• 이번엔 보험대리점 뚤렸다.. 잇단 해킹에 금융·통신 '보안 비상'

  최근 금융권과 통신업계에서 연이어 전산 해킹 사고가 발생하며 보안에 대한 우려가 커지고 있다. 여러 보험사의 상품을 판매하는 GA(보험대리점) 2곳이 해킹 공격을 받아 금융당국과 금융보안원이 긴급 현황 파악에 나섰다. 지난 19일 SK텔레콤의 시스템까지 해킹당해 고객 유심(USIM) 정보가 유출되는 사건이 발생에 이은 사고로 개인 정보 유출 '뇌관' 유출 우려가 심각해지고 있다. 보험대리점 해킹, '통합 플랫폼' 취약점 노출 27일 금융권에 따르면, 금융당국과 금융보안원은 보험 통합 플랫폼을 제공하는 IT 기업 A사의 프로그램을 이용하는 2개 GA에 대한 해킹 및 정보 유출 여부를 조사 중이다. 해킹은 A사 프로그램에 악성코드를 감염시킨 후, 이 프로그램을 사용하는 GA의 전산을 장악하는 방식으로 이뤄진 것으로 추정된다. 문제는 A사와 거래하는 GA가 수십 곳에 달한다는 점이다. 만약 이번 해킹이 A사의 시스템 자체의 취약점을 이용한 것이라면, 다른 GA들 역시 해킹 시도의 대상이 되었을 가능성을 배제할 수 없다. 특히 GA는 보험 계약자의 질병 정보를 포함한 민감한 개인 정보를 다량으로 보유하고 있어, 정보 유출 시 대규모 피해로 확산될 수 있다는 우려가 나온다. 금융당국은 아직 개인정보 유출 여부를 단정하기 어렵다는 입장이지만, 만일의 사태에 대비해 다양한 대응 방안을 검토 중인 것으로 알려졌다. 금융권 관계자들은 GA들이 사용하는 프로그램을 자체 개발하지 않고 외부 IT 기업에 의존하는 경우가 많아 보안 관리에 취약한 점을 지적하며, 이번 사태를 계기로 금융사들의 보안 시스템 전반에 대한 점검이 필요하다고 입을 모으고 있다. SK텔레콤 유심 정보 유출, 2차 피해 우려 증폭 이보다 앞서 지난 19일 밤에는 SK텔레콤의 내부 시스템이 해킹당해 고객 유심 정보가 유출된 사실이 확인됐다. 유출된 정보는 가입자 전화번호, 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 '홈가입자서버'(HSS)의 데이터베이스이다. SK텔레콤 측은 유출 가능성을 인지한 즉시 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했으며, 아직 정보가 악용된 사례는 발견되지 않았다고 밝혔다. 하지만 유심 정보는 2차 피해로 이어질 가능성이 높아 안심할 수 없는 상황이다. 공격자는 유출된 IMSI(국제 모바일 가입자 식별 번호) 정보를 이용해 스푸핑 공격을 감행, 피해자의 전화 통화나 문자 메시지 내용을 엿보거나 위치를 추적하고, 심지어 과금 피해까지 입힐 수 있다. 과학기술정보통신부는 비상대책반을 가동하고 한국인터넷진흥원(KISA) 전문가를 파견하여 정확한 유출 원인과 규모, 항목 등을 파악하는 데 주력하고 있다. 전문가들은 피해가 의심될 경우 즉시 통신사에 신고하고, 보안 프로그램을 통해 추가적인 정보 유출을 막아야 한다고 강조한다. 2014년 카드사 정보 유출 악몽 재현될까 잇따른 금융 및 통신사의 해킹 사고는 2014년 발생했던 카드사 개인 정보 유출 사태의 악몽을 떠올리게 한다. 당시 KB국민카드를 비롯해 NH농협카드, 롯데카드의 고객정보 총 1억400만건 유출로 인해 사회 전체가 큰 혼란에 빠졌으며, 금융권의 보안 시스템에 대한 근본적인 개선 요구가 거세게 일었다. 이번 GA 해킹과 SK텔레콤 유심 정보 유출 사건은 특정 기업의 문제가 아닌, 금융 및 통신 업계 전반의 보안 취약성을 드러내는 사례라는 점에서 더욱 심각하게 받아들여지고 있다. 특히 GA와 같이 여러 금융회사의 정보를 취급하거나, SK텔레콤처럼 방대한 개인 정보를 보유한 기업의 보안이 뚫렸다는 사실은 언제든 더 큰 규모의 정보 유출 사태가 발생할 수 있다는 불안감을 증폭시키고 있다. 망분리 등 사전 조치 미흡.. 소규모 금융회사 피해 우려 일부 금융 지주사나 보험사는 만일의 사태에 대비해 망분리 등의 사전 조치를 취했지만, 대다수의 회사는 그렇지 못한 실정이다. 특히 GA뿐만 아니라 자산운용사 등 전산 관리가 취약한 소규모 금융회사를 대상으로 한 해킹 시도가 늘고 있다는 점은 추가적인 피해 발생 가능성을 높이는 요인이다. 금융당국은 이번 사태를 계기로 금융 회사들의 정보 보안 시스템 전반을 점검하고, 보다 강력한 보안 대책 마련을 촉구할 것으로 예상된다. 또한, IT 기술 발전에 발맞춰 진화하는 해킹 수법에 대한 지속적인 연구와 대비가 필요하며, 금융 및 통신사들은 보안 투자 확대와 함께 임직원들의 보안 의식 강화가 시급한 상황이다.

• F5, ‘차세대 애플리케이션 전송∙보안’ 플랫폼 공개

  [시큐리티팩트=김상규 기자] F5는 23일 기자간담회를 열고 인공지능(AI) 시대를 위한 ‘차세대 애플리케이션 전송∙보안’ 플랫폼을 공개했다. F5는 멀티클라우드 애플리케이션 전송 및 보안 기업으로, 세계 최대 규모의 선도적인 조직들과 파트너십을 맺고 온프레미스, 클라우드, 엣지 환경의 모든 애플리케이션을 안전하게 보호한다. 이날 간담회에서 모한 벨루(Mohan Veloo) F5 아시아태평양·중국·일본 지역 CTO는 “향후 3년 내에 전체 애플리케이션의 80%가 AI를 활용할 것으로 예상됨에 따라 기업들은 방대한 데이터 요구와 복잡한 트래픽 패턴, 진화하는 보안 위협에 대비해야 한다”고 강조했다. 그는 “전통적인 인프라로는 이러한 미래 환경에 대응하기 어렵지만, F5는 ADC(애플리케이션 전송 컨트롤러) 분야에서 쌓아온 노하우를 기반으로 어디서나 AI 기반 애플리케이션을 효과적으로 지원하는 차세대 필수 인프라를 선도하고 있다”고 설명했다. F5는 이날 차세대 애플리케이션 보안∙전송을 위한 F5의 비전인 ADC 3.0을 소개했다. 모한 벨루 CTO는 “AI 기반 ADC 3.0 시대에 맞춰 F5의 최신 애플리케이션 전송 및 보안 플랫폼이 AI로 인한 데이터 급증과 복잡한 트래픽 패턴, 진화하는 보안 위협에 기업들이 효과적으로 대응할 수 있도록 지원한다”고 설명했다. F5는 자사의 AI 기반 혁신 기술인 ▲F5 AI 게이트웨이(AI Gateway) ▲NGINX ONE AI 어시스턴트 ▲BIG-IP AI 어시스턴트 ▲iRules 코드 생성 및 구문 분석 기능 등을 소개했다. 이 솔루션들은 기업이 AI 역량을 활용해 복잡성을 줄이고 운영을 간소화하며 보안을 강화할 수 있도록 설계되었다. 제임스 리(James Lee) F5 아시아태평양·중국·일본 지역 선임 솔루션 아키텍트는 웹 애플리케이션과 API(애플리케이션 프로그래밍 인터페이스)가 직면한 보안 위협에 대해 설명하며 “API가 현대 애플리케이션의 핵심이지만 AI 도입 가속화로 인해 복잡한 아키텍처와 타사 통합이 새로운 보안 위험을 가져온다”고 지적했다. 그는 “F5 솔루션은 취약점을 발견하고, 보안을 강화하며, 공격자보다 먼저 위협을 식별하고 해결함으로써 기존 및 신규 AI 기반 앱을 효과적으로 보호한다”고 강조했다.

• 북한 해커, 하루 만에 1900억원 넘게 털었다

  [시큐리티팩트=최석윤 기자] 북한과 연계된 해킹 조직들이 Web3(탈중앙화 웹)와 암호화폐 업계의 기업과 개인들을 집요하게 노리고 있다고 23일(현지시각) 해커뉴스가 경고 기사를 보도했다. 구글의 사이버 보안 전문 자회사인 맨디언트는 최근 발표한 보고서에서 "북한에 대한 강력한 국제 제재 때문에, 이들의 Web3와 암호화폐에 대한 관심은 주로 돈을 벌기 위한 것"이라고 분석했다. 즉, 핵무기 개발과 같은 북한의 주요 전략 목표를 달성하기 위한 자금 마련이 주된 목적이라는 것이다. 맨디언트는 북한과 관련된 해커들이 Go, C++, Rust 등 다양한 프로그래밍 언어로 직접 만든 악성 도구를 사용해 윈도우, 리눅스, macOS 등 다양한 운영체제를 감염시킬 수 있다고 밝혔다. 특히 UNC1069, UNC4899, UNC5342라는 이름으로 추적되는 최소 3개의 해킹 조직은 암호화폐 및 블록체인 기술 개발자 커뮤니티를 집중적으로 노리고 있다. 이들은 암호화폐 지갑에 불법적으로 접근하거나, Web3 관련 프로젝트에 참여하는 개발자들을 속여 내부 시스템에 침투하는 방식을 사용한다. 가짜 투자자로 접근, 악성 코딩 심어 각 해킹 조직의 주요 활동 방식은 다음과 같다. UNC1069 (2018년 4월부터 활동): 가짜 회의 초대장을 보내거나, 텔레그램 메신저에서 유명 회사의 투자자로 속여 접근하는 사회 공학적 기법을 사용한다. 이를 통해 피해자의 디지털 자산과 암호화폐 지갑에 접근하여 돈을 빼돌린다. UNC4899 (2022년부터 활동): 가짜 코딩 과제를 제시하며 악성코드를 심는 채용 사기 캠페인을 벌이는 것으로 알려졌다. 과거에는 기업의 소프트웨어 개발 과정에 몰래 악성코드를 심어넣는 공급망 공격을 통해 돈을 벌기도 했다. (Jade Sleet, PUKCHONG, Slow Pisces, TraderTraitor 등 여러 이름으로도 알려져 있다) UNC5342 (2024년 1월부터 활동): 개발자들을 속여 악성 소프트웨어가 포함된 프로젝트를 실행하도록 유도하는 직업 관련 미끼를 사용한다. (Contagious Interview, DeceptiveDevelopment, DEV#POPPER, Famous Chollima 등 여러 이름으로도 알려져 있다) 이 외에도 UNC4736이라는 해킹 조직은 암호화폐 거래 소프트웨어를 악성 프로그램으로 위장시켜 블록체인 업계를 공격했으며, 2023년 초에는 유명 소프트웨어 회사인 3CX를 대상으로 한 대규모 공급망 공격의 배후로 지목되기도 했다. 단 하루 만에 1900억 넘게 탈취 맨디언트는 암호화폐 분야를 표적으로 삼아 대규모 피싱 공격을 감행하는 또 다른 북한 해킹 조직인 UNC3782를 새롭게 확인했다고 밝혔다. 이들은 2023년에 트론(TRON)이라는 암호화폐 사용자들을 대상으로 정교한 피싱 공격을 펼쳐 단 하루 만에 1억 3700만 달러(약 1900억원) 이상의 암호화폐를 빼돌린 것으로 드러났다. 또한, 2024년에는 솔라나(Solana)라는 암호화폐 사용자들을 속여 악성 암호화폐 채굴 사이트로 유인하는 공격을 시작하기도 했다. 해외 취업 사기로 돈줄 확보 암호화폐 절도는 북한이 국제 사회의 경제 제재를 피하기 위해 사용하는 여러 가지 방법 중 하나이다. 최소 2022년부터 UNC5267이라는 활발한 해킹 조직은 수천 명의 북한 주민들을 미국, 유럽, 아시아 기업의 원격 근무 일자리에 파견했다. 이들은 주로 중국과 러시아에 거주하며 IT 관련 업무를 수행하는 것으로 알려졌다. 놀라운 점은 이들 IT 인력 중 상당수가 북한의 핵 개발 프로그램을 담당하는 군수공업부 313총국 소속이라는 것이다. 이들은 단순히 다른 사람의 신분을 도용하는 것을 넘어, 완전히 조작된 가짜 신분을 만들어 활동하기도 한다. 심지어 면접 과정에서 실시간 딥페이크 기술을 활용하여 감쪽같은 가짜 얼굴과 목소리를 연출하기도 한다. 팔로알토 네트웍스의 위협 분석 부서인 Unit 42의 연구원 에반 고든커는 "이는 두 가지 중요한 이점을 제공한다. 첫째, 한 명의 담당자가 여러 개의 가짜 신분을 사용하여 동일한 직책에 대해 여러 번 면접을 볼 수 있다. 둘째, 이들은 신분이 노출되어 보안 게시판이나 수배 목록에 오르는 것을 방지하는 데 도움이 된다. 이 모든 것이 결합되어 북한 IT 요원들은 향상된 보안 속에서 발각될 위험을 줄이며 활동할 수 있다"라고 설명했다. 고용주 협박, 내부자 위협.. 갈수록 대담 구글 위협 분석 그룹(GTIG)의 전문가들은 지난달 보고서에서 "북한 IT 인력들이 고용주를 대상으로 협박 캠페인을 강화하고 있으며, 기업의 가상 데스크톱, 네트워크, 서버에서 직접 작업을 수행하고 있다"고 밝혔다. 이들은 이제 획득한 관리자 권한을 이용하여 데이터를 훔치고, 사이버 공격을 감행하며, 북한의 수익을 창출하는 데 적극적으로 활용하고 있다는 것이다. 2024년 맨디언트는 미국과 유럽에서 취업을 시도하는 최소 12개의 가짜 신분을 사용하는 북한 IT 근로자로 의심되는 사람들을 확인했다. 이는 거짓된 신분으로 조직에 침투하는 북한의 수법이 얼마나 효과적인지를 보여주는 사례이다 심지어 한 미국 회사의 채용 과정에서는 두 명의 가짜 신분이 최종 후보로 올랐고, 그중 한 명의 북한 IT 근로자가 다른 가짜 신분을 제치고 채용되기도 했다. 또 다른 사례에서는 한 조직에서 12개월 동안 네 명의 북한 IT 근로자로 의심되는 사람들이 고용되기도 했다. 이처럼 북한은 사이버 공격과 IT 인력 위장 취업 등 다양한 방법을 동원하여 국제 사회의 제재를 회피하고 불법적인 수익을 얻으려 하고 있다. 특히 암호화폐 시장은 익명성과 탈중앙성이라는 특징 때문에 북한 해커들의 주요 표적이 되고 있으며, 앞으로도 더욱 정교하고 대담한 공격이 이어질 것으로 예상된다.

• 삼성 스마트폰 One UI, 치명적 보안 결함.. 사용자 데이터 '무방비 노출’

  [시큐리티팩트=최석윤 기자] 삼성 스마트폰 사용자들이 잠재적인 심각한 개인 정보 유출 위험에 직면했다. 22일(현지시각) 사이버시큐리티뉴스에 따르면, 삼성의 맞춤형 안드로이드 운영체제인 'One UI'에서 발견된 치명적인 보안 취약점으로 인해, 사용자들이 복사한 민감한 정보가 아무런 보호 장치 없이 일반 텍스트 형태로 기기에 무기한 저장되는 것으로 드러났다. 이는 단순한 불편함을 넘어, 악의적인 접근이나 악성코드 감염 시 개인 정보가 고스란히 유출될 수 있는 심각한 보안 위협으로 이어질 수 있다는 점에서 충격을 주고 있다. 삼성 안드로이드 클립보드의 위험한 비밀 이번에 발견된 보안 결함은 삼성 One UI 시스템에 깊숙이 통합된 클립보드 기능과 관련이 있다. 클립보드는 사용자가 텍스트, 이미지, 링크 등 다양한 데이터를 복사했을 때 임시로 저장해두는 공간으로, 붙여넣기 기능을 통해 편리하게 활용된다. 하지만 보안 연구원들의 분석 결과, 안드로이드 9(Pie) 이상을 실행하는 삼성 기기들은 이 클립보드 내용을 자동 삭제 메커니즘 없이, 암호화되지 않은 일반 텍스트 형태로 기기 내 영구 저장소에 계속 보관하는 것으로 밝혀졌다. 문제의 심각성은 사용자가 클립보드 내용을 일정 시간 후 자동으로 삭제하는 기능을 제공하는 구글의 Gboard와 같은 타사 키보드 앱을 사용하더라도, 삼성의 시스템 수준에서 작동하는 클립보드 기능이 이러한 보안 설정을 무력화시킨다는 점이다. 즉, 사용자가 Gboard의 자동 삭제 설정을 믿고 민감한 정보를 복사하더라도, 삼성 시스템은 해당 정보를 계속해서 기기에 '비밀 기록'처럼 남겨두는 것이다. 삼성마저 인정한 '보안 위험'.. 소극적 대응 이러한 심각한 문제점에 대해 삼성 내부에서도 인식이 있었다. 삼성 커뮤니티 포럼에서 사용자들의 지속적인 불만에 대해 한 관리자는 "특정 기간이 지나면 클립보드 내용을 자동으로 삭제하는 기본 설정이 없어서 실제로 보안 위험이 될 수 있다"라고 인정하는 발언을 했다. 하지만 회사 측은 개발팀에 해당 문제를 전달하겠다는 원론적인 답변만 내놓았을 뿐, 구체적인 해결 일정이나 계획은 제시하지 않아 사용자들의 불안감을 더욱 증폭시키고 있다. 비밀번호·은행 계좌 정보 등 유출 가능성 보안 전문가들은 이 취약점이 다양한 공격 경로를 열어줄 수 있다고 경고한다. 가장 직접적인 위험은 '물리적인 기기 접근'이다. 만약 누군가가 사용자의 잠금 해제된 삼성 기기에 잠시라도 접근할 수 있다면, 클립보드 기록을 통해 사용자가 이전에 복사했던 모든 비밀번호, 은행 계좌 정보, 개인적인 메시지 등 극히 민감한 정보를 손쉽게 확인이 가능하다. 이는 스마트폰을 잠시 다른 사람에게 빌려주거나, 분실했을 경우 상상 이상의 개인 정보 유출로 이어질 수 있다. 더욱 심각한 우려는 '악성코드의 위협'이다. 이미 클립보드 데이터를 전문적으로 탈취하는 악성코드, 예를 들어 암호화폐 지갑을 표적으로 한 원격 액세스 트로이목마(RAT) ' 'StilachiRAT' 등이 존재한다. 이러한 악성코드에 감염될 경우, 사용자가 무심코 복사한 금융 정보나 계정 정보가 실시간으로 공격자에게 전송될 수 있다. 특히 비밀번호를 복사하여 붙여넣는 습관이 있는 사용자라면, 단 한 번의 악성코드 감염으로 모든 계정이 위험에 노출될 수 있다. 안드로이드 클립보드 API 구현에 근본 원인 이번 보안 결함의 근본적인 원인은 삼성의 안드로이드 클립보드 API(Application Programming Interface) 구현 방식에 있다. 표준 안드로이드 운영체제는 클립보드 관리자 인터페이스를 통해 클립보드 데이터에 대한 보안 메커니즘을 제공한다. 예를 들어, 민감한 정보로 분류된 데이터는 일정 시간 후 자동으로 삭제되거나, 앱 간 공유 시 특별한 권한을 요구하는 등의 보호 장치가 마련되어 있다. 하지만 삼성의 One UI는 이러한 표준 안드로이드의 보안 기능을 우회하고, 자체적인 방식으로 클립보드 기능을 구현하면서 문제가 발생했다. 구글은 이미 안드로이드 12 버전에서 클립보드 보안 강화를 위해 'ClipDescription.EXTRA_IS_SENSITIVE' 플래그를 도입하여 민감한 데이터임을 명시할 수 있도록 했지만, 삼성의 클립보드 구현은 이러한 보안 플래그를 제대로 인식하지 못하고 모든 복사된 콘텐츠를 영구 저장소에 그대로 보관하는 것으로 분석된다. 사용자들 "심각한 보안 결함" 분노 폭발 직전 삼성 커뮤니티 포럼에서는 이번 보안 결함에 대한 사용자들의 우려와 분노가 극에 달하고 있다. 한 사용자는 "이것은 우선순위에 두어야 할 심각한 보안 결함이다. 민감한 데이터를 일반 텍스트로 무기한 저장하는 클립보드 기록은 불편함을 넘어 명백한 취약점이다"라며 삼성의 소극적인 대응을 강하게 비판했다. 또 다른 사용자는 "삼성을 오랫동안 신뢰하고 사용해 왔지만, 이번 개인 정보 보호 문제는 차후 기기 구매 결정에 큰 영향을 미칠 것이다. 특히 개인 정보 보호가 그 어느 때보다 중요한 현재 상황에서 이는 용납할 수 없는 문제이다"라며 삼성에 대한 실망감을 드러냈다. ■ 보안 전문가들이 말하는 임시 해결책 삼성이 근본적인 해결책을 내놓기 전까지, 보안 전문가들은 사용자들에게 다음과 같은 임시적인 해결 방법을 제시하고 있다. 민감한 정보 복사 후 즉시 클립보드 기록 삭제: 비밀번호, 은행 정보 등을 복사한 후에는 반드시 클립보드 기록을 수동으로 지워야 한다. 삼성 키보드 앱의 경우 클립보드 아이콘을 길게 눌러 기록에 접근한 후 삭제할 수 있다. 비밀번호 자동 채우기 기능 적극 활용: 비밀번호 관리 앱 사용자는 복사-붙여넣기 대신 제공되는 자동 채우기 기능을 이용하여 클립보드 사용을 최소화하는 것이 좋다. 타사 키보드 앱 고려 (제한적 효과): SwiftKey와 같이 일정 시간 후 클립보드 내용을 자동으로 삭제하는 타사 키보드 앱을 설치할 수 있지만, 삼성의 시스템 수준 저장소는 여전히 정보를 보관하므로 근본적인 해결책은 아니다.

• “구글 크롬 브라우저 업그레이드해야”…KISA, 자동 로그인 취약점 패치 적용 권고

  [시큐리티팩트=김상규 기자] 구글 크롬 브라우저 사용자라면 자동 로그인 보안 취약점으로 인해 최신 버전으로 업그레이드를 해야 한다고 한국인터넷진흥원(KISA)이 권고했다. KISA는 크롬 브라우저가 전 세계 브라우저 시장(PC 기준)의 66.16%를 점유하고 있는 만큼 취약점은 심각한 피해를 일으킬 수 있어 구글 본사와 긴밀히 협력해 신속한 패치 개발을 추진했다. 23일 KISA와 과학기술정보통신부는 사용자의 안전한 인터넷 사용을 위해 크롬(구글) 브라우저의 자동 로그인 보안 취약점을 개선해 배포된 패치 적용을 위해 브라우저의 최신 버전 사용을 당부한다고 밝혔다. ‘자동 로그인 기능’은 여러 홈페이지의 로그인 정보(아이디, 패스워드)를 브라우저에 일괄 저장하고 방문 시 자동으로 로그인을 할 수 있어 편리하다. 반면 사용자의 PC가 사이버 공격자에 노출될 경우 계정정보가 일시에 유출될 수 있는 위험이 존재한다. 이번 패치는 자동 로그인을 위해 크롬 브라우저 내부에 저장되는 사용자 계정정보의 암호화를 강화한 것으로 악성코드 감염 등 사이버 위협에 대응해 계정정보를 안전하게 보호하기 위한 조치이다. KISA는 2024년 4월 윈도우 OS에서 실행되는 국내 주요 브라우저에서 사용자 계정정보 탈취가 가능한 취약점을 확인해 제조사들에 전달하고 브라우저 보안 강화를 독려한 바 있다. 또한, 긴 시간이 소요되는 글로벌 패치 개발 기간 동안 사용자의 피해 예방을 위해 KISA와 브라우저 제조사들(구글, 마이크로소프트, 네이버)은 ‘인터넷 브라우저 보안수칙’을 개발해 지난해 8월 공동 캠페인을 진행했다. 이번 보안 패치는 윈도우 버전 크롬 브라우저(133버전 이상)에 적용되었으며, 브라우저의 자동 업데이트가 이루어지지 않는 경우 ‘설정’ → ‘크롬 정보’ 메뉴를 통해서도 업그레이드할 수 있다. 좀 더 상세한 정보가 필요하면 KISA의 보호나라 누리집 보안공지와 크롬 공식 홈페이지를 참조하면 된다. 이상중 KISA 원장은 “편리성 때문에 전 세계 많은 사용자가 이용하는 자동 로그인 기능을 악용한 해킹 공격은 대규모 피해를 불러올 수 있으므로 이번 크롬 브라우저 업데이트를 신속하게 적용해 줄 것”을 당부했다. 이어 “KISA는 사이버 위협에 대해 지속적으로 모니터링하고, 기업과 적극적으로 협력해 취약점을 조기 탐지·조치함으로써 국민의 안전한 인터넷 사용을 위해 최선을 다하겠다”고 덧붙였다.

• 북한은 어떻게 '해킹 제국'이 되었나

  [시큐리티팩트=최석윤 기자] 어둠 속에서 그림자처럼 움직이며 디지털 세계를 뒤흔드는 존재, 북한의 사이버 공격 조직들은 국제 사회에 끊임없는 불안감을 드리우고 있다. 금융 기관을 마비시키고, 암호화폐를 탈취하며, 국가 기밀을 훔쳐내는 그들의 능력은 어떻게 단기간 내에 세계적인 수준으로 성장했을까? 폐쇄적인 사회 시스템과 극심한 경제난 속에서 북한이 사이버 공간의 '강국'으로 부상한 배경에는 오랜 시간 축적된 전략과 노력이 숨겨져 있다. 북한이 '해킹 제국'으로 불리게 된 과정을 심층적으로 추적하고, 그들의 사이버 공격 전략, 인력 양성 시스템, 주요 공격 그룹, 그리고 국제 사회의 대응 현황까지 다각적으로 분석한다. 냉전 그림자, 사이버 전장의 '씨앗'을 뿌리다 북한의 사이버 역량 강화 노력은 냉전 시대로 거슬러 올라간다. 당시 북한은 재래식 군사력의 열세를 '비대칭 전력'으로 극복하고자 하는 전략적 목표를 설정했고, 사이버 공간은 그 가능성을 엿볼 수 있는 새로운 전장이었다. '비대칭 전력(非對稱戰力)'은 통상적인 군사력 비교에서 열세에 있는 쪽이 상대방 강점을 피하고 약점을 공략하기 위해 개발하거나 사용하는 전력을 의미한다. 이는 전력의 양적인 균형보다는 질적인 차별성이나 예상치 못한 방법을 통해 우위를 확보하려는 전략에서 비롯된다. 북한은 초기에는 심리전이나 정보전의 개념으로 접근했지만, 점차 컴퓨터 기술의 발전과 함께 사이버 공격의 잠재적 파괴력에 주목하기 시작했다. 소규모 인력으로 출발한 북한의 사이버 부대는 점차 체계적인 조직으로 확대 개편됐다. 핵심적인 역할을 수행하는 곳은 북한의 대외 정보 및 공작 기관인 '정찰총국'이다. 정찰총국 산하에 다양한 사이버전 담당 부서들을 두고, 해외 정보 수집, 체제 선전, 그리고 사이버 공격 임무를 수행하도록 지휘하고 있다. 초기에는 기술적 한계로 인해 단순한 해킹이나 악성코드 유포 수준에 머물렀지만, 꾸준한 투자와 인력 양성을 통해 점차 정교하고 은밀한 공격 능력을 확보해 나가기 시작했다. 엘리트 양성 시스템, 베일에 싸인 해커 부대 산실 북한이 사이버 공격 능력을 빠르게 끌어올릴 수 있었던 배경에는 체계적 인력 양성 시스템이 존재한다. 핵심 역할을 담당하는 교육 기관으로는 김일성군사종합대학, 김책공대 등이 있다. 이곳에서는 정보 기술, 프로그래밍, 네트워크 보안 등 사이버전에 필수적인 전문 지식을 심층 교육한다. 북한은 어린 시절부터 수학, 과학, 프로그래밍 등 IT 분야에 뛰어난 재능을 보이는 영재들을 선발하여 집중적으로 육성하는 시스템을 갖추고 있는 것으로 알려져 있다. 이들은 특수 학교나 영재 교육 프로그램을 통해 조기부터 전문적인 IT 교육을 받으며, 사이버 공격 기술을 연마하는 핵심 인력으로 성장하게 된다. 뿐만 아니라, 일부 북한 IT 인력들은 해외 IT 기업에 취업하거나 위장 회사를 설립하여 활동하면서 실전 기술과 국제적인 사이버 공격 트렌드를 습득한다. 이들은 해외에서 얻은 지식과 경험을 바탕으로 북한 내부의 사이버 공격 능력을 한 단계 끌어올리는 데 기여하고 있다. 경제 제재의 그늘, 사이버 범죄의 유혹 국제 사회 강력한 대북 제재와 지속적인 경제난은 북한이 사이버 범죄에 더욱 깊숙이 관여하게 되는 주요 원인으로 작용했다. 전통적인 외화 획득 경로가 막히자, 북한은 비교적 적은 투자로 상당한 수익을 올릴 수 있는 사이버 공간에 눈을 돌리게 된다. 북한은 국가 주도하에 조직적으로 사이버 범죄를 감행하는 특징을 보인다. 암호화폐 거래소 해킹, 온라인 카지노 운영, 금융 기관 공격 등 다양한 불법 행위를 통해 외화를 획득하고 있으며, 이는 핵 개발 및 체제 유지 자금으로 활용되는 것으로 알려져 국제 사회의 심각한 우려를 낳고 있다. 특히 암호화폐는 익명성이 보장되고 국경 간 이동이 용이하다는 점 때문에 북한의 주요 타겟이 되고 있다. 라자루스 그룹을 비롯한 북한 연계 해킹 조직들은 전 세계 암호화폐 거래소를 공격하여 막대한 양의 디지털 자산을 탈취하고 있으며, 이는 국제 금융 시스템의 안정성을 위협하는 요인으로 작용한다. 그림자 속의 얼굴들, 주요 해킹 그룹들 북한의 사이버 공격을 주도하는 핵심 조직들은 베일에 싸여 있지만, 국제 사이버 보안 업계는 이들의 활동을 꾸준히 추적하고 분석하고 있다. 대표적인 해킹 그룹으로는 '라자루스 그룹(Lazarus Group)'과 '킴수키(Kimsuky)' 등이 꼽힌다. 라자루스 그룹: 전 세계 금융 기관을 대상으로 한 대규모 사이버 공격과 암호화폐 탈취 사건에 깊숙이 관여하며 국제적인 악명을 떨치고 있는 조직이다. 이들은 고도의 기술력을 바탕으로 은밀하고 파괴적인 공격을 감행하며, 국제 금융 시스템에 심각한 위협을 가하고 있다. 2016년 방글라데시 중앙은행 해킹 사건, 워너크라이 랜섬웨어 공격 등이 라자루스 그룹의 대표적인 소행으로 알려져 있다. 특히 지난 2월 바이비트의 15억달러(약 2조1800억원) 규모 암호화폐를 탈취해 이중 최소 3억달러를 현금화한 것으로 악명을 떨쳤다. 킴수키: 주로 한국과 일본 등 주변 국가를 대상으로 정보 탈취 및 스파이 활동에 특화된 조직이다. 이들은 사회 공학적 기법을 활용하여 특정 개인이나 조직을 표적으로 삼아 장기간에 걸쳐 은밀하게 정보를 빼내는 수법을 주로 사용한다. 최근에는 공급망 공격을 통해 더 넓은 범위의 피해를 야기하는 사례도 포착되고 있다. 이 외에도 'APT38', '스칼렛 크러쉬' 등 다양한 이름으로 불리는 북한 연계 해킹 그룹들이 활동하고 있으며, 각 그룹은 고유의 공격 목표, 기술 수준, 그리고 활동 패턴을 보인다. 이들의 공격 방식은 끊임없이 진화하고 있으며, 국제 사회의 추적을 회피하기 위한 다양한 기술과 전략을 활용하고 있다. 진화하는 위협, 북한 사이버 공격의 현재와 미래 북한의 사이버 공격 기술과 전략은 끊임없이 진화하고 고도화되고 있다. 과거의 단순한 공격 방식에서 벗어나, 최근에는 '제로데이 취약점'을 활용하거나, 소프트웨어 업데이트 과정을 악용하는 '공급망 공격' 등 더욱 정교하고 예측하기 어려운 공격 기법을 사용하는 사례가 늘고 있다. 또한, '소셜 엔지니어링' 기법을 활용하여 조직 내부자의 실수나 부주의를 유도해 침투하거나, 장기간에 걸쳐 은밀하게 목표를 공격하는 '지능형 지속 공격(APT)' 방식을 통해 원하는 정보를 탈취하거나 시스템을 장악하는 시도도 꾸준히 증가하고 있다. 탈취한 자금의 추적을 어렵게 만들기 위해 '가상자산 믹서'나 '다크웹'과 같은 익명화 기술을 적극적으로 활용하는 것도 북한 사이버 공격의 주요 특징 중 하나이다. 이러한 추적 회피 기술은 국제 수사 기관의 수사를 더욱 어렵게 만들고, 북한의 사이버 범죄 수익을 은닉하는 데 사용된다. 전문가들은 향후 북한의 사이버 공격이 더욱 지능화되고 예측 불가능한 형태로 발전할 가능성이 높다고 경고다. 특히 인공지능(AI) 기술을 활용한 새로운 공격 기법이나, 아직 알려지지 않은 취약점을 이용한 공격 시도가 증가할 수 있다는 우려도 제기되고 된다. 국제 사회의 공조, '해킹 제국'에 맞서 싸우다 북한발 사이버 위협에 대응하기 위해 국제 사회는 다양한 노력을 기울이고 있다. 한국, 미국, 일본 등 주요 피해 국가들은 독자적인 대북 사이버 안보 전략을 수립하고, 관련 법규를 강화하는 등 적극적인 대응에 나서고 있다. 또한, 국제 공조를 통해 북한의 사이버 범죄를 수사하고 제재하기 위한 노력도 지속적으로 이루어지고 있다. 미국 법무부는 북한 해커들을 기소하고, 관련 자산을 동결하는 등의 조치를 취하고 있으며, 유엔 안전보장이사회 대북 제재위원회 역시 북한의 사이버 활동을 감시하고 제재 방안을 논의 중이다. 기술적인 측면에서는 블록체인 분석 기술을 활용하여 북한이 탈취한 암호화폐의 흐름을 추적하고, 위협 인텔리전스 정보를 공유하여 사이버 공격에 대한 방어 능력을 강화하고 있다. 하지만 북한의 폐쇄적인 사회 시스템과 국제적인 제재 회피 노력으로 인해 북한발 사이버 위협에 대한 효과적인 억제 및 방어 전략을 마련하는 데는 여전히 많은 어려움이 존재한다. 장기적인 관점에서 국제 사회는 더욱 긴밀한 공조 체제를 구축하고, 정보 공유를 강화하며, 북한의 사이버 공격 능력을 근본적으로 약화시킬 수 있는 다각적인 전략을 모색이 필요하다.

실시간 시큐리티 기사

• 5세부터 키운다.. 김정은 '해커 군단' 육성 프로젝트

  [시큐리티팩트=최석윤 기자] 북한 김정은 정권이 어린이들을 미래의 사이버 전사로 양성하기 위해 심혈을 기울이고 있다는 충격적인 주장이 제기되었습니다. 6일(현지시각) 더선 보도에 따르면, 한 정보 분석가는 북한이 이미 5세의 어린 아이들을 선발하여 전문적인 해커로 키워 서방 세계를 대상으로 파괴적인 사이버 공격을 감행할 준비를 하고 있다고 밝혔다. 이러한 충격적인 폭로는 북한의 악명 높은 해킹 조직인 라자루스 그룹(Lazarus Group)이 지난달 암호화폐 역사상 최대 규모인 12억달러(약 1조7000억원) 상당의 암호화폐를 탈취한 혐의로 국제적인 비난을 받고 있는 가운데 나온 것이어서 더욱 큰 파장을 예고하고 있다. 전 세계를 경악하게 만든 이 대규모 암호화폐 절도 사건의 배후에 김정은 정권이 있다는 의혹이 증폭되는 가운데, 최고 지도자가 어린 학생들을 직접 선발하여 사이버 공격 부대를 육성하고 있다는 주장은 충격적인 동시에 섬뜩함을 자아낸다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 북한 분석가인 마이클 반하트(Michael VanHart)는 외신과의 인터뷰에서 북한이 "사이버 역량 개발에 매우 체계적 접근 방식을 취하고 있다"고 말했다. 그는 북한이 예비 해커들을 초등학생 나이부터 선발한다는 ‘중요한 증거’를 확보했다고 주장하며, 북한의 사이버 전력 육성 시스템의 실체를 상세히 설명했다. 반하트 분석가에 따르면, 북한의 사이버 영재 발굴 과정은 과학, 수학 등 특정 과목에서 뛰어난 재능을 보이는 초등학생들을 선별하는 것으로 시작된다. 이 과정은 그가 ‘피라미드 같은 신동 모집 시스템’이라고 묘사한 방식으로 진행되며, 엄격한 기준과 평가를 통해 잠재력 있는 아이들이 선발된다. 이렇게 선발된 '사이버 영재'들은 북한 수도 평양에 위치한 특별 중학교로 보내져 본격 해커 교육을 받게 된다. 평양 엘리트 학교인 금성 1, 2 중학교는 미래 해커들을 위한 핵심 교육 기관으로 알려져 있다. 이곳에서 집중 훈련을 받은 이 재능 있는 십대들은 김일성종합대학이나 김책공업종합대학과 같은 북한 최고의 기술 대학으로 진학하여 학업을 이어간다. 대학 졸업 후에도 이들의 훈련은 끝나지 않는다. 해킹을 꿈꾸는 젊은이들은 졸업 후 약 1년 동안 중국이나 러시아로 파견되어 서방 세계를 대상으로 하는 ‘실용적인 해킹 및 기술력’을 습득하는 기회를 얻게 된다. 특히 이 해외 훈련 과정은 북한에서는 극히 제한적인 인터넷 접근을 처음으로 경험하는 중요한 단계이다. 일반적인 북한 주민들은 엄격한 검열을 거친 ‘광명’이라는 인트라넷만을 이용할 수 있으며, 극소수 고위 관리나 외국인만이 글로벌 인터넷에 접속할 수 있다. ‘광명’에는 정기적으로 업데이트되는 뉴스 사이트가 존재하지만, 이는 대부분 최고 지도자 업적을 찬양하는 선전으로 가득 차 있다. 이러한 환경 속에서 해외 파견은 북한의 미래 해커들에게 외부 세계 사이버 환경을 직접 경험하고 숙련된 기술을 연마할 수 있는 중요한 기회를 제공하는 것이다. 모든 훈련 과정을 성공적으로 마친 해커들은 북한으로 돌아와 다양한 사이버 전쟁 부대에 배치되어 정식 ‘사이버 전사’로 복무한다. 반하트 분석가는 "이러한 체계적인 육성 과정은 북한이 어릴 때부터 개인을 엄격하게 훈련시켜 사이버 역량을 구축하려는 의지를 명확히 보여주는 것이며, 동시에 그들에게 해외에서 중요한 실전 경험을 제공하려는 의도 또한 엿볼 수 있다"고 강조했다. 하지만 그는 이러한 엘리트 육성 과정 전반에 걸쳐 "정권에 대한 충성심 검증과 강화가 철저하게 이루어진다"고 덧붙였다. 뛰어난 해킹 능력과 함께 김정은 정권에 대한 절대적인 충성심을 갖춘 사이버 전사들을 양성하는 것이 북한의 핵심 목표인 것이다. '충성'의 대가, 특권과 자부심 세계 최고 수준 해커가 되는 길은 결코 쉽지 않다. 그렇기 때문에 김정은 정권은 자신의 소중한 사이버 군대에게 다양한 특전을 제공하며 그들의 충성심을 고취한다. 우수한 성적으로 훈련 과정을 마친 해커들의 경우, 그들 부모에게는 더 나은 주택으로 이사할 수 있는 기회가 주어지기도 한다. 탈북자 김흥광 씨는 알자지라와 인터뷰에서 지방에 거주하는 해커의 부모에게 수도 평양에 거주할 수 있는 특권이 주어지는 경우가 많다고 증언했다. 또한, 결혼한 해커들에게는 평양 시내 주택이 제공되는 혜택도 있다고 덧붙였다. 더욱 중요한 것은 해외 파견기간 동안 후한 식량 보조금과 급여가 지급된다는 점이다. 목숨을 건 사이버 전쟁에 투입되는 해커들에게 이러한 경제적 보상은 강력한 동기 부여 요인이 될 수 있다. 김흥광 씨는 젊은 해커들이 해외에서 자유로운 인터넷 환경을 경험한 후에도 여전히 김정은 정권에 충성할 것이라고 확신하는 듯 보였으며, 이는 실제로 효과를 거두고 있음을 시사합니다. 그는 "이 아이들은 ‘집권 노동당’의 절대적인 신임을 받고 있으며, 해외에서 생활하고 여행할 수 있는 기회는 물론, 안정적인 생활 수준까지 보장받는다"고 말했다. 또한 "엘리트의 일원이라는 이러한 종류의 자부심은 결코 무시할 수 없는 강력한 힘"이라고 강조하며, "그들은 또한 북한을 떠나 다른 곳에서 사는 삶이 현재 누리는 것보다 더 나을 것이라는 확신을 갖지 못하고 있다"고 분석했다. '평화의 수호자(Guardians of Peace)' 또는 '후이즈 팀(Whois Team)'으로도 알려진 라자루스 그룹(Lazarus Group)은 북한에서 가장 악명 높은 해킹 조직 중 하나이다. 이 수상한 그룹에 대해 알려진 정보는 많지 않지만, 전 세계적으로 가장 파괴적인 사이버 공격의 배후로 지목되고 있다. 앞서 언급된 12억 달러 규모의 암호화폐 탈취 사건 역시 라자루스 그룹의 소행으로 강력하게 의심받고 있다. 당시 해커들은 이더리움 지갑을 장악하고 막대한 양의 암호화폐를 빼돌려 블록체인 업계에 큰 충격을 던졌다. 하지만 정보 전문가들은 라자루스 그룹이 단순한 사이버 부대를 넘어, 북한의 사이버 공격 활동 전반을 포괄하는 ‘넓은 우산’과 같은 개념일 수 있다고 분석한다. 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)의 선임 관리자인 벤 리드(Ben Read)는 라자루스라는 용어가 실제로 여러 개의 사이버 부대를 식별하는 데 사용되는 가장 중요한 용어라고 설명했다. 그는 소위 라자루스 그룹이 목표가 겹치거나 때로는 도구를 공유하기도 하지만, 각기 다른 방식으로 운영되는 여러 개의 고도로 숙련된 해커 부대로 구성되어 있을 가능성이 높다고 분석했다. 이들은 함께 보안망을 뚫고 돈을 훔치는 검증된 방법을 개발하며, 전 세계를 상대로 은밀하고 파괴적인 사이버 공격을 감행한다. 라자루스 그룹의 진짜 정체가 무엇이든 간에, 한 가지 분명한 사실은 이들이 정교하게 조직되고 효율적으로 움직이는 사이버 공격 조직이라는 것이다. '현금 굶주린' 김정은, 사이버 범죄에 의존 더욱 우려스러운 점은 라자루스 그룹을 통해 탈취한 막대한 자금이 궁극적으로 김정은 통치 자금으로 흘러들어갈 가능성이 높다는 것이다. 북한은 지난 몇 년 동안 국제 사회의 강력한 제재를 받아왔으며, 이로 인해 김정은 정권은 경제난 극복을 위해 기존의 틀에서 벗어난 방안을 모색해 왔다. 이제 북한은 부족한 외화를 확보하기 위해 서방 세계를 대상으로 하는 치명적인 사이버 공격에 더욱 의존하는 경향을 보이고 있다. 2022년 유엔 조사 보고서에 따르면, 사이버 공격은 북한의 핵 및 탄도 미사일 프로그램의 ‘중요 수입원’으로 지목됐다. 이는 이전 조사에서 북한이 사이버 공격만으로 대량 살상무기 프로그램을 위해 20억달러(약 2조9000억원)를 축적했다는 사실이 밝혀진 후 나온 것이어서 충격을 더한다. 이처럼 심각한 상황 속에서 전 세계는 이러한 사이버 공격으로부터 스스로를 어떻게 효과적으로 방어할 수 있을지에 대한 해답을 찾기 위해 고심하고 있다. 하지만 김정은의 '사이버 영재'들이 빠르면 5세부터 체계적인 훈련을 받는다는 점을 고려할 때, 서방 세계가 북한의 사이버 공격 위협에 효과적으로 대응하기는 쉽지 않을 것이라는 비관적인 전망도 나오고 있다. 북한이 어린 나이부터 정예 해커를 육성하는 장기적인 전략을 추진하고 있는 만큼, 국제 사회의 더욱 강력하고 다각적인 공조와 대응책 마련이 시급해 보인다.

  • 시큐리티

  2025.04.07 12:25

• 안랩, 차세대 네트워크 통합 보안 솔루션 ‘안랩 XTG’ 출시

  [시큐리티팩트=김상규 기자] 안랩이 최신 네트워크 보안 기능을 대폭 강화한 차세대 네트워크 통합 보안 솔루션 ‘AhnLab XTG(안랩 XTG)’를 출시했다. ‘안랩 XTG’는 안랩의 고성능 방화벽 역량과 제로트러스트네트워크액세스(ZTNA), 소프트웨어기반 네트워크 기술(SD-WAN) 등 최신 네트워크 보안 기능을 기반으로 유연하고 강력한 네트워크 통합 보안을 제공한다. 또한‘안랩 트러스가드’의 보안 역량을 바탕으로 트래픽 처리 성능과 시스템 안정성을 대폭 강화한 고성능 방화벽 기능을 갖췄다. 이와 함께 안랩 트러스가드가 지원하는 애플리케이션 제어, 침입 방지(IPS), DDoS 대응, 암호화 트래픽 검사, 가상 시스템 분리 등 다양한 고급 보안 기능을 제공한다. 강석균 안랩 대표는 “안랩 XTG는 안랩이 2005년‘안랩 트러스가드 3100’ 출시로 네트워크 보안 시장에 진출한 이후 20년간 축적해온 네트워크 보안 노하우가 반영된 제품”이라며, “고객의 네트워크 보안 환경을 보다 안전하게 보호하고 고도화되는 위협에 선제적으로 대응할 수 있는 기반을 제공할 것”이라고 말했다.

  • 시큐리티

  2025.04.07 10:20

• 북한 해커 조직, 악성 npm 패키지 11개 추가 배포… 한국 개발자 공격

  [시큐리티팩트=최석윤 기자] 북한 해킹 조직이 '전염성 인터뷰(Contagious Interview)'라는 이름의 사이버 공격 캠페인을 통해 소프트웨어 개발자들이 주로 사용하는 패키지 관리 시스템인 npm(Node Package Manager) 생태계를 더욱 깊숙이 파고들고 있다고 해커뉴스가 보도했다. 이들은 '비버테일(BeaverTail)'이라는 악성코드를 유포하기 위해 11개의 새로운 악성 패키지를 npm에 등록했으며, 새로운 형태의 원격 제어 악성코드(RAT)를 다운로드하는 프로그램까지 활용해 한국 개발자를 공격하고 있는 것으로 드러났다. 소켓 보안 연구원인 키릴 보이첸코(Kirill Boychenko)는 보고서를 통해 "이번에 발견된 악성 패키지들은 자동화된 악성코드 탐지 시스템과 보안 전문가의 수동 코드 분석을 피하기 위해 16진수 문자열 인코딩이라는 새로운 난독화(코드를 알아보기 어렵게 만드는 기술) 방식을 사용하고 있다는 점에서 이전 공격 방식과 차이를 보인다"고 분석했다. 보안 전문가들에 의해 발견되어 npm 저장소에서 삭제되기 전까지, 이 11개의 악성 패키지는 총 5600회 이상 다운로드된 것으로 집계됐다. 문제의 패키지 목록은 다음과 같다. • 빈 배열 유효성 검사기(empty-array-validator) • 트위터API(twitterapi) • 개발 도구 디버거(dev-debugger-vite) • 코골이 로그(kloggy) • 코어 피노(core-pino) • 이벤트 유틸리티(events-utils) • 아이클라우드 대구(icloud-cod) • 명령줄 로거(cln-logger) • 노드 오류 방지(node-blocker) • 통합 로그(consolidate-log) • 통합 로거(consolidate-logger) 이번 악성 패키지 발견은 북한 해커들이 '인비저블페럿(InvisibleFerret)'이라는 파이썬 기반 백도어(Backdoor, 정상적인 인증 절차를 거치지 않고 시스템에 몰래 접근할 수 있도록 만들어진 통로)를 유포할 수 있는 자바스크립트 기반 정보 탈취 악성코드인 '비버테일'을 배포하는 6개의 npm 패키지 세트가 발견된 지 불과 한 달 만에 이루어진 것이다. '가짜 면접' 미끼로 개발자 시스템 침투 시도 사이버 보안 전문가들은 이 캠페인의 최종 목표가 개발자들을 '가짜 면접'으로 속여 이들의 컴퓨터 시스템에 침투한 후, 민감한 데이터를 훔치고, 금융 자산을 빼돌리며, 장기간에 걸쳐 감염된 시스템에 몰래 접근할 수 있는 권한을 확보하는 것이라고 분석하고 있다. 새롭게 발견된 npm 라이브러리들은 겉으로는 일반적인 유틸리티 도구나 디버깅 도구로 위장하고 있다. 특히 'dev-debugger-vite'라는 패키지 중 하나는 2024년 12월에 '팬텀 서킷(Phantom Circuit)'이라는 이름으로 알려진 캠페인에서 북한의 유명 해킹 조직인 '라자루스 그룹(Lazarus Group)'이 사용했던 명령 및 제어(C2) 서버 주소를 활용하고 있다는 사실이 보안 연구기관 SecurityScorecard에 의해 밝혀졌다. 흥미로운 점은 'events-utils'와 'icloud-cod'와 같은 일부 패키지들이 깃허브(GitHub)가 아닌 빗버킷(Bitbucket) 저장소에 연결되어 있다는 것이다. 또한 'icloud-cod' 패키지는 'eiwork_hire'라는 디렉토리 내에서 호스팅되고 있는 것으로 확인되었는데, 이는 공격자들이 악성코드 감염을 유도하기 위해 '채용' 또는 '면접'과 관련된 주제를 지속적으로 활용하고 있음을 보여준다. 'cln-logger', 'node-clog', 'consolidate-log', 'consolidate-logger' 패키지를 자세히 분석한 결과, 코드 수준에서 약간의 변형이 발견됐다. 이는 공격자들이 캠페인의 성공률을 높이기 위해 여러 종류의 악성코드를 동시에 배포하고 있다는 것을 시사한다. 원격 제어 악성코드 로더로 작동 이러한 변화에도 불구하고, 새롭게 발견된 4개의 악성 패키지에 포함된 악성 코드는 원격 서버로부터 다음 단계의 악성 프로그램을 다운로드하여 실행할 수 있는 원격 제어 악성코드(RAT) 로더로 작동하는 것으로 분석됐다. 보이첸코 연구원은 해커 뉴스(The Hacker News)와의 인터뷰에서 "이 로더를 통해 최종적으로 어떤 종류의 악성코드가 배포되는지는 현재로서는 정확히 알 수 없다. 이는 명령 및 제어(C2) 서버가 더 이상 악성 프로그램을 제공하지 않기 때문"이라고 설명했다. 그는 "이 코드는 원격에서 시스템을 제어할 수 있는 기능(RAT)을 가진 활성 악성코드 로더로 작동한다"며, "이 시스템은 'eval()'이라는 자바스크립트 기능을 통해 원격에 있는 악성 자바스크립트 코드를 동적으로 가져와 실행함으로써 북한 공격자들이 감염된 시스템에서 원하는 대로 악성 코드를 실행할 수 있도록 한다. 이러한 행위는 추가적인 악성 프로그램 배포로 이어질 수 있기 때문에, 이 로더 자체만으로도 심각한 위협이 된다"고 경고했다. 이번 연구 결과는 북한 해커들이 소프트웨어 공급망을 지속적으로 위협하고 있을 뿐만 아니라, 악성코드를 유포하기 위해 악명 높은 '클릭픽스(ClickFix)'라는 사회 공학적 기법(사람들의 심리를 이용하여 원하는 행동을 유도하는 공격 방식)과 유사한 전술을 활용하는 '전염성 인터뷰' 캠페인의 지속적인 특징을 보여준다. 보이첸코 연구원은 " '전염성 인터뷰' 캠페인을 벌이는 위협 행위자들은 새로운 npm 계정을 계속해서 생성하고, npm 저장소, 깃허브, 빗버킷과 같은 플랫폼에 악성 코드를 배포하는 끈질긴 모습을 보이고 있으며, 이러한 활동이 멈출 기미를 보이지 않고 있다"고 지적했다. 또한 "이러한 고도의 지속적인 위협(APT) 그룹은 새로운 공격 그룹 이름(별칭)으로 새로운 악성코드를 게시하고, 깃허브 및 빗버킷 저장소에서 악성 프로그램을 호스팅하며, 새롭게 발견된 원격 제어 악성코드(RAT) 로더 변종과 함께 '비버테일' 및 '인비저블페럿'과 같은 핵심 악성코드를 재사용하는 등 공격 전술을 다양화하고 있다"고 덧붙였다. '비버테일', '트로피도어' 백도어까지 은밀히 설치 한편, 이번 새로운 npm 패키지 발견은 한국의 사이버 보안 전문 기업인 안랩(AhnLab)이 이전에 알려지지 않았던 윈도우 운영체제용 백도어인 '트로피도어(Tropidoor)'를 배포하는 데 사용되는 '비버테일' 악성코드를 활용한 채용 관련 피싱 캠페인을 상세히 분석한 보고서가 발표된 직후에 이루어졌다. 안랩의 분석 결과에 따르면, '비버테일'은 특히 한국의 소프트웨어 개발자들을 적극적으로 공격하는 데 사용되고 있는 것으로 나타났다. '오토스퀘어(AutoSquare)'라는 회사를 사칭하여 발송된 이메일 메시지에는 빗버킷에 호스팅된 프로젝트 링크가 포함되어 있으며, 수신자에게 해당 프로그램에 대한 이해도를 검토하기 위해 자신의 컴퓨터에 해당 프로젝트를 복제(다운로드)하도록 유도했다. 하지만 이 '응용 프로그램'은 'tailwind.config.js'라는 이름으로 위장한 '비버테일' 악성코드와 'car.dll'이라는 이름의 DLL(Dynamic Link Library, 프로그램 실행에 필요한 파일) 다운로더 악성코드를 포함하는 npm 라이브러리일 뿐이었으며, 후자는 자바스크립트 기반 정보 탈취 악성코드 및 로더에 의해 실행되는 구조였다. '트로피도어'는 ‘다운로더를 통해 메모리 상에서 작동하는’ 백도어로서, 공격자의 명령 및 제어(C2) 서버에 연결하여 파일 유출, 드라이브 및 파일 정보 수집, 프로세스 실행 및 종료, 화면 캡처, 그리고 NULL 값 또는 무작위 데이터를 덮어쓰는 방식으로 파일을 삭제하거나 파괴하는 등의 악의적인 작업을 수행할 수 있는 기능을 가지고 있다. 이 악성코드의 중요한 특징 중 하나는 'schtasks', 'ping', 'reg'와 같은 윈도우 명령어를 직접 구현했다는 점인데, 이는 이전에 '블라인딩캔(BLINDINGCAN)'(일명 'AIRDRY', 'ZetaNile')의 후속 버전으로 알려진 '라이트리스캔(LightlessCan)'이라는 또 다른 라자루스 그룹의 악성코드에서도 관찰된 기능이다. 이에 대해 안랩은 "사용자들은 이메일 첨부 파일뿐만 아니라 출처를 알 수 없는 실행 파일에 대해서도 각별한 주의를 기울여야 한다"고 강조했다. 북한 해커 조직의 이처럼 지능적이고 끈질긴 사이버 공격 시도는 소프트웨어 개발자들을 포함한 모든 인터넷 사용자들에게 보안 의식을 높이고, 의심스러운 링크나 파일을 함부로 클릭하거나 실행하지 않도록 주의를 기울여야 할 필요성을 다시 한번 강조하고 있다.

  • 시큐리티

  2025.04.07 10:07

• 호주 최대 규모 연기금들, 해킹으로 회원 계좌 털렸다

  [시큐리티팩트=최석윤 기자] 호주 주요 연기금들이 조직적인 사이버 공격을 받아 수천 개 회원 계좌가 손상된 것으로 드러났다. 4일 현지 언론 보도에 따르면, 이번 해킹은 호주 최대 규모 연기금들을 포함해 광범위하게 발생한 것으로 나타났다. 피해를 입은 것으로 알려진 연기금은 오스트레일리안슈퍼(AustralianSuper), 오스트레일리안 퇴직 신탁(Australian Retirement Trust), 호스트플러스(Hostplus), 그리고 호주 최대 소매 퇴직연금 브랜드 소유주인 인시그니아 파이낸셜(Insignia Financial) 등이다. 또한, 소매업 부문 근로자들을 위한 디폴트 산업 연금 기금인 REST(Retail Employees Superannuation Trust) 역시 이번 사이버 공격의 피해를 본 것으로 확인됐다. 특히 시드니 모닝 헤럴드는 총 운용 자산 규모가 4조2000억 호주달러(약 3792경83조4000천억원)에 달하는 호주 연기금 산업 전반으로 이번 해킹 사태가 확산될 수 있다는 심각한 우려가 제기되고 있다고 보도했다. 이는 호주 경제의 중요한 축을 담당하는 연금 시스템 전체 안정성에 대한 위협으로 이어질 수 있다는 점에서 주목할 만한 부분이다. 이번 사태와 관련하여, 930억 호주달러(약 83조9000억원)의 자산을 운용하고 있는 REST의 최고경영자(CEO) 비키 도일(Vicki Doyle)은 로이터 통신과의 인터뷰를 통해 자사 연금 기금이 지난 주말 사이버 공격을 받았으며, 200만 명 회원 중 약 1%에 해당하는 계좌가 영향을 받았다고 공식 밝혔다. 이는 단순 계산으로도 약 2만 명 회원 계좌가 해킹으로 인해 잠재 위험에 노출되었다는 것을 의미한다. 현재까지 오스트레일리안슈퍼, 오스트레일리안 퇴직 신탁, 호스트플러스, 인시그니아 파이낸셜 등 다른 언급된 연기금들은 이번 보도와 관련된 논평 요청에 즉각 응답하지 않고 있는 상황이다. 이는 해당 기관들 역시 내부적으로 피해 규모를 파악하고 대응 방안을 모색하고 있을 가능성을 시사한다.

  • 시큐리티

  2025.04.04 12:33

• 오라클, 서버 해킹으로 데이터 600만건 유출 인정.. 고객에 통보

  [시큐리티팩트=최석윤 기자] 세계적 IT 기업 오라클(Oracle)이 오래된 1세대 서버와 관련된 심각한 데이터 유출 사고를 인정했다고 3일(현지시각) 사이버시큐리리티뉴스가 보도했다. 이는 최근 몇 주 사이 오라클이 공개한 두 번째 사이버 보안 사고로, 회사의 클라우드 인프라 보안과 고객의 소중한 데이터를 지키는 능력에 대한 우려가 커지고 있다. 이번 사건은 지난 3월 20일, 해킹 관련 온라인 커뮤니티인 브리치포럼(Breachforums)에 'rose87168'이라는 익명의 해커가 처음으로 알리면서 세상에 드러났다. 자신을 공격 주체라고 주장하는 이 해커는 약 600만 건에 달하는 데이터 기록을 손에 넣었다고 밝혔다. 유출된 정보에는 사용자 이름, 이메일 주소는 물론 암호화된 비밀번호, SSO(Single Sign-On, 한 번의 로그인으로 여러 서비스 이용 가능) 및 LDAP(Lightweight Directory Access Protocol, 사용자 정보 관리 프로토콜) 정보와 같은 민감한 인증 정보가 포함된 것으로 알려져 충격을 주고 있다. 뿐만 아니라, 공격자는 JKS(Java KeyStore, 자바 암호 키 저장소) 파일과 엔터프라이즈 매니저(Enterprise Manager) JPS 키까지 유출한 것으로 확인됐다. 다행히 주민등록번호와 같은 완전한 형태의 개인 식별 정보(PII)는 노출되지 않았지만, 오라클 측은 유출된 데이터가 약 16개월 전의 정보라고 밝혔다. 이번 침해 사고는 공격자가 2020년에 발견된 자바(Java) 프로그램의 취약점을 악용하여 오라클의 IDM(Identity Manager, 계정 및 접근 권한 관리 시스템) 데이터베이스에 침투, 웹 셸(Web Shell, 웹 서버를 통해 악성 명령을 실행할 수 있도록 하는 악성 코드)과 멀웨어(Malware, 악성 소프트웨어)를 심으면서 발생했다. 공격자는 이보다 훨씬 이전인 2025년 1월부터 이미 시스템에 접근 권한을 확보했으며, 오라클이 내부 조사를 시작한 2월 말까지는 감지되지 않았던 것으로 알려졌다. 사태의 심각성을 인지한 오라클은 즉시 영향을 받은 고객들에게 관련 사실을 알리고, 1세대 서버에 대한 보안 조치를 강화했다. 회사 측은 최신 2세대 서버는 이번 공격의 영향을 받지 않았으며, 기본적인 오라클 클라우드 인프라 자체에는 문제가 없었다고 강조했다. 하지만 이러한 오라클의 발표에도 불구하고, 사이버 보안 전문 기업인 사이벨엔젤(CybelAngel)은 오라클이 내부적으로 이번 사건을 인정했으며, 오래된 시스템에 대한 무단 접근이 있었다는 사실을 확인했다고 보도했다. 이는 오라클이 공식적으로 밝힌 내용과 다소 차이가 있어 논란이 예상된다. 해커 'rose87168', 금품·제로데이 정보 노려 이번 데이터 유출 사고의 배후로 지목된 해커 'rose87168'은 2025년 3월에 계정이 생성된 것으로 보아 사이버 범죄 세계에서는 비교적 새로운 인물로 추정된다. 그의 주된 목적은 오라클에 2천만 달러(한화 약 280억 원)의 몸값을 요구한 것으로 보아 금전적인 이득을 취하려는 것으로 분석된다. 하지만 그는 훔친 데이터를 제로데이 익스플로잇(Zero-day Exploit, 아직 제조사나 개발자가 알지 못하는 취약점을 이용한 공격) 정보와 교환할 의향을 내비치기도 해, 단순한 금전적 목적 외에 더 광범위한 범죄 계획을 가지고 있을 가능성도 제기되고 있다. 자신의 주장을 뒷받침하기 위해 공격자는 유출된 데이터의 일부 증거를 공개했는데, 여기에는 샘플 데이터베이스와 LDAP 계정 정보가 포함되어 있었다. 보안 연구원들은 이 데이터 일부를 검증하여 실제로 침해 사고가 발생했다는 사실을 더욱 확실하게 확인했다. 유명 보안 전문가인 케빈 보몬트(Kevin Beaumont)는 "검증을 위해 언론에 공개된 데이터를 살펴보면, 고객 데이터를 처리하는 시스템과 관련된 오라클에서 사이버 보안 사고가 발생했다는 사실이 100% 명백해졌다"고 강조했다. 잇단 오라클 보안 사고, 고객 정보 무방비 이번 1세대 서버 침해 사고는 최근 미국 의료 기관의 환자 데이터가 유출된 오라클 헬스(Oracle Health)의 오래된 서너(Cerner) 서버와 관련된 또 다른 사이버 보안 사고에 이은 것이다. 오라클 측은 이 두 사건이 서로 관련이 없다고 주장하고 있지만, 비슷한 시기에 잇따라 발생한 보안 문제로 인해 회사의 전반적인 보안 태세에 대한 철저한 조사가 필요하다는 목소리가 높아지고 있다. 이번 1세대 서버 침해 사고는 최신 클라우드 인프라로 완전히 전환되지 않은 오래된 시스템이 얼마나 취약한지를 여실히 보여준다. 전문가들은 이러한 취약점이 더욱 심각하게 악용될 경우, 기업 보안은 물론 협력업체 등 공급망 전체에 걸쳐 연쇄적인 피해를 초래할 수 있다고 경고한다. 오라클의 이번 대응은 대기업들이 오래된 시스템을 안전하게 유지하면서 동시에 새로운 플랫폼으로 전환하는 과정에서 얼마나 큰 어려움에 직면하는지를 단적으로 보여준다. 현재 조사가 계속 진행 중인 가운데, 오라클은 영향을 받은 고객들에게 비밀번호를 재설정하고, 의심스러운 활동을 주의 깊게 살펴보고, 더욱 강력한 보안 조치를 적용할 것을 권고했다.

  • 시큐리티

  2025.04.04 11:44

• 보안솔루션 기업 이반티, 중국 연계 추정 스파이그룹서 사이버 공격

  [시큐리티팩트=최석윤 기자] 최근 중국과 연계된 것으로 보이는 사이버 스파이 그룹이 네트워크 보안 솔루션 기업인 이반티(Ivanti)의 주요 제품에서 발견된 취약점을 지속적으로 공격하고 있어 보안 업계에 비상이 걸렸다고 3일(현지시각) 다크리딩이 보도했다. 이들은 이반티 커넥트 시큐어(Connect Secure), 폴리시 시큐어(Policy Secure), ZTA 게이트웨이 특정 버전에 존재하는 취약점을 발판 삼아 표적 시스템에 두 가지 새롭고 위험한 악성코드 제품군을 은밀히 심고 있는 것으로 드러났다. 이반티는 UEM(통합 엔드포인트 관리) , Security(사이버 보안), EXM(경험관리 분야) 솔루션을 바탕으로 클라우드에서 에지까지 IT 자산 검색, 관리, 보안 및 서비스 등을 제공하는 글로벌 마켓 리더 기업이다. 이반티는 이미 지난 2월, 자사 제품에서 버퍼 오버플로우(Buffer Overflow) 취약점인 CVE-2025-22457을 수정하는 패치를 배포한 바 있다. 당시 이반티는 해당 취약점이 고객에게 미치는 위험 수준을 낮게 평가했지만, 최근 이러한 평가를 번복하고 중요도를 대폭 상향 조정했다. 이는 사이버 스파이 그룹들이 해당 취약점을 악용하여 영향을 받는 시스템에서 임의의 악성 코드를 실행할 수 있다는 사실이 새롭게 확인되었기 때문이다. 이에 따라 해당 취약점은 CVSS(Common Vulnerability Scoring System) 기준 10점 만점에 9점이라는 매우 심각한 점수를 받게 됐다. 정교한 방식으로 보안 프로그램 악용 이반티는 이날 발표한 보안 권고문에서 ‘CVE-2025-22457’ 취약점에 대해 "마침표와 숫자로 제한된 문자만으로 구성된 버퍼 오버플로우이며, 원격 코드 실행으로 악용될 수 없는 것으로 평가되어 서비스 거부 공격의 가능성조차 낮다고 판단했었다"고 밝혔다. 그러나 "이반티와 보안 파트너들은 면밀한 분석을 통해 해당 취약점이 정교한 방식을 통해 악용될 수 있다는 점을 새롭게 인지했으며, 실제 환경에서 활발하게 악용되고 있는 증거를 포착했다"고 덧붙였다. 이번에 문제가 된 취약점은 다음과 같은 이반티 제품 및 버전에 영향을 미친다. -Ivanti Connect Secure (버전 22.7R2.5 이하) -Ivanti Policy Secure 및 ZTA 게이트웨이 -펄스 커넥트 시큐어(Pulse Connect Secure) 9.x (이반티가 2024년 12월 31일부로 기술 지원을 종료한 제품) 이반티는 현재까지 관찰된 실제 공격 사례가 ‘Ivanti Connect Secure 버전 22.7R2.5’ 이하 및 이미 지원이 종료된 ‘펄스 커넥트 시큐어 9.1x’ 장치를 사용하는 ‘제한된 수’의 고객에게 발생했다고 설명했다. 다행히 현재까지는 공격자들이 상대적으로 공격에 덜 노출된 폴리시 시큐어 또는 ZTA 게이트웨이의 취약점을 악용한 징후는 발견되지 않았다고 이반티는 밝혔다. 이에 이반티는 영향을 받는 버전의 ‘Ivanti Connect Secure’를 사용하고 있는 업체나 기관들에게 지난 2월에 이미 배포된 최신 버전인 ‘22.7R2.6’으로 즉시 업그레이드할 것을 강력히 권고했다. 또한, 어플라이언스가 이미 악성코드에 감염된 징후가 보이는 조직의 경우, 해당 장비를 공장 초기화한 후 최신 버전(22.7R2.6)으로 재설치하여 운영해야 한다고 강조했다. 이반티는 영향을 받는 Ivanti Policy Secure 버전에 대한 패치를 오는 4월 21일에 배포할 예정이며, Ivanti ZTA 게이트웨이에 대한 패치는 4월 19일에 자동으로 배포할 계획이다. 이미 지원이 종료된 버전의 펄스 커넥트 시큐어를 사용하고 있는 조직은 가능한 한 빠른 시일 내에 지원이 제공되는 최신 버전으로 마이그레이션할 것을 권고했다. 중국 연계 추정 사이버 스파이 행위자 'UNC5221' 이번 이반티 제품의 취약점 분석을 지원한 구글의 보안 전문 자회사 맨디언트(Mandiant)는 현재 해당 취약점을 악용하고 있는 주체를 중국과 연계된 것으로 보이는 'UNC5221'이라는 그룹으로 지목했다. 맨디언트의 분석에 따르면, 이들은 CVE-2025-22457 취약점을 통해 초기 접근 권한을 획득한 후 표적 시스템에 두 가지 새로운 악성코드 도구를 심었다. 첫 번째 악성코드는 'Trailblaze'라는 이름의 드로퍼(Dropper)로, 감염된 시스템의 메모리 상에서 실행되어 또 다른 악성코드인 'Brushfire'를 배포하는 역할을 한다. 'Brushfire'는 은밀하게 백도어 기능을 수행하는 악성코드 제품군이다. 이 외에도 UNC5221은 이전 공격 캠페인에서 사용했던 'Spawnsloth'(로그 변조 도구), 'Spawnsnare'(암호화 도구), 'Spawnant'(추가 악성코드 설치 프로그램) 등 다양한 도구들을 함께 활용하고 있는 것으로 밝혀졌다. 맨디언트의 선임 컨설턴트인 매트 린(Matt Lin)은 UNC5221 그룹이 이반티의 CVE-2025-22457 패치가 공개된 직후인 지난 2월부터 해당 취약점을 악용하기 시작했다고 밝혔다. 그는 "해당 취약점은 초기 분석에서 버퍼 오버플로우로 확인되었지만, 오직 마침표와 숫자로만 구성된 제한적인 문자 공간만을 허용하는 버퍼였기 때문에, 원래는 모든 익스플로잇 시도가 서비스 거부 공격과 같은 낮은 위험 수준에 그칠 것이라고 예상했다"고 설명했다. 그러나 린 컨설턴트는 "위협 행위자들은 패치 배포 후 ICS 22.7R2.6 버전과 이전 버전 간의 코드 차이점을 정밀하게 분석하여 취약점을 무기화하고 원격 코드 실행을 달성할 수 있는 정교한 방법을 찾아낸 것으로 보인다"고 추정했다. 이반티 제품군 취약점 대상으로 계속 공격 맨디언트는 이전에도 이반티 제품에서 제로데이(Zero-day, 아직 패치가 발표되지 않은 취약점) 버그를 악용하는 동일한 위협 행위자를 관찰한 바 있다. 가장 최근의 사례로는 이반티가 올해 1월 커넥트 시큐어 VPN 제품군에서 발견하여 긴급 패치를 배포한 두 건의 제로데이 취약점(CVE-2025-0282 및 CVE-2025-0283)이 있다. 맨디언트의 조사에 따르면 UNC5221 그룹은 최소 2024년 12월부터 이 두 가지 취약점을 활발하게 악용해 온 것으로 드러났다. 또한, 이번 주 초 미국 사이버 보안 및 인프라 보안국(CISA)은 위협 행위자들이 앞서 언급된 취약점 중 하나인 CVE-2025-0282를 적극적으로 악용하여 감염된 시스템에 'Resurge'라는 악성코드를 배포하고 있다고 경고하기도 했다. 작년 1월에도 맨디언트는 이반티의 커넥트 시큐어 및 폴리시 시큐어 어플라이언스에서 사용자 지정 웹 셸(Web Shell, 웹 서버를 통해 악성 명령을 실행할 수 있도록 하는 악성 스크립트) 및 기타 악성 소프트웨어를 피해 시스템에 몰래 설치하기 위해 CVE-2023-46805 및 CVE-2024-21887이라는 또 다른 두 개의 제로데이 취약점과 관련된 UNC5221 그룹의 공격 캠페인을 보고한 바 있다. 엣지 장비 중요.. 지속 보안 강화 필요 방화벽, VPN, 라우터 등 네트워크 경계에서 중요한 역할을 수행하는 이반티 기술에 대한 UNC5221 그룹의 지속적인 공격과 다른 공격 그룹들의 유사한 시도는 공격자 입장에서 이러한 시스템이 얼마나 중요한 표적인지를 명확하게 보여준다. 이러한 엣지 장비의 취약점은 공격자들에게 기업 네트워크 내에서 높은 권한을 가진 시스템에 접근할 수 있는 효과적인 경로를 제공하며, 추가적인 공격, 내부망 이동, 중요 데이터 유출 등 광범위한 사이버 공격을 위한 발판이 될 수 있다. 특히 엣지 장비가 compromised(컴퓨터 시스템이나 네트워크가 보안상의 허점이나 취약점을 통해 공격자에게 장악당한 상태)될 경우, 기존의 보안 조치를 우회하고 지속적인 접근을 유지하며, 표적 조직 내부에서 더욱 은밀하고 광범위한 사이버 스파이 활동이나 랜섬웨어 공격을 감행할 수 있게 된다. 따라서 기업 및 조직들은 네트워크 경계에 위치한 장비들의 보안 강화에 더욱 힘쓰고, 제조사의 보안 권고에 따라 신속하게 최신 패치를 적용하는 등 적극적인 보안 노력을 기울여야 한다.

  • 시큐리티

  2025.04.04 09:06

• SK쉴더스, ‘블랙햇 아시아 2025’참가…AI 기반 보안기술 소개

  [시큐리티팩트=김상규 기자] SK쉴더스 1일부터 4일까지 싱가포르에서 열리는 사이버보안 컨퍼런스 ‘블랙햇 아시아 2025’에 참가하고 있다고 3일 밝혔다. ‘블랙햇’은 미국, 유럽, 아시아 등에서 열리는 세계 3대 보안 컨퍼런스로, 최신 보안 기술과 위협 트렌드를 공유하는 사이버보안 분야 최대 행사다. SK쉴더스는 이 행사에서 인공지는(AI) 기반 보안 기술을 선보이며 글로벌 시장 공략에 나선다. AI를 활용한 ▲AI 보안 설계 ▲AI 레드팀 서비스 ▲AI LLM(거대언어모델) 보안평가 서비스 등 다양한 AI 특화 보안 서비스를 소개한다. SK쉴더스는 기업의 AI 시스템이 보다 안전하게 운영될 수 있도록 ‘AI 보안 아키텍처 리뷰’와 ‘오픈소스 LLM 모델평가’를 지원하고 있다. 이를 통해 AI 모델에 특화된 보안 아키텍처 위협요소를 사전에 점검할 수 있다. AI 모델 자체의 데이터 보호, 편향, 저작권 침해, 할루시네이션 등에 대한 점검과 자문 서비스를 제공한다. SK쉴더스는또한 실제 해킹 시나리오 기반 ‘AI 레드팀 서비스’를 운영하며 고객사의 위협 탐지 및 대응 역량을 평가하고 강화할 수 있도록 지원한다. 자체적으로 마련한 AI 평가 기준과 글로벌 표준(OWASP 톱 10 포 LLM)을 적용해 AI 기반 시스템에 대한 체계적인 위협 관리 방안을 제공한다. 이번 행사 부스는 국내 최대 화이트해커 그룹인 SK쉴더스의 이큐스트(EQST)가 직접 운영한다. 보안 리서치 및 침해 대응 경험을 바탕으로 일대일 보안 상담과 기술 시연을 제공한다. EQST는 고객 맞춤형 자문을 통해 사이버 위협 탐지와 대응 전략을 구체적으로 안내할 예정이다. SK쉴더스는 사이버보안 교육 플랫폼 ‘EQST LMS’를 체험할 수 있는 공간도 마련한다. EQST LMS는 실제 해킹 사례를 기반으로 AI LLM, 웹·모바일, 클라우드, 시스템 보안, 악성코드 분석 등 10여 개의 교육 과정을 제공하는 온라인 교육 플랫폼이다. 이와 함께 자회사 시큐레이어와 공동 부스를 구성하고 SIEM·SOAR 솔루션도 소개한다. 이를 통해 고객 환경에 최적화된 보안 운영 전략을 제시하고, 글로벌 고객과의 접점을 넓힐 계획이다.

  • 시큐리티

  2025.04.03 22:12

• 페스카로, 특수 모빌리티 분야로 사이버보안 사업 확장

  [시큐리티팩트=김상규 기자] 페스카로가 커넥티드 및 자율주행을 통해 스마트화되고 있는 농기계·건설기계 등 특수 모빌리티 분야로 사이버보안 사업을 확장한다고 3일 밝혔다. 모빌리티 산업 전반에 걸쳐 디지털 전환이 가속화되며 사이버보안의 중요성이 부각되고 있다. 최근 5년 간 유럽연합(EU), 중국, 한국 등 다양한 국가에서 자동차 사이버보안 법규를 제정하며 보안 강화에 나섰다. 이어 지난해에는 EU가 디지털 생태계의 안전을 위한 사이버복원력법(CRA)을 채택하며, 농기계와 건설기계 등으로 사이버보안 규제가 확대될 예정이다. CRA 인증이 농기계와 건설기계 제조업체의 글로벌 경쟁력을 입증하는 핵심 요건이 될 것으로 전망됨에 따라 CRA에 대응할 수 있는 전문 기업들이 주목받고 있다. 페스카로는 자동차 사이버보안 법규에 성공적으로 대응했던 경험과 기술력을 바탕으로 농기계 및 건설기계에서도 경쟁력을 확보할 것으로 기대한다. 페스카로는 글로벌 승용차 및 상용차 제작사들의 유럽 법규(UN R155· UN R156) 대응을 성공적으로 지원하며, 세계 4대 자동차 사이버보안 인증 컨설팅 ‘그랜드슬램’을 국내 최초로 달성했다. 인증 컨설팅, TARA(위협분석 및 위험평가), 보안솔루션, 보안테스팅 등 사이버보안 법규 대응을 위한 솔루션을 원스톱으로 제공함으로써 전문 기술력을 입증했다. 이러한 전문성을 기반으로 복잡한 사이버보안 규제 대응 업무를 간편하게 만들어줄 자동화 솔루션, CSMS 포털(Portal)을 올해 6월에 출시할 예정이다. 최근 독일 기반의 글로벌 인증평가기관 티유브이노르트(TUV NORD)와 업무협약(MOU)을 체결하며 법규 인증 사업에서의 역량도 한층 강화했다. 구성서 페스카로 상무는 “현재 다양한 국내외 농기계 및 건설기계 제조업체들로부터 관련 문의가 이어지고 있으며, 고객사 환경에 최적화된 솔루션을 제안하며 본격적인 대응 준비를 마쳤다”라며, “이를 기반으로 자동차 산업을 넘어 전체 모빌리티 분야로 사업을 적극 확장할 것”이라고 강조했다.

  • 시큐리티

  2025.04.03 22:08

• 카스퍼스키 EDR, 3년 연속 AV-Comparatives EPR 테스트 ‘리더’ 선정

  [시큐리티팩트=김상규기자] 카스퍼스키 EDR 솔루션이 3일 AV-Comparatives의 2024년 엔드포인트 예방 및 대응(EPR) 테스트에서 3년 연속 최고 등급인 '전략적 리더'로 선정됐다. 카스퍼스키 측은 이 솔루션이 합리적인 비용과 높은 운영 정확성을 유지하면서도 사이버 공격 예방과 대응에 탁월한 효과를 보여 3년 연속으로 인정받았다고 밝혔다. AV-Comparatives는 12개 엔드포인트 보안 솔루션을 대상으로 50가지의 실제 공격 시나리오를 적용하여 위협 차단 능력과 정교한 공격에 대한 분석 정보를 제공하는 능력을 평가했다. 테스트 결과, 카스퍼스키 EDR은 50개 모든 공격 시나리오의 1, 2단계에서 액티브 및 패시브 대응 모두 100% 성공률을 기록했으며, 통합 예방/대응 성능에서 99.3%로 전체 1위를 차지했다. 특히, 파일 분석 중에도 시스템 멈춤 현상 없이 원활한 작업을 보장하여 업무 지연 비용이 전혀 발생하지 않았다는 점이 눈에 띈다. 더불어 총 소유 비용(TCO) 또한 업계 최저 수준을 나타냈다. 카스퍼스키의 위협 연구 책임자인 알렉산더 리스킨은 "카스퍼스키는 뛰어난 탐지 및 대응 능력은 물론, 업무 흐름 방해 없이 쾌적한 사용자 경험을 제공하기 위해 지속적으로 기술을 발전시켜 왔다. 이번 엄격한 독립 테스트를 통해 이러한 노력이 인정받게 되어 매우 기쁘다"라고 소감을 전했다.

  • 시큐리티

  2025.04.03 22:00

• 시스코, AI 시대 맞춤형 보안 솔루션 ‘AI 디펜스’ 공개

  [시큐리티팩트=김상규 기자] 시스코가 보안 솔루션 ‘AI 디펜스’로 인공지능(AI)에 맞춰 강화된 보안 성능을 제공하며 기업의 AI 전환을 지원한다. 시스코는 3일 서울 강남구 그랜드 인터컨티넨탈 서울 파르나스에서 미디어 라운드테이블 행사를 열고 강화된 AI 보안 솔루션 ‘AI 디펜스’를 소개했다. AI 디펜스는 보안 위협 속에서도 안심하고 AI 애플리케이션을 개발·배포할 수 있도록 지원하며, 시스코의 AI 기술 기반 보안 플랫폼인 ‘시스코 시큐리티 클라우드’에 통합돼 전사 네트워크의 보안을 강화한다. 특히 AI 디펜스는 자체 분석·학습 능력을 활용해 새로운 형태의 사이버 위협을 실시간으로 감지하고 효과적으로 차단하는 동시에, 기업의 AI 애플리케이션 개발과 운영 전반에 걸쳐 보안 태세를 강화하도록 설계됐다. 이날 AI 디펜스에 관해 발표한 아난드 라가반 시스코 AI 제품 총괄 부사장은 “AI가 핵심 영역에 활용되는 경우가 늘어남에 따라 모델 사용의 가시성, 운영 환경에 배포되기 전 모델 검증, 운영 환경에서 모델 보호를 위한 가드레일 등 세 가지가 중요해졌다”며, “AI 디펜스는 서드파티 AI 애플리케이션에 대해 안전한 접근을 제공한다”고 강조했다. 이어 “이 플랫폼은 안전, 보안, 개인정보보호 가드레일을 기반으로 AI 기반 애플리케이션을 보호한다”며 “이 가드레일은 오픈웹애플리케이션보안프로젝트(OWASP) 선정 대형언어모델 10대 취약점(LLM10), 미국 국립표준기술연구소(NIST)의 AI 위험 관리 프레임워크 등 국제 표준도 준수한다”고 덧붙였다. 아울러 시스코는 기업들이 AI로 촉발되는 업무 환경의 변화에 대응할 수 있도록 협업툴 ‘웹엑스’에 AI 에이전트 기능을 추가할 계획이라고 밝혔다. 웹엑스 AI 에이전트는 AI와 인간 상담원을 결합해 고객 응대 시간을 단축하고 문제 해결을 자동화함으로써, 기업 구성원들이 변화하는 업무 환경에 효과적으로 대응하도록 돕는다는 게 시스코측 설명이다. 웹엑스 AI 에이전트는 9개 언어로 제공되며, 한국어는 3분기부터 지원 예정이다.

  • 시큐리티

  2025.04.03 14:16

• 러시아, 급증하는 ‘사이버 사기’에 칼 빼들다

  [시큐리티팩트=최석윤 기자] 러시아 내 금융 사이버 범죄가 기록적인 수준으로 치솟자, 블라디미르 푸틴 러시아 대통령이 시민들을 사이버 사기로부터 보호하기 위한 강력한 법안에 최종 서명하며 사이버 보안 강화에 본격적으로 나섰다고 2일(현지시각) 더레코드가 보도했다. 이번에 발효된 법안은 국가 기관, 은행, 그리고 일일 이용자 수가 50만 명 이상인 주요 디지털 플랫폼들이 업무상 커뮤니케이션 때 외국산 메신저 앱을 사용하는 것을 엄격히 금지하는 내용을 핵심으로 담고 있다. 이는 정보 유출과 보안 취약성에 대한 우려를 해소하고, 국가 차원의 디지털 보안을 강화하기 위한 조치로 풀이된다. 이와 함께, 공격자들이 발신자 번호를 조작하여 타인을 사칭하는 수법의 금융 사기를 예방하기 위해, 조직들은 수신 전화에 발신자의 공식 명칭을 명확하게 표시하도록 의무화된다. 이를 통해 시민들은 발신자를 쉽게 식별하고, 의심스러운 전화에 대한 경각심을 높일 수 있을 것으로 예상된다. 사이버 범죄에 연루된 개인들을 효과적으로 추적하고 대응하기 위해 국가가 운영하는 정보 시스템 구축을 의무화하는 조항도 포함됐다. 러시아 의회는 끊임없이 증가하는 사이버 사기와 개인 정보 유출 사례에 대한 심각한 우려를 표하며, 이러한 선제 조치들이 국민들의 금융 자산을 보호하는 데 필수적이라고 강조했다. 지난해 사기 피해액 4700억 육박 러시아 중앙은행의 최근 발표에 따르면, 지난해 한 해 동안 사기범들은 러시아 은행 계좌에서 275억 루블 (약 4700억원)에 달하는 금액을 탈취한 것으로 드러났다. 이는 전년 대비 74.4%나 증가한 수치로, 러시아 내 금융 사기 문제가 얼마나 심각한 수준에 도달했는지 여실히 보여준다. 사기 수법의 대부분은 공격자들이 악성 소프트웨어를 유포하거나, SMS 메시지의 피싱 링크, 허위 광고 등 사회공학적 기법을 활용하여 피해자들의 모바일 뱅킹 앱 접근 권한을 탈취하는 방식으로 이루어졌다. 금융 기관들 역시 예외없이 사이버 공격으로 받는 피해가 증가했다. 러시아 은행들은 사이버 사고와 관련하여 신용 기관으로부터 750건 이상의 보고를 받았으며, 특히 다수 서버에 동시 접속을 시도하여 시스템을 마비시키는 분산 서비스 거부 (DDoS) 공격이 가장 빈번하게 발생한 것으로 나타났다. 러시아 의회는 이처럼 급증하는 사이버 범죄의 주요 원인 중 하나로 대규모 개인 정보 유출 사태를 지목했다. 현지 전문가들 분석에 따르면, 지난 한 해 동안 해커들은 약 2억 8600만 건의 러시아 고유 전화번호와 9600만 건의 이메일 주소를 유출했으며, 특히 금융 부문에서 유출된 개인 정보 양이 가장 많은 것으로 확인됐다. 디지털 생태계 통제 강화 움직임 이러한 심각한 위협에 대응하기 위해 푸틴 대통령은 이미 지난해 11월, 데이터 유출과 개인 정보의 불법 유통에 대한 행정과 형사 처벌을 대폭 강화하는 법안에 서명한 바 있다. 이와 유사한 시기에, 국영 통신 대기업 로스텔레콤 CEO는 러시아 전체 시민의 개인 데이터가 유출되어 온라인상에 광범위하게 유포되었다고 밝혀 충격을 주었다. 러시아 최대 금융 기관 중 하나인 스베르방크 역시, 이번 대규모 정보 유출 사태로 인해 러시아 사용자 데이터의 약 90%가 영향을 받았을 것으로 추정했다. 크렘린궁은 사이버 위협에 대한 우려와 더불어 고조되는 지정학적 긴장 속에서, 러시아의 디지털 생태계에 대한 통제력을 더욱 강화하려는 움직임을 노골적으로 드러내고 있다. ‘비우호 국가’ 사이버 보안 서비스 금지 광범위한 사이버 보안 강화 노력의 일환으로, 푸틴 대통령은 이전에 ‘비우호 국가’의 사이버 보안 서비스 사용을 금지하는 조치를 단행하기도 했다. 이러한 제재는 GitHub와 같은 국제적 오픈 소스 저장소는 물론, 외국 클라우드 서비스와 보안 기술 전반을 대상으로 한다. 러시아의 외국 기술 서비스에 대한 강경한 입장은 크렘린의 디지털 격리 정책과 맥을 같이하며, 러시아 현지 기업들이 국가가 통제하는 인프라로 전환하도록 압박하는 요인으로 작용하고 있다. 한편, 지난 3월 초 러시아 인터넷 사용자들은 광범위한 서비스 중단 사태를 겪었는데, 당시 규제 당국은 이를 ‘외국 서버 인프라’ 문제로 설명했다. 하지만 현지 전문가들은 이러한 혼란이 사이버 공격 상황에서도 웹사이트의 보안 유지, 빠른 로딩 속도, 그리고 안정적 접속 환경을 지원하는 미국의 대표적 콘텐츠 전송 네트워크 (CDN) 서비스인 클라우드플레어(Cloudflare)를 러시아가 차단했기 때문에 발생한 것이라고 분석했다.

  • 시큐리티

  2025.04.03 13:44

• ‘클라우드 데이터 유출’ 부인하는 오라클.. 하지만 “위험하다”

  [시큐리티팩트=최석윤 기자] 최근 오라클 클라우드 서비스에서 대규모 데이터 유출 가능성이 제기되며 사용자들의 불안감이 증폭되고 있다고 2일(현지시각) 다크리딩이 보도했다. 오라클 측은 클라우드 인프라 서비스 침해 사실을 강력히 부인하고 있지만, 보안 전문가들은 사용자들에게 선제적인 대응을 촉구하고 있다. 이번 논란은 해커 'rose87168'이 사이버 범죄 포럼에서 오라클의 싱글 사인온(SSO)과 경량 디렉토리 액세스 프로토콜(LDAP) 시스템에서 확보한 것으로 추정되는 약 600만 개의 레코드를 판매하려 시도했다는 보고가 나오면서 시작됐다. 유출된 데이터에는 암호화된 SSO 비밀번호, Java KeyStore(JKS) 파일, 키 파일, 14만 개 이상의 오라클 클라우드 고객 관련 엔터프라이즈 관리자 JPS 키 등이 포함된 것으로 알려졌다. 보안 전문가들은 이번 유출이 사실일 경우, 공격자들이 도난 데이터를 이용해 클라우드 환경에 침투하고 관리 권한을 확대하여 심각한 피해를 초래할 수 있다고 경고한다. 특히, 개인 식별 정보(PII)와 비밀번호가 유출되었을 경우, GDPR, HIPAA 등 관련 법규에 따라 기업들은 엄격한 준수 의무를 이행해야 한다. 트러스트웨이브(Trustwave) 연구원들은 "이번 유출은 신원 및 권한 관련 보안에 대한 심각한 침해"라며, "유출된 정보, 특히 관리자 그룹에 연결된 접근 권한은 랜섬웨어 공격, 데이터 유출, 장기간의 간첩 활동의 주요 통로가 될 수 있다"고 지적했다. 오라클의 부인에도 불구하고, 해커는 유출된 것으로 추정되는 1만 개의 레코드 샘플을 공개하며 논란은 더욱 커지고 있다. 보안 전문가들은 해당 레코드 분석 결과, 오라클 클라우드 환경 침해 가능성이 매우 높다고 판단하고 있다. 이에 따라 보안 전문가들은 오라클 클라우드 사용자들에게 다음과 같은 즉각적인 대응 조치를 권고했다. -오라클 클라우드 SSO, LDAP, 암호화된 구성 파일의 모든 자격 증명 재설정 -기존 세션 및 토큰 무효화 -오라클 클라우드 구성 요소 전반의 접근 로그, 인증 기록, 애플리케이션 동작 검토 -모든 암호화 키와 비밀 순환 -영향받는 환경에 대한 지속적인 모니터링 구현 -다중 요소 인증 시행 -휴면 및 미사용 계정 감사 및 취소 -중요 시스템 격리 및 모니터링 강화 일각에서는 오라클이 'OCI(Oracle Cloud Infrastructure)'를 구체적으로 언급하며 침해 사실을 부인하는 것에 대해 의도적으로 범위를 좁혀 책임을 회피하려는 시도라고 비판한다. 보안 연구원 케빈 보몬트는 "오라클은 매우 구체적인 단어를 사용하여 책임을 회피하려 한다"며, "무슨 일이 일어났는지, 고객에게 어떤 영향을 미치는지, 그리고 이에 대해 무엇을 하고 있는지 명확하고 공개적으로 전달해야 한다"고 강조했다.

  • 시큐리티

  2025.04.03 09:41

• 챗GPT 대규모 서비스 중단사태.. 미국 등 접속 오류 속출

  [시큐리티팩트=최석윤 기자] 오픈AI가 개발한 AI 챗봇 챗GPT가 2일(현지시각) 예기치 않은 대규모 서비스 중단을 겪으며 전 세계 수많은 사용자들에게 불편을 초래했다고 외신이 보도했다. 인도, 미국을 비롯한 여러 국가에서 서비스 접속 불능 및 오류 발생 보고가 잇따랐으며, 특히 인도 표준시(IST) 오후 7시경 (동부 표준시 오전 8시 43분)을 기점으로 사용자들의 불만이 폭증했다. 온라인 서비스 장애 추적 사이트인 다운티텍터(DownDetector)에 따르면, 이날 챗GPT 관련 문제 보고 건수가 급격하게 증가한 것으로 나타나 이번 중단이 광범위한 영향을 미치고 있음을 시사했다. 소셜 미디어 플랫폼 역시 챗GPT 접속에 어려움을 겪는 사용자들의 불만과 문의로 북새통을 이뤘다. 특히 X (구 트위터)에서는 #ChatGPTDown 해시태그가 빠르게 확산되며 서비스 중단에 대한 사용자들의 좌절감과 함께 상황을 풍자하는 유머러스한 게시물들이 쏟아져 나왔다. 사용자들은 챗봇과의 대화 시도 실패, 오류 메시지 화면 캡처 등을 공유하며 불편함을 토로하는 동시에, 혹시 모를 해결책을 공유하기도 했다. 갑작스러운 서비스 중단에 대해 오픈AI측은 사고를 인지하고, 현재 성능 저하 및 오류율 증가의 원인을 파악하기 위해 긴급 조사에 착수한 것으로 알려졌다. 오픈AI의 공식 상태 페이지에 따르면, 2025년 4월 2일 오후 7시 40분 (IST 기준) 현재 최소 10분 이상 서비스 중단이 지속되고 있으며, 이번 장애는 주로 챗GPT 서비스 자체에 영향을 미치고 있는 것으로 보인다. 현재 웹 버전은 비교적 안정적으로 운영되고 있는 것으로 보이지만, iOS 및 안드로이드 모바일 앱 사용자들은 접속 및 사용에 상당한 어려움을 겪고 있는 것으로 보고됐다. 이번 서비스 중단의 정확한 원인은 아직 명확하게 밝혀지지 않았다. 다만, 일각에서는 최근 무료 사용자를 대상으로 새롭게 공개된 지브리 스타일 이미지 생성 기능 출시와 이번 문제가 연관되어 있을 가능성을 조심스럽게 제기하고 있다. 새로운 기능 출시 직후 트래픽 증가나 시스템 과부하 등이 발생했을 수 있다는 추측이다.

  • 시큐리티

  2025.04.03 08:56

• 일본, '적극적 사이버 방위법' 통과.. 공격 포착시 선제 조치

  [시큐리티팩트=최석윤 기자] 일본이 급증하는 사이버 위협에 선제 대응하기 위해 군대와 법 집행 기관에 공격적인 권한을 부여하는 '적극적 사이버 방위법'을 통과시켜 사이버 안보 태세 강화에 나섰다고 2일 다크리딩이 보도했다. 이번 법안은 수동 방어 체계를 넘어, 사이버 공격 징후 포착 시 선제 조치를 취할 수 있도록 허용한다는 점에서 주목받고 있다. 새롭게 통과된 적극적 사이버 방위법은 크게 두 가지 핵심 접근 방식을 포함한다. 첫째, 사이버 보안 위원회와 감독 위원회를 신설하여 기존의 수동적 방어 메커니즘을 강화한다. 이를 통해 위협 분석 역량을 향상시키고 사이버 관련 정보 수집 활동을 확대할 계획이다. 둘째, 중요 인프라 제공 사업자에게 사이버 보안 사고 발생 시 신속 보고 의무를 부과하고, 정부가 통신 사업자로부터 인터넷 프로토콜(IP) 주소와 송수신 시간 등 기계적 정보를 수집할 수 있도록 허용한다. 이는 잠재적인 사이버 공격 발생 시 일본과 외국 간 통신 흐름을 실시간으로 모니터링하여 초기 대응 능력을 강화하기 위한 조치로 풀이된다. 특히 이번 법안은 일본 국가 군대에 사이버 공격 발생 시 적의 서버를 방해하는 적극 대응 권한을 부여하고, 중대한 사이버 사건 발생 시 대응을 총괄하는 '사이버 피해 방지 책임자'를 임명할 수 있도록 규정했다. 이는 기존 방어적 입장에서 벗어나, 공격적 사이버 작전을 수행할 수 있는 기반을 마련했다는 평가를 받고 있다. 일본 정부는 이번 적극적 사이버 방위법 통과를 통해 사이버 안보 분야에서 뒤처졌다는 평가를 극복하고, 주요 선진국 수준의 사이버 방어 체계를 구축할 수 있을 것으로 기대하고 있다. 갈수록 지능화되고 고도화되는 사이버 위협에 대해 보다 효과적으로 대응하고, 국가 안보를 강화하겠다는 의지를 드러낸 것으로 해석된다. 그러나 이번 법안 통과에 대한 우려의 목소리도 적지 않다. 특히 정부와 군대, 법 집행 기관에 광범위한 정보 수집과 공격 권한을 부여함으로써 발생할 수 있는 권한 남용 가능성에 대한 지적이 제기되고 있다. 사이버 보안 전문가 조쉬 브레이커-롤프는 트립와이어(Tripwire) 블로그 게시물을 통해 "사이버 전쟁이 거의 끊임없는 위협인 세상에서, 법 집행 기관에 공격적인 사이버 보안 조치를 개시할 권한을 부여하는 것은, 잠재적으로 명시적인 허가 없이 우려스러운 전망"이라고 밝혔다. Tripwire 역시 정부, 군대, 법 집행 기관이 정부의 충분한 감독 없이 광범위한 정보를 수집하고 독자 행동할 수 있게 됨으로써, 적절한 견제와 균형 장치 없이 이러한 권한이 오용될 가능성이 여전히 존재한다고 경고했다.

  • 시큐리티

  2025.04.02 14:49

• 북한 사이버 위협, 유럽까지 뻗었다.. 위조 IT 인력 신분으로 침투

  [시큐리티팩트=김상규 기자] 북한의 사이버 위협 활동이 미국을 넘어 유럽 대륙까지 광범위하게 확장되고 있다는 분석이 제기되며 국제적인 안보 우려가 고조되고 있다. 구글 위협 인텔리전스 그룹은 최근 발표한 블로그를 통해 이 같은 심각한 상황을 경고했다. 구글 위협 인텔리전스 그룹은 최근 미국에서 북한 IT 인력에 대한 단속 및 적발 사례가 증가함에 따라 지난 몇 달 사이에 북한 IT 인력의 활동 범위와 규모가 미국을 넘어 전 세계로 확대되고 있음을 포착했다. 미국 내 이들의 위협에 대한 인식이 높아지면서 북한 IT 인력은 공격 범위의 글로벌 확장, 갈취 전술의 고도화, 가상 인프라 활용 등 새로운 전략을 구사하며 계속해서 글로벌 위협 생태계를 구축해 나가고 있다. 2024년 말 북한의 한 IT 근로자는 12개 이상의 위조 신분을 사용해 유럽 내 여러 조직, 그 중에서도 방위 산업 및 정부 기관에 적극적으로 취업을 시도했다. 해당 IT 근로자는 조작된 추천서를 제공하고 채용 담당자와 친분을 쌓으며 추가 신분을 활용하는 패턴을 활용했다. 또 다른 IT 근로자는 독일과 포르투갈에서 구직활동을 하며 유럽 내 구직 웹사이트 및 자본 관리 플랫폼에서 로그인 자격증명을 활용한 것으로 나타났다. 영국에서는 북한 IT 근로자들의 보다 다양한 프로젝트가 관찰됐는데 웹 개발부터 봇 개발, 콘텐츠 관리 시스템(CMS) 개발, 블록체인 기술 등이 포함되어 있었다. 이는 북한 IT 인력이 전통적인 웹 개발부터 고급 블록체인 및 AI 애플리케이션에 이르기까지 광범위한 기술 전문성을 보유하고 있음을 시사한다고 구글측은 밝혔다. 북한 IT 인력은 일자리를 확보하기 위해 이탈리아, 일본, 말레이시아, 싱가포르, 우크라이나, 미국, 베트남 등 다양한 국적으로 위장해 실제 인물과 가상 인물의 신원 정보를 조합해 신분을 속이는 데 사용했다. 유럽에서 활동하는 북한 IT 인력은 업워크(Upwork), 텔레그램(Telegram), 프리랜서(Freelancer) 등 다양한 온라인 플랫폼을 통해 모집되었다. 임금은 자금의 출처와 목적지를 감추기 위해 암호화폐, 트랜스퍼와이즈(TransferWise) 서비스, 페이오니아(Payoneer) 등을 통해 이루어졌다. 북한의 갈취 공격이 증가하고 있으며 전술 또한 고도화하고 있다. 2024년 10월 말부터 북한 IT 인력의 갈취 시도와 공격 규모가 크게 증가했다. 이는 미국의 단속 및 처벌 집행이 강화된 시기와 맞물려 있다. 이는 강화된 조치에 압박을 느낀 북한 IT 인력이 사이버 위협을 통한 수익을 유지하기 위해 대기업을 겨냥해 보다 공격적인 활동을 전개한다는 잠재적 가능성을 시사한다고 구글은 설명했다. 구글 위협 인텔리전스 그룹 유럽 지역 수석 고문인 제이미 콜리어는 “북한은 지난 10년 간 SWIFT 공격(금융 기관이나 은행의 내부 시스템 해킹), 랜섬웨어, 암호화폐 탈취, 공급망 공격 등 다양한 사이버 공격을 자행해 왔다. 이러한 끊임없는 진화는 사이버 공격을 통해 정권에 자금을 조달하려는 북한의 오랜 노력을 보여준다”고 설명했다. 이어 “북한 IT 인력의 작전이 여지껏 성공해온 것을 감안하면, 북한은 전 세계로 활동 범위를 넓힐 가능성이 높다. 아시아태평양 지역도 이미 예외는 아니다. 이러한 공격은 사이버 위협에 대한 인식이 부족한 곳에서 더 큰 피해를 일으킬 수 있으며, 그런 면에서 아태 지역은 특히 위험성이 높은 편”이라고 경고했다.

  • 시큐리티

  2025.04.02 13:08