력, 그리고 전략적인 영향력을 보여주는 것이다. 당신들은 우리를 과소평가했다. 이제 그 결과를 똑똑히 목격하게 될 것이다"라며 알제리 측에 강력한 메시지를 전달했다.
    • 시큐리티
    2025.04.11 14:58
  • 러시아 해킹 그룹 '가마레돈', 우크라이나 내 서방 군사 목표 공격
    [시큐리티팩트=최석윤 기자] 러시아가 배후로 알려진 해킹 그룹 '가마레돈'(Gamaredon, 일명 '슈크웜'(Shuckworm))이 우크라이나에 있는 서방 국가들의 군사 관련 목표를 집중 공격하고 있는 것으로 드러났다고 10일(현지시각) 브리핑컴퓨터가 밝혔다. 특히 이들은 이동식 저장 장치(USB 드라이브 등)를 통해 악성코드를 퍼뜨리는 방식으로 은밀하게 침투하고 있어 주의가 요구된다. 보안 기업 시만텍 "2월부터 지속 공격" 밝혀 글로벌 사이버 보안 기업 시만텍(Symantec)의 위협 연구팀은 이 공격이 지난 2월에 시작되어 3월까지 이어진 것으로 분석했다. 연구팀에 따르면, 가마레돈 그룹은 표적 시스템에서 민감한 정보를 빼내기 위해 '감마스틸(GammaSteel)'이라는 정보 탈취 악성코드의 업데이트된 버전을 사용했다. 감염된 시스템에 대한 최초 접근 경로는 악성 '.LNK' 파일, 즉 바로가기 파일이었는데, 이는 가마레돈 그룹이 과거에도 자주 사용했던 침투 방식이다. 공격 방식 진화.. 은폐·회피 기술 강화 시만텍 연구팀은 이번 공격에서 가마레돈 그룹의 전술에 주목할 만한 변화가 감지되었다고 밝혔다. 과거에는 악성 VBS 스크립트를 주로 사용했지만, 이번에는 파워쉘(PowerShell) 기반의 도구를 활용하는 빈도가 늘었다. 또한, 악성코드 활동을 숨기기 위한 난독화(코드를 알아보기 어렵게 만드는 기술) 수준을 높이고, 합법 서비스를 악용하여 탐지를 회피하려는 시도가 증가한 것으로 분석됐다. 이번 조사 과정에서 연구팀은 감염된 시스템의 윈도우 레지스트리에서 'UserAssist' 키 아래에 새로운 값이 생성된 것을 발견했다. 이는 'files.lnk'라는 이름의 바로가기 파일이 외부 드라이브, 즉 이동식 저장 장치를 통해 감염이 시작되었음을 시사하는 중요한 증거이다. 악성 스크립트 실행, C2 서버 통신 감염 이후, 난독화 처리된 악성 스크립트는 두 개의 파일을 생성하고 실행한다. 첫 번째 파일은 공격자의 명령 및 제어(C2) 서버와 통신을 담당한다. 이 과정에서 합법 서비스를 이용하여 실제 서버 주소를 숨기고, 클라우드플레어(Cloudflare)로 보호된 URL을 통해 통신을 시도한다. 두 번째 파일은 LNK 파일을 이용하여 다른 이동식 드라이브와 네트워크 드라이브를 감염시키는 확산 메커니즘을 처리한다. 동시에 특정 폴더와 시스템 파일을 숨겨 시스템 손상 위험을 은폐하려는 시도를 보인다. 정보 수집·유출.. 스크린샷, 백신 정보, 파일 탈취 다음 단계에서 가마레돈 그룹은 감염된 장치의 스크린샷을 찍어 유출하고, 설치된 백신 프로그램 목록, 파일 정보, 실행 중인 프로세스 목록 등 시스템 정보를 수집하는 정찰용 파워쉘 스크립트를 사용했다. 최종적으로 사용된 악성 페이로드는 윈도우 레지스트리에 저장된 파워쉘 기반의 업데이트된 감마스틸(GammaSteel) 정보 탈취 악성코드였다. 이 악성코드는 바탕화면, 문서, 다운로드 폴더 등 다양한 위치에서 문서 파일(.DOC, .PDF, .XLS, .TXT)을 훔칠 수 있어, 가마레돈 그룹의 지속적인 정보 탈취 활동에 대한 관심을 다시 한번 확인시켜준다. 탈취된 파일은 'certutil.exe'라는 합법적인 명령줄 도구를 사용하여 해시 처리된 후, 파워쉘 웹 요청을 통해 외부로 유출된다. 만약 유출에 실패할 경우, 가마레돈 그룹은 익명 통신 네트워크인 Tor(토르)를 통해 cURL(명령줄 웹 요청 도구)을 사용하여 훔친 데이터를 전송하는 치밀함을 보였다. 마지막으로, 공격자들은 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run' 레지스트리 키에 새로운 값을 추가하여 대상 컴퓨터에서 악성코드가 지속적으로 실행되도록 설정했다. 기술 개선, 서방 네트워크 위협 수준 높아져 시만텍 측은 이번 가마레돈 그룹의 최신 공격 캠페인이 다른 러시아 정부 배후 해킹 그룹에 비해 기술적인 정교함은 제한적일 수 있지만, 작전 은폐성과 효율성을 높이려는 뚜렷한 노력을 보여준다고 분석했다. 특히 가마레돈 그룹의 끈질긴 공격 성향을 고려할 때, 이들의 전술, 기술 및 절차(TTP)가 점진적이지만 의미 있게 개선되고 있다는 점은 서방 네트워크에 대한 위협 수준이 더욱 높아졌음을 의미한다고 시만텍은 경고했다. 이동식 저장 장치를 이용한 침투 방식은 초기 감염 경로를 숨기고 탐지를 어렵게 만들 수 있어 더욱 주의가 필요하다.
    • 시큐리티
    2025.04.11 10:49
  • 핀란드 Qt그룹, CVE 보안취약점 자체관리 기관 공식 지정
    [시큐리티팩트=김상규 기자] Qt그룹(Qt Group)이 국제 사이버 보안 표준 프로그램인 CVE로부터 보안취약점 자체관리 기관(CAN)으로 공식 선정됐다. 이번 지정을 통해 Qt는 자사 제품에서 발견된 보안 취약점에 대해 고유 식별번호를 직접 발급하고 이를 공식적으로 등록할 수 있는 권한을 확보하게 됐다. 이번 CNA 지정은 Qt의 전사적 보안 전략을 상징하는 이정표로, ISO/IEC 27001:2022 보안 인증 취득, 사전 경고 리스트 도입, 소프트웨어 구성 요소 목록(SBOM) 제공, 장기 지원 버전의 지원 기간 확대 등 기존 보안 활동과 함께 유럽연합의 사이버 복원력법(CRA)을 포함한 글로벌 보안 규제 대응에 중대한 진전을 의미한다. CVE 프로그램은 전 세계 보안 커뮤니티가 협력해 보안 취약점을 표준화된 방식으로 식별·공유함으로써 조직과 전문가들이 보다 신속하고 정확하게 사이버 위협에 대응할 수 있도록 지원하는 국제 프로그램이다. CNA는 개별 취약점에 대한 고유 ID를 부여하고 이를 공식적으로 등록하는 역할을 수행한다. Qt 그룹의 연구개발(R&D) 디렉터 카이 쾨네는 “이번 CNA 지정은 Qt가 보안 대응에 있어 보다 신속하고 투명하게 접근할 수 있도록 한다. 고객과 커뮤니티에 신뢰할 수 있는 고품질 보안 정보를 제공하고, 안전한 개발 환경을 조성하는 데 있어 중요한 전환점이 될 것”이라고 밝혔다. Qt는 앞으로도 보안 관련 투자와 글로벌 협력을 지속 확대해 나가며 제품 및 서비스의 보안 신뢰도를 더욱 강화해 나갈 예정이다. 핀란드에 본사를 둔 Qt 그룹은 Qt 개발 프레임워크를 상용 라이선스와 오픈소스 라이선스로 개발 및 배포하고 있다. 전 세계에서 100만 명이 넘는 Qt 개발자들이 차량용 인포테인먼트 시스템(IVI), 자동화 시스템(Automation), 의료 (Medical), 가전 제품 및 군사용 소프트웨어에 이르기까지 70여 종류의 다양한 산업군에서 핵심적인 소프트웨어 개발에 Qt 개발 프레임워크를 사용하고 있다.
    • 시큐리티
    2025.04.11 10:22
  • 은둔 왕국을 해킹 초강대국으로.. 북한 '라자루스 그룹' 실체
    [시큐리티팩트=최석윤 기자] 10일(현지시각) 아일랜드 인디펜던트는 "북한의 '라자루스 그룹'은 어떻게 은둔의 왕국을 세계적인 해킹 초강대국으로 만들었는가"라는 제목의 기획 기사를 통해 '라자루스 그룹'의 범죄 행각을 자세히 보도했다. 겉으로 보기에 '매트(Matt)'는 회사의 늘어나는 IT 수요를 완벽하게 충족시켜줄 인재였다. 작은 소프트웨어 회사에서 일한 경력에, 스스로 시작하는 동시에 팀워크도 중시한다는 이력서는 매력적이었다. 화상 면접에서도 좋은 인상을 남긴 그는 곧 채용되어 다른 직원들이 꺼리는 야간 근무를 집에서 처리하게 되었다. 하지만 회사가 랜섬웨어 공격을 받은 지 불과 몇 주 만에, '팀 플레이어' 매트의 진짜 정체가 드러난다. 그의 진짜 보스는 북한 정부였고, 그는 북한에서 훈련받은 엘리트 해커 팀의 일원이었다. 그에게 훌륭한 추천서를 써준 소프트웨어 회사는 가짜였고, 그의 면접조차 AI 소프트웨어를 이용해 다른 사람의 영상을 송출하는 가짜였다. 다행히 회사는 사이버 공격 보험에 가입되어 있었고, 100만 파운드(약 18억원)를 지불하는 조건으로 매트는 데이터를 삭제하지 않기로 합의한다. 하지만 북한 해커들의 교묘한 속임수에 넘어간 모든 이들이 이렇게 쉽게 벗어나는 것은 아니다. 지난 2월 두바이에 본사를 둔 암호화폐 거래소 바이비트에 대한 파괴적인 공격이 이를 증명한다. 영화보다 더 영화 같은 '라자루스 그룹'의 범죄 행각 위에서 설명한 가상 시나리오와 유사한 수법을 사용한 것으로 추정되는 이 급습에서, 평양의 한 팀은 범죄 역사상 가장 큰 규모인 15억 달러(약 2조1700억원)를 훔쳤다. 이 금액은 1983년 런던 브링크스매트 금고 강도 사건에서 도난당한 2600만 파운드(약 480억원)의 거의 50배에 달하며, 브래드 피트와 조지 클루니가 출연한 영화 '오션스 시리즈'세 편의 범죄 수익을 모두 합친 것보다 더 많다. 실제로 평양 사이버 범죄 조직으로 악명 높은 라자루스 그룹(Lazarus Group)의 범죄 수법은 그 자체로 영화 프랜차이즈를 만들 수 있을 정도이다. 2016년, 그들은 국제 은행 간 통신망인 스위프트(SWIFT) 시스템을 통해 거의 1억 달러(약 1450억원)를 훔친 방글라데시 중앙은행 해킹 사건을 주도했다. 이듬해에는 전 세계적으로 워너크라이(WannaCry) 공격을 일으켜 150개국의 구형 윈도우 시스템을 마비시키기도 했다. 북한에서 어떻게 세계 최고 해커 집단이 나왔나 라자루스 그룹의 놀라운 실력은 폐쇄적이고 권위주의적인 국가라는 북한의 이미지를 고려할 때 더욱 놀랍다. 대다수 국민이 인터넷 연결은 고사하고 휴대폰조차 제대로 사용하지 못하는 나라(인터넷은 수천 명의 고위 간부에게만 허용된 특권)에서, 어떻게 컴퓨터를 다룰 줄 아는 인재를 찾고, 매년 수억 달러 상당의 돈을 훔치는 세계 최고 수준의 해커로 성장할 수 있었을까? 그 답을 찾기 위해서는 1990년대 후반으로 거슬러 올라가야 한다. 당시 수줍음 많던 십 대 북한 학생이 스위스의 호화로운 기숙학교에 등록하면서 다른 학생들에게 자신이 평양 외교관의 아들이라고 소개했다. 사실 그는 훗날 북한의 최고 지도자가 되는 김정은이었고, 그의 아버지이자 당시 북한의 최고 지도자였던 김정일은 외부 세계에 대해 배우도록 그를 비밀리에 파견했다. 눈에 띄지 않는 평범한 학생이었던 김정은은 비디오 게임을 하며 많은 시간을 보냈다. 하지만 그는 컴퓨터가 현대 생활의 중심이 되고 있다는 것을 예리하게 인식했다. 그리고 몇 년 후 그와 그의 형 김정철이 북한으로 돌아왔을 때, 그 깨달음은 아버지에게 전달되었다. 2016년 한국으로 망명한 태용호 전 런던 주재 북한 대사는 "그들이 아버지를 깨우쳐 준 사람들이었다"고 말했다. 김정일은 이러한 컴퓨터와 네트워킹의 장점을 빠르게 파악했다. 태 전 대사에 따르면 김정일은 컴퓨터화를 단순히 경찰 국가를 운영하는 '더 효율적인' 방법으로 여겼고, 곧 첨단 기술 스파이, 간첩 활동, 전쟁을 전문으로 하는 특별 학교를 설립했다. 김정은 체제에서 더욱 강화된 사이버 공격 역량 2011년 김정은이 아버지 사망 후 권력을 잡으면서 이러한 추세는 더욱 가속화됐다. 그리고 5년 후, 북한 해커들은 한국의 군사 기밀 문서를 훔쳐냄으로써 상당한 '배당금'을 챙겼다. 이 문서에는 한국의 북한 침공 시나리오와 김정은 암살 계획 등 민감한 정보가 담겨 있었다. 하지만 자기 보존을 위한 도구로 시작된 사이버 공격은 점점 더 자기 충족을 위한 수단으로 변모하고 있다. 북한의 핵무기 프로그램에 대한 국제 제재로 인해 북한 경제가 어려움을 겪는 상황에서, 라자루스 그룹이 불법적으로 얻는 수익은 이제 중요한 외화 수입원이 되었다. 2023년 유엔 감시단은 사이버 절도가 북한 총 외화 수입의 절반을 차지한다고 보고했으며, 이 수익금의 대부분은 무기 개발 프로그램에 사용되는 것으로 추정된다. 체계적인 해커 양성 시스템과 끊임없는 집념 오늘날 북한 사이버 부대는 8000명 이상으로 추정되며, 이들 대부분은 학교에서 선발된 재능 있는 수학 전공 학생들이다. 이들을 모집하고 훈련하는 시스템은 냉전 시대 소련이 운동선수와 체스 신동을 육성하기 위해 사용했던 방식과 유사하다. 가족과 떨어져 오랜 시간 동안 고된 훈련을 받는 것이다. 하지만 라자루스 그룹의 성공은 단순히 뛰어난 기술력 때문만은 아니다. 은행 강도가 기관의 약점을 잘 아는 내부자를 이용하는 것처럼, 대부분의 사이버 공격은 '피싱' 이메일을 보내거나 사람들을 속여 비밀번호를 알아내는 등 '인간의 심리적 취약점'을 이용한다. 미국 사이버 보안 회사 시큐어웍스(SecureWorks)의 북한 전문가 사라 컨(Sarah Kern)은 "가장 중요한 것은 끈기에 달려 있다"고 말한다. 그는 "북한 해커들은 수개월 또는 그 이상에 걸쳐 사회 공학적 대화와 관계를 구축하여 잠재적 목표와 신뢰를 쌓아, 결국 악의적 행위를 위한 연결 고리를 열 수 있을 만큼 자신들을 믿게 만든다"고 밝혔다. 이는 바이비트 공격에도 사용된 수법으로 추정되지만, 바이비트는 해커의 정확한 침투 방법을 공개하지 않았다. 컨 전문가는 해커들이 블록체인 엔지니어와 소프트웨어 개발자들의 온라인 커뮤니티에 침투하여 서서히 관계를 구축해 나간다고 설명한다. 유럽 사이버 보안 회사 ESET의 전직 경찰 사이버 보안 전문가 제이크 무어(Jake Moore)에 따르면, 해커들은 또한 아첨을 이용한다. 한 가지 전술은 링크드인에서 온라인 헤드헌터로 가장하여 고액 연봉을 제시하며 소프트웨어 개발자에게 접근하는 것이다. 북한은 '가장 정교한 암호화폐 세탁 조직' 바이비트 해킹 사건 발생 직후, 해커들은 자금 출처를 숨기기 위해 다른 거래소와 콜드 월렛 네트워크를 통해 훔친 돈을 빠르게 이동시켰다. 전문가들은 북한이 특히 이 분야에 능숙하며, 일부는 북한을 '가장 정교한 암호화폐 세탁 조직'이라고까지 평가한다. 하지만 라자루스 그룹의 모든 해킹 활동이 대규모 절도와 관련된 것은 아니다. 아일랜드 인디펜던트에 따르면, 지난해 미국 검찰은 수천 명의 북한 해커들이 미국과 유럽에서 원격 근무 IT 전문가로 고임금 일자리를 구하고 있다고 경고했다. 이는 오늘날 보편화된 재택근무 환경에서 많은 직원들이 회사 사무실에 출근하지 않는다는 점을 악용한 것이다. 미국 검찰은 기술직에 지원하기 위해 온라인에서 미국 시민으로 위장한 14명의 북한 주민에 대해 500만 달러(약 72조원)의 현상금을 걸었다. 일부는 심지어 실제 미국인 공범을 고용하여 면접에 대신 참석시키기도 했다. 공격 목적은 단순히 정기적인 급여를 받는 것처럼 보였지만(일부 직업은 연간 30만 달러(약 4억3000만원)에 달했다), 해커들은 종종 랜섬웨어 공격을 통해 고용을 종료했다. 한편, 이러한 침투를 통해 그들은 미국 기업의 기술 시스템 운영 방식에 대한 귀중한 실무 경험을 얻고 있었다. '인간 심리' 파고드는 사회 공학적 해킹의 위협 이러한 일이 자신에게는 절대 일어나지 않을 것이라고 생각하는 고용주들을 위해, 제이크 무어 전문가는 자신이 자문했던 영국 로펌에서 진행했던 '사회 공학적 실험'에 대한 경고 이야기를 들려준다. 그는 젊고 매력적인 여성 법학도 '제시카'의 가짜 온라인 프로필을 만들었고, 제시카는 링크드인을 통해 회사 직원 100명에게 구직 메시지를 보냈다. 그녀가 이력서를 이메일로 보내도 괜찮겠냐는 문의에, 세 명의 직원이 긍정적인 반응을 보였고 심지어 그녀에게 술 약속을 제안하기도 했다. 무어 전문가는 "이력서 안에는 악성코드 조각이 숨겨져 있었는데, 이는 실제 해커가 침투할 수 있는 통로를 제공했을 것이다. 회사 대부분은 속지 않았지만, 세 명이나 속았고 심지어 그녀에게 만나서 술을 마시고 싶다고 물어보기까지 했다. 해커는 사람들이 생각하는 것보다 훨씬 쉽게 활동할 수 있다"라고 경고했다. 북한의 라자루스 그룹은 은둔의 왕국을 넘어 전 세계를 상대로 사이버 공격을 감행하는 강력한 해킹 조직으로 성장했다. 그들의 성공 뒤에는 국가 차원의 체계적인 인재 양성 시스템, 끊임없는 기술 개발 노력, 그리고 인간 심리의 취약점을 교묘하게 파고드는 사회 공학적 기법이 자리 잡고 있다. 국제 사회의 제재 속에서 외화벌이를 위한 수단으로까지 활용되는 북한의 사이버 공격 능력은 앞으로도 전 세계에 끊임없는 위협이 될 것으로 보인다.
    • 시큐리티
    2025.04.11 07:30
  • 오라클, 해킹 '부인' 논란 속 고객에 뒤늦은 통지...비판 쇄도
    [시큐리티팩트=최석윤 기자] 세계적인 IT 기업 오라클이 최근 발생한 사이버 보안 사고와 관련하여 고객들에게 뒤늦게 서면 통지를 시작했지만, 사건 초기 해킹 사실을 부인하고 소극적인 태도를 보여 거센 비판에 직면하고 있다고 9일(현지시각) 시큐리티위크가 보도했다. 사건의 발단은 지난 3월 20일, 한 해커가 온라인 사이버 범죄 포럼을 통해 오라클 클라우드 서버를 해킹했다고 주장하면서 시작됐다. 이 해커는 암호화되거나 해시 처리된 사용자 계정 정보를 포함하여 14만 개 이상의 사용자(테넌트)와 관련된 수백만 건 기록을 판매하겠다고 공언했다. 오라클, 초기 '완강 부인'… 정보 유출 정황 속 '말 바꾸기' 하지만 오라클은 초기 대응에서 자사의 오라클 클라우드 시스템이 해킹당했다는 주장을 강하게 부인하며, 해킹 자체를 전면 부인하는 듯한 태도를 보였다. 그러나 해커는 훔쳤다고 주장하는 정보의 일부를 온라인에 유출하기 시작했고, 보안 전문가들은 해당 정보가 실제 유출된 것일 가능성이 높다고 평가했다. 심지어 일부 오라클 고객들은 자신들의 데이터가 유출된 정보에 포함되어 있다는 사실을 확인하면서 오라클 주장에 신뢰성이 떨어진다는 지적이 잇따랐다. 점점 더 많은 증거들이 오라클 시스템에 영향을 미치는 데이터 유출을 가리키자, 오라클은 기존 공식 부인과는 달리 일부 시스템이 실제로 침해당했다는 사실을 고객들에게 비공식으로 알리기 시작했다. 다만, 이 과정에서도 오라클은 자사 핵심 클라우드 시스템인 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 강조하며 논란을 증폭시켰다. 사건 발생 2주 넘어 고객에 서면 통지 해킹 사건이 처음 알려진 지 2주가 넘은 4월 7일, 오라클은 마침내 고객들에게 서면 알림을 발송하기 시작했다. 이 공식 알림에서도 오라클은 오라클 클라우드 인프라스트럭처(OCI)는 "보안 침해를 경험하지 않았다"고 재차 강조했다. 보안 전문가 맥스 솔론스키(Max Solonski)가 입수한 해당 알림 이메일에서 오라클은 "OCI 고객 환경에 침투한 적이 없다. OCI 고객 데이터를 보거나 도난당한 적이 없다. 어떤 식으로든 OCI 서비스가 중단되거나 손상되지 않았다"라고 명확히 선을 그었다. 하지만 이 알림은 동시에 "해커가 OCI 일부가 아닌 두 개의 구형 서버에서 사용자 이름에 접근하여 이를 게시했다"는 사실을 인정했다. 오라클은 "해커는 두 서버 비밀번호가 암호화되거나 해시 처리되어 있었기 때문에 실제 사용 가능한 비밀번호를 노출시키지는 못했다. 따라서 해커는 고객 환경이나 고객 데이터에 접근할 수 없었다"라고 덧붙였다. 해커가 암호화된 비밀번호를 해독할 수 없다는 점을 강조한 것이다. 보안 전문가들, 오라클 '미흡한 대응' 쓴소리 하지만 보안 전문가인 솔론스키를 비롯한 많은 이들은 이번 사건에 대한 오라클의 대응 방식을 강하게 비판하고 있다. 솔론스키는 해커가 비록 암호화된 비밀번호를 당장 해독할 수 없다고 하더라도, 미래에는 충분히 가능성이 있을 수 있다고 지적했다. 더욱이 해커가 사용자 이름만 확보했다 하더라도, 이는 충분히 개인 정보에 해당하며 고객 데이터로 간주될 수 있다고 강조했다. 이번 사건을 꾸준히 주시해 온 보안 연구원 케빈 보몬트(Kevin Beaumont) 역시 오라클 대응을 "극도로 민감한 데이터를 관리하는 회사에 대해 매우 형편없는 대응"이라고 강하게 비난했다. 보몬트 연구원은 해커가 오라클의 초기 구형 클라우드 서비스에 사용되던 서버(일명 Gen1 서버)를 표적으로 삼았을 가능성이 있다고 추측한다. 이러한 추측은 오라클이 자사 핵심 클라우드 서비스 OCI 침해는 단호히 부인하면서도, 일부 시스템 침해 사실은 인정하는 모순적인 태도를 설명해 줄 수 있다. 해킹 방법, 유출 데이터 시점 등 풀리지 않은 숙제로 현재까지 오라클 시스템 해킹에 사용된 구체적인 방법과 유출된 데이터의 정확한 생성 시점 등 몇 가지 중요한 질문들은 여전히 풀리지 않은 숙제로 남아 있다. 일부 보도에 따르면 오라클 시스템은 오래된 보안 취약점을 이용하여 침해된 것으로 알려졌다. 데이터 생성 시점에 대해서도 오라클은 고객들에게 오래된 데이터라고 설명했지만, 일부 보도에서는 2024년부터의 데이터이며 해커는 2025년부터 해당 데이터에 접근했다고 주장하는 등 진실 공방이 이어지고 있다. 결국 이번 오라클의 사이버 보안 사고 대응은 초기 안일한 부인과 뒤늦은 소극적인 정보 공개로 인해 고객들의 불신을 키우고, 기업의 신뢰도에 심각한 타격을 입혔다는 평가를 받고 있다.
    • 시큐리티
    2025.04.10 10:18
  • MS 익스체인지 관리센터 '먹통'… 전 세계 관리자 '접속 차단'
    마이크로소프트의 이메일 서비스 '익스체인지 온라인(Exchange Online)'을 관리하는 핵심 도구 '익스체인지 관리 센터(EAC, Exchange Admin Center)'가 전 세계적으로 마비되는 심각한 장애가 발생했다고 9일(현지시각) 사이버시큐리티뉴스가 보도했다. 이로 인해 많은 기업과 조직의 관리자들이 중요한 관리 기능에 접근하지 못하는 불편을 겪고 있다. 'HTTP 오류 500' 발생.. 전세계서 접속 불능 마이크로소프트는 이번 문제를 서비스 상태 ID 'EX1051697'로 지정하고 '중요 서비스 인시던트'로 분류하며 사태의 심각성을 인정했다. 익스체인지 온라인에 의존하는 수많은 조직에서 관리자들이 EAC에 로그인하려고 시도하면 'HTTP 오류 500'이라는 내부 서버 오류 메시지가 나타나며 접속이 차단되고 있다. 이 오류로 인해 관리자들은 사용자 계정 관리, 메일 그룹 설정 등 필수적인 관리 작업을 수행할 수 없는 상황에 놓였다. 마이크로소프트는 즉각 이번 문제의 원인을 파악하고 해결하기 위해 조사에 나섰다. 전 세계적으로 나타나는 이번 장애의 범위를 확인하고 있으며, 엔지니어들은 오류 발생률 급증을 확인하고 문제의 잠재적인 원인으로 최근 서비스 변경 사항들을 면밀히 검토하고 있다. 장애 발생에 대한 대응으로 일부 관리자들은 임시적으로 다른 웹 주소(URL)인 'https://admin.cloud.microsoft/exchange#/'을 통해 EAC에 성공적으로 접속했다고 보고했다. 현재 마이크로소프트는 이 임시 해결 방법의 유효성을 검증하고 있으며, 조만간 공식적인 확인을 제공할 예정이다. 따라서, 관리자들은 추가적인 업데이트를 기다리는 동안 이 임시 주소로 접속을 시도해 볼 수 있다. 임시 '다른 웹주소'로 접속 마이크로소프트는 공식 트위터 계정인 'Microsoft 365 상태(@MSFT365Status)'를 통해 문제 해결 진행 상황을 실시간으로 공유하고 있다. 이들은 "익스체인지 관리 센터(EAC) 접속 관련 문제를 조사하고 있다. 자세한 내용은 M365 관리 센터의 서비스 상태 섹션에 있는 'EX1051697'에서 확인할 수 있다"라고 밝혔다. 또한, 내부적으로 문제를 재현하고 정확한 원인 분석을 위해 진단 데이터를 수집했으며, 서비스 모니터링 시스템의 정보를 분석하여 근본 원인을 찾아내고 다음 단계 해결 방안을 결정하는 데 주력하고 있다. 마이크로소프트는 "오류 급증이 증가한 것을 확인했으며 이를 추가적으로 조사하고 있다. 또한 잠재적인 근본 원인으로 서비스에 대한 최근 변경 사항을 검토하고 있다"라고 덧붙이며 문제 해결에 최선을 다하고 있음을 강조했다. EAC, 익스체인지 온라인 관리의 핵심 도구 EAC는 특히 복잡한 설정을 가진 조직에서 익스체인지 온라인 환경을 관리하는 관리자들에게 매우 중요한 도구이다. 윈도우 파워쉘(PowerShell)이라는 명령줄 인터페이스를 통해 특정 관리 작업을 수행할 수도 있지만, 많은 관리자들은 웹 기반의 편리한 인터페이스인 EAC를 선호한다. 따라서 이번 EAC 접속 불능 사태는 많은 기업들의 IT 관리 업무에 상당한 차질을 빚고 있다. 마이크로소프트는 이번 장애를 해결하는 것을 최우선 과제로 삼고 있으며, 고객들에게 최대한 빠른 정상화 복구를 약속했다. 관리자들은 마이크로소프트 365 관리 센터를 통해 제공되는 실시간 업데이트를 지속적으로 확인하여 최신 정보를 얻는 것이 중요하다. 현재까지 정확한 문제 해결 예상 시간은 제시되지 않았지만, 마이크로소프트는 근본 원인을 신속하게 파악하고 해결하기 위해 모든 노력을 기울이고 있다. MS, 추가 업데이트 예정 이번 사태는 현재 진행 중이며, 새로운 정보가 입수되는 대로 추가적인 업데이트가 있을 예정이다. 문제가 발생한 관리자들은 서비스가 정상화될 때까지 마이크로소프트가 제안한 임시 해결책 URL 또는 파워쉘과 같은 대체 관리 방법을 사용하는 것을 고려해 볼 수 있다.
    • 시큐리티
    2025.04.10 08:41
  • WK 켈로그, 해킹으로 직원 정보 유출...악명 높은 랜섬웨어 CL0P 소행 추정
    [시큐리티팩트=최석윤 기자] 북미 유명 시리얼 제조업체 WK 켈로그(WK Kellogg)가 서버 해킹으로 심각한 데이터 유출이 일어났다고 8일(현지시각) 사이버시큐리티뉴스가 밝혔다. 사고는 외부 파일 전송 서비스 업체인 클레오(Cleo)가 관리하는 서버에서 발생했다. 이번 침해 사고는 2024년 12월 7일에 발생했지만, 무려 두 달이 넘는 시간이 흐른 2025년 2월 27일에야 뒤늦게 발견되어 직원들의 민감한 개인 정보 보안에 대한 심각한 우려를 낳고 있다. 이번 데이터 유출은 클레오의 파일 공유 소프트웨어에 존재하는 알려지지 않은 보안 취약점(제로데이 취약점)을 악용한 악명 높은 랜섬웨어 그룹 CL0P의 소행으로 추정된다. CL0P는 타사 소프트웨어의 취약점을 집중적으로 공략하여 기업들을 공격하고, 훔친 데이터를 다크 웹에 공개하겠다고 협박하며 금전을 요구하는 악랄한 수법을 사용하는 것으로 악명이 높다. WK 켈로그는 해당 서버를 통해 직원들의 개인 정보를 인사 관리 서비스 제공업체로 전송하는 데 사용했다. 유출된 서버에 저장된 민감한 데이터에는 이름, 주민등록번호와 같은 개인 식별 정보(PII)가 포함되어 있어, 직원들의 2차 피해가 우려되는 상황이다. CL0P는 WK 켈로그를 압박하기 위해 사고 발생 약 두 달 반 후인 2025년 2월 25일에 자신들의 범행 사실을 공개적으로 게시하며 사태의 심각성을 더욱 키웠다. 현재까지 정확한 피해 규모는 파악되지 않고 있다. 다만, WK 켈로그가 주 정부에 제출한 보고서에 따르면, 메인주 거주자 1명과 뉴햄프셔주 거주자 3명만이 이번 데이터 유출로 인해 영향을 받은 것으로 나타났다. 하지만 유출된 데이터의 종류와 규모를 고려할 때, 미국 전역에서 더 많은 개인 정보가 노출되었을 가능성을 배제할 수 없다. WK 켈로그는 사고 발생 후 약 넉 달 뒤인 2025년 4월 4일에 주 당국에 공식적으로 데이터 유출 통지서를 제출하고, 서면 통신을 통해 피해를 입은 개인들에게 개별적으로 알리기 시작했다. 또한, 회사는 피해자들을 위해 신용 모니터링 및 사기 상담을 포함한 1년 무료 신원 도용 보호 서비스를 크롤(Kroll)이라는 전문 업체를 통해 제공하고 있다. WK 켈로그는 데이터 유출 사고 조사와 공격에 이용된 취약점 해결을 위해 클레오와 긴밀히 협력하고 있다. 향후 유사한 보안 침해 사고를 방지하기 위해 강화된 보안 프로토콜을 구축하고 있다고 밝혔다.
    • 시큐리티
    2025.04.09 16:52
  • 미국 103개 은행, 1년 넘게 해커에 이메일 털렸다
    [시큐리티팩트=최석윤 기자] 미국 내 약 103개 은행을 감독하는 주요 규제 기관 이메일 시스템이 1년 넘게 해커들에게 뚫려, 매우 민감한 금융 정보가 유출되었을 가능성이 제기되어 파장이 일고 있다. 이 사안에 정통한 관계자들과 블룸버그 뉴스가 입수한 의회 서한 초안에 따르면, 공격자들은 고위 관리자 계정을 장악한 뒤 통화 감사관실(OCC) 직원 이메일을 장기간에 걸쳐 몰래 엿본 것으로 드러났다. 익명을 요구한 관계자들은 해커들이 관리자 계정에 침입한 후 OCC 직원들의 이메일을 지속적으로 감시할 수 있었다고 밝혔다. OCC는 재무부 산하 독립 기관으로, 수조 달러에 달하는 자산을 보유한 모든 국립 은행, 연방 저축 협회, 외국 은행 지점 등을 규제하고 감독하는 핵심적인 역할을 수행한다. OCC "중대한 정보 보안 사고" 인정 OCC는 8일(현지시각) 의회에 이 심각한 침해 사실을 통보하며, 이를 '중대한 정보 보안 사고'로 규정했다. 블룸버그 뉴스가 입수한 의회 서한 초안에서 OCC 최고정보책임자(CIO)인 크리스틴 볼드윈(Kristen Baldwin)은 "분석 결과, 이메일과 첨부 파일에 포함된 매우 민감한 은행 정보가 대중의 신뢰에 명백한 해를 끼칠 가능성이 있다는 결론을 내렸다"고 우려를 표했다. 미국 정부 기관과 공무원들은 오랫동안 국가 배후 사이버 스파이 활동의 주요 표적이 되어 왔다. 특히 지난 한 해 동안에는 재무부 해킹 사건 등 세간의 이목을 끄는 여러 건의 사이버 침해 사고가 잇따라 발생하며 디지털 안보에 대한 심각한 우려를 낳고 있다. 재무부 해킹 연관성 미확인, 주요 인사 공격도 지난 2024년 12월에는 중국 정부와 연계된 해커들이 제3자 업체를 통해 재무부 네트워크에 침입하여 일부 기밀 문서와 재닛 옐런 당시 장관 컴퓨터에 접근했던 사실이 밝혀졌다. 이번 OCC 침해 사건과 재무부 해킹 사건 간 연관성은 아직 확인되지 않았다고 이 사안에 밝은 소식통들은 전했다. 이와는 별개로, '솔트 타이푼(Salt Typhoon)'이라는 중국 해킹 그룹은 도널드 트럼프 당시 대통령과 카멀라 해리스 당시 부통령 휴대전화를 표적으로 삼아 9개 미국 통신 사업자를 해킹한 혐의를 받고 있다. 현재까지 OCC에서 발생한 이번 대규모 이메일 침해 사건의 배후가 누구인지는 명확히 밝혀지지 않았다. OCC는 지난 2월 26일, 같은 달에 OCC 이메일 시스템 내 관리자 계정과 관련된 '사이버 보안 사고'를 발견했다고 뒤늦게 밝혔다. 당시 OCC는 "영향을 받은 이메일 계정의 수가 제한적"이라고 언급했으며, 해당 계정들은 사고 이후 비활성화되었다고 덧붙였다. 고위직 이메일 15만 건 접근 추정 하지만 내부 관계자 중 한 명은 해커들이 고위 감사관, 국제 은행 감독 담당관 및 기타 핵심 직원의 이메일 계정에 침투했다고 폭로했다. 의회에 제출된 초안 서한에 따르면, 해커들은 2023년 5월부터 2025년 초에 침입 사실이 발각되어 시스템에서 축출될 때까지 약 15만 건에 달하는 이메일에 접근할 수 있었던 것으로 드러났다. 볼드윈 CIO는 초안 서한에서 "올해 초 OCC는 OCC 은행 검사 및 감독 과정에 사용된 연방 정부 규제 대상 금융 기관 재정 상태와 관련된 매우 민감한 정보가 포함된 제한된 수의 임원 및 직원 이메일에 대한 무단 접근을 발견했다"고 구체적으로 밝혔다. 이는 해커들이 단순한 이메일 내용뿐만 아니라, 은행들의 핵심 재무 정보까지 손에 넣었을 가능성을 시사하는 대목이다.
    • 시큐리티
    2025.04.09 12:25
  • 해커집단, 머스크 웹사이트 4월 중 '셧다운' 예고
    [시큐리티팩트=최석윤 기자] 해커 집단 '돈로드 팀(DonRoad Team)'이 일론 머스크의 트럼프 정권내 역할 관련 논란이 극에 달함에 따라 4월 남은 기간 동안 그의 웹사이트들을 공격하겠다고 공개적으로 위협했다고 8일(현지시각) 메트로가 보도했다. 과거 도널드 트럼프 대통령과 트럼프 관련 웹사이트를 '폐쇄'시킨 전력이 있는 이들은 텔레그램 채널을 통해 이미 머스크와 관련된 웹사이트들을 '정지'시키기 시작했다고 주장했다. 이들은 지난달 발생한 소셜 미디어 플랫폼 X(구 트위터)에 대한 사이버 공격의 배후일 가능성도 제기되고 있다. 당시 공격으로 인해 많은 사용자들이 머스크가 소유한 인기 소셜 미디어 플랫폼에 접속하는 데 어려움을 겪었다. 해킹 직후, 머스크는 자신의 X 계정을 통해 "우리는 매일 공격을 받고 있다. 우크라이나 지역에서 시작된 IP 주소를 가진 X 시스템을 무너뜨리기 위한 대규모 사이버 공격이 있었다"라고 밝힌 바 있다. 하지만 사이버 공격의 실제 출처를 정확히 파악하는 것은 매우 어려운 일인데, 공격자들이 연결에 사용되는 IP 주소를 종종 '변조'하여 실제 공격 근원지를 다른 국가로 위장하기 때문이다. 현재 해당 해킹 그룹의 텔레그램 공지는 삭제된 것으로 보인다. 만약 추가 해킹이 현실화될 경우, 이는 X뿐만 아니라 스페이스X, AI 플랫폼 그록(Grok), 오픈AI, 테슬라 등 머스크가 운영하는 다양한 사업 분야에 걸쳐 심각한 영향을 미칠 수 있다는 점에서 우려가 증폭되고 있다. 중국 해커, 미국 주요 인사·정부 기관 '표적' 이러한 일련의 사이버 위협들은 특정 개인이나 기업에 국한된 문제가 아님을 시사한다. 지난 10월에는 중국 해커들이 도널드 트럼프 당시 대통령, 마이크 펜스 당시 부통령, 그리고 카멀라 해리스 당시 부통령의 선거 캠프에서 사용하는 휴대전화를 표적으로 삼았다는 보도가 나와 미국 정계를 긴장시킨 바 있다. 미국 연방수사국(FBI)과 사이버보안 및 인프라보안국(CISA)은 공동 성명을 통해 "미국 정부는 중화인민공화국과 연계된 행위자들이 상업용 통신 인프라에 무단으로 접근한 사례들을 조사하고 있다"고 공식적으로 밝혔다. 트럼프 캠프 대변인 스티븐 청은 즉각 성명을 통해 중국이 공화당 캠프를 표적으로 삼도록 허용한 해리스 당시 부통령을 비난하며 백악관을 강하게 비판했다. 중국 해커들의 이러한 움직임은 FBI가 이란 해커들이 트럼프 대통령의 선거 운동에서 훔친 정보를 조 바이든 당시 대통령 후보의 팀으로 보냈다고 밝힌 지 불과 한 달 만에 발생한 것이어서 더욱 충격을 주었다. 잇따른 정부 기관 해킹 시도 사이버 공격 위협은 정부 기관이라고 예외가 아니다. 지난 2월, 일론 머스크가 이끄는 정부 효율성부(Department for Government Efficiency) 웹사이트가 해킹당하는 사건이 발생했다. 해커들은 웹사이트에 "이것은 .gov 사이트의 농담이다", "이 전문가들이 데이터베이스를 열어 두었다"라는 조롱 섞인 메시지를 남기며 정부의 허술한 보안 시스템을 비웃었다. 같은 달에는 더욱 황당한 사건도 일어났다. 트럼프 대통령이 일론 머스크 발에 입을 맞추는 AI로 만든 영상이 정부 TV 방송을 통해 송출되는 해킹 사건이 벌어진 것이다. 이 기괴한 영상은 주택도시개발부 사무실에서 방송되었고, 직원들이 소셜 미디어를 통해 이를 공유하면서 빠르게 확산되기도 했다. '트럼프-머스크 연대'에 거센 반발 한편, 사이버 보안 위협과는 별개로, 도널드 트럼프와 일론 머스크의 연대에 대한 시민 사회의 반발 움직임도 거세지고 있다. 지난 주말, '손 떼!(Hands Off!)' 시위에는 시민권 단체, 노동 조합, LGBTQ+ 옹호 단체, 퇴역 군인 단체, 그리고 공정 선거 운동가들을 포함한 150개 이상의 단체가 참여하여 트럼프-머스크 연대에 대한 강력한 메시지를 전달했다. 시위 주최 측은 "트럼프, 머스크, 그리고 그들의 억만장자 동료들은 우리 정부, 경제, 그리고 기본적인 권리에 대한 전면적인 공격을 조직하고 있으며, 이는 의회의 모든 단계에서 가능해졌다"고 비판 목소리를 높였다. 시위는 워싱턴 DC의 내셔널 몰, 각 주 의사당, 그리고 50개 주 전체의 주요 장소에서 동시다발적으로 진행됐다. 내셔널 몰 집회에 참석한 인권 캠페인 옹호 단체의 회장 켈리 로빈슨(Kelley Robinson)은 트럼프 행정부의 LGBTQ+ 커뮤니티에 대한 정책을 강하게 비판하며 "우리가 목격하고 있는 공격은 단순한 정치적인 것이 아니다. 그것은 개인적인 것이다. 그들은 우리의 책을 금지시키려 하고, HIV 예방 기금을 삭감하고, 우리의 의사, 교사, 가족, 그리고 우리의 삶 자체를 범죄화하고 있습"라고 격앙된 목소리로 연설했다. 그녀는 "우리는 이러한 미국을 원하지 않는다. 우리는 우리가 마땅히 누려야 할 미국, 존엄성, 안전, 그리고 자유가 우리 중 일부가 아닌 우리 모두의 것인 미국을 원한다"라고 강조하며 시민들의 단결을 촉구했다. 중국발 GPS 해킹 위협에 '끔찍할 정도로' 취약 이처럼 사이버 보안에 대한 우려가 증폭되는 상황 속에서, 서구 사회가 중국발 GPS 해킹 위협에 '끔찍할 정도로' 취약하다는 경고는 더욱 심각하게 받아들여지고 있다. 글로벌 내비게이션 시스템의 마비는 단순한 길 안내 오류를 넘어, 물류, 금융, 통신, 에너지 등 국가 경제의 핵심 기반 시설 전체를 순식간에 혼란에 빠뜨릴 수 있는 엄청난 파괴력을 지니고 있기 때문이다. 일론 머스크에 대한 해킹 위협과 더불어, 미국 주요 인사 및 정부 기관에 대한 지속적인 사이버 공격 시도는 이러한 우려를 더욱 현실적인 위협으로 느끼게 한다.
    • 시큐리티
    2025.04.09 09:47
  • F5, 업계 최초 ADC 솔루션 ‘애플리케이션 전송·보안 플랫폼 출시’ 출시
    [시큐리티팩트=김상규 기자] F5가 업계 최초 애플리케이션 전송 컨트롤러(ADC) 솔루션 ‘F5 애플리케이션 전송 및 보안 플랫폼’을 출시하며 인공지능(AI) 시대 하이브리드 멀티클라우드 인프라 지원에 나섰다. F5는 이번에 성능 로드 밸런싱 및 트래픽 관리와 고급 앱 및 API(애플리케이션 프로그래밍 인터페이스) 보안 기능을 단일 플랫폼으로 완전히 통합했다고 8일 밝혔다. F5가 곧 발표할 2025 애플리케이션 전략 보고서에 따르면 96%의 기업들이 AI 모델을 배포하고 있는 것으로 나타났다. 보고서는 또한 3년 내에 전체 애플리케이션의 80%가 AI를 활용할 것으로 예측하고 있다. 반면 대부분의 기업은 AI 애플리케이션에 내재된 방대한 데이터, 복잡한 트래픽 패턴, 그리고 새로운 보안 위협을 효과적으로 처리할 준비를 못하고 있다. F5 애플리케이션 전송 및 보안 플랫폼은 이러한 과제를 해결하기 위해 구축되었으며 하이브리드 멀티클라우드 인프라를 운영하는 기업을 위한 완벽한 ADC 솔루션이다. 이 플랫폼은 API 기반으로 설계되어 모든 환경과 모든 형태에서 모든 애플리케이션에 일관된 정책을 적용할 수 있도록 한다. 특히 온프레미스 데이터 센터의 고성능 하드웨어, 가상화 및 하이브리드 환경의 차세대 소프트웨어, 그리고 클라우드 네이티브 환경을 위한 서비스형 소프트웨어(SaaS)에서 원활하게 작동한다. 또한 고성능 로드 밸런싱, 멀티클라우드 네트워킹, 완전한 웹 애플리케이션 및 API 보안, AI 게이트웨이(AI Gateway) 기능과 같은 중요한 요구를 해결하기 위해 현재 개별적으로 운영되는 솔루션들을 통합한다. F5 애플리케이션 전송 및 보안 플랫폼이 제공하는 주요 혜택은 다음과 같다. • 통합 관리: 단일 플랫폼에서 모든 애플리케이션에 대한 완벽한 전송 및 보안 기능을 제공하여 IT 및 보안 팀의 관리 부담을 줄인다. • 유연한 배포: 다양한 IT 환경에서 원활하게 실행될 수 있도록 모든 형태와 위치에 배포 가능하다. • 운영 효율성 증대: 모든 환경에서 단일 정책 및 통합 관리를 통해 복잡성을 감소시키고 효율성을 향상시킨다. • 심층적인 분석: 복잡한 애플리케이션에 대한 실행 가능한 인사이트와 풍부한 분석 정보를 제공하여 성능 개선 및 보안 강화를 지원한다. • 자동화와 맞춤형 기능: 완전히 프로그래밍 가능한 데이터 처리 계층을 통해 자동화된 배포와 맞춤형 기능을 지원하여 변화하는 요구사항에 효과적으로 대응할 수 있도록 한다. • 라이프사이클 자동화: 전체 라이프사이클 자동화를 통해 팀이 유지보수 작업에서 벗어나 혁신에 집중할 수 있도록 지원한다. F5의 CEO인 프랑수아 로코-도누는 “AI가 혁신을 가속화하는 동시에 높은 비용, 극심한 복잡성, 그리고 증가하는 사이버 위협을 심화시켜 IT 및 보안 팀에 상당한 부담을 주고 있다”고 지적하며, “F5는 하이브리드 멀티클라우드 아키텍처의 과제를 해결할 수 있는 독보적인 역량을 보유하고 있다”고 강조했다. 덧붙여 그는 “F5 애플리케이션 전송 및 보안 플랫폼은 기업들이 이러한 복잡성을 극복하고 AI의 무한한 잠재력을 최대한으로 활용할 수 있도록 지원하는 획기적인 발전”이라고 역설하며, 새로운 솔루션에 대한 강한 자신감을 내비쳤다.
    • 시큐리티
    2025.04.08 21:01
  • AI 군비 경쟁에서 해킹에 취약한 핵심 산업 10가지
    [시큐리티팩트=최석윤 기자] 윤리적 해커들의 모의 침투 테스트 결과, 호주 에너지, 의료, 운송 산업이 사이버 공격에 가장 취약한 분야로 드러났다고 7일(현지시각) AAP 통신이 보도했다. 특히 인공 지능(AI) 기술이 사이버 공격을 더욱 정교하고 위험하게 만드는 데 활용되고 있다는 분석이 나와 충격을 주고 있다. 호주 최대 사이버 보안 전문 기업인 사이버CX(CyberCX)는 800개 기업과 정부 부처를 대상으로 2500건의 심각한 보안 취약점을 발견한 후, 이날 이 같은 경고를 발표했다. CyberCX는 150명 이상 윤리적 해커 팀을 통해 2024년 한 해 동안 고객사 보안 시스템을 실제 범죄 공격과 유사한 방식으로 테스트하며 취약점을 집중적으로 파악했다. 이번 보고서는 호주 최대 규모의 퇴직연금 펀드 일부가 조직적인 사이버 공격 표적이 되어 고객 계좌에서 최소 50만 달러가 도난당한 사건이 발생한 지 불과 며칠 만에 발표되어 그 심각성을 더하고 있다. 많은 기업에 '심각한 영향' 가능성 CyberCX의 해킹 보고서에 따르면, 금융 서비스 산업은 심각한 보안 취약점 기준으로 10위를 차지했지만, 유틸리티(에너지와 자원), 운송, 의료, 제조 산업은 평균 이상의 높은 위험도를 보였다. 테스트 과정에서 발견된 수만 건의 위험 요소 중 거의 10%는 해당 조직 운영에 '심각한 영향'을 미칠 수 있을 정도로 위험한 수준으로 평가되었으며, 이는 기업의 IT 보안팀보다 사이버 범죄자들이 먼저 악용할 가능성이 크다는 것을 시사한다. 이러한 심각한 보안 취약점의 주요 원인으로는 허술한 애플리케이션 보안, 취약한 ID와 접근 관리 시스템, 부적절한 시스템 구성과 소프트웨어 패치 관리 등이 지적됐다. 운영 기술(OT) 환경, 심각하게 취약 CyberCX의 보안 테스트 및 보증 부문 전무이사 리암 오섀네시(Liam O'Shannessy)는 신체 스캔 장치, 에너지 인프라 제어 시스템, 제조 설비 등 운영 기술(OT)을 사용하는 산업들이 특히 사이버 공격에 취약하다고 강조했다. 그는 AAP 통신과 인터뷰에서 병원과 의원 역시 높은 위험에 노출되어 있다고 언급하며, 그 이유로 의료 장비의 높은 비용과 20년 이상 지속되도록 설계된 노후화, 그리고 민감한 개인 정보의 방대한 수집 등을 꼽았다. 오섀네시는 "우리는 20년 동안 보안을 염두에 두고 소프트웨어를 설계하지 않기 때문에, 이러한 시스템은 업데이트가 어렵고 교체가 더욱 어렵다. 결과적으로 보안 유지 자체가 매우 어려운 거대한 시스템으로 귀결된다"라고 설명했다. 또한 "의료 서비스는 많은 사람들의 민감한 데이터를 처리하기 때문에, 데이터 유출 협박이나 랜섬웨어와 같은 공격에 매우 취약한 환경입니다"라고 덧붙였다. AI 공격, 방어에도 AI 도입 필요 보고서는 사이버 범죄자들이 인공지능(AI) 기술을 악용하여 더욱 정교하고 설득력 있는 공격을 감행하고 있다고 경고했다. AI는 피싱 시도에 '지역적 뉘앙스와 거의 완벽한 문법'을 더하여 기존의 피싱 공격보다 탐지를 훨씬 어렵게 만들고 있다. 하지만 오섀네시는 AI 기술이 아직까지 공격자에게 불공정한 이점을 제공하지는 않고 있다고 진단했다. 그 이유는 많은 기업들 역시 스스로를 방어하기 위해 동일한 AI 기술을 적극 도입하고 있기 때문이다. 그는 "AI는 분명히 공격을 더욱 효율적으로 만들고 있지만, 동시에 방어하는 측 역시 더욱 효율적으로 대응할 수 있도록 돕고 있다"라고 설명하며, "AI가 사이버 보안 환경 변화 속도를 가속화시키고 있으며, 이는 느린 변화에 익숙한 조직에게는 상당한 도전 과제가 될 수 있다"고 지적했다. 호주에서 가장 취약한 산업 (CyberCX 테스트 결과 심각한 취약점 비율 순) 1. 유틸리티 및 자원: 17.2% 2. 물류 및 운송: 13.6% 3. 의료보험: 12.8% 4. 제조업과 건축업: 12% 5. 소매 및 엔터테인먼트: 8.8% 6. 연방정부: 8.5% 7. 주 및 지방 정부: 8% 8. 교육: 7.8% 9. 직업 및 기술적인 서비스: 7.8% 10. 금융 서비스 및 보험: 7%
    • 시큐리티
    2025.04.08 15:43
  • '해킹 비트코인' 부국 북한, 암호화폐가 김정은 정권 금고로
    일련의 대담한 암호화폐 탈취 사건들을 통해 북한이 세계에서 세 번째로 큰 비트코인 보유국으로 부상했다는 주장이 제기됐다. 이는 국제 사회의 강력한 제재 속에서 값비싼 무기 프로그램을 유지하려는 북한에게는 ‘가뭄의 단비’와 같은 소식이다. 전문가들은 북한의 정예 해커들이 최근 몇 년간 사이버 공격을 통해 수십억 달러에 달하는 암호화폐를 훔쳤으며, 북한은 불법적인 수단을 동원하여 더욱 막대한 부를 축적하려 한다고 7일(현지시각) 독일 공영방송 DW에 밝혔다. '라자루스 그룹', 15억 달러 추가 탈취 의혹 북한의 악명 높은 암호화폐 해킹 조직인 라자루스 그룹(Lazarus Group) 해커들은 지난 2월 말, 두바이에 본사를 둔 대형 암호화폐 거래소 바이비트(ByBit)로부터 무려 15억 달러(약 2조2000억원) 상당의 디지털 자산을 훔친 혐의를 받고 있다. 바이비트 측은 해커들이 비트코인에 이어 시가총액 2위의 암호화폐인 이더리움의 디지털 지갑에 접근했다고 밝혔다. 북한, 세계 3위 비트코인 보유국으로 세계 최대 암호화폐 거래소 바이낸스(Binance)가 운영하는 뉴스 플랫폼 바이낸스 뉴스(Binance News)는 지난달 충격적인 보고서를 발표했다. 보고서에 따르면, 북한은 현재 11억4000만달러(약 1조6000억원)에 달하는 1만3562개의 비트코인을 보유하고 있는 것으로 추정된다. 비트코인은 최초의 암호화폐이자 대표적인 디지털 자산으로, 인플레이션 헤지 수단으로 여겨지며 종종 금에 비견되기도 한다. 바이낸스 뉴스는 암호화폐 데이터 분석 업체인 아캄 인텔리전스(Arkham Intelligence)의 자료를 인용하여, 북한보다 더 많은 비트코인을 보유한 국가는 미국과 영국뿐이라고 밝혔다. 뉴질랜드 오클랜드에 소재한 암호화폐 리서치 회사 브레이브 뉴 코인(Brave New Coin)의 분석가인 아디티야 다스(Aditya Das)는 DW와의 인터뷰에서 "돌려서 말할 필요도 없다. 북한은 절도를 통해 이 엄청난 양의 비트코인을 확보했다"라고 단언했다. 그는 또한 "미국 연방수사국(FBI)과 같은 국제적인 법 집행 기관들은 북한 정부 지원을 받는 해커들이 수많은 암호화폐 플랫폼 공격의 배후에 있다고 이미 공개적으로 경고해 왔다"라고 덧붙였다. 사회 공학적 기법을 활용한 해킹 놀라운 점은 이러한 국제적인 경고에도 불구하고 암호화폐 관련 기업들이 여전히 해킹 표적이 되고 있으며, 북한 해커들의 수법은 갈수록 더 정교해지고 있다는 분석이다. 다스 분석가는 "북한은 다양한 사이버 공격 기술을 사용하지만, 특히 사람 심리를 파고들어 정보를 탈취하는 사회 공학적 기법에 능숙한 것으로 악명이 높다"라고 지적했다. 그는 "북한 해커들의 주요 공격 방식 중 하나는 피해 기업 직원들의 컴퓨터 시스템에 침투한 후, 확보한 접근 권한을 이용하여 내부 시스템을 장악하거나 악성 코드를 심어 놓는 것이다"라고 설명했다. 해커들의 주요 표적은 보안 시스템이 제대로 갖춰지지 않은 경우가 많은 암호화폐 스타트업, 거래소, 그리고 '탈중앙화 금융(DeFi)' 플랫폼인 것으로 알려졌다. 도난 자금 회수는 '극히 드물다' 북한 엘리트 해커들은 합법적인 글로벌 기업에 침투할 때도 치밀한 계획성을 보인다. 벤처 캐피털 투자자, 채용 담당자, 심지어 원격 IT 노동자로 위장하여 장기간에 걸쳐 피해자들의 신뢰를 얻은 후, 기업 보안 방어망을 뚫는 수법을 사용한다. 다스 분석가는 "사파이어 슬릿(Sapphire Sleet)이라는 해킹 그룹은 취업 지원서, 회의 도구, 또는 진단 소프트웨어로 위장한 악성 프로그램을 피해자들이 다운로드하도록 유도하여, 피해자 스스로가 공격 경로를 열도록 만든다"라고 설명했다. 그는 일단 암호화폐가 도난당하면 이를 되찾는 것은 '극히 드문 일'이라고 강조한다. 암호화폐 시스템 자체가 거래를 되돌릴 수 없도록 설계되어 있으며, "북한 해커들은 최고 수준 사이버 방어 체계를 갖춘 국가 차원 행위자들이기 때문에, 이들을 상대로 반격하는 것은 현실적으로 불가능한 선택지이다"라고 덧붙였다. 암호화폐 탈취, 김정은 정권의 '구원' 단국대학교 법학과 박정원 교수는 과거 북한이 불법 자금을 마련하기 위해 마약 밀수, 위조품 제조, 아프리카 국가에 군사 교관 파견과 같은 위험한 활동에 의존했다고 설명한다. 박 교수는 암호화폐 등장이 독재자 김정은에게 '엄청난 기회'가 되었다고 평가한다. 그는 DW와 인터뷰에서 "국제 사회가 북한의 전통적인 불법 활동을 단속하는 방식을 고려할 때, 암호화폐가 북한 정권을 구원했다고 말하는 것이 타당할 것이다. 만약 암호화폐가 없었다면, 그들은 심각한 자금난에 직면했을 것이다. 북한은 이를 잘 알고 있으며, 최고 해커들을 훈련시키고 매우 높은 수준 기술을 습득하도록 막대한 투자를 해왔다"라고 강조했다. 박 교수는 "그들이 훔친 돈은 곧바로 북한 정부로 흘러 들어가며, 이 자금은 김씨 일가 사치스러운 생활뿐만 아니라, 무기 개발과 군사 기술 발전에 사용되고 있다고 추정할 수 있다"라고 덧붙였다. 그는 또한 "김정은에게 자신의 왕조를 유지하고 존속시키는 것이 최우선 과제이며, 비록 그것이 불법적인 수단일지라도 이러한 수입원에 익숙해졌기 때문에 앞으로도 이러한 행태를 멈추지 않을 것이다. 그들이 갑자기 국제법을 준수하기 시작할 이유도 없고, 현재보다 더 강력한 압박을 가할 방법도 찾기 어렵다"라고 비관 전망을 내놓았다. 다스 분석가 역시 북한에 영향을 미칠 수 있는 효과적인 수단이 거의 없다는 데 동의하며, 암호화폐 관련 기업들이 다음 희생자가 되지 않기 위해 가능한 모든 보안 조치를 취해야 한다고 강조한다. 그는 "안전한 설계 기반 스마트 컨트랙트 구축, 지속적인 내부 보안 검증, 그리고 사회 공학적 공격에 대한 인식 제고와 교육과 같은 모범 사례들이 업계가 북한 해커들의 공격보다 앞서나가기 위한 필수적인 요소이다"라고 조언했다.
    • 시큐리티
    2025.04.08 11:14
  • 미국·호주·캐나다·뉴질랜드, '빠른 플럭스' 해킹 공동 경고
    미국, 오스트레일리아, 캐나다, 그리고 뉴질랜드의 주요 사이버 보안 기관들이 공동으로 사이버 공격자들이 자신들의 명령 및 제어(C2) 채널을 숨기기 위해 사용하는 '빠른 플럭스(Fast Flux)'라는 기술의 위험성에 대해 경고하고 나섰다고 7일(현지시각) 해커뉴스가 보도했다. '빠른 플럭스(FAST FLUX)'란 무엇인가? 이들 기관은 공동 권고문을 통해 "'빠른 플럭스'는 단일 도메인 이름과 연결된 DNS(Domain Name System, 인터넷 주소 체계) 기록을 매우 빠른 속도로 변경하여 악성 서버의 실제 위치를 숨기는 데 사용되는 기술"이라고 설명했다. 덧붙여 "이런 위협은 네트워크 방어 시스템에서 흔히 발견되는 허점을 악용하여 악의적인 빠른 플럭스 활동을 추적하고 차단하는 것을 매우 어렵게 만든다"고 강조했다. '파이브 아이즈'의 공동 경고 이번 공동 권고는 미국 사이버 보안 및 인프라 보안국(CISA), 국가안보국(NSA), 연방수사국(FBI)과 더불어, 호주 신호국의 호주 사이버 보안 센터(ACSC), 캐나다 사이버 보안 센터(CCCS), 뉴질랜드 국가 사이버 보안 센터(NCSC-NZ)에서 발표됐다. 이는 '파이브 아이즈(Five Eyes)'로 알려진 주요 영어권 국가들의 정보 공유 및 협력 체계가 사이버 보안 분야에서도 긴밀하게 작동하고 있음을 보여준다. 최근 몇 년 동안 '가마레돈(Gamaredon)', '크립토카멜레온(CryptoChameleon)', '라즈베리 로빈(Raspberry Robin)'과 같은 악명 높은 해킹 그룹들을 포함한 많은 사이버 위협 행위자들이 자신들의 악성 인프라가 보안 시스템에 탐지되거나 법 집행 기관에 의해 적발되는 것을 피하기 위해 '빠른 플럭스' 기술을 적극적으로 활용해 왔다. 이러한 '빠른 플럭스' 접근 방식은 기본적으로 하나의 악성 도메인 주소를 유지하면서, 그 도메인이 실제로 연결되는 다양한 IP 주소를 매우 빠른 속도로 계속해서 바꾸는 방식을 사용한다. 마치 '바지선'처럼 여러 개 떠다니는 배를 닻으로 연결해 놓고 필요에 따라 닻을 옮겨 다니는 것에 비유할 수 있다. 이 기술은 2007년 '허니넷 프로젝트(Honeynet Project)', 즉 해커들의 활동을 유인하여 분석하는 연구 프로젝트를 통해 처음으로 실제 사이버 공격 환경에서 발견됐다. '빠른 플럭스'는 그 작동 방식에 따라 두 가지 유형으로 나눌 수 있다. 첫 번째는 단일 도메인 이름이 여러 개의 IP 주소에 연결되는 '단일 플럭스(Single Flux)'이다. 두 번째는 IP 주소를 변경하는 것뿐만 아니라, 해당 도메인 이름의 DNS(Domain Name System) 정보를 관리하는 네임 서버까지 자주 변경하는 '이중 플럭스(Double Flux)'이다. '이중 플럭스'는 악성 도메인에 대한 추가 보안 우회 및 익명성 확보 계층을 제공하여 추적을 더욱 어렵게 만든다. IP 기반 차단, 악성 서버 제거 무력화 팔로알토 네트웍스의 보안 연구팀인 유닛 42(Unit 42)는 2021년에 발표한 보고서에서 "'빠른 플럭스' 네트워크는 DNS 시스템을 이용하여 많은 수의 감염된 컴퓨터(봇)들을 매우 빠른 속도로 순환시키고, 각 봇을 짧은 시간 동안만 사용하기 때문에 '빠르다'고 불린다"고 설명했다. 이러한 빠른 순환 방식은 IP 주소 기반의 차단 목록(거부 목록)이나 악성 서버 제거 시도를 무력화시키는 데 매우 효과적이다. 이번 공동 권고를 발표한 사이버 보안 기관들은 '빠른 플럭스'를 국가 안보에 대한 심각한 위협으로 규정하면서, 위협 행위자들이 이 기술을 사용하여 악성 서버 위치를 숨기고, 공격 중단 시도에도 끄떡없는 탄력적인 명령 및 제어(C2) 인프라를 구축하고 있다고 경고했다. 명령 및 제어(C2) 채널은 해커들이 감염시킨 컴퓨터에 명령을 내리고 정보를 빼내는 데 사용하는 통신 경로를 의미한다. 뿐만 아니라, '빠른 플럭스'는 단순한 C2 통신 은닉을 넘어 공격자들이 피싱 웹사이트를 호스팅하거나 악성코드를 저장하고 배포하는 데 중요한 역할을 수행한다. 정상적인 웹사이트 주소처럼 보이는 악성 도메인이 실제로는 빠르게 바뀌는 여러 서버를 통해 운영되기 때문에, 사용자들이 악성 사이트임을 의심하기 어렵게 만들고, 악성코드 유포 경로를 추적하기도 어렵게 만든다. '빠른 플럭스' 방어 전략 이러한 '빠른 플럭스' 공격으로부터 조직을 보호하기 위해 각국 사이버 보안 기관들은 다음과 같은 예방 및 대응 조치를 권고한다. • IP 주소 차단: 알려진 악성 IP 주소들을 네트워크 방화벽 등에서 차단한다. • 악성 도메인 싱크홀링: 악성 도메인의 DNS 요청을 정상적인 제어 하에 있는 서버로 리디렉션하여 악성 활동을 감시하고 차단한다. • 평판 기반 트래픽 필터링: 평판이 좋지 않은 도메인 또는 IP 주소 간 네트워크 트래픽을 차단하거나 주의 깊게 감시한다. • 향상된 모니터링: 네트워크 트래픽 패턴을 면밀히 분석하여 '빠른 플럭스'와 관련된 비정상적인 활동을 탐지한다. • 피싱 인식 및 교육: 직원들을 대상으로 피싱 공격 위험성을 교육하고, 의심스러운 웹사이트나 이메일을 식별하는 방법을 훈련한다. 각국 사이버 보안 기관들은 "'빠른 플럭스'는 네트워크 보안에 대한 지속적인 위협이며, 빠르게 변화하는 인프라를 이용하여 악의적인 활동을 은폐한다"고 다시 한번 강조하면서, "강력한 탐지 및 완화 전략을 구축함으로써 조직은 '빠른 플럭스' 기술을 이용하는 위협으로 인한 피해 위험을 크게 줄일 수 있다"고 덧붙였다. 이는 '빠른 플럭스' 기술에 대한 경각심을 높이고, 적극적인 보안 조치를 통해 사이버 위협에 선제적으로 대응하는 것이 얼마나 중요한지를 강조하는 메시지이다.
    • 시큐리티
    2025.04.08 08:44
  • 5세부터 키운다.. 김정은 '해커 군단' 육성 프로젝트
    [시큐리티팩트=최석윤 기자] 북한 김정은 정권이 어린이들을 미래의 사이버 전사로 양성하기 위해 심혈을 기울이고 있다는 충격적인 주장이 제기되었습니다. 6일(현지시각) 더선 보도에 따르면, 한 정보 분석가는 북한이 이미 5세의 어린 아이들을 선발하여 전문적인 해커로 키워 서방 세계를 대상으로 파괴적인 사이버 공격을 감행할 준비를 하고 있다고 밝혔다. 이러한 충격적인 폭로는 북한의 악명 높은 해킹 조직인 라자루스 그룹(Lazarus Group)이 지난달 암호화폐 역사상 최대 규모인 12억달러(약 1조7000억원) 상당의 암호화폐를 탈취한 혐의로 국제적인 비난을 받고 있는 가운데 나온 것이어서 더욱 큰 파장을 예고하고 있다. 전 세계를 경악하게 만든 이 대규모 암호화폐 절도 사건의 배후에 김정은 정권이 있다는 의혹이 증폭되는 가운데, 최고 지도자가 어린 학생들을 직접 선발하여 사이버 공격 부대를 육성하고 있다는 주장은 충격적인 동시에 섬뜩함을 자아낸다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 북한 분석가인 마이클 반하트(Michael VanHart)는 외신과의 인터뷰에서 북한이 "사이버 역량 개발에 매우 체계적 접근 방식을 취하고 있다"고 말했다. 그는 북한이 예비 해커들을 초등학생 나이부터 선발한다는 ‘중요한 증거’를 확보했다고 주장하며, 북한의 사이버 전력 육성 시스템의 실체를 상세히 설명했다. 반하트 분석가에 따르면, 북한의 사이버 영재 발굴 과정은 과학, 수학 등 특정 과목에서 뛰어난 재능을 보이는 초등학생들을 선별하는 것으로 시작된다. 이 과정은 그가 ‘피라미드 같은 신동 모집 시스템’이라고 묘사한 방식으로 진행되며, 엄격한 기준과 평가를 통해 잠재력 있는 아이들이 선발된다. 이렇게 선발된 '사이버 영재'들은 북한 수도 평양에 위치한 특별 중학교로 보내져 본격 해커 교육을 받게 된다. 평양 엘리트 학교인 금성 1, 2 중학교는 미래 해커들을 위한 핵심 교육 기관으로 알려져 있다. 이곳에서 집중 훈련을 받은 이 재능 있는 십대들은 김일성종합대학이나 김책공업종합대학과 같은 북한 최고의 기술 대학으로 진학하여 학업을 이어간다. 대학 졸업 후에도 이들의 훈련은 끝나지 않는다. 해킹을 꿈꾸는 젊은이들은 졸업 후 약 1년 동안 중국이나 러시아로 파견되어 서방 세계를 대상으로 하는 ‘실용적인 해킹 및 기술력’을 습득하는 기회를 얻게 된다. 특히 이 해외 훈련 과정은 북한에서는 극히 제한적인 인터넷 접근을 처음으로 경험하는 중요한 단계이다. 일반적인 북한 주민들은 엄격한 검열을 거친 ‘광명’이라는 인트라넷만을 이용할 수 있으며, 극소수 고위 관리나 외국인만이 글로벌 인터넷에 접속할 수 있다. ‘광명’에는 정기적으로 업데이트되는 뉴스 사이트가 존재하지만, 이는 대부분 최고 지도자 업적을 찬양하는 선전으로 가득 차 있다. 이러한 환경 속에서 해외 파견은 북한의 미래 해커들에게 외부 세계 사이버 환경을 직접 경험하고 숙련된 기술을 연마할 수 있는 중요한 기회를 제공하는 것이다. 모든 훈련 과정을 성공적으로 마친 해커들은 북한으로 돌아와 다양한 사이버 전쟁 부대에 배치되어 정식 ‘사이버 전사’로 복무한다. 반하트 분석가는 "이러한 체계적인 육성 과정은 북한이 어릴 때부터 개인을 엄격하게 훈련시켜 사이버 역량을 구축하려는 의지를 명확히 보여주는 것이며, 동시에 그들에게 해외에서 중요한 실전 경험을 제공하려는 의도 또한 엿볼 수 있다"고 강조했다. 하지만 그는 이러한 엘리트 육성 과정 전반에 걸쳐 "정권에 대한 충성심 검증과 강화가 철저하게 이루어진다"고 덧붙였다. 뛰어난 해킹 능력과 함께 김정은 정권에 대한 절대적인 충성심을 갖춘 사이버 전사들을 양성하는 것이 북한의 핵심 목표인 것이다. '충성'의 대가, 특권과 자부심 세계 최고 수준 해커가 되는 길은 결코 쉽지 않다. 그렇기 때문에 김정은 정권은 자신의 소중한 사이버 군대에게 다양한 특전을 제공하며 그들의 충성심을 고취한다. 우수한 성적으로 훈련 과정을 마친 해커들의 경우, 그들 부모에게는 더 나은 주택으로 이사할 수 있는 기회가 주어지기도 한다. 탈북자 김흥광 씨는 알자지라와 인터뷰에서 지방에 거주하는 해커의 부모에게 수도 평양에 거주할 수 있는 특권이 주어지는 경우가 많다고 증언했다. 또한, 결혼한 해커들에게는 평양 시내 주택이 제공되는 혜택도 있다고 덧붙였다. 더욱 중요한 것은 해외 파견기간 동안 후한 식량 보조금과 급여가 지급된다는 점이다. 목숨을 건 사이버 전쟁에 투입되는 해커들에게 이러한 경제적 보상은 강력한 동기 부여 요인이 될 수 있다. 김흥광 씨는 젊은 해커들이 해외에서 자유로운 인터넷 환경을 경험한 후에도 여전히 김정은 정권에 충성할 것이라고 확신하는 듯 보였으며, 이는 실제로 효과를 거두고 있음을 시사합니다. 그는 "이 아이들은 ‘집권 노동당’의 절대적인 신임을 받고 있으며, 해외에서 생활하고 여행할 수 있는 기회는 물론, 안정적인 생활 수준까지 보장받는다"고 말했다. 또한 "엘리트의 일원이라는 이러한 종류의 자부심은 결코 무시할 수 없는 강력한 힘"이라고 강조하며, "그들은 또한 북한을 떠나 다른 곳에서 사는 삶이 현재 누리는 것보다 더 나을 것이라는 확신을 갖지 못하고 있다"고 분석했다. '평화의 수호자(Guardians of Peace)' 또는 '후이즈 팀(Whois Team)'으로도 알려진 라자루스 그룹(Lazarus Group)은 북한에서 가장 악명 높은 해킹 조직 중 하나이다. 이 수상한 그룹에 대해 알려진 정보는 많지 않지만, 전 세계적으로 가장 파괴적인 사이버 공격의 배후로 지목되고 있다. 앞서 언급된 12억 달러 규모의 암호화폐 탈취 사건 역시 라자루스 그룹의 소행으로 강력하게 의심받고 있다. 당시 해커들은 이더리움 지갑을 장악하고 막대한 양의 암호화폐를 빼돌려 블록체인 업계에 큰 충격을 던졌다. 하지만 정보 전문가들은 라자루스 그룹이 단순한 사이버 부대를 넘어, 북한의 사이버 공격 활동 전반을 포괄하는 ‘넓은 우산’과 같은 개념일 수 있다고 분석한다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 선임 관리자인 벤 리드(Ben Read)는 라자루스라는 용어가 실제로 여러 개의 사이버 부대를 식별하는 데 사용되는 가장 중요한 용어라고 설명했다. 그는 소위 라자루스 그룹이 목표가 겹치거나 때로는 도구를 공유하기도 하지만, 각기 다른 방식으로 운영되는 여러 개의 고도로 숙련된 해커 부대로 구성되어 있을 가능성이 높다고 분석했다. 이들은 함께 보안망을 뚫고 돈을 훔치는 검증된 방법을 개발하며, 전 세계를 상대로 은밀하고 파괴적인 사이버 공격을 감행한다. 라자루스 그룹의 진짜 정체가 무엇이든 간에, 한 가지 분명한 사실은 이들이 정교하게 조직되고 효율적으로 움직이는 사이버 공격 조직이라는 것이다. '현금 굶주린' 김정은, 사이버 범죄에 의존 더욱 우려스러운 점은 라자루스 그룹을 통해 탈취한 막대한 자금이 궁극적으로 김정은 통치 자금으로 흘러들어갈 가능성이 높다는 것이다. 북한은 지난 몇 년 동안 국제 사회의 강력한 제재를 받아왔으며, 이로 인해 김정은 정권은 경제난 극복을 위해 기존의 틀에서 벗어난 방안을 모색해 왔다. 이제 북한은 부족한 외화를 확보하기 위해 서방 세계를 대상으로 하는 치명적인 사이버 공격에 더욱 의존하는 경향을 보이고 있다. 2022년 유엔 조사 보고서에 따르면, 사이버 공격은 북한의 핵 및 탄도 미사일 프로그램의 ‘중요 수입원’으로 지목됐다. 이는 이전 조사에서 북한이 사이버 공격만으로 대량 살상무기 프로그램을 위해 20억달러(약 2조9000억원)를 축적했다는 사실이 밝혀진 후 나온 것이어서 충격을 더한다. 이처럼 심각한 상황 속에서 전 세계는 이러한 사이버 공격으로부터 스스로를 어떻게 효과적으로 방어할 수 있을지에 대한 해답을 찾기 위해 고심하고 있다. 하지만 김정은의 '사이버 영재'들이 빠르면 5세부터 체계적인 훈련을 받는다는 점을 고려할 때, 서방 세계가 북한의 사이버 공격 위협에 효과적으로 대응하기는 쉽지 않을 것이라는 비관적인 전망도 나오고 있다. 북한이 어린 나이부터 정예 해커를 육성하는 장기적인 전략을 추진하고 있는 만큼, 국제 사회의 더욱 강력하고 다각적인 공조와 대응책 마련이 시급해 보인다.
    • 시큐리티
    2025.04.07 12:25
12345678910마지막
비밀번호 :