• 최종편집 2025-05-16 (금)

시큐리티
Home >  시큐리티

  • home>

실시간 시큐리티 기사

  •
    이번엔 보험대리점 뚤렸다.. 잇단 해킹에 금융·통신 '보안 비상'
    최근 금융권과 통신업계에서 연이어 전산 해킹 사고가 발생하며 보안에 대한 우려가 커지고 있다. 여러 보험사의 상품을 판매하는 GA(보험대리점) 2곳이 해킹 공격을 받아 금융당국과 금융보안원이 긴급 현황 파악에 나섰다. 지난 19일 SK텔레콤의 시스템까지 해킹당해 고객 유심(USIM) 정보가 유출되는 사건이 발생에 이은 사고로 개인 정보 유출 '뇌관' 유출 우려가 심각해지고 있다. 보험대리점 해킹, '통합 플랫폼' 취약점 노출 27일 금융권에 따르면, 금융당국과 금융보안원은 보험 통합 플랫폼을 제공하는 IT 기업 A사의 프로그램을 이용하는 2개 GA에 대한 해킹 및 정보 유출 여부를 조사 중이다. 해킹은 A사 프로그램에 악성코드를 감염시킨 후, 이 프로그램을 사용하는 GA의 전산을 장악하는 방식으로 이뤄진 것으로 추정된다. 문제는 A사와 거래하는 GA가 수십 곳에 달한다는 점이다. 만약 이번 해킹이 A사의 시스템 자체의 취약점을 이용한 것이라면, 다른 GA들 역시 해킹 시도의 대상이 되었을 가능성을 배제할 수 없다. 특히 GA는 보험 계약자의 질병 정보를 포함한 민감한 개인 정보를 다량으로 보유하고 있어, 정보 유출 시 대규모 피해로 확산될 수 있다는 우려가 나온다. 금융당국은 아직 개인정보 유출 여부를 단정하기 어렵다는 입장이지만, 만일의 사태에 대비해 다양한 대응 방안을 검토 중인 것으로 알려졌다. 금융권 관계자들은 GA들이 사용하는 프로그램을 자체 개발하지 않고 외부 IT 기업에 의존하는 경우가 많아 보안 관리에 취약한 점을 지적하며, 이번 사태를 계기로 금융사들의 보안 시스템 전반에 대한 점검이 필요하다고 입을 모으고 있다. SK텔레콤 유심 정보 유출, 2차 피해 우려 증폭 이보다 앞서 지난 19일 밤에는 SK텔레콤의 내부 시스템이 해킹당해 고객 유심 정보가 유출된 사실이 확인됐다. 유출된 정보는 가입자 전화번호, 고유식별번호 등 유심 정보와 음성 서비스 제공에 필요한 정보 등을 통합 관리하는 '홈가입자서버'(HSS)의 데이터베이스이다. SK텔레콤 측은 유출 가능성을 인지한 즉시 악성코드를 삭제하고 해킹 의심 장비를 격리 조치했으며, 아직 정보가 악용된 사례는 발견되지 않았다고 밝혔다. 하지만 유심 정보는 2차 피해로 이어질 가능성이 높아 안심할 수 없는 상황이다. 공격자는 유출된 IMSI(국제 모바일 가입자 식별 번호) 정보를 이용해 스푸핑 공격을 감행, 피해자의 전화 통화나 문자 메시지 내용을 엿보거나 위치를 추적하고, 심지어 과금 피해까지 입힐 수 있다. 과학기술정보통신부는 비상대책반을 가동하고 한국인터넷진흥원(KISA) 전문가를 파견하여 정확한 유출 원인과 규모, 항목 등을 파악하는 데 주력하고 있다. 전문가들은 피해가 의심될 경우 즉시 통신사에 신고하고, 보안 프로그램을 통해 추가적인 정보 유출을 막아야 한다고 강조한다. 2014년 카드사 정보 유출 악몽 재현될까 잇따른 금융 및 통신사의 해킹 사고는 2014년 발생했던 카드사 개인 정보 유출 사태의 악몽을 떠올리게 한다. 당시 KB국민카드를 비롯해 NH농협카드, 롯데카드의 고객정보 총 1억400만건 유출로 인해 사회 전체가 큰 혼란에 빠졌으며, 금융권의 보안 시스템에 대한 근본적인 개선 요구가 거세게 일었다. 이번 GA 해킹과 SK텔레콤 유심 정보 유출 사건은 특정 기업의 문제가 아닌, 금융 및 통신 업계 전반의 보안 취약성을 드러내는 사례라는 점에서 더욱 심각하게 받아들여지고 있다. 특히 GA와 같이 여러 금융회사의 정보를 취급하거나, SK텔레콤처럼 방대한 개인 정보를 보유한 기업의 보안이 뚫렸다는 사실은 언제든 더 큰 규모의 정보 유출 사태가 발생할 수 있다는 불안감을 증폭시키고 있다. 망분리 등 사전 조치 미흡.. 소규모 금융회사 피해 우려 일부 금융 지주사나 보험사는 만일의 사태에 대비해 망분리 등의 사전 조치를 취했지만, 대다수의 회사는 그렇지 못한 실정이다. 특히 GA뿐만 아니라 자산운용사 등 전산 관리가 취약한 소규모 금융회사를 대상으로 한 해킹 시도가 늘고 있다는 점은 추가적인 피해 발생 가능성을 높이는 요인이다. 금융당국은 이번 사태를 계기로 금융 회사들의 정보 보안 시스템 전반을 점검하고, 보다 강력한 보안 대책 마련을 촉구할 것으로 예상된다. 또한, IT 기술 발전에 발맞춰 진화하는 해킹 수법에 대한 지속적인 연구와 대비가 필요하며, 금융 및 통신사들은 보안 투자 확대와 함께 임직원들의 보안 의식 강화가 시급한 상황이다.
    • 시큐리티
    2025.04.28 10:54
  • SKT 사용 삼성 임원, "유심 교체"…'해킹 사고' 낸 SKT, 28일부터 무료유심교체서비스 나서
    [시큐리티팩트=김상규 기자] 해킹 사고가 난 SK텔레콤 이용 삼성 임원들이 서둘러 유심(USIM) 교체에 나섰다. SKT 또한 희망 고객들에게 28일부터 무료로 유심교체서비스를 제공한다고 밝혔다. 25일 재계에 따르면 삼성은 최근 삼성전자를 비롯한 주요 계열사 임원들을 상대로 "SKT 이용자는 전원 유심을 교체하라"고 공지했다. 이에 따라 대부분의 임원은 이미 유심을 교체한 것으로 알려졌다. 전날에는 계열사별로 유심 교체가 이뤄졌는지 확인 작업도 한 것으로 전해졌다. 이는 SK텔레콤이 가입 권고한 '유심보호 서비스'만으로는 정보 유출 우려가 해소되지 않는다고 판단했기 때문으로 보인다. 앞서 SKT는 지난 19일 오후 11시 40분께 해커에 의한 악성 코드로 이용자 유심 관련 일부 정보가 유출된 정황을 확인했다고 22일 밝혔다. 유출된 정보는 가입자별 유심을 식별하는 고유식별번호 등인 것으로 알려졌다. SKT는 악성코드로 인한 사이버 침해 사고 관련 고객들의 보안 우려를 해소하기 위해 오는 28일부터 유심 무료 교체를 포함, 한층 강화된 고객 정보 보호조치를 시행한다고 25일 공지했다. SKT 관계자는 이번 조치에 대해 “앞선 ‘유심보호서비스’와 비정상인증시도 차단(FDS) 강화 시행에 이어 고객이 느낄 불안감을 최대한 해소하기 위한 취지”라고 말했다. 유영상 SKT CEO 또한 이날 서울 을지로 SK텔레콤 사옥에서 열린 고객 정보 보호조치 강화 설명회에서 “SK텔레콤을 믿고 이용해주신 고객 여러분과 사회에 큰 불편과 심려를 끼쳐 드린 점에 대해 진심으로 사과드린다”며, “SK텔레콤을 이용하는 모든 고객분들을 대상으로 원하실 경우 유심카드를 무료로 교체해드리는 추가 조치를 시행하겠다”고 밝혔다. SKT는 오는 28일 오전 10시부터 자사 고객들에게 유심(eSIM 포함) 무료 교체서비스를 제공할 예정이다. 이번 조치는 유심 교체를 희망하는 모든 고객을 대상으로 진행되며, 전국 T World 매장과 공항 로밍센터에서 이뤄진다. SKT는 유심 무료 교체 서비스를 19일~27일 자비로 유심을 교체한 고객에게도 소급 적용하여, 고객들이 이미 납부한 비용에 대해 별도로 환급한다. 또한 SKT 통신망을 사용하는 알뜰폰 고객에게도 동일한 조치를 적용하기로 하였다. 시행 시기 및 방법 등은 각 알뜰폰 업체에서 추후 공지할 예정이다.
    • 시큐리티
    2025.04.25 16:19
  • F5, ‘차세대 애플리케이션 전송∙보안’ 플랫폼 공개
    [시큐리티팩트=김상규 기자] F5는 23일 기자간담회를 열고 인공지능(AI) 시대를 위한 ‘차세대 애플리케이션 전송∙보안’ 플랫폼을 공개했다. F5는 멀티클라우드 애플리케이션 전송 및 보안 기업으로, 세계 최대 규모의 선도적인 조직들과 파트너십을 맺고 온프레미스, 클라우드, 엣지 환경의 모든 애플리케이션을 안전하게 보호한다. 이날 간담회에서 모한 벨루(Mohan Veloo) F5 아시아태평양·중국·일본 지역 CTO는 “향후 3년 내에 전체 애플리케이션의 80%가 AI를 활용할 것으로 예상됨에 따라 기업들은 방대한 데이터 요구와 복잡한 트래픽 패턴, 진화하는 보안 위협에 대비해야 한다”고 강조했다. 그는 “전통적인 인프라로는 이러한 미래 환경에 대응하기 어렵지만, F5는 ADC(애플리케이션 전송 컨트롤러) 분야에서 쌓아온 노하우를 기반으로 어디서나 AI 기반 애플리케이션을 효과적으로 지원하는 차세대 필수 인프라를 선도하고 있다”고 설명했다. F5는 이날 차세대 애플리케이션 보안∙전송을 위한 F5의 비전인 ADC 3.0을 소개했다. 모한 벨루 CTO는 “AI 기반 ADC 3.0 시대에 맞춰 F5의 최신 애플리케이션 전송 및 보안 플랫폼이 AI로 인한 데이터 급증과 복잡한 트래픽 패턴, 진화하는 보안 위협에 기업들이 효과적으로 대응할 수 있도록 지원한다”고 설명했다. F5는 자사의 AI 기반 혁신 기술인 ▲F5 AI 게이트웨이(AI Gateway) ▲NGINX ONE AI 어시스턴트 ▲BIG-IP AI 어시스턴트 ▲iRules 코드 생성 및 구문 분석 기능 등을 소개했다. 이 솔루션들은 기업이 AI 역량을 활용해 복잡성을 줄이고 운영을 간소화하며 보안을 강화할 수 있도록 설계되었다. 제임스 리(James Lee) F5 아시아태평양·중국·일본 지역 선임 솔루션 아키텍트는 웹 애플리케이션과 API(애플리케이션 프로그래밍 인터페이스)가 직면한 보안 위협에 대해 설명하며 “API가 현대 애플리케이션의 핵심이지만 AI 도입 가속화로 인해 복잡한 아키텍처와 타사 통합이 새로운 보안 위험을 가져온다”고 지적했다. 그는 “F5 솔루션은 취약점을 발견하고, 보안을 강화하며, 공격자보다 먼저 위협을 식별하고 해결함으로써 기존 및 신규 AI 기반 앱을 효과적으로 보호한다”고 강조했다.
    • 시큐리티
    2025.04.24 15:02
  • 북한 해커, 하루 만에 1900억원 넘게 털었다
    [시큐리티팩트=최석윤 기자] 북한과 연계된 해킹 조직들이 Web3(탈중앙화 웹)와 암호화폐 업계의 기업과 개인들을 집요하게 노리고 있다고 23일(현지시각) 해커뉴스가 경고 기사를 보도했다. 구글의 사이버 보안 전문 자회사인 맨디언트는 최근 발표한 보고서에서 "북한에 대한 강력한 국제 제재 때문에, 이들의 Web3와 암호화폐에 대한 관심은 주로 돈을 벌기 위한 것"이라고 분석했다. 즉, 핵무기 개발과 같은 북한의 주요 전략 목표를 달성하기 위한 자금 마련이 주된 목적이라는 것이다. 맨디언트는 북한과 관련된 해커들이 Go, C++, Rust 등 다양한 프로그래밍 언어로 직접 만든 악성 도구를 사용해 윈도우, 리눅스, macOS 등 다양한 운영체제를 감염시킬 수 있다고 밝혔다. 특히 UNC1069, UNC4899, UNC5342라는 이름으로 추적되는 최소 3개의 해킹 조직은 암호화폐 및 블록체인 기술 개발자 커뮤니티를 집중적으로 노리고 있다. 이들은 암호화폐 지갑에 불법적으로 접근하거나, Web3 관련 프로젝트에 참여하는 개발자들을 속여 내부 시스템에 침투하는 방식을 사용한다. 가짜 투자자로 접근, 악성 코딩 심어 각 해킹 조직의 주요 활동 방식은 다음과 같다. UNC1069 (2018년 4월부터 활동): 가짜 회의 초대장을 보내거나, 텔레그램 메신저에서 유명 회사의 투자자로 속여 접근하는 사회 공학적 기법을 사용한다. 이를 통해 피해자의 디지털 자산과 암호화폐 지갑에 접근하여 돈을 빼돌린다. UNC4899 (2022년부터 활동): 가짜 코딩 과제를 제시하며 악성코드를 심는 채용 사기 캠페인을 벌이는 것으로 알려졌다. 과거에는 기업의 소프트웨어 개발 과정에 몰래 악성코드를 심어넣는 공급망 공격을 통해 돈을 벌기도 했다. (Jade Sleet, PUKCHONG, Slow Pisces, TraderTraitor 등 여러 이름으로도 알려져 있다) UNC5342 (2024년 1월부터 활동): 개발자들을 속여 악성 소프트웨어가 포함된 프로젝트를 실행하도록 유도하는 직업 관련 미끼를 사용한다. (Contagious Interview, DeceptiveDevelopment, DEV#POPPER, Famous Chollima 등 여러 이름으로도 알려져 있다) 이 외에도 UNC4736이라는 해킹 조직은 암호화폐 거래 소프트웨어를 악성 프로그램으로 위장시켜 블록체인 업계를 공격했으며, 2023년 초에는 유명 소프트웨어 회사인 3CX를 대상으로 한 대규모 공급망 공격의 배후로 지목되기도 했다. 단 하루 만에 1900억 넘게 탈취 맨디언트는 암호화폐 분야를 표적으로 삼아 대규모 피싱 공격을 감행하는 또 다른 북한 해킹 조직인 UNC3782를 새롭게 확인했다고 밝혔다. 이들은 2023년에 트론(TRON)이라는 암호화폐 사용자들을 대상으로 정교한 피싱 공격을 펼쳐 단 하루 만에 1억 3700만 달러(약 1900억원) 이상의 암호화폐를 빼돌린 것으로 드러났다. 또한, 2024년에는 솔라나(Solana)라는 암호화폐 사용자들을 속여 악성 암호화폐 채굴 사이트로 유인하는 공격을 시작하기도 했다. 해외 취업 사기로 돈줄 확보 암호화폐 절도는 북한이 국제 사회의 경제 제재를 피하기 위해 사용하는 여러 가지 방법 중 하나이다. 최소 2022년부터 UNC5267이라는 활발한 해킹 조직은 수천 명의 북한 주민들을 미국, 유럽, 아시아 기업의 원격 근무 일자리에 파견했다. 이들은 주로 중국과 러시아에 거주하며 IT 관련 업무를 수행하는 것으로 알려졌다. 놀라운 점은 이들 IT 인력 중 상당수가 북한의 핵 개발 프로그램을 담당하는 군수공업부 313총국 소속이라는 것이다. 이들은 단순히 다른 사람의 신분을 도용하는 것을 넘어, 완전히 조작된 가짜 신분을 만들어 활동하기도 한다. 심지어 면접 과정에서 실시간 딥페이크 기술을 활용하여 감쪽같은 가짜 얼굴과 목소리를 연출하기도 한다. 팔로알토 네트웍스의 위협 분석 부서인 Unit 42의 연구원 에반 고든커는 "이는 두 가지 중요한 이점을 제공한다. 첫째, 한 명의 담당자가 여러 개의 가짜 신분을 사용하여 동일한 직책에 대해 여러 번 면접을 볼 수 있다. 둘째, 이들은 신분이 노출되어 보안 게시판이나 수배 목록에 오르는 것을 방지하는 데 도움이 된다. 이 모든 것이 결합되어 북한 IT 요원들은 향상된 보안 속에서 발각될 위험을 줄이며 활동할 수 있다"라고 설명했다. 고용주 협박, 내부자 위협.. 갈수록 대담 구글 위협 분석 그룹(GTIG)의 전문가들은 지난달 보고서에서 "북한 IT 인력들이 고용주를 대상으로 협박 캠페인을 강화하고 있으며, 기업의 가상 데스크톱, 네트워크, 서버에서 직접 작업을 수행하고 있다"고 밝혔다. 이들은 이제 획득한 관리자 권한을 이용하여 데이터를 훔치고, 사이버 공격을 감행하며, 북한의 수익을 창출하는 데 적극적으로 활용하고 있다는 것이다. 2024년 맨디언트는 미국과 유럽에서 취업을 시도하는 최소 12개의 가짜 신분을 사용하는 북한 IT 근로자로 의심되는 사람들을 확인했다. 이는 거짓된 신분으로 조직에 침투하는 북한의 수법이 얼마나 효과적인지를 보여주는 사례이다 심지어 한 미국 회사의 채용 과정에서는 두 명의 가짜 신분이 최종 후보로 올랐고, 그중 한 명의 북한 IT 근로자가 다른 가짜 신분을 제치고 채용되기도 했다. 또 다른 사례에서는 한 조직에서 12개월 동안 네 명의 북한 IT 근로자로 의심되는 사람들이 고용되기도 했다. 이처럼 북한은 사이버 공격과 IT 인력 위장 취업 등 다양한 방법을 동원하여 국제 사회의 제재를 회피하고 불법적인 수익을 얻으려 하고 있다. 특히 암호화폐 시장은 익명성과 탈중앙성이라는 특징 때문에 북한 해커들의 주요 표적이 되고 있으며, 앞으로도 더욱 정교하고 대담한 공격이 이어질 것으로 예상된다.
    • 시큐리티
    2025.04.24 09:10
  • 삼성 스마트폰 One UI, 치명적 보안 결함.. 사용자 데이터 '무방비 노출’
    [시큐리티팩트=최석윤 기자] 삼성 스마트폰 사용자들이 잠재적인 심각한 개인 정보 유출 위험에 직면했다. 22일(현지시각) 사이버시큐리티뉴스에 따르면, 삼성의 맞춤형 안드로이드 운영체제인 'One UI'에서 발견된 치명적인 보안 취약점으로 인해, 사용자들이 복사한 민감한 정보가 아무런 보호 장치 없이 일반 텍스트 형태로 기기에 무기한 저장되는 것으로 드러났다. 이는 단순한 불편함을 넘어, 악의적인 접근이나 악성코드 감염 시 개인 정보가 고스란히 유출될 수 있는 심각한 보안 위협으로 이어질 수 있다는 점에서 충격을 주고 있다. 삼성 안드로이드 클립보드의 위험한 비밀 이번에 발견된 보안 결함은 삼성 One UI 시스템에 깊숙이 통합된 클립보드 기능과 관련이 있다. 클립보드는 사용자가 텍스트, 이미지, 링크 등 다양한 데이터를 복사했을 때 임시로 저장해두는 공간으로, 붙여넣기 기능을 통해 편리하게 활용된다. 하지만 보안 연구원들의 분석 결과, 안드로이드 9(Pie) 이상을 실행하는 삼성 기기들은 이 클립보드 내용을 자동 삭제 메커니즘 없이, 암호화되지 않은 일반 텍스트 형태로 기기 내 영구 저장소에 계속 보관하는 것으로 밝혀졌다. 문제의 심각성은 사용자가 클립보드 내용을 일정 시간 후 자동으로 삭제하는 기능을 제공하는 구글의 Gboard와 같은 타사 키보드 앱을 사용하더라도, 삼성의 시스템 수준에서 작동하는 클립보드 기능이 이러한 보안 설정을 무력화시킨다는 점이다. 즉, 사용자가 Gboard의 자동 삭제 설정을 믿고 민감한 정보를 복사하더라도, 삼성 시스템은 해당 정보를 계속해서 기기에 '비밀 기록'처럼 남겨두는 것이다. 삼성마저 인정한 '보안 위험'.. 소극적 대응 이러한 심각한 문제점에 대해 삼성 내부에서도 인식이 있었다. 삼성 커뮤니티 포럼에서 사용자들의 지속적인 불만에 대해 한 관리자는 "특정 기간이 지나면 클립보드 내용을 자동으로 삭제하는 기본 설정이 없어서 실제로 보안 위험이 될 수 있다"라고 인정하는 발언을 했다. 하지만 회사 측은 개발팀에 해당 문제를 전달하겠다는 원론적인 답변만 내놓았을 뿐, 구체적인 해결 일정이나 계획은 제시하지 않아 사용자들의 불안감을 더욱 증폭시키고 있다. 비밀번호·은행 계좌 정보 등 유출 가능성 보안 전문가들은 이 취약점이 다양한 공격 경로를 열어줄 수 있다고 경고한다. 가장 직접적인 위험은 '물리적인 기기 접근'이다. 만약 누군가가 사용자의 잠금 해제된 삼성 기기에 잠시라도 접근할 수 있다면, 클립보드 기록을 통해 사용자가 이전에 복사했던 모든 비밀번호, 은행 계좌 정보, 개인적인 메시지 등 극히 민감한 정보를 손쉽게 확인이 가능하다. 이는 스마트폰을 잠시 다른 사람에게 빌려주거나, 분실했을 경우 상상 이상의 개인 정보 유출로 이어질 수 있다. 더욱 심각한 우려는 '악성코드의 위협'이다. 이미 클립보드 데이터를 전문적으로 탈취하는 악성코드, 예를 들어 암호화폐 지갑을 표적으로 한 원격 액세스 트로이목마(RAT) ' 'StilachiRAT' 등이 존재한다. 이러한 악성코드에 감염될 경우, 사용자가 무심코 복사한 금융 정보나 계정 정보가 실시간으로 공격자에게 전송될 수 있다. 특히 비밀번호를 복사하여 붙여넣는 습관이 있는 사용자라면, 단 한 번의 악성코드 감염으로 모든 계정이 위험에 노출될 수 있다. 안드로이드 클립보드 API 구현에 근본 원인 이번 보안 결함의 근본적인 원인은 삼성의 안드로이드 클립보드 API(Application Programming Interface) 구현 방식에 있다. 표준 안드로이드 운영체제는 클립보드 관리자 인터페이스를 통해 클립보드 데이터에 대한 보안 메커니즘을 제공한다. 예를 들어, 민감한 정보로 분류된 데이터는 일정 시간 후 자동으로 삭제되거나, 앱 간 공유 시 특별한 권한을 요구하는 등의 보호 장치가 마련되어 있다. 하지만 삼성의 One UI는 이러한 표준 안드로이드의 보안 기능을 우회하고, 자체적인 방식으로 클립보드 기능을 구현하면서 문제가 발생했다. 구글은 이미 안드로이드 12 버전에서 클립보드 보안 강화를 위해 'ClipDescription.EXTRA_IS_SENSITIVE' 플래그를 도입하여 민감한 데이터임을 명시할 수 있도록 했지만, 삼성의 클립보드 구현은 이러한 보안 플래그를 제대로 인식하지 못하고 모든 복사된 콘텐츠를 영구 저장소에 그대로 보관하는 것으로 분석된다. 사용자들 "심각한 보안 결함" 분노 폭발 직전 삼성 커뮤니티 포럼에서는 이번 보안 결함에 대한 사용자들의 우려와 분노가 극에 달하고 있다. 한 사용자는 "이것은 우선순위에 두어야 할 심각한 보안 결함이다. 민감한 데이터를 일반 텍스트로 무기한 저장하는 클립보드 기록은 불편함을 넘어 명백한 취약점이다"라며 삼성의 소극적인 대응을 강하게 비판했다. 또 다른 사용자는 "삼성을 오랫동안 신뢰하고 사용해 왔지만, 이번 개인 정보 보호 문제는 차후 기기 구매 결정에 큰 영향을 미칠 것이다. 특히 개인 정보 보호가 그 어느 때보다 중요한 현재 상황에서 이는 용납할 수 없는 문제이다"라며 삼성에 대한 실망감을 드러냈다. ■ 보안 전문가들이 말하는 임시 해결책 삼성이 근본적인 해결책을 내놓기 전까지, 보안 전문가들은 사용자들에게 다음과 같은 임시적인 해결 방법을 제시하고 있다. 민감한 정보 복사 후 즉시 클립보드 기록 삭제: 비밀번호, 은행 정보 등을 복사한 후에는 반드시 클립보드 기록을 수동으로 지워야 한다. 삼성 키보드 앱의 경우 클립보드 아이콘을 길게 눌러 기록에 접근한 후 삭제할 수 있다. 비밀번호 자동 채우기 기능 적극 활용: 비밀번호 관리 앱 사용자는 복사-붙여넣기 대신 제공되는 자동 채우기 기능을 이용하여 클립보드 사용을 최소화하는 것이 좋다. 타사 키보드 앱 고려 (제한적 효과): SwiftKey와 같이 일정 시간 후 클립보드 내용을 자동으로 삭제하는 타사 키보드 앱을 설치할 수 있지만, 삼성의 시스템 수준 저장소는 여전히 정보를 보관하므로 근본적인 해결책은 아니다.
    • 시큐리티
    2025.04.23 16:24
  • “구글 크롬 브라우저 업그레이드해야”…KISA, 자동 로그인 취약점 패치 적용 권고
    [시큐리티팩트=김상규 기자] 구글 크롬 브라우저 사용자라면 자동 로그인 보안 취약점으로 인해 최신 버전으로 업그레이드를 해야 한다고 한국인터넷진흥원(KISA)이 권고했다. KISA는 크롬 브라우저가 전 세계 브라우저 시장(PC 기준)의 66.16%를 점유하고 있는 만큼 취약점은 심각한 피해를 일으킬 수 있어 구글 본사와 긴밀히 협력해 신속한 패치 개발을 추진했다. 23일 KISA와 과학기술정보통신부는 사용자의 안전한 인터넷 사용을 위해 크롬(구글) 브라우저의 자동 로그인 보안 취약점을 개선해 배포된 패치 적용을 위해 브라우저의 최신 버전 사용을 당부한다고 밝혔다. ‘자동 로그인 기능’은 여러 홈페이지의 로그인 정보(아이디, 패스워드)를 브라우저에 일괄 저장하고 방문 시 자동으로 로그인을 할 수 있어 편리하다. 반면 사용자의 PC가 사이버 공격자에 노출될 경우 계정정보가 일시에 유출될 수 있는 위험이 존재한다. 이번 패치는 자동 로그인을 위해 크롬 브라우저 내부에 저장되는 사용자 계정정보의 암호화를 강화한 것으로 악성코드 감염 등 사이버 위협에 대응해 계정정보를 안전하게 보호하기 위한 조치이다. KISA는 2024년 4월 윈도우 OS에서 실행되는 국내 주요 브라우저에서 사용자 계정정보 탈취가 가능한 취약점을 확인해 제조사들에 전달하고 브라우저 보안 강화를 독려한 바 있다. 또한, 긴 시간이 소요되는 글로벌 패치 개발 기간 동안 사용자의 피해 예방을 위해 KISA와 브라우저 제조사들(구글, 마이크로소프트, 네이버)은 ‘인터넷 브라우저 보안수칙’을 개발해 지난해 8월 공동 캠페인을 진행했다. 이번 보안 패치는 윈도우 버전 크롬 브라우저(133버전 이상)에 적용되었으며, 브라우저의 자동 업데이트가 이루어지지 않는 경우 ‘설정’ → ‘크롬 정보’ 메뉴를 통해서도 업그레이드할 수 있다. 좀 더 상세한 정보가 필요하면 KISA의 보호나라 누리집 보안공지와 크롬 공식 홈페이지를 참조하면 된다. 이상중 KISA 원장은 “편리성 때문에 전 세계 많은 사용자가 이용하는 자동 로그인 기능을 악용한 해킹 공격은 대규모 피해를 불러올 수 있으므로 이번 크롬 브라우저 업데이트를 신속하게 적용해 줄 것”을 당부했다. 이어 “KISA는 사이버 위협에 대해 지속적으로 모니터링하고, 기업과 적극적으로 협력해 취약점을 조기 탐지·조치함으로써 국민의 안전한 인터넷 사용을 위해 최선을 다하겠다”고 덧붙였다.
    • 시큐리티
    2025.04.23 15:13
  • 북한은 어떻게 '해킹 제국'이 되었나
    [시큐리티팩트=최석윤 기자] 어둠 속에서 그림자처럼 움직이며 디지털 세계를 뒤흔드는 존재, 북한의 사이버 공격 조직들은 국제 사회에 끊임없는 불안감을 드리우고 있다. 금융 기관을 마비시키고, 암호화폐를 탈취하며, 국가 기밀을 훔쳐내는 그들의 능력은 어떻게 단기간 내에 세계적인 수준으로 성장했을까? 폐쇄적인 사회 시스템과 극심한 경제난 속에서 북한이 사이버 공간의 '강국'으로 부상한 배경에는 오랜 시간 축적된 전략과 노력이 숨겨져 있다. 북한이 '해킹 제국'으로 불리게 된 과정을 심층적으로 추적하고, 그들의 사이버 공격 전략, 인력 양성 시스템, 주요 공격 그룹, 그리고 국제 사회의 대응 현황까지 다각적으로 분석한다. 냉전 그림자, 사이버 전장의 '씨앗'을 뿌리다 북한의 사이버 역량 강화 노력은 냉전 시대로 거슬러 올라간다. 당시 북한은 재래식 군사력의 열세를 '비대칭 전력'으로 극복하고자 하는 전략적 목표를 설정했고, 사이버 공간은 그 가능성을 엿볼 수 있는 새로운 전장이었다. '비대칭 전력(非對稱戰力)'은 통상적인 군사력 비교에서 열세에 있는 쪽이 상대방 강점을 피하고 약점을 공략하기 위해 개발하거나 사용하는 전력을 의미한다. 이는 전력의 양적인 균형보다는 질적인 차별성이나 예상치 못한 방법을 통해 우위를 확보하려는 전략에서 비롯된다. 북한은 초기에는 심리전이나 정보전의 개념으로 접근했지만, 점차 컴퓨터 기술의 발전과 함께 사이버 공격의 잠재적 파괴력에 주목하기 시작했다. 소규모 인력으로 출발한 북한의 사이버 부대는 점차 체계적인 조직으로 확대 개편됐다. 핵심적인 역할을 수행하는 곳은 북한의 대외 정보 및 공작 기관인 '정찰총국'이다. 정찰총국 산하에 다양한 사이버전 담당 부서들을 두고, 해외 정보 수집, 체제 선전, 그리고 사이버 공격 임무를 수행하도록 지휘하고 있다. 초기에는 기술적 한계로 인해 단순한 해킹이나 악성코드 유포 수준에 머물렀지만, 꾸준한 투자와 인력 양성을 통해 점차 정교하고 은밀한 공격 능력을 확보해 나가기 시작했다. 엘리트 양성 시스템, 베일에 싸인 해커 부대 산실 북한이 사이버 공격 능력을 빠르게 끌어올릴 수 있었던 배경에는 체계적 인력 양성 시스템이 존재한다. 핵심 역할을 담당하는 교육 기관으로는 김일성군사종합대학, 김책공대 등이 있다. 이곳에서는 정보 기술, 프로그래밍, 네트워크 보안 등 사이버전에 필수적인 전문 지식을 심층 교육한다. 북한은 어린 시절부터 수학, 과학, 프로그래밍 등 IT 분야에 뛰어난 재능을 보이는 영재들을 선발하여 집중적으로 육성하는 시스템을 갖추고 있는 것으로 알려져 있다. 이들은 특수 학교나 영재 교육 프로그램을 통해 조기부터 전문적인 IT 교육을 받으며, 사이버 공격 기술을 연마하는 핵심 인력으로 성장하게 된다. 뿐만 아니라, 일부 북한 IT 인력들은 해외 IT 기업에 취업하거나 위장 회사를 설립하여 활동하면서 실전 기술과 국제적인 사이버 공격 트렌드를 습득한다. 이들은 해외에서 얻은 지식과 경험을 바탕으로 북한 내부의 사이버 공격 능력을 한 단계 끌어올리는 데 기여하고 있다. 경제 제재의 그늘, 사이버 범죄의 유혹 국제 사회 강력한 대북 제재와 지속적인 경제난은 북한이 사이버 범죄에 더욱 깊숙이 관여하게 되는 주요 원인으로 작용했다. 전통적인 외화 획득 경로가 막히자, 북한은 비교적 적은 투자로 상당한 수익을 올릴 수 있는 사이버 공간에 눈을 돌리게 된다. 북한은 국가 주도하에 조직적으로 사이버 범죄를 감행하는 특징을 보인다. 암호화폐 거래소 해킹, 온라인 카지노 운영, 금융 기관 공격 등 다양한 불법 행위를 통해 외화를 획득하고 있으며, 이는 핵 개발 및 체제 유지 자금으로 활용되는 것으로 알려져 국제 사회의 심각한 우려를 낳고 있다. 특히 암호화폐는 익명성이 보장되고 국경 간 이동이 용이하다는 점 때문에 북한의 주요 타겟이 되고 있다. 라자루스 그룹을 비롯한 북한 연계 해킹 조직들은 전 세계 암호화폐 거래소를 공격하여 막대한 양의 디지털 자산을 탈취하고 있으며, 이는 국제 금융 시스템의 안정성을 위협하는 요인으로 작용한다. 그림자 속의 얼굴들, 주요 해킹 그룹들 북한의 사이버 공격을 주도하는 핵심 조직들은 베일에 싸여 있지만, 국제 사이버 보안 업계는 이들의 활동을 꾸준히 추적하고 분석하고 있다. 대표적인 해킹 그룹으로는 '라자루스 그룹(Lazarus Group)'과 '킴수키(Kimsuky)' 등이 꼽힌다. 라자루스 그룹: 전 세계 금융 기관을 대상으로 한 대규모 사이버 공격과 암호화폐 탈취 사건에 깊숙이 관여하며 국제적인 악명을 떨치고 있는 조직이다. 이들은 고도의 기술력을 바탕으로 은밀하고 파괴적인 공격을 감행하며, 국제 금융 시스템에 심각한 위협을 가하고 있다. 2016년 방글라데시 중앙은행 해킹 사건, 워너크라이 랜섬웨어 공격 등이 라자루스 그룹의 대표적인 소행으로 알려져 있다. 특히 지난 2월 바이비트의 15억달러(약 2조1800억원) 규모 암호화폐를 탈취해 이중 최소 3억달러를 현금화한 것으로 악명을 떨쳤다. 킴수키: 주로 한국과 일본 등 주변 국가를 대상으로 정보 탈취 및 스파이 활동에 특화된 조직이다. 이들은 사회 공학적 기법을 활용하여 특정 개인이나 조직을 표적으로 삼아 장기간에 걸쳐 은밀하게 정보를 빼내는 수법을 주로 사용한다. 최근에는 공급망 공격을 통해 더 넓은 범위의 피해를 야기하는 사례도 포착되고 있다. 이 외에도 'APT38', '스칼렛 크러쉬' 등 다양한 이름으로 불리는 북한 연계 해킹 그룹들이 활동하고 있으며, 각 그룹은 고유의 공격 목표, 기술 수준, 그리고 활동 패턴을 보인다. 이들의 공격 방식은 끊임없이 진화하고 있으며, 국제 사회의 추적을 회피하기 위한 다양한 기술과 전략을 활용하고 있다. 진화하는 위협, 북한 사이버 공격의 현재와 미래 북한의 사이버 공격 기술과 전략은 끊임없이 진화하고 고도화되고 있다. 과거의 단순한 공격 방식에서 벗어나, 최근에는 '제로데이 취약점'을 활용하거나, 소프트웨어 업데이트 과정을 악용하는 '공급망 공격' 등 더욱 정교하고 예측하기 어려운 공격 기법을 사용하는 사례가 늘고 있다. 또한, '소셜 엔지니어링' 기법을 활용하여 조직 내부자의 실수나 부주의를 유도해 침투하거나, 장기간에 걸쳐 은밀하게 목표를 공격하는 '지능형 지속 공격(APT)' 방식을 통해 원하는 정보를 탈취하거나 시스템을 장악하는 시도도 꾸준히 증가하고 있다. 탈취한 자금의 추적을 어렵게 만들기 위해 '가상자산 믹서'나 '다크웹'과 같은 익명화 기술을 적극적으로 활용하는 것도 북한 사이버 공격의 주요 특징 중 하나이다. 이러한 추적 회피 기술은 국제 수사 기관의 수사를 더욱 어렵게 만들고, 북한의 사이버 범죄 수익을 은닉하는 데 사용된다. 전문가들은 향후 북한의 사이버 공격이 더욱 지능화되고 예측 불가능한 형태로 발전할 가능성이 높다고 경고다. 특히 인공지능(AI) 기술을 활용한 새로운 공격 기법이나, 아직 알려지지 않은 취약점을 이용한 공격 시도가 증가할 수 있다는 우려도 제기되고 된다. 국제 사회의 공조, '해킹 제국'에 맞서 싸우다 북한발 사이버 위협에 대응하기 위해 국제 사회는 다양한 노력을 기울이고 있다. 한국, 미국, 일본 등 주요 피해 국가들은 독자적인 대북 사이버 안보 전략을 수립하고, 관련 법규를 강화하는 등 적극적인 대응에 나서고 있다. 또한, 국제 공조를 통해 북한의 사이버 범죄를 수사하고 제재하기 위한 노력도 지속적으로 이루어지고 있다. 미국 법무부는 북한 해커들을 기소하고, 관련 자산을 동결하는 등의 조치를 취하고 있으며, 유엔 안전보장이사회 대북 제재위원회 역시 북한의 사이버 활동을 감시하고 제재 방안을 논의 중이다. 기술적인 측면에서는 블록체인 분석 기술을 활용하여 북한이 탈취한 암호화폐의 흐름을 추적하고, 위협 인텔리전스 정보를 공유하여 사이버 공격에 대한 방어 능력을 강화하고 있다. 하지만 북한의 폐쇄적인 사회 시스템과 국제적인 제재 회피 노력으로 인해 북한발 사이버 위협에 대한 효과적인 억제 및 방어 전략을 마련하는 데는 여전히 많은 어려움이 존재한다. 장기적인 관점에서 국제 사회는 더욱 긴밀한 공조 체제를 구축하고, 정보 공유를 강화하며, 북한의 사이버 공격 능력을 근본적으로 약화시킬 수 있는 다각적인 전략을 모색이 필요하다.
    • 시큐리티
    2025.04.23 12:24
  • SKT, 해킹으로 고객 일부 정보 유출…정부도 대응 나서
    [시큐리티팩트=김상규 기자] SK텔레콤은 지난 19일 저녁 해커에 의한 악성코드로 유심관련 일부 정보 유출 정황이 있다고 22일 공지했다. 유출 사실 인지 후 신속 신고와 함께 악성코드 삭제 및 해킹 의심 장비 격리 조치로 현재까지 확인된 해당 정보 악용사례는 없는 것으로 파악했다고 알렸다. 이에 과학기술정보통신부와 한국인터넷진흥원(KISA) 또한 유심 정보 해킹 사건 조사에 나섰다. SKT는 “19일 오후 11시경 악성코드로 인해 고객들의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했다”고 22일 밝혔다. 다만 해커의 공격이 이뤄진 시점은 아직 파악되지 않아 피해 규모가 커질 가능성도 배제할 수 없는 상황이다. 현재 SKT는 포렌식을 통해 피해 규모 및 정황을 조사 중인 것으로 알려졌다. SKT는 “현재 정확한 유출 원인과 규모 및 항목 등을 지속적으로 파악 중이라며 관련 법률에 따라 20일 한국인터넷진흥원(KISA)에 침해사고 사실을 즉시 신고했다”고 덧붙였다. 이에 과기정통부와 KISA는 지난 21일 오후 2시10분 사고 관련 자료 보존 및 제출을 요구하고 같은 날 오후 8시부터 KISA 전문가들이 현장에 파견돼 사고 조사와 관련한 기술을 지원 중이다. 과기정통부는 개인정보 유출 등 피해현황, 보안취약점 등 사고의 중대성을 고려해 면밀한 대응을 위해 과기정통부 정보보호네트워크정책관을 단장으로 하는 비상대책반도 구성했다. 비상대책반은 필요시 민관합동조사단을 구성하고 심층적인 원인분석 및 재발방지 대책 마련을 추진할 방침이다. 사고 조사 과정에서 나오는 SKT의 기술적, 관리적 보안 문제점은 시정명령을 통해 개선토록 할 예정이다. SKT는 오늘 오전 10시에 개인정보보호위원회에도 개인정보 유출 정황을 신고했다. SKT는 이번 개인정보 유출 가능성을 인지한 후 해당 악성코드를 즉시 삭제하고 해킹 의심 장비도 격리 조치했다. 해당 정보가 실제로 악용된 사례는 확인되지 않았으나 고객 피해를 예방하기 위해 ▲전체 시스템 전수 조사 ▲불법 유심 기변 및 비정상 인증 시도 차단 강화 ▲피해 의심 징후 발견 시 즉각적인 이용 정지 및 안내 조치 강화 조치에 나섰다. 아울러 홈페이지를 통한 고객 고지와 함께 추가적인 안전 조치를 원하는 고객들을 위해 홈페이지와 T월드를 통해 유심보호서비스(무료)를 제공 중이다. 유심보호서비스는 유심 임의사용 및 무단 기기변경, 해외로밍 등을 차단해 유심 복제로 인한 피해를 막는다. SKT는 이번 사고에 대한 사과와 함께 “앞으로 이와 같은 일이 재발하지 않도록 보안 체계를 더욱 강화하고 고객 정보 보호 방안 마련에도 최선을 다하겠다”고 밝혔다.
    • 시큐리티
    2025.04.22 13:39
  • 북한 해킹 조직 'Kimsuky(김수키)', 한국·일본 집중 공격
    [시큐리티팩트=최석윤 기자] 북한의 국가 지원 해킹 조직으로 알려진 '김수키(Kimsuky)'가 최근 새롭고 지능적인 악성 캠페인으로 한국·일본 집중 타격하고 있다고 21일(현지시각) 해커뉴스가 보도했다. 이들은 이미 보안 업데이트로 막힌 과거의 취약점을 악용하여 초기 침투에 성공하는 수법을 사용하고 있어 더욱 심각한 위협으로 간주된다. 2023년부터 한·미·일 등 전 세계 국가 공격 이번 Kimsuky의 악성 캠페인은 2023년 10월부터 본격적으로 시작된 것으로 추정되며, 주로 한국과 일본의 소프트웨어, 에너지, 금융 분야 기업들을 집중적으로 노리고 있다. 하지만 이들의 공격 대상은 한일 양국에 국한되지 않았다. 미국, 중국, 독일, 싱가포르, 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등 전 세계 10여 개국 또한 Kimsuky 공격 대상에 포함된 것으로 밝혀졌다. 국내 사이버 보안 업체인 안랩(AhnLab)의 보안정보센터(ASEC)는 이번 Kimsuky의 활동을 'Larva-24005'라는 이름으로 명명하고, 이들의 공격 방식을 면밀히 분석하고 있다. 과거 'BlueKeep' 취약점 노려 침투 ASEC의 분석에 따르면, Kimsuky는 일부 시스템에서 '블루킵(BlueKeep)'이라는 이름으로 널리 알려진 'CVE-2019-0708' 취약점을 악용하여 초기 접근 권한을 획득했다. 이 취약점은 마이크로소프트 원격 데스크톱 서비스(Remote Desktop Services, RDS)의 심각한 보안 결함으로, 인증되지 않은 공격자가 원격으로 코드를 실행하여 시스템을 완전히 장악할 수 있는 매우 위험한 버그이다. 당시 보안 점수가 무려 9.8점으로 평가될 만큼 심각한 수준이었다. 다행히 마이크로소프트는 2019년 5월에 이 취약점에 대한 보안 업데이트를 배포하여 문제를 해결했다. 하지만 Kimsuky는 아직 업데이트를 적용하지 않은 시스템을 찾아 과거 보안 구멍을 파고드는 방식으로 침투를 시도하고 있다. ASEC 측은 "침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 악용 증거는 아직 명확하게 확인되지 않았다"고 밝혔다. 이와 더불어 Kimsuky는 또 다른 초기 침투 경로로 '피싱 메일'을 여전히 적극적으로 사용하고 있다. 이들은 'CVE-2017-11882' 취약점을 유발하는 악성 파일을 이메일에 첨부하여 사용자가 무심코 열어보도록 유도한다. 이 취약점은 마이크로소프트의 수식 편집기(Equation Editor)의 오래된 보안 결함으로, 이를 악용하면 공격자가 임의의 코드를 실행할 수 있다. 악성코드 'MySpy'와 '키로거' 심어 정보 탈취 일단 시스템에 침투하는 데 성공하면, Kimsuky는 '드로퍼(Dropper)'라는 악성 프로그램을 이용하여 추가적인 악성 도구를 설치한다. 그중 하나가 바로 'MySpy'라는 악성코드다. MySpy는 감염된 시스템의 기본적인 정보를 수집하는 기능을 수행한다. 이와 함께 Kimsuky는 원격 데스크톱 접근을 용이하게 하기 위해 'RDPWrap'이라는 합법적인 도구를 몰래 설치하고, 원격 데스크톱 연결을 허용하도록 시스템 설정을 변경하는 치밀함을 보였다. 최종적으로 Kimsuky의 공격은 사용자의 키보드 입력 내용을 몰래 기록하여 중요한 정보를 빼가는 '키로거' 악성 프로그램을 배포하는 것으로 마무리된다. 이번 캠페인에서는 'KimaLogger'와 'RandomQuery'라는 두 종류의 키로거가 사용된 것으로 확인됐다. 과거 취약점 악용, 보안 업데이트 '필수' 이번 Kimsuky의 새로운 악성 캠페인은 이미 패치된 과거의 취약점을 능숙하게 활용하여 공격 효율성을 높이고 있다는 점에서 더욱 위협적이다. 특히 한국과 일본의 주요 산업 분야를 집중적으로 노리고 있다는 점은 국가적인 차원에서도 심각한 우려를 낳고 있다. 사이버 보안 전문가들은 Kimsuky의 공격 수법이 점차 고도화되고 있는 만큼, 개인 사용자뿐만 아니라 기업과 기관에서도 운영체제 및 소프트웨어의 최신 보안 업데이트를 반드시 적용하고, 출처가 불분명한 이메일이나 첨부 파일을 열어보지 않도록 각별한 주의를 기울여야 한다고 강조한다. 과거의 작은 보안 구멍 하나가 예상치 못한 심각한 결과를 초래할 수 있다.
    • 시큐리티
    2025.04.22 09:27
  • 바이비트 "1조3000억 추적 가능".. 북한 해킹조직 라자루스 압박
    [시큐리티팩트=최석윤 기자] 암호화폐 거래소 바이비트(Bybit)가 북한의 악명 높은 해킹 조직 라자루스 그룹(Lazarus Group)에게 탈취당한 막대한 양의 암호화폐 자금 추적에 여전히 박차를 가하고 있다. 21일(현지시각) 코인텔레그래프에 따르면, 바이비트의 공동 설립자 겸 CEO인 벤 저우(Ben Zhou)는 지난 2월 발생한 이 초대형 해킹 사건과 관련하여, 현재까지 탈취 자금의 상당 부분이 추적 가능한 상태로 남아있다고 밝혔다. 1조9000억 해킹, 68% 이상 여전히 '추적 가능' 벤 저우 CEO는 21일 자신의 X(구 트위터) 계정을 통해 해킹된 바이비트 자금에 대한 상세한 요약 보고서를 공개했다. 보고서에 따르면, 총 14억 달러(약 1조9800억원)에 달하는 해킹 자금 중 68.6%는 여전히 '추적 가능한 상태'인 것으로 나타났다. 반면 27.6%는 여러 단계를 거쳐 추적이 어려운 '암흑 상태'에 놓였으며, 3.8%는 바이비트 측의 노력으로 동결 조치된 것으로 확인됐다. 저우 CEO는 추적이 불가능해진 자금의 상당 부분이 암호화폐 믹서(거래 기록을 섞어 추적을 어렵게 만드는 서비스)를 거쳐 여러 '암호화폐 다리'(서로 다른 블록체인 간 자산 이동을 돕는 서비스)를 통해 개인 간(P2P) 거래 플랫폼이나 장외거래(OTC) 플랫폼으로 흘러 들어갔다고 설명했다. 라자루스 그룹 '믹싱' 수법 확인 지난 2월, 라자루스 그룹과 연계된 해커들은 바이비트의 콜드 월렛(인터넷과 분리된 안전한 지갑) 시스템의 취약점을 악용하여 암호화폐 거래소 역사상 최대 규모로 기록될 14억 달러 상당의 디지털 자산을 탈취했다. 저우 CEO는 "최근 북한 해커들이 주로 사용하는 믹서가 '와사비(Wasabi)'인 것을 확인했다"고 언급하며, 비트코인(BTC)이 와사비 믹서를 거친 후 "일부는 크립토믹서(CryptoMixer), 토네이도 캐시(Tornado Cash), 레일건(Railgun)으로 유입됐다"고 덧붙였다. 토네이도 캐시와 레일건은 익명성 강화를 특징으로 하는 암호화폐 믹서 서비스이다. 구체적으로, 저우 CEO는 약 9000만 달러(약 1270억원) 상당의 944개 비트코인이 와사비 믹서를 거친 것을 확인했다. 또한, 탈취된 자금은 쏜체인(THORChain), eXch, 롬바르드(Lombard), LI.FI, 스타게이트(Stargate), 선스왑(SunSwap)과 같은 다양한 플랫폼을 통해 여러 블록체인 간 이동 및 암호화폐 교환 과정을 거쳐 최종적으로 개인 간 거래나 장외거래 서비스를 통해 현금화되었을 가능성을 시사했다. 이더리움 43만 개 이상, 비트코인으로 전환 주목할 만한 점은 총 12억1000만 달러(약 1조7000억원) 상당의 약 84%에 해당하는 43만2748개의 이더(ETH)가 쏜체인(THORChain)을 통해 이더리움 블록체인에서 비트코인 블록체인으로 이동했다는 것이다. 저우 CEO는 이 중 약 3분의 2에 해당하는 9억6000만 달러(약 1조3600억원) 상당 이더가 3만5772개의 서로 다른 지갑을 거쳐 1만3개의 비트코인으로 전환되었다고 밝혔다. 다행히 모든 자금이 흔적 없이 사라진 것은 아니다. 저우 CEO는 약 1700만 달러(약 2400억원) 상당 이더가 여전히 1만2490개 지갑에 걸쳐 이더리움 블록체인에 남아 있다고 보고했다. 이는 바이비트와 국제 공조 수사 기관의 지속적인 추적 노력을 통해 일부 자금 회수 가능성을 열어두고 있음을 의미한다. '현상금 사냥꾼' 활약.. 4200만 달러 동결 바이비트는 해킹 자금 동결에 결정적인 정보를 제공하는 사람들에게 총 1억4000만 달러의 파격적인 현상금을 내걸고 '라자루스 바운티(Lazarus Bounty)' 프로그램을 운영하고 있다. 저우 CEO는 지난 60일 동안 접수된 5443건의 제보 중 70건만이 유효한 정보로 판단되었으며, 현재까지 12명의 '현상금 사냥꾼'에게 총 230만 달러(약 32억원)의 보상금이 지급되었다고 밝혔다. 특히 맨틀(Mantle) 레이어-2 플랫폼이라는 한 기관의 결정적인 제보를 통해 4200만 달러(약 590억원) 상당의 자금을 동결하는 성과를 거두었다. 저우 CEO는 "더 많은 제보를 환영하며, 앞으로 더 많은 도움이 필요하기 때문에 믹서를 해독할 수 있는 더 많은 현상금 사냥꾼이 필요하다"고 강조하며, 암호화폐 믹서 추적의 어려움을 토로하는 동시에 정보 제공자들의 적극적인 참여를 독려했다. 자금세탁 의혹 거래소 'eXch', 결국 폐쇄 한편, 지난 17일에는 암호화폐 거래소 eXch가 바이비트 해킹으로 인한 자금 세탁에 이용되었다는 보도가 나온 후 오는 5월 1일부로 운영을 중단할 것이라고 발표했다. 이는 해킹 자금 추적 과정에서 자금 세탁에 연루된 것으로 의심되는 거래소까지 압박하는 국제적인 공조 수사가 진행되고 있음을 시사한다. 바이비트와 벤 저우 CEO의 지속적인 자금 추적 노력 공개는 거액의 암호화폐 해킹 사건 발생에도 불구하고 범죄 행위에 대한 경각심을 높이고 끝까지 책임을 묻겠다는 의지를 보여주는 것으로 해석된다.
    • 시큐리티
    2025.04.21 18:27
  • 애플, 긴급 보안 경고 발표.. "매우 위험한" 해킹
    [시큐리티팩트=최석윤 기자] 애플이 20일(현지시각) 아이폰 사용자들에게 긴급 보안 경고를 발표했다. 언론인과 공무원 등 특정인을 겨냥한 매우 위험한 해킹 공격이 발견되어, 아이폰을 즉시 최신 버전으로 업데이트해야 한다는 내용이다. 뭐가 문제길래? 핵심 취약점 두 가지 이번에 발견된 심각한 보안 문제는 크게 두 가지이다. 코어 오디오(CoreAudio): 아이폰이 특정 방식으로 만들어진 음악이나 음성 파일을 처리할 때, 해커가 멋대로 코드를 실행시켜 아이폰 내부를 장악할 수 있는 허점이 발견됐다. 이를 통해 해커는 이용자의 오디오 스트림을 엿듣거나, 저장된 민감한 정보를 빼낼 수 있다. 마치 잠겨있는 집에 창문이 깨져 누구나 들어올 수 있게 된 것과 같다. RPAC 취약점: 이 취약점은 아이폰, 아이패드, 맥, 심지어 애플 TV와 비전 프로까지 애플의 여러 기기에 영향을 미친다. 해커가 이 허점을 이용하면 시스템의 가장 기본적인 보안 장치를 무력화시키고, 여러분의 기기에 읽고 쓰는 모든 권한을 얻을 수 있다. 이는 금고의 잠금장치가 완전히 망가져 해커가 원하는 대로 정보를 빼가거나 조작할 수 있게 되는 것과 같다. RPAC은 Return Pointer Authentication Code의 약자다. 쉽게 말해, '돌아가는 길'에 붙이는 일종의 '보안 스티커'라고 생각하시면 된다. 컴퓨터 프로그램은 여러 기능을 수행하기 위해 다양한 '조각'(코드)들을 실행한다. 어떤 조각을 실행하고 나서 원래 위치로 '돌아가야' 다음 작업을 계속할 수 있다. 이때 '돌아가는 길'을 알려주는 정보가 바로 '포인터(Pointer)'이다. RPAC 취약점은 이 '돌아가는 길'에 붙은 '보안 스티커'가 제대로 확인되지 않는 허점이다. 마치 가짜 '보안 스티커'를 붙인 '돌아가는 길'로 해커가 프로그램을 속여서 원하는 대로 '엉뚱한 길'로 가게 만들 수 있는 것과 같다. 애플은 이러한 심각한 결함들이 이미 유명인을 대상으로 한 실제 공격에 사용되었다는 사실을 확인하여 긴장감을 더욱 높이고 있다. iOS 18.4.1, 무엇을 고쳤나? 다행히 애플은 이러한 위험한 취약점을 해결한 긴급 업데이트, 'iOS 18.4.1'을 배포했다. 이번 업데이트를 통해 다음과 같은 문제들이 해결됐다. 코어 오디오(CoreAudio) 메모리 손상 패치: CoreAudio 취약점을 근본적으로 막아, 악의적인 파일로 인한 해킹 위험을 차단했다. 강화된 포인터 인증으로 우회 격차 해소: RPAC 취약점을 악용하여 보안 장치를 우회하려는 시도를 원천적으로 봉쇄했다. 마치 더욱 강력하고 빈틈없는 자물쇠로 금고를 다시 잠근 것과 같다. 무선 카플레이(CarPlay) 연결 문제 수정: 보안 문제 외에도 일부 사용자들에게 불편을 주었던 CarPlay 연결 오류도 함께 해결됐다. 다른 애플 기기도 업데이트해야 이번 긴급 보안 업데이트는 아이폰뿐만 아니라 다른 애플 기기에도 해당된다. 따라서 아래 기기를 사용하고 있다면 즉시 업데이트를 진행해야 한다. 아이패드: iPadOS 18.4.1 맥: macOS 세쿼이아 15.4.1 애플 TV: tvOS 18.4.1 비전 프로: visionOS 2.4.1 업데이트, 어떻게 해야 하나 아이폰 업데이트는 매우 간단하다. 아래 단계를 따라 진행하면 된다. 1. '설정' 앱을 연다. 2. '일반' 탭을 선택한다. 3. '소프트웨어 업데이트'를 탭한다. 4. '다운로드 및 설치'를 탭한다. 업데이트를 시작하기 전에 아이폰이 Wi-Fi에 연결되어 있고 충분히 충전되어 있거나 전원에 연결되어 있는지 확인하는 것이 중요하다. 최근 iOS 위협 중 가장 심각한 수준 애플은 보안 공지를 통해 이례적으로 강력한 어조로 사용자들에게 즉각적인 업데이트를 촉구하고 있다. 이는 이번 취약점이 현재 활발하게 악용되고 있으며, 특정인을 겨냥한 매우 정교한 공격이라는 심각성을 인지하고 있기 때문이다. 사이버 보안 전문가들 역시 감시, 개인 정보 유출, 기기 손상 등 심각한 피해를 막기 위해 '즉시 업데이트'할 것을 강력히 권고하고 있다. 이번 보안 취약점은 최근 몇 년간 발견된 iOS 위협 중 가장 심각한 수준으로 평가받고 있다. 따라서 모든 아이폰 사용자는 안심하고 기기를 사용하기 위해 지금 바로 업데이트를 진행해야 한다. 소중한 개인 정보를 보호하는 가장 확실하고 빠른 방법이다.
    • 시큐리티
    2025.04.21 08:40
  • “한국 온라인 뱅킹 사용자, 가짜 청첩장 조심하라”
    [시큐리티팩트=김상규 기자] 한국 온라인 뱅킹 사용자가 청첩장 링크를 클릭하면 숨니봇 멀웨어가 설치되어 개인 데이터 및 은행 디지털 인증서 등의 중요한 정보가 탈취될 수 있다는 경고가 나왔다. 글로벌 사이버 보안 기업인 카스퍼스키는 사이버 범죄자들이 인생에서 가장 소중한 기념일인 결혼식 청첩장을 악용하여 안드로이드 기기 사용자에게 멀웨어를 유포하고 있다고 18일 밝혔다. 카스퍼스키 연구원들은 공격자가 청첩장으로 위장한 링크를 배포하여 피해자가 2024년에 카스퍼스키가 처음 발견한 뱅킹 트로이 목마인 ‘숨니봇(SoumniBot)’을 다운로드하도록 속이는 정교한 악성 캠페인을 발견했다. 이 스팸은 잠재적 피해자에게 결혼식 라이브 스트리밍에 참여할 수 있는 옵션이 포함된 디지털 청첩장으로 보이는 링크를 전송하는 방식으로 작동한다. 하지만 링크를 클릭하면 주로 한국 온라인 뱅킹 사용자를 대상으로 하는 숨니봇 멀웨어를 다운로드하도록 유도하는 악성 웹사이트로 연결되며, 개인의 보안뿐만 아니라 가족 전체의 금융 시스템까지 위협할 수 있다. 카스퍼스키 전문가들은 2024년 8월부터 활동한 이 캠페인에서 공격자들이 사용한 약 400개의 도메인을 확인했다. 카스퍼스키 위협 연구소의 멀웨어 분석가인 드미트리 칼리닌(Dmitry Kalinin)은 “이 공격자들은 청첩장을 악용하여 특히 사회공학 기법을 매우 효과적으로 활용하고 있다. 이것을 악의적이라고 즉시 의심하는 사람은 거의 없다”라고 말하며, “항상 그렇듯이 멀웨어 제작자는 숨어 있으면서 가능한 한 많은 디바이스를 감염시키려고 한다. 숨니봇은 안드로이드 매니페스트 처리(Android manifest processing)의 약점을 악용하여 잠재적인 보안 조치를 우회하는 완벽한 예시다"라고 말했다. ‘숨니봇’은 일단 설치되면 은밀하게 작동되며 쉽게 탐지되지 않도록 앱 아이콘 숨기기, 연락처, SMS 메시지, 사진 및 동영상 탈취, 한국의 은행에서 사용하는 디지털 인증서 탈취, 피해자 기기에서 임의의 SMS 메시지 전송, 15초마다 수집된 데이터를 공격자가 제어하는 서버로 전송한다. 이 악성코드는 ▲압축 방법 조작 ▲매니페스트 크기 변조 ▲분석 도구를 압도하는 매우 긴 이름 공간 문자열 사용 등 3가지 정교한 기술 수법을 사용하여 탐지 시스템을 회피한다. 특히 숨니봇은 우리나라 은행에서 사용하는 디지털 인증서를 표적으로 삼아 공격자가 인증 방법을 우회하고 피해자의 계정을 탈취할 수 있다는 점이 우려된다. 청첩장 미끼는 사회적 신뢰와 감정적 조작을 이용해 기존 피싱 캠페인보다 높은 감염률을 달성하는 악성코드 배포 전술의 진화를 보여주는 우려되는 사례다. 카스퍼스키는 아래와 같이 숨니봇 멀웨어 예방활동 실천을 권장했다. 첫째, 보안 검사를 통해 악성 앱을 걸러내는 Google Play와 같은 공식 스토어에서만 애플리케이션 다운로드해라. 둘째, 예상치 못한 청첩장이나 기타 감정적인 유혹, 특히 앱 다운로드를 요청하는 경우 주의하라. 셋째, 앱 권한을 신중하게 확인하고 접근성 서비스와 같은 고위험 권한을 부여하기 전에 두 번 생각해라. 넷째, 많은 보안 문제가 업데이트를 통해 해결되므로 운영 체제 및 중요한 앱을 최신 상태로 유지하라.
    • 시큐리티
    2025.04.18 16:45
  • “요즘 안랩 마케팅 직원들 바쁘네”…안랩, 글로벌 보안 전시회 잇달아 참가
    [시큐리티팩트=김상규 기자] 안랩 마케팅 직원들이 요즘 바쁜 날을 보내고 있다. 안랩은 이달부터 다음달까지 미국, 일본, 대만 등 주요국가의 글로벌 보안 전시회에 참가하며 글로벌 인지도를 높여 나간다. 안랩은 대만 ‘CYBERSEC 2025’(4.15~17), 일본 ‘Japan IT Week Spring 2025’(4.23~25), 미국 ‘RSA Conference 2025’(현지시각 4.28~5.1) 등 전 세계에서 열리는 주요 IT·보안 전시회에 참가한다. 안랩은 먼저 15일부터 17일까지 대만 ‘사이버섹(CYBERSEC) 2025’서 ▲CPS 보안 제품군(AhnLab EPS/XTD/Xcanner) ▲안티 랜섬웨어 제품군(AhnLab EDR/MDS) 등 현지 맞춤형 보안 솔루션을 소개했다. ‘CYBERSEC’은 대만의 대표 IT 전문 매체 ‘iThome’이 2015년부터 주최하는 대만 최대의 연례 사이버 보안 행사다. 올해 행사에서는 글로벌 사이버 보안 기업 400여 곳과 참관객 2만여 명이 참여한 가운데 ‘Team Cybersecurity’를 주제로 끊임없이 진화하는 디지털 위협에 대응하기 위한 협력의 중요성이 논의되었다. 안랩은 올해 처음으로 ‘CYBERSEC’에 참여해 현지 공인 파트너 ‘T-Tech System Corp.(티테크 시스템 코퍼레이션)’과 전시 부스를 공동 운영했다. ‘T-Tech System Corp.’은 2005년 설립된 대만의 사이버 보안 전문 기업으로 지난 3월 안랩과 파트너십을 체결했다. 엔드포인트 보호, 네트워크 보안, 데이터 백업 등 차세대 보안 솔루션 및 서비스를 제공하고 있다. 안랩은 이번 행사에서 IT-OT 융합 사이버물리시스템(CPS) 보안 제품군과 안티 랜섬웨어 제품군 등 대만의 산업 환경에 적합한 주요 보안 솔루션을 소개했다. 행사 기간 동안 약 1000명의 참관객이 안랩 부스를 방문해 제품 시연 및 도입 상담을 진행하며 전시 제품 전반에 대한 높은 관심을 보였다고 안랩은 밝혔다. 특히 최근 대만의 핵심 산업과 기반 시설을 노리는 사이버 공격이 급증하면서 참관객들은 기존 OT 영역에 더해 이와 연결된 IT 환경까지 폭넓게 보호하는 통합 CPS 플랫폼인 ‘안랩 CPS PLUS’에 주목했다고 강조했다. ‘안랩 CPS PLUS’를 구성하는 여러 솔루션 중에서도 ‘안랩 Xcanner’가 에이전트 설치 없이 USB 형태로 작동하며 폐쇄망이나 저사양 장비 환경에서도 악성코드 검사 및 치료가 가능하다는 점에서 큰 호응을 얻었다고 덧붙였다. 안티 랜섬웨어 제품군에 대한 문의도 꾸준했다. 지능형 위협 대응 솔루션 ‘안랩 MDS’와 OT 전용 엔드포인트 보안 솔루션 ‘안랩 EPS’를 연동해 OT 영역 내 신·변종 보안 위협을 모니터링할 수 있다는 점이 이목을 끌었다. 차세대 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR’이 글로벌 보안 제품 평가인 ‘마이터어택 평가’에서 입증한 뛰어난 ‘위협 탐지(Detection)’ 역량도 관심을 모았다. 이상국 안랩 마케팅&글로벌사업부문 전무는 “이번 행사에서는 현지 제조업 및 주요 인프라 관계자들의 니즈와 맞물려 안랩의 30년 보안 노하우가 담긴 OT, 안티 랜섬웨어 솔루션이 좋은 반응을 얻었다”고 말했다. 그는 "현지 파트너와의 긴밀한 협업으로 대만을 비롯한 아시아권 고객들과의 소통을 한층 더 강화해 나갈 것”이라고 강조했다.
    • 시큐리티
    2025.04.18 14:42
  • 라쿠텐·노무라·SBI 증권 털렸다.. 일본 '주식 계좌 하이재킹' 공포
    [시큐리티팩트=최석윤 기자] 일본 온라인 증권 시장이 심각한 계좌 하이재킹 사건으로 몸살을 앓고 있다. 범죄 조직이 탈취한 계좌를 이용해 주가를 인위적으로 조작하려 한다는 우려가 커지면서, 금융 당국과 증권사들이 바짝 긴장하고 있다. 17일(현지시각) 재팬타임스에 따르면, 이번 사태는 지난 3월 말, 일본의 대표적인 온라인 증권사인 라쿠텐 증권(Rakuten Securities)이 다수의 고객 계정이 무단으로 탈취된 사실을 공개하면서 수면 위로 드러났다. 이후 노무라증권(Nomura Securities), SBI증권(SBI Securities) 등 주요 증권사들 역시 유사한 계좌 탈취 피해 사례를 잇따라 확인하면서 사태의 심각성을 더하고 있다. 증권사들에 따르면, 공격자들은 정교하게 위장한 피싱 웹사이트를 통해 고객들의 사용자 ID와 비밀번호를 빼돌리는 수법을 사용했다. 이렇게 확보한 정보를 바탕으로 고객 계정에 무단으로 접속하여 본인도 모르는 사이에 주식 거래를 실행한 것이다. 외국·일본 주식, '묻지마' 매수로 주가 조작 시도 초기 보고에서는 공격자들이 주로 외국 주식을 표적으로 삼은 것으로 알려졌습니다. 이에 라쿠텐 증권은 일부 중국 주식에 대한 매수 주문을 일시적으로 중단하는 긴급 조치를 취하기도 했다. 하지만 우려스럽게도 이러한 불법적인 움직임은 곧 국내 주식으로까지 확산되었고, 비정상적인 거래 활동으로 인해 일부 종목의 거래가 일시 중단되는 상황까지 발생했다. 수사 당국은 범인들이 유동성이 낮고 가격 변동성이 큰 주식을 대량으로 매수하여 인위적으로 주가를 끌어올린 뒤, 차익을 실현하고 빠져나가는 수법을 사용한 것으로 보고 있다. 만약 이러한 행위가 명백한 시장 조작으로 확인될 경우, 이는 일본 금융상품거래법을 위반하는 심각한 범죄 행위에 해당된다. 사태가 심각해짐에 따라 증권사들은 고객들에게 각별한 주의를 당부하고 있으며, 금융 당국 역시 감시망을 더욱 강화하고 있다. 증권거래감시위원회(SESC)의 한 소식통은 "상당수의 주가가 조작되었을 가능성이 있으며, 이는 결코 간과할 수 없는 사안"이라고 강조했다. 이 소식통은 100개가 넘는 종목에서 비정상적인 가격 변동이 포착되었을 수 있다고 언급하며 "이 정도 규모의 계좌 탈취는 전례가 없는 일"이라고 덧붙였다. 법적 보호 받기 어려운 피해자 속출 계정 하이재킹은 일본의 '부정 액세스 금지법'에 명백히 위배되는 불법 행위이다. SESC 관계자는 공격의 배후를 신속하게 밝혀내야 한다고 강조했지만, "우리 조사만으로는 한계가 있다"며 법 집행 기관과의 협력이 "필수적일 수 있다"고 밝혔다. 현재 경찰은 관련 정보를 수집하며 수사에 착수한 것으로 알려졌지만, 사이버 범죄의 특성상 범인 검거까지는 상당한 어려움이 예상된다. 추가적인 피해를 막기 위해 전문가들은 투자자들에게 각별한 주의를 당부하고 있다. 사이버 보안 업체인 트렌드마이크로의 대변인은 "출처가 불분명한 이메일이나 SMS 메시지에 포함된 링크를 무심코 클릭해서는 안 된다"며 "각 증권사 공식 앱을 사용하는 것이 자신을 보호하는 효과적인 방법"이라고 조언했다. 하지만 이미 많은 투자자들이 속수무책으로 계좌 도용 피해를 입고 혼란과 분노를 느끼고 있다. 라쿠텐 증권을 10년 넘게 이용해 온 36세 회사원 남성은 이번 사기 수법으로 약 210만 엔(약 2100만원)의 손실을 입었다. 그는 경찰에 피해 사실을 신고했지만, 안타깝게도 그의 사건은 '고객이 아닌 중개업체가 법적 피해자'라는 이유로 형사 고소조차 받아들여지지 않았다. 그는 "이 돈을 어디서 메꿔야 할지 막막하다. 범죄자들은 원하는 대로 활개 치고 있다"며 절망감을 토로했다. 그는 결혼과 노후 자금 마련을 위해 약 1200만 엔(약 1억2000만원) 상당의 일본 주식을 꼼꼼히 관리해 왔으며, 거의 매일 주가를 확인했다. 하지만 지난 3월 20일, 그는 자신이 보유한 모든 주식이 전날 장 마감 직전에 매도되었고, 그 수익금으로 홍콩에 본사를 둔 생소한 AI 회사의 주식 20만 주가 매수된 것을 발견했다. 즉시 매도했지만, 이미 200만 엔(약 2000만원)이 넘는 손실을 본 뒤였다. 라쿠텐 증권 측은 피싱 공격에 사용된 가짜 웹사이트에 대해 사용자들에게 경고했지만, 이 남성은 의심스러운 페이지에 비밀번호를 입력한 적이 없다고 주장하고 있다. SBI 증권 "정상 거래.. 보상 책임 없다" SBI 증권을 이용하는 35세 남성 역시 비슷한 피해를 겪었다. 그의 계좌는 도용되어 약 960만 엔(약 9600만원) 상당의 중국 주식이 본인도 모르게 매수됐다. 거래 기록에는 그가 거주하지 않는 지역에서 계정에 로그인한 흔적이 남아있었지만, SBI 증권 측은 "정상적인 사용자 이름과 비밀번호가 사용된 거래에 대해서는 보상 책임이 없다"는 입장을 밝혔다. 이에 대해 그는 "이는 그들의 보안 시스템에 결함이 있다 하더라도 아무런 책임을 지지 않겠다는 의미로밖에 받아들일 수 없다"며 분통을 터뜨렸다. 라쿠텐 증권 대변인은 기자들에게 "경찰 수사에 적극적으로 협조하고 있으며, 각 사건을 개별적으로 평가할 것"이라고 밝혔지만, 피해자들의 불안감과 불신은 쉽게 가라앉지 않을 것으로 보인다. 온라인 증권 거래의 편리함 뒤에 숨겨진 보안 취약점이 이번 사태를 통해 여실히 드러나면서, 투자자 보호를 위한 보다 강력한 대책 마련이 시급하다는 목소리가 높아지고 있다.
    • 시큐리티
    2025.04.18 09:34
  • 엔디비아 'AI 심장부' GPU에 보안 구멍.. '즉시 패치' 비상
    [시큐리티팩트=최석윤 기자] 인공지능(AI) 기술 개발의 핵심 동력인 엔비디아(NVIDIA) GPU를 사용하는 기업들에게 심각한 보안 위협이 감지됐다고 다크리딩이 17일(현지시각) 보도했다. 연구진들은 AI 관련 작업을 위해 엔비디아 GPU 환경에서 컨테이너를 실행하는 데 필수적인 'NVIDIA Container Toolkit'에서 중요한 보안 취약점을 발견하고, 즉시 시스템을 패치할 것을 강력히 촉구하고 있다. 이 허점을 악용한 공격자는 민감한 데이터 탈취, 핵심 AI 모델 유출, 심지어 시스템 운영 중단까지 초래할 수 있어 각별한 주의가 요구된다. 엔비디아 "패치 처리".. '2차 결함' 여전히 위협 엔비디아는 이미 지난해 9월, NVIDIA Container Toolkit에서 발견된 심각한 취약점(CVE-2024-0132)에 대한 업데이트를 발표했다. CVSS 위험도 점수가 10점 만점에 9점에 달하는 이 취약점은 '체크 시점과 사용 시점 간의 시간차(TOCTOU)' 문제로, 자칫 심각한 보안 사고로 이어질 수 있는 잠재력을 안고 있었다. 하지만 보안 전문가들의 면밀한 조사 결과, 이 초기 패치에도 불구하고 완전히 해결되지 않은 2차 결함이 추가로 발견된 것으로 드러났다. 트렌드마이크로(Trend Micro)와 위즈(Wiz)의 연구원들은 초기 패치 이후에도 일부 환경에서 여전히 공격에 취약할 수 있다는 사실을 밝혀내 충격을 주고 있다. 트렌드마이크로 연구진은 최근 블로그를 통해 CVE-2024-0132에 대한 엔비디아의 수정이 "불완전 하다"고 지적하며, 관련 버그가 '서비스 거부(DoS)' 공격을 허용할 수 있다고 경고했다. 이는 초기 패치가 적용되면 시스템이 안전하다고 믿었던 사용자들에게 혼란을 야기할 수 있다고 보안 전문가들은 우려하고 있다. 엔비디아의 지난해 9월 보안 권고에 따르면, CVE-2024-0132를 악용하면 코드 실행, 서비스 거부, 권한 상승, 정보 유출, 데이터 변조 등 광범위한 악성 행위가 가능했다. 위즈 연구진이 발견한 또 다른 'DoS' 취약점 한편, 트렌드마이크로는 지난 2월 엔비디아가 발표한 보안 권고를 통해 위즈 리서치 연구원들이 발견한 또 다른 '서비스 거부' 관련 버그(ZDI-25-087 또는 CVE-2025-23359)를 추적했다. 엔비디아 대변인 로렌 핑클은 지난 14일 외신과의 인터뷰에서 위즈 측이 CVE-2025-23359에 대한 자체 보고서를 발표했다고 밝혔다. 하지만 그는 트렌드마이크로의 관련 보고서가 뒤늦게 공개된 이유나, 양사 연구진의 보고 시점 차이에 대해서는 추가적인 언급을 피했다. 트렌드마이크로 역시 거듭된 논평 요청에 응답하지 않아 의혹을 증폭시키고 있다. AI 기술 관련 기업들, 보안 '발등의 불' 보안 전문가들은 현재 두 가지 결함 모두에 대한 패치가 완료되었지만, 초기 패치에 대한 혼란과 뒤늦게 발견된 추가 결함으로 인해 이미 업무 과부하에 시달리는 IT 보안팀에 상당한 부담이 가중되고 있다고 지적한다. 이는 공급업체가 초기 배포 단계부터 패치가 제대로 작동하는지 더욱 철저하게 검증해야 할 필요성을 시사한다. 인증서 관리 기업 섹티고(Sectigo)의 선임 연구원 제이슨 소로코는 "이번 연구 결과는 보안 담당자들이 패치의 완전성에 의문을 제기하고, 드라이버 무결성 검증에 더욱 적극적인 자세를 취하도록 촉구하는 계기가 될 것"이라며 "이미 바쁜 사이버 방어 인력에게 또 다른 부담을 안겨주는 셈"이라고 우려를 표했다. 두 번째 결함인 CVE-2025-23359의 직접 영향을 받는 조직은 AI, 클라우드, 컨테이너화된 환경에서 NVIDIA Container Toolkit 또는 Docker를 사용하는 곳이다. 특히 최신 버전에 도입된 기본 설정이나 특정 툴킷 기능을 활용하는 조직은 더욱 위험에 노출될 수 있다. 트렌드마이크로는 AI 관련 작업이나 Docker 기반 컨테이너 인프라를 운영하는 기업들은 잠재적으로 심각한 위험에 처할 수 있다고 경고했다. 트렌드마이크로 연구진은 "만약 공격이 성공적으로 이루어진다면, 민감한 호스트 데이터에 대한 무단 접근, 독점적인 AI 모델 또는 지적 재산 탈취, 심각한 운영 중단, 시스템 접근 불가능으로 인한 가동 시간 지연 등 심각한 결과를 초래할 수 있다"고 강조했다. 광범위한 공격 표면에 '즉각 패치' 필수 애플리케이션 보안 기업 블랙 덕(Black Duck)의 인프라 보안 실무 책임자 토마스 리차즈는 엔비디아 프로세서가 이미 "AI 처리의 사실상 표준"으로 자리 잡았다는 점을 감안할 때, 패치되지 않은 시스템에서 두 가지 결함을 모두 악용하기 위한 공격 표면은 매우 넓다고 지적했다. 그는 "이러한 취약점의 심각성을 고려할 때, 조직은 시스템을 패치하기 위한 즉각적인 조치를 취해야 한다"고 강력히 권고했다. NVIDIA Container Toolkit은 사용자가 GPU 가속 컨테이너를 구축하고 실행할 수 있도록 지원하는 핵심 도구다. 엔비디아의 설명에 따르면, 공격자는 툴킷의 기본 설정에서 CVE-2024-0132를 악용할 수 있지만, 컨테이너 장치 인터페이스(CDI)를 사용하는 경우에는 해당되지 않는다. 두 번째 결함인 CVE-2025-23359는 리눅스(Linux) 환경에서 Docker를 사용하는 시스템에서 툴킷 사용에 영향을 미친다. 이 결함은 공격자가 호스트 시스템에 접근 가능한 악성 컨테이너를 생성할 수 있도록 허용할 뿐만 아니라, 호스트 인터페이스에서 서비스 거부(DoS) 공격을 유발할 수 있는 성능 문제까지 포함한다. 트렌드마이크로 연구진은 Docker API가 권한 있는 인터페이스로 처리되어, 결과적으로 API 접근 권한을 가진 모든 사용자에게 호스트에 대한 루트 수준의 권한을 부여하기 때문에 이러한 문제가 발생한다고 설명했다. 다만, 이 문제가 Docker 런타임 자체에서 비롯된 것인지, 아니면 리눅스 커널에 존재하는 것인지는 아직 명확하지 않다고 덧붙였다. 한편, 공격자는 먼저 볼륨 심볼릭 링크를 통해 서로 연결된 두 개의 악성 컨테이너 이미지를 생성하는 방식으로 CVE-2025-23359를 악용할 수 있다. 그런 다음 공급망 공격이나 사회 공학적 기법 등을 통해 직간접적으로 피해자의 플랫폼에서 해당 이미지를 실행할 수 있다. 이를 통해 공격자는 '경쟁 조건(race condition)'이라는 취약점을 이용하여 호스트 파일 시스템에 접근할 수 있게 된다. 이러한 접근 권한을 획득한 공격자는 컨테이너 런타임 유닉스 소켓에 접근하여 루트 권한으로 임의의 명령을 실행함으로써, 궁극적으로 감염된 시스템에 대한 완전한 원격 제어 권한을 손에 넣을 수 있다. 즉각 패치와 다각적 보안 강화 조치 필요 앞서 언급했듯이, NVIDIA Container Toolkit의 취약점에 대해서는 현재 엔비디아, 트렌드마이크로 및 기타 보안 전문가들이 영향을 받는 조직에 즉시 적용할 것을 권고하는 패치가 존재한다. 트렌드마이크로는 이와 더불어 Docker API 접근 및 권한을 승인된 직원으로만 제한하는 등 조직이 취할 수 있는 추가적인 완화 조치를 권장했다. 또한 잠재 노출을 최소화하기 위해 불필요한 루트 수준 권한 또는 권한 상승을 허용하지 않아야 한다고 강조했다. 뿐만 아니라, 공격 표면을 줄이기 위해 NVIDIA Container Toolkit의 불필요한 기능을 비활성화하고, CI/CD 파이프라인 내에 강력한 허용 제어 정책을 적용하여 컨테이너 이미지 허용 제어를 구현하는 것도 중요한 보안 강화 방안으로 제시됐다. 트렌드마이크로는 컨테이너와 호스트 간의 상호 작용을 정기적으로 감사하고, 무단 호스트 파일 시스템 바인딩 또는 비정상적인 컨테이너 활동과 같은 런타임 이상 징후 탐지 시스템을 구축하는 것이 문제 악용 징후를 식별하는 데 도움이 될 수 있다고 조언했다.
    • 시큐리티
    2025.04.17 10:33
12345678910마지막
비밀번호 :