• 최종편집 2025-05-16 (금)

전체기사보기

  •
    파키스탄 연계 해킹 그룹, 인도 정부·국방·해양 집중 공격
    [시큐리티팩트=최석윤 기자] 파키스탄과 관련된 것으로 추정되는 해킹 조직이 '제노 RAT(Xeno RAT)', '스파크 RAT(Spark RAT)'와 같은 다양한 원격 제어 악성 프로그램(RAT, Remote Access Trojan)과 함께 이전에 발견되지 않았던 새로운 악성코드 '컬백 RAT(CurlBack RAT)'를 사용하여 인도의 여러 중요 부문을 집중적으로 공격하고 있는 것으로 드러났다고 14일 해커뉴스가 보도했다. 사이버 보안 업체 SEQRITE가 2024년 12월에 처음 포착한 이들의 공격 활동은 인도 철도, 석유 및 가스 관련 기업, 그리고 외무부 산하 기관들을 표적으로 삼았다. 이는 해당 해킹 조직의 공격 대상 범위가 기존의 정부, 국방, 해양 부문 및 대학뿐만 아니라 더욱 넓은 영역으로 확대되고 있음을 시사하여 우려를 낳고 있다. 윈도우 프로그램 설치때 악성코드 심어 보안 연구원 사트위크 람 프라키(Sathwik Ram Prakki)는 "최근 공격 캠페인에서 주목할 만한 변화 중 하나는 공격 초기 단계에서 악성 파일을 실행하기 위해 주로 사용되던 HTA(HTML Application) 파일 대신 MSI(Microsoft Installer) 패키지를 주요 방식으로 채택했다는 점"이라고 분석했다. MSI 패키지는 윈도우 프로그램 설치에 사용되는 파일 형식으로, 이를 악용하여 악성코드를 은밀하게 시스템에 설치하려는 시도로 보인다. 이 해킹 그룹은 '사이드카피(SideCopy)'라는 이름으로 알려져 있으며, 최소 2019년부터 활동해 온 '트랜스페어런트 트라이브(Transparent Tribe)'(또 다른 이름: APT36) 내의 하위 조직으로 추정된다. '사이드카피'라는 이름은 자신들의 악성코드를 전달하는 방식이 '사이드와인더(SideWinder)'라는 또 다른 위협 행위자와 관련된 공격 방식을 모방하는 것처럼 보여서 붙여졌다. 과거 '사이드와인더' 공격 방식 모방 2024년 6월, SEQRITE는 '사이드카피'가 이전에 '사이드와인더' 공격에서 관찰된 기술을 활용하여 난독화된(알아보기 어렵게 만든) HTA 파일을 사용하는 것을 확인했다. 또한, 해당 파일에서는 '사이드와인더'가 사용했던 것으로 알려진 RTF 파일을 호스팅하는 웹사이트 주소에 대한 정보도 발견됐다. 지금까지 '사이드카피'와 관련된 것으로 알려진 악성코드로는 '액션 RAT(Action RAT)'와 '리버스 RAT(ReverseRAT)'가 있으며, 이들은 주로 문서나 이미지 파일을 훔치는 데 사용된다. 이 외에도 연결된 USB 드라이브에서 데이터를 몰래 복사하는 'USB 복사기', 그리고 원격 서버로부터 30개의 다양한 명령을 실행할 수 있는 .NET 기반의 '게타 RAT(Geta RAT)' 등이 있다. 특히, 이들이 사용하는 RAT(원격 제어 악성 프로그램)는 '어싱크 RAT(AsyncRAT)'에서 차용한 기능을 통해 파이어폭스(Firefox) 및 크롬(Chromium) 기반 브라우저에 저장된 모든 계정 정보, 프로필, 쿠키 데이터까지 훔칠 수 있는 능력을 갖추고 있어 심각한 개인 정보 유출 위험을 내포하고 있다. 당시 SEQRITE는 "'APT36'이 주로 리눅스(Linux) 시스템에 초점을 맞추고 있는 반면, '사이드카피'는 윈도우(Windows) 시스템을 대상으로 하며, 공격에 사용하는 악성코드 종류를 계속해서 늘려가고 있다"고 분석했다. 이메일 피싱 활용, 악성코드 유포 최신 연구 결과는 이 해킹 그룹이 이메일을 이용한 피싱 공격을 악성코드 유포 방식으로 적극적으로 활용하고 있으며, 동시에 그들의 공격 능력이 꾸준히 발전하고 있음을 보여준다. 이들이 사용하는 이메일에는 철도 직원 휴가 목록부터 공기업인 힌두스탄 석유 공사(HPCL)에서 발행한 사이버 보안 지침에 이르기까지 다양한 내용으로 위장한 미끼 문서가 첨부되어 사용자의 의심을 피하고 악성 파일을 실행하도록 유도한다. 특히 주목할 만한 것은 윈도우와 리눅스 시스템 모두를 공격 대상으로 삼을 수 있는 활동 클러스터이다. 이들은 최종적으로 '스파크 RAT(Spark RAT)'라는 이름의 크로스 플랫폼(다양한 운영체제에서 작동하는) 원격 제어 악성 프로그램과, 시스템 정보를 수집하고, 감염된 컴퓨터에서 파일을 다운로드하고, 임의의 명령을 실행하고, 시스템 권한을 상승시키고, 사용자 계정 목록을 확인할 수 있는 '컬백 RAT(CurlBack RAT)'라는 새로운 윈도우 기반 악성코드를 유포한다. 미끼 파일 이용해 악성코드 시스템에 침투 또 다른 공격 클러스터에서는 기본적인 문자열 조작 기법을 통합한 맞춤형 버전의 '제노 RAT(Xeno RAT)'를 유포하는 다단계 감염 과정을 사용하는 것이 관찰됐다. 이들은 미끼 파일을 이용하여 악성코드를 은밀하게 시스템에 침투시키는 방식을 사용한다. SEQRITE는 "이 그룹은 악성 파일 실행 초기 단계에서 HTA 파일을 사용하는 방식에서 MSI 패키지로 전환했으며, DLL 사이드 로딩(정상적인 프로그램이 악성 DLL 파일을 대신 로드하도록 속이는 기술), 반사 로딩(악성코드를 메모리에 직접 로드하여 파일 시스템에 기록하지 않는 기술), 그리고 파워쉘(PowerShell)을 통한 AES 암호화 해제와 같은 고급 기술을 지속적으로 사용하고 있다"고 분석했다. 또한, "이들은 '제노 RAT' 및 '스파크 RAT'와 같은 맞춤형 오픈 소스 도구를 활용하고, 새롭게 발견된 '컬백 RAT'를 유포하고 있다. 탈취된 도메인과 가짜 웹사이트는 사용자 계정 정보 탈취 및 악성코드 호스팅에 사용되고 있으며, 이는 공격의 지속성을 높이고 탐지를 회피하려는 이 그룹의 끊임없는 노력을 강조한다"고 경고했다.
    • 시큐리티
    2025.04.14 17:05
  • 록히드 마틴, '우크라 영웅' HIMARS 생산 속도 두 배로 늘린다
    [시큐리티팩트=최석윤 기자] 미국의 대표적인 방산 기업 록히드 마틴이 '고기동(高機動 다연장(多連裝) 로켓 시스템', 일명 'HIMARS(하이마스)'의 연간 생산량을 두 배로 늘려 연간 96대 생산 체제에 돌입했다고 13일(현지시각) 아미레커그니션이 보도했다. '고기동 다연장 로켓 시스템'은 빨리 움직여서 여러 발의 로켓을 한 번에 쏠 수 있는 무기다. 록히드 마틴 유럽은 지난 11일 공식 X(구 트위터) 계정을 통해 이 사실을 발표하며, 생산량 증대가 우크라이나 전장에서의 눈부신 활약과 더불어 북대서양조약기구(NATO) 동맹국 및 주요 방위 파트너들의 군사적 우선순위 변화에 따른 글로벌 수요 증가에 따른 것이라고 밝혔다. 현대전 판도 바꾼 HIMARS, 더 가볍고 강력하게 진화 미국에서 개발된 HIMARS는 현대 전쟁 양상을 획기적으로 변화시킨 '게임 체인저'로 평가받고 있다. 1990년대 후반, 기존의 M270 MLRS 다연장 로켓 시스템보다 더 가볍고 이동성이 뛰어나도록 개발된 HIMARS는 뛰어난 정밀 타격 능력과 운용 유연성을 바탕으로 전 세계적인 명성을 얻었다. 6륜 구동 차량에 탑재되어 신속하게 전개, 사격 후 재배치가 가능해 적의 공격에 대한 생존성이 높고, 효과적인 장거리 포병 자산으로 인정받고 있다. HIMARS는 유도 다연장 로켓(GMLRS) 6발 또는 에이태킴스(ATACMS) 전술 미사일 1발을 발사할 수 있으며, 향후에는 사거리가 더욱 늘어난 차세대 정밀 타격 미사일(PrSM) 시스템으로 전환될 예정이다. 우크라이나서 보인 압도적 성능, 글로벌 수요 폭증 HIMARS 생산량의 급격한 증가는 현재 진행 중인 우크라이나 전쟁에서의 혁혁한 공과 밀접한 관련이 있다. 2022년 중반부터 미국과 동맹국들은 우크라이나에 대한 군사 지원 패키지의 일환으로 HIMARS 시스템을 공급했다. 이 시스템은 전황을 바꾸는 데 결정적인 역할을 했다. 우크라이나군은 HIMARS를 사용하여 러시아군의 보급 허브, 탄약고, 지휘 본부 등을 놀라운 정확도로 타격했으며, 이들 목표물은 종종 전선 깊숙한 곳에 위치해 있어 기존 포병으로는 접근하기 어려웠다. HIMARS 덕분에 우크라이나군은 적의 반격 위험 없이 러시아군의 보급망을 효과적으로 차단할 수 있었고, 이는 키이우 방어와 반격 능력의 핵심 요소가 되었다. 이러한 전장에서의 압도적 효율성은 전 세계적으로 간과되지 않았다. 폴란드, 루마니아, 에스토니아, 호주 등 여러 국가에서 HIMARS 도입 프로그램을 서두르고 있다. 특히 폴란드는 100대 이상을 구매할 계획을 발표하며, 심층 타격 능력에 대한 대규모 투자를 예고했다. 라트비아, 리투아니아, 이탈리아와 같은 국가들도 최근 계약을 체결했으며, 캐나다, 불가리아, 모로코 등 다른 국가들도 HIMARS 도입을 위한 논의를 진행 중이다. 록히드 마틴은 증가하는 고객 기반에 대한 안정적인 군수 지원을 위해 루마니아에 HIMARS 유지보수와 업그레이드 센터를 설립하는 등 발 빠른 움직임을 보이고 있다. 심층 타격 능력의 핵심, HIMARS 전략적 가치 우크라이나에서 실전 검증 외에도 HIMARS 로켓·미사일 발사 시스템은 현대 군대가 심층적인 화력 투사와 정밀 타격 작전을 수행하는 데 있어 전략적 중요성이 점점 더 커지고 있음을 보여준다. 기존 추적식 다연장 로켓 시스템에 비해 상대적으로 적은 군수 지원 부담과 다양한 첨단 탄약과의 호환성은 HIMARS를 신속한 전개 시나리오에 매우 적합하게 만든다. 더욱이 현재 개발 중인 사거리 연장 유도 로켓과 차세대 정밀 타격 미사일(PrSM)은 HIMARS의 사거리와 파괴력을 더욱 향상시켜 500km 이상의 목표물까지 타격할 수 있게 할 것으로 예상된다. 생산량 증대, 미국의 광범위한 국방 전략 반영 록히드 마틴의 HIMARS 생산량 두 배 증가는 정밀성과 기동성을 통한 억지력을 강조하는 미국의 광범위한 국방 전략을 반영하는 것이기도 한다. 록히드 마틴은 증가하는 해외 군수품 판매 수요를 충족하고, 미국의 비축량을 보충해야 한다는 압력에 따라 생산 능력 확대에 투자를 늘렸다. 이러한 새로운 생산 속도를 통해 록히드 마틴은 현재 수요를 충족하는 것은 물론, 끊임없이 변화하는 안보 위협에 직면한 동맹국들의 전략적 요구에 선제적으로 대비하는 것을 목표로 하고 있다. 이번 록히드 마틴의 HIMARS 생산량 증대 결정은 글로벌 방위 시장에서 HIMARS 시스템의 중요성이 날로 커지고 있는 현실에 대한 직접적인 대응이다. 우크라이나에서 성공적인 실전 경험은 고강도 전쟁에서 HIMARS의 뛰어난 능력을 입증했으며, 뛰어난 적응력과 기술적 잠재력은 계속해서 전 세계의 고객들을 매료시키고 있다. 현대 군사 교리가 정확성, 속도, 생존성에 중점을 두면서 HIMARS는 21세기 전장 효율성의 상징적인 존재로 자리매김하며, 전 세계 포병 및 심층 타격 작전의 새로운 시대를 열어가고 있다.
    • 방산기업
    2025.04.14 11:09
  • 중국發 '스미싱 트라이어드', 전 세계 121개국 금융 정보 노린다
    [시큐리티팩트=최석윤 기자] 악명 높은 중국 기반의 전자 범죄 그룹 '스미싱 트라이어드(Smishing Triad)'가 전 세계 최소 121개국의 광범위한 조직과 개인을 대상으로 활동 영역을 확장하며 사이버 보안에 심각한 위협을 가하고 있다고 13일(현지시각) 사이버시큐리티뉴스가 보도했다. 2023년부터 활발하게 활동해 온 이들은 SMS 피싱, 즉 '스미싱' 캠페인을 통해 우편, 물류, 통신, 운송, 소매, 공공 부문 등 다양한 산업을 체계적으로 공격해 왔다. '캠페인(campaign)'은 일회성 공격이 아니라, 특정 목표를 달성하기 위해 일정 기간 동안 조직적이고 계획적으로 수행되는 일련의 활동을 의미한다. 전문가들은 이들의 공격 규모가 전례 없는 수준이며, 매일 새롭게 활성화되는 악성 웹사이트의 수가 수만 개에 달할 것으로 추정하고 있다. 초기 정부 사칭에서 은행 정보 탈취로 전환 초기에는 소포 배송 문제나 정부 서비스 관련 사칭에 집중했던 스미싱 트라이어드가 최근 들어 은행 계정 정보 탈취로 공격의 중심을 옮기고 있는 것으로 분석된다. 이들은 피해자에게 마치 합법 웹사이트처럼 보이는 교묘한 복제 웹사이트로 연결하는 피싱 링크를 담은 기만적인 SMS 메시지를 대량으로 발송한다. 이러한 메시지는 종종 택배 배송에 문제가 발생했거나, 미납된 통행료가 있다는 등의 긴급한 상황을 가장하여 사용자가 무심코 악성 링크를 클릭하도록 유도하는 수법을 사용한다. 이 그룹은 탐지와 차단을 피하기 위해 도메인을 매우 빈번하게 변경하는 전략을 구사하며, 놀랍게도 8일 동안 약 2만5000개의 새로운 도메인을 온라인에 활성화시키는 치밀함을 보인다. 호주 금융기관 공략 '라이트하우스' 피싱 키트 발견 지난 3월, 사이버 보안 분석 기업 사일런트 푸시(Silent Push)의연구진은 스미싱 트라이어드가 '라이트하우스(Lighthouse)'라는 새롭고 정교한 피싱 키트를 개발하여 주요 금융 기관을 집중적으로 표적으로 삼고 있다는 사실을 밝혀냈다. 이 강력한 도구는 특히 호주 내 금융 기관과 주요 서구 은행들을 주요 공격 대상으로 삼고 있는 것으로 드러났다. 더욱 놀라운 점은 이 그룹이 사기 행각을 지원하는 '전 세계 300명 이상의 프런트 데스크 직원'을 운영하고 있다는 사실이다. 이는 스미싱 트라이어드가 막대한 자원을 보유한 고도로 조직화된 범죄 기업임을 시사하는 명백한 증거이다. 이들이 사용하는 피싱 인프라의 절반 이상은 중국의 거대 IT 기업인 텐센트(Tencent)와 알리바바(Alibaba)에 의해 호스팅되고 있다는 점도 주목할 만하다. '라이트하우스' 피싱 키트, 기능 정교 '라이트하우스' 피싱 키트는 스미싱 트라이어드의 공격 능력이 이전과는 비교할 수 없을 정도로 크게 발전했음을 보여주는 핵심적인 증거이다. 개발자 '왕두유(Wang Duo Yu)'의 유출된 텔레그램 대화 내용에 따르면, 이 키트는 '실시간 동기화, 원클릭 설정, 원클릭 업데이트, 자동 전환'과 같은 사용자 편의 기능을 제공하며, OTP(일회용 비밀번호) 인증, 앱 인증, PIN(개인 식별 번호) 인증, 3DS(3D 시큐어) 인증 등 다양한 최신 인증 방식을 모방하여 피해자를 속이는 데 특화되어 있다. '라이트하우스'와 관련된 자바스크립트 파일(index-D76-mPwS.js)에 대한 심층적인 기술 분석 결과, 페이팔, 마스터카드, 비자, HSBC를 포함한 수많은 국제적인 금융 기관과 더불어 다수 호주 은행을 구체적으로 표적으로 삼는 설정 매개변수가 확인됐다. 이 키트는 매우 정교한 다단계 검증 프로세스를 갖춘 은행 웹사이트 인터페이스의 설득력 있는 복제본을 실시간으로 생성하여 사용자가 실제 은행 사이트라고 착각하도록 정교하게 설계됐다. 공격자 맞춤형 관리 패널과 다국어 지원 '라이트하우스' 피싱 관리 패널을 통해 공격자는 피싱 공격에 사용되는 디렉터리 구조를 자유롭게 맞춤 설정하고, 특정 국가의 IP 주소를 기반으로 접근을 차단하는 IP 필터링 기능을 손쉽게 적용할 수 있다. 또한, 피해자에게 요구하는 결제 금액을 공격 상황에 따라 유연하게 조정할 수 있는 기능까지 제공된다. 특히 눈에 띄는 점은 이 관리 인터페이스가 모바일 전용 렌더링 옵션을 포함하고 있다는 것이다. 이는 스미싱 트라이어드의 공격 초점이 스마트폰 사용자를 대상으로 하고 있음을 명확히 보여준다. 키트의 세션 관리 기능은 피싱 공격 과정을 통해 피해자의 진행 상황을 실시간으로 추적하며, 자바스크립트 코드 내에 포함된 중국어 상태 메시지("当前正在首页" - 현재 홈페이지에 있음, "当前已填写完成" - 현재 작성 완료, "当前正在填卡页面" - 현재 카드 작성 페이지에 있음)는 공격자들이 중국어를 모국어로 사용하는 조직임을 다시 한번 확인시켜 준다. 사이버 보안 전문가들은 금융 기관과 사용자 모두 다단계 인증 방식을 적극적으로 도입하고, 스미싱 위협에 대한 교육을 강화하여 점점 더 정교해지는 이러한 금융 정보 탈취 공격으로부터 자신을 보호해야 한다고 강력하게 권고하고 있다.
    • 시큐리티
    2025.04.14 08:09
  • [직업군인 사용설명서(532] 악소문 위기 극복은 우문현답으로 해결⑧
    [시큐리티팩트=김희철 컬럼니스트] 군사령부 전투지휘검열시 사단에서 2개 대대 전인원을 대상으로 개인화기 사격측정을 한다. 이때 1개 대대는 사단에서 추천하고 1개 대대는 검열단이 사단에 도착해서 무작위로 선정하여 평가하는 측정계획이었다. 따라서 사단은 감찰참모가 검열수검 준비단장이 되어 6월 전투지휘검열을 대비하여 4월부터 대대별 사격측정을 시작했다. 대대원들이 사격연습을 하기 위해서는 실거리 사격장을 예약하는 것이 가장 큰 문제였다. 신교대에 정규 규격의 표준사격장이 있었고, 다른 곳은 비표준 간이 사격장이라 실제 사격 측정하는 현장에서 훈련하는 것이 가장 효과적이었으나 각 대대가 서로 먼저 연습하려고 신청하여 쉽게 예약할 수 없었다. 결국 대대 예비군 훈련장에 있는 폐기된 실거리 사격장을 보수하여 연습을 시작했다. 사단에서 전투지휘검열 추천 대대 선발을 위한 사단 1차 사격 측정이 4월말에 있었는데 대대는 타 부대보다도 비교적 저조한 성적이었다. 대대로 복귀하여 원인을 분석해보니 고질적인 사격 저조자들에 대한 별도 교육이 필요했다. 그들은 250미터 거리에 있는 E표적은 한발도 명중시키지 못했다. 따라서 250미터 거리에 1.2m x 2.4m 크기의 합판 전지에 E표적을 붙여놓고 사격 저조자들의 사격자세와 클릭을 교정하면서 개인별 훈련을 시켰다. 이를 통해 일부의 실력은 향상됐지만 소수의 고질적인 사격 저조자는 제자리 걸음으로 향상될 기미가 없었다. 또한 교탄 부족도 문제가 되었다. 할 수 없이 사격후에 탄피를 회수하여 인접 사단 동기생 대대를 찾아가 탄피와 실탄을 교환하여 대대에 할당된 교탄보다 열배 정도의 실탄 수만발을 소모하며 사격연습을 지속했다. 군사령부 전투지휘검열이 6월에 시행됨을 고려하여 5월 중순이 되자 사단에서는 최종 선발측정을 했다. 필자는 사실 사단 예비측정에서 1등 하기보다는 꼴찌를 피하며 2~3등이라도 하여 그동안 지속적으로 선발된 종합전투력 우수부대조차도 요란한 빈 깡통 소문이었다는 창피만이라도 면하길 바랬다. 측정 당일 인접 타연대 대대장은 전 대대원들에게 우황청심환을 먹이며 사격측정에 임할 정도로 치열한 경쟁이었다. 측정 후에 대대로 복귀하여 전달받은 것은 결국 바랬던 것처럼 대대는 간신히 2등을 하였고, 사단의 표준사격장과 원거리에 떨어져 있지만 대대 전원에게 청심환까지 먹이며 준비했던 타연대 대대가 1등을 했다. 대대 복귀후에 이런 측정 결과를 연락받은 필자는 도저히 향상시킬 수 없는 고질적인 사격 저조자들 때문에 그나마 꼴찌가 아닌 2등을 하여 지난 2년 동안 연속해서 반기 종합전투력측정 우수부대로 선정된 명예를 지키며 요란한 빈 깡통이라는 소문이 역시 사실이 이라는 창피한 결과만이라도 면한 것에 안심하고 있었다. (다음편 계속)
    • 밀리터리
    2025.04.14 06:09
비밀번호 :