• 최종편집 2025-05-21 (수)

시큐리티
Home >  시큐리티

실시간 시큐리티 기사

  • 에어스메디컬, 독일∙미국∙영국으로부터 정보보안 인증 취득
    [시큐리티팩트=김상규 기자] 의료 인공지능(AI) 기업 에어스메디컬이 최근 독일∙미국∙영국으로부터 정보 보안 인증을 잇달아 취득하며 글로벌 시장 경쟁력을 한층 강화했다. 에어스메디컬은 최근 독일 연방 정보보안청이 제정한 클라우드 컴퓨팅 서비스 제공업체에 대한 엄격한 보안 인증 제도인 ‘C5 Type 1’ 인증을 취득했다. 이 인증은 유럽 전역에서 클라우드 서비스의 보안 수준을 평가하는 대표적인 기준으로, 에어스메디컬은 연내 더욱 심화된 보안 통제를 요구하는 ‘C5 Type 2’ 인증 취득도 추진하고 있다. 에어스메디컬은 지난 4월 미국 의료정보 산업에서 가장 신뢰받는 사이버 보안 프레임워크 중 하나인 ‘HITRUST e1’ 인증을 획득했다. 이 인증은 의료기관 및 관련 서비스가 민감한 환자 데이터를 안전하게 관리할 수 있음을 검증한다. 에어스메디컬은 이 인증으로 미국 의료시장 진출 및 기존 고객과의 신뢰도 향상에 크게 기여할 것으로 기대한다. 에어스메디컬은 이에 앞서 지난 2월 영국 정부 주관 사이버인증 제도인 ‘Cyber Essential’인증을 취득했다. 이는 기업이 사이버 위협으로부터 기본적인 보호 조치를 갖추고 있음을 인증한다. 에어스메디컬은 하반기중으로 보다 강화된 보안 수준을 검증하는 ‘Cyber Essential Plus’ 인증도 추가로 취득할 예정이다. 에어스메디컬은 이번 취득을 바탕으로 각 인증의 장점을 통합한 보안 체계를 구축하게 됐다. Cyber Essentials의 기본적인 사이버 방어 체계, HITRUST의 의료 특화 보안 통제, C5의 엄격한 클라우드 보안 기준이 서로 보완하며 시너지 창출이 가능 해졌다. 에어스메디컬 관계자는 “의료정보는 매우 민감하고, 특히 클라우드 서비스에 대해 우려가 많은 만큼 안전한 데이터 운영이 필수적”이라면서 “에어스메디컬은 국제적으로 검증된 높은 수준의 보안 관리 역량을 갖추고 있어 고객들이 안심하고 서비스를 이용할 수 있다”고 강조했다.
    • 시큐리티
    2025.05.15 14:56
  • 영국 소매업계 '탈탈 턴' 해커들, 미국 기업 '공습' 나섰다
    [시큐리티팩트=최석윤 기자] 최근 영국 소매업계가 잇따른 사이버 공격으로 몸살을 앓고 있는 가운데, 배후에 있는 해커들이 이제 미국 기업까지 표적으로 삼기 시작했다는 경고가 나왔다고 14일(현지시각) 외신이 보도했다. 구글은 이들 해커들이 '스캐터드 스파이더(Scattered Spider)'라는 전술을 사용하여 영국 소매 체인점을 공격한 데 이어, 미국 소매업체에도 위협을 가하고 있다고 밝혀 긴장감이 고조되고 있다. 구글 위협 인텔리전스 그룹의 수석 분석가 존 헐트퀴스트는 "미국 소매 부문은 현재 랜섬웨어와 강탈 공격의 표적이 되고 있으며, 이는 스캐터드 스파이더라고도 알려진 UNC3944와 관련이 있는 것으로 의심된다"고 경고했다. 그는 오랜 공백기를 거쳐 영국 소매업을 집중적으로 공략해 온 이들이 당분간 해당 분야에 집중할 것으로 예상하며, 미국 소매업체들의 각별한 주의를 촉구했다. 영국 소매업계 M&S·코옵·해롯, 랜섬웨어에 속수무책 앞서 영국에서는 대형 유통업체 마크스앤스펜서(M&S)가 랜섬웨어 공격으로 처음 피해를 입었다. 공격자들은 'VMware ESXi 호스트'의 가상 머신을 '드래곤포스(DragonForce)'라는 암호화 프로그램을 사용하여 암호화했다. 이 공격은 마이크로소프트가 스캐터드 스파이더라고 명명한 '옥토 템페스트(Octo Tempest)'의 소행으로 추정된다. 협동조합 코옵(Co-op) 역시 사이버 공격으로 현직 및 전직 회원들의 개인 정보가 유출되는 피해를 입었다. 고급 백화점 해롯(Harrods) 또한 공격자들이 네트워크 침투를 시도한 후 인터넷 접속을 제한하는 등 사이버 공격에 적극적으로 대응하는 모습을 보였다. 흥미로운 점은 '드래곤포스' 랜섬웨어 조직이 이 세 건의 공격 모두의 배후를 자처했다는 것이다. 보안 전문가들은 이 공격을 조직한 공격자들이 스캐터드 스파이더 위협 행위자들과 동일한 '소셜 엔지니어링(Social Engineering)', 즉 사람의 심리를 이용하여 정보를 얻거나 특정 행동을 유도하는 수법을 사용했다는 사실을 밝혀냈다. 2023년 12월에 등장한 드래곤포스는 최근 다른 사이버 범죄 조직이 자사의 서비스를 재판매할 수 있도록 하는 새로운 서비스를 광고하기 시작한 것으로 알려졌다. 영국 정부, 사이버 보안 강화 지침 발표 스캐터드 스파이더가 4월부터 영국 소매업체를 집중적으로 표적으로 삼기 시작하자, 영국 국가 사이버 보안 센터(NCSC)는 영국 기업들이 사이버 보안 방어를 강화하는 데 도움이 되는 지침을 발표하며 경각심을 높였다. NCSC는 이러한 사이버 공격을 '경고'로 받아들이고, 다음 공격 대상이 될 수 있다는 점을 강조했다. NCSC는 아직 이러한 사고들이 특정 해킹 그룹이나 위협 행위자에 의한 것인지 명확히 밝히지 못했으며, 피해자들과 협력하여 이를 확인하기 위해 노력하고 있다고 밝혔다. NCSC는 "통찰력을 확보했지만, 이러한 공격들이 서로 연관되어 있는지, 단일 행위자에 의한 조직적인 공격인지, 아니면 전혀 연관성이 없는지 아직 확실히 말할 수 없다"며 신중한 입장을 견지했다. '스캐터드 스파이더', 소셜 엔지니어링과 랜섬웨어 연계 '스캐터드 스파이더'는 '옥토퍼스(0ktapus)', 'UNC3944', '스캐터 스와인(Scatter Swine)', '스타프라우드(Starfraud)', '머들드 리브라(Muddled Libra)' 등 다양한 이름으로 불리는, 전 세계적으로 많은 유명 조직을 침해한 것으로 알려진 위협 행위자들의 유동적인 집단을 지칭하는 용어다. 이들은 피싱(Phishing), SIM 스와핑(SIM Swapping, 휴대폰 번호를 공격자의 SIM 카드로 옮겨 개인 정보를 탈취하는 수법), 다중 인증(MFA) 폭격(MFA Bombing, 타깃에게 과도한 MFA 푸시 알림을 보내 혼란을 야기하고 인증을 우회하도록 유도하는 공격) 등 정교한 소셜 엔지니어링 공격을 주로 사용한다. 2023년 9월에는 MGM 리조트를 침해하면서 공격 규모를 확대했는데, 당시 이들은 IT 헬프 데스크에 전화를 걸어 직원을 사칭한 뒤 네트워크를 침해하고 '블랙캣(BlackCat)' 랜섬웨어를 이용하여 100개가 넘는 'VMware ESXi 하이퍼바이저'를 암호화했다. 그 이후로 이들은 '랜섬허브(RansomHub)', '킬린(Qilin)', 그리고 최근에는 '드래곤포스'를 포함한 다양한 랜섬웨어 공격의 제휴사 역할을 해왔다. 스캐터드 스파이더와 관련된 다른 공격으로는 트윌리오(Twilio), 코인베이스(Coinbase), 도어대시(DoorDash), 시저스(Caesars), 메일침프(MailChimp), 라이엇 게임즈(Riot Games), 레딧(Reddit) 등이 있다. 일부 스캐터드 스파이더 위협 행위자는 사이버 공격과 폭력 행위에 연루된 느슨하게 연결된 커뮤니티인 'Com'에 속해 있는 것으로 알려져 있으며, 이들의 행위는 종종 언론의 주목을 받았다. 이들 사이버 범죄자들은 16세에 불과한 경우도 있으며, 대부분이 영어 사용자이고 동일한 텔레그램 채널, 디스코드 서버, 해커 포럼을 자주 이용하며 실시간으로 공격을 계획하고 수행하는 것으로 알려졌다. 보안 전문가들은 "이러한 공격자들은 공격적이고 창의적이며, 특히 성숙한 보안 프로그램을 우회하는 데 매우 효과적"이라고 경고하며, 소셜 엔지니어링과 제3자 시스템의 취약점을 이용하여 표적에 침투하는 데 큰 성공을 거두고 있다고 분석했다. '중국 기반' 해킹 그룹의 또 다른 위협 한편, 최근 M&S, 코옵, 해러즈를 대상으로 발생한 공격과는 별개로, '중국 기반'으로 추정되는 해킹 그룹이 영국 기업을 표적으로 삼은 새로운 사이버 공격이 발생하여 또 다른 위협으로 부상했다. 이번 공격은 랜섬웨어가 아닌 '원격 코드 실행(Remote Code Execution)' 방식으로 이루어져 더욱 심각한 국가 안보 위협으로 간주되고 있다. 원격 코드 실행은 해커가 인터넷을 통해 장치와 네트워크를 제어하여 잠재적으로 악성 프로그램을 실행하거나 데이터와 정보를 훔치는 공격 수법을 의미한다. 사이버 보안 회사 에클렉틱아이큐(EclecticIQ)의 분석가 아르다 부유카야가 밝힌 이번 사건은 'SAP Netweaver'라는 광범위하게 사용되는 소프트웨어의 이전에 알려지지 않았던 '백도어'(Backdoor, 정상적인 인증 절차를 거치지 않고 시스템에 접근할 수 있도록 몰래 만들어 놓은 통로)를 이용했으며, 이후 긴급 패치가 배포됐다. 에클렉틱아이큐의 최고 경영자 코디 배로는 "정부는 이 사건을 중대한 국가 안보 위협으로 간주해야 한다"고 강조하며, 이러한 유형의 공격이 국가 기반 시설에 심각한 피해를 입힐 수 있다는 점을 우려했다. 실제로 가스 대기업 케이던트(Cadent), 출판사 뉴스 UK, 유로 개러지스(EG) 그룹, 존슨 매티(Johnson Matthey), 아다그 메탈(Adag Metals) 등이 피해 기업으로 지목되었으며, 미국과 사우디아라비아 기업 또한 표적이 된 것으로 알려졌다. 영국 정부의 사이버 위협 담당 기관인 국가 사이버 보안 센터(NCSC)는 상황을 면밀히 모니터링하고 있으며, SAP NetWeaver에 영향을 미치는 심각한 취약점이 활발히 악용되고 있다는 보고에 따라 영국에 미치는 영향을 파악하고 있다. NCSC는 관련 조직들에게 공급업체의 보안 권장 사항을 따라 취약점을 해결하고 잠재적인 악의적 활동에 대비할 것을 강력히 권고했다. 영국 소매업계, 공급망 마비·고객 정보 유출 피해 잇따른 사이버 공격으로 인해 영국 소매업계는 심각한 운영 차질을 겪고 있다. 코옵은 2주 전 발생한 사이버 공격으로부터 완전히 복구하는 데 어려움을 겪고 있으며, 이번 주말까지도 매장의 재고 공급이 정상화되지 않을 것으로 예상된다. 재고 주문 시스템이 마비되면서 특히 스코틀랜드 외딴 지역의 코옵 매장에서는 생필품 부족 현상이 심각하게 나타나고 있다. M&S 역시 3주 이상 온라인 운영이 마비되는 심각한 피해를 입었으며, 수천 명의 고객과 관련된 개인 정보 일부가 유출된 것으로 확인되었다. 유출된 정보에는 이름, 주소, 생년월일, 주문 내역 등이 포함되었으며, 결제 정보나 계정 비밀번호는 포함되지 않은 것으로 알려졌다. 협동조합과 M&S는 매출 손실뿐만 아니라 고객 데이터 유출과 관련하여 상당한 규모의 벌금을 부과받을 가능성이 높게 점쳐지고 있다. 파이낸셜 타임스 보도에 따르면, M&S는 사이버 공격과 관련하여 사이버 보험사로부터 최대 1억 파운드에 달하는 보험금을 청구할 수 있을 것으로 예상된다. 고조되는 사이버 위협, 국경 넘나드는 공격에 대비해야 영국 소매업계를 덮친 연쇄적인 사이버 공격은 더 이상 특정 기업의 문제가 아닌, 국가 경제 안보를 위협하는 심각한 문제로 인식되고 있다. 특히 스캐터드 스파이더와 같이 국경을 넘나들며 다양한 공격 방식을 사용하는 위협 행위자들의 활동이 활발해짐에 따라, 기업들은 보다 강력하고 다층적인 사이버 보안 체계를 구축해야 할 필요성이 절실해졌다. 또한, 공급망 전체에 대한 보안 강화와 함께, 유사시 신속하게 대응하고 피해를 최소화할 수 있는 위기 관리 시스템 마련도 중요한 과제다. 미국 기업까지 표적으로 삼기 시작한 해커들의 위협에 맞서, 국제적인 공조를 통한 사이버 방어 전략 마련이 시급하다.
    • 시큐리티
    2025.05.15 13:55
  • KT, 인공지능(AI)으로 기업 보안서비스 강화
    [시큐리티팩트=김상규 기자] KT가 인공지능(AI)과 빅데이터 기반 B2B 보안 서비스 강화에 나섰다. KT의 대표적인 기업 보안 서비스는 ‘클린존(Clean Zone)’과 ‘AI메일보안’이다. 이들은 추가 장비 설치나 IT 인프라 변경 없이 사이버 공격에 대응할 수 있는 ‘서비스형 보안(SECaaS)’ 상품이다. 클린존은 분산 서비스 거부(DDoS, 디도스) 공격이 발생하면 유해 트래픽은 차단하고 정상 트래픽만 기업의 서버로 전달해 서비스가 정상적으로 운영하도록 지원한다. 만약 임계치 이상의 트래픽을 동반한 디도스 공격이 발생하면 기업, 공공기관 등을 위한 인터넷 서비스인 KT 코넷의 백본 라우터에서 고객사의 트래픽을 우회한다. 이후 클린존 차단시스템에서 비정상 트래픽을 차단하고 정상 트래픽만 기업에게 전송하는 방식이다. KT에 따르면 IT기업 A사는 최근 230Gbps에 달하는 대규모 디도스 공격을 수차례 받았으나 KT의 실시간 모니터링을 통해 신속하게 위협을 인지하고, 즉시 ‘클린존(Clean Zone)’으로 트래픽을 우회 시켜 공격을 차단했다. 현재 클린존은 KT가 보유한 530만건 이상 위협정보 DB와 높은 분석 정밀도를 바탕으로 국내외 대규모 공격을 실시간으로 차단하고 있다. 이와 함께 AI가 지속적으로 기업별 트래픽 패턴을 학습해 보다 정밀한 탐지 성능을 제공한다. KT는 매년 증가하는 사이버 침해사고와 고도화된 해킹 공격 추세에 대비하기 위해 클린존의 방어 용량을 기존 대비 2배 이상 증설할 계획이다. 이와 함께 디도스 공격 탐지 정보 등을 확인할 수 있는 고객 전용 모니터링 대시보드도 3분기 내에 추가 도입할 예정이다. KT의 ‘AI메일보안’은 이메일을 통한 스팸메일, 피싱, 랜섬웨어 등 다양한 사이버 공격으로부터 기업의 중요 정보를 보호하고 안전한 디지털 비즈니스 환경 구축을 지원하는 보안 서비스다. 기업 임직원이 수신한 메일의 발신자, 첨부파일, 본문 내 URL 등을 AI를 기반으로 분석해 사이버 공격 여부를 실시간 판단하고 사이버 공격일 경우 차단하는 방식이다. AI메일보안은 KT가 자체 개발한 알고리즘으로 위협 탐지 및 차단이 이뤄진다. 하루 평균 60만건의 데이터 분석하며 실시간으로 새로운 위협 패턴도 학습하고 있다. KT는 자체 학습 결과를 바탕으로 지난 1년간 지능형 지속 공격(APT) 등 기존 보안 솔루션이 탐지하지 못했던 1만 3천여건의 변종 지능형 악성 메일도 추가 차단하며 실효성을 입증했다. 실제 최근 해커가 식료품 기업 B사 전 임직원을 대상으로 비밀번호 탈취를 시도하는 메일을 발송했으나 B사는 KT의 AI메일보안으로 해당 메일을 차단했고 정보가 유출되는 것을 막을 수 있었다고 KT는 밝혔다. KT는 클린존과 마찬가지로 3분기 내에 AI메일보안에 AI LLM(Large Language Model)을 접목해 위협메일 차단 리포트 기능을 강화할 계획이다. AI 어시스턴트에게 AI 탐지내용 요약 등을 물으면 AI가 탐지한 공격의 위험도, 중요도, 조치 필요사항 등이 포함된 상세 분석 결과를 제공받을 수 있다. 이를 통해 보안 전문인력이 부족한 기업도 위협분석과 대응 방안을 보다 손쉽게 수립할 수 있으며, 업무 효율성을 크게 높일 수 있을 것으로 기대된다. KT는 앞으로 별도 장비 설치 등 보안 인프라 구축이 어려운 기업부터 공공기관까지 다양한 산업군을 대상으로 보안 서비스 적용을 지속 확대하겠다는 계획이다. 명제훈 KT 엔터프라이즈부문 서비스Product본부장(상무)은 “KT는 국내 기업고객의 안정적인 비즈니스 환경을 위해 보안 서비스를 끊임없이 고도화하고 있다”며 “AI 기반 정밀 분석과 대응 체계를 바탕으로 더욱 지능화되는 사이버 위협에도 기업들이 안전하게 대응할 수 있도록 지원하겠다”고 말했다.
    • 시큐리티
    2025.05.14 18:34
  • 북한발 사이버 공격, 우크라이나 정부기관 '정조준'.. 러시아 지원
    [시큐리티팩트=최석윤 기자] 북한의 지원을 받는 것으로 알려진 위협 그룹 'TA406'이 러시아의 우크라이라이나 침공이 장기화되는 가운데, 우크라이나 정부 기관을 집중적으로 사이버 공격하여 우크라이나의 전쟁 지속 의지와 능력 관련 정보를 은밀히 수집하고 있는 정황이 포착됐다고 13일(현지시각) 다크리딩이 보도했다. 글로벌 사이버 보안 기업 '프루프포인트(Proofpoint)'의 최신 보고서에 따르면, 이번 사이버 공격 캠페인은 북한이 러시아군과 함께 이미 우크라이나에 파병된 북한 인력의 안전을 평가하고, 향후 러시아가 북한에 추가적인 군사 지원을 요청할 가능성을 가늠하는 데 중요한 단서를 제공할 것으로 분석된다. 과거 행적 뒤엎는 '피벗(Pivot)' 공격.. 새로운 타깃 우크라이나 이번 우크라이나 정부 기관을 향한 TA406의 공격은 과거 이들의 주요 표적이었던 러시아, 미국, 한국, 그리고 러시아의 정부 및 외교 기관을 대상으로 했던 이전의 전략적 정보 수집 작전과는 뚜렷한 '피벗(Pivot)'을 보여준다. 하지만 공격 방식 자체는 이전 캠페인에서 관찰되었던 전술, 기술 및 절차와 놀라울 정도로 유사하며, 악성 소프트웨어 배포와 표적 네트워크로부터의 '자격 증명(Credential)', 즉 계정 정보 탈취를 주요 목표로 삼고 있다. 프루프포인트의 선임 위협 연구원 그렉 레스네비치는 "TA406의 이번 캠페인은 북한 정권의 핵심 이해관계자들을 위한 전략적 정보 수집 활동을 보완하는 것으로 보인다"고 분석했다. 그는 "TA406이 우크라이나의 전쟁 지속 의지를 파악하고, 북한의 고위 관계자들이 모스크바의 추가적인 병력 지원 요청 여부를 결정하는 데 필요한 정치적 정보를 수집하는 데 주력하는 것으로 보인다"고 덧붙였다. 레스네비치 연구원은 현재까지 동일한 단체를 표적으로 삼거나 유사한 작전을 수행하고 있는 다른 북한 기반의 사이버 침입 그룹은 확인되지 않았다고 밝혔다. 가짜 싱크탱크 연구원 사칭, 정교한 피싱 공격 프루프포인트가 우크라이나에서 관찰한 TA406의 공격 방식은 매우 정교했다. 공격자들은 '왕립 전략 연구소(Royal Institute of Strategic Studies)'라는 존재하지 않는 가짜 '싱크탱크(Think Tank)', 즉 연구 기관 소속의 가상 선임 연구원을 사칭하여 표적이 된 개인에게 '피싱 이메일(Phishing Email)'을 발송했다. 이 피싱 이메일에는 종종 'AnalyticalReport.rar'라는 이름의 압축 파일 다운로드 링크가 포함되어 있었으며, 해당 파일은 'MEGA(메가)'라는 파일 호스팅 서비스에 저장되어 있었고 암호로 보호되어 있었다. 만약 표적이 된 사용자가 이 RAR 압축 파일을 열게 되면, 내부에는 우크라이나 군 총사령관인 '발레리 잘루즈니(Valeriy Zaluzhnyi)'에 대한 허위 내용이 담긴 HTML 파일이 포함된 'CHM(Compiled HTML Help)' 파일이 압축 해제되었다. 의도된 피해자가 이 HTML 페이지 내의 링크를 클릭하면, 악성 웹사이트로 연결되는 'PowerShell(파워셸)' 스크립트가 실행되어 추가적인 악성 코드를 다운로드하고 실행하는 방식으로 공격이 진행되었다. 만약 표적이 즉시 반응하지 않으면, TA406은 메시지를 확인했는지 묻고 파일을 다운로드하도록 재촉하는 강압적인 후속 이메일을 보내기도 했다. 꼬리에 꼬리를 무는 악성 스크립트.. 정보 탈취, 시스템 장악 시도 프루프포인트가 분석한 바에 따르면, 다음 단계의 'PowerShell(파워셸)' 스크립트는 TA406이 이번 우크라이나 캠페인에서 핵심적으로 사용한 악성 도구였다. 이 스크립트는 피해자의 컴퓨터에 대한 상세 정보를 수집하기 위해 다양한 명령어를 실행했다. 예를 들어, 'ipconfig /all' 명령어를 통해 네트워크 구성 정보를, 'systeminfo' 명령어를 통해 운영체제 및 하드웨어 정보를 빼냈다. 또한, 최근 사용된 파일 목록과 디스크 정보 등을 확인하는 명령어를 사용했으며, 'WMI(Windows Management Instrumentation)'라는 윈도우 시스템 관리 인터페이스를 이용하여 설치된 백신 소프트웨어 정보를 확인하기도 했다. 이후 악성 코드는 감염된 시스템에서 수집한 모든 데이터를 하나의 묶음으로 만들고, 'Base64 인코딩(Base64 Encoding)'이라는 방식을 사용하여 암호화한 후 공격자가 제어하는 외부 웹사이트로 전송했다. 데이터 유출 이후, PowerShell 스크립트는 피해자의 컴퓨터 'APPDATA 폴더(Application Data Folder)' 내에 'state.bat'라는 새로운 파일을 생성하고, 시스템이 부팅될 때마다 자동으로 실행되도록 설정하여 공격자가 지속적으로 시스템을 감시하고 제어할 수 있는 '지속성(Persistence)'을 확보하려 시도했다. HTML 첨부 파일과 악성 바로가기 파일의 위협 프루프포인트는 TA406이 초기 피싱 이메일에 HTML 파일을 직접 첨부하는 사례도 관찰했다. 이 HTML 파일에는 클릭할 경우 TA406이 통제하는 서버에서 'ZIP 압축 파일(ZIP Archive File)' 다운로드를 유도하는 링크가 포함되어 있었다. 이 ZIP 파일 내부에는 겉보기에는 무해한 PDF 파일과 함께 'Zelenskyy가 Zaluzhnyi.lnk 해고한 이유'라는 악성 '바로가기 파일(LNK)'이 숨겨져 있었다. 사용자가 이 LNK 파일을 실행하면, 숨겨진 'PowerShell(파워셸)' 스크립트를 실행하도록 예약된 작업을 시스템에 설정하는 방식으로 작동했다. 이 스크립트는 공격자가 제어하는 외부 서버에 연결하여 추가적인 명령을 확인하고 실행하는 역할을 수행했다. 프루프포인트는 분석 당시 최종 '페이로드(Payload)', 즉 악성 행위를 수행하는 실제 코드를 확보하지 못해 이후 어떤 악성 행위가 이어졌는지는 확인하지 못했다고 밝혔다. 가짜 보안 경고를 이용한 계정 정보 탈취 시도 동일한 캠페인의 일환으로, TA406은 'Proton Mail(프리미엄 암호화 이메일 서비스)' 이메일 계정을 이용하여 우크라이나 정부 기관을 대상으로 가짜 'Microsoft 보안 경고(Microsoft Security Alert)' 이메일을 발송하기도 했다. 이 이메일은 수신자에게 다른 IP 주소에서의 비정상적인 계정 로그인 시도를 경고하며, 링크를 클릭하여 활동을 확인하도록 유도했다. 사용자가 이 지시를 따라 링크를 클릭하면, 결국 공격자가 미리 구축해 놓은 '자격 증명 수집 사이트(Credential Harvesting Site)', 즉 계정 정보를 빼내기 위한 가짜 로그인 페이지로 연결되었다. 북한의 숨겨진 의도, 러시아 지원과 내부 상황 파악 레스네비치 연구원과 프루프포인트의 동료 연구원인 세허 나우만, 마크 켈리는 보고서를 통해 "북한은 2024년 가을에 러시아를 지원하기 위해 군대를 파병했으며, TA406은 북한 지도부가 이미 전장에 배치된 병력에 대한 현재 위험을 판단하는 데 도움이 되는 정보를 수집하고 있을 가능성이 매우 높다"고 분석했다. 또한, "현장에서 우크라이나군을 직접적으로 표적으로 삼는 임무를 맡았을 가능성이 있는 러시아 그룹과는 달리, TA406은 일반적으로 보다 전략적이고 정치적인 정보 수집 노력에 중점을 두었다"고 덧붙였다. TA406은 프루프포인트가 지난 몇 년 동안 다른 보안 업체들이 악성 활동을 추적하며 'Kimsuky'라는 포괄적인 이름으로 분류해 온 그룹들의 일부로 추적하는 세 개의 주요 북한 기반 위협 그룹 중 하나이다. 나머지 두 그룹은 TA408 및 TA427로 알려져 있다. 이들 그룹은 'Thallium' 또는 'Konni Group'과 같은 다른 이름으로도 불린다. 레스네비치 연구원은 프루프포인트가 TA408이나 TA427이 우크라이나의 독립적인 주체를 직접적으로 표적으로 삼는 것을 관찰하지 못했다고 밝혔다. 그는 "프루프포인트는 러시아가 우크라이나 침공을 시작하기 전부터 TA427이 우크라이나 관련 정보에 관심을 보이는 것을 관찰해왔지만, 그러한 정보를 수집하기 위해 항상 서방 기업을 표적으로 삼았다"고 설명했다. 오랜 기간 지속된 위협.. 다양한 악성 도구 활용 TA406은 최소 2012년부터 활동해 온 것으로 알려져 있으며, 다양한 '멀웨어(Malware)', 즉 악성 소프트웨어와 '자격 증명 수집(Credential Harvesting)' 전술을 모두 사용하여 표적 네트워크에 침투하고 북한 정권이 관심을 가질 만한 정보를 수집해왔다. 또한, 시스템 내부의 합법적인 도구를 악의적으로 사용하는 'Living Off The Land(LoTL)' 전술을 사용하는 것 외에도 Konni, Sanny, BabyShark 및 Amadey를 비롯한 여러 악성 코드 도구와 연관되어 있다. 가장 최근에는 시큐로닉스 연구원들이 가짜 작업 로그, 암호화된 파일, 보험 문서 등을 미끼로 사용하여 한국 사용자들을 속여 시스템 정보를 탈취하고 PowerShell 스크립트를 실행하는 악성 바로가기 파일을 다운로드하도록 유도하는 사례가 발견되기도 했다. 이번 우크라이나 정부 기관을 향한 TA406의 사이버 공격 캠페인은 북한이 러시아-우크라이나 전쟁의 전황을 예의주시하며, 자국의 전략적 이익을 위한 정보 수집 활동을 더욱 강화하고 있음을 시사한다. 특히 러시아에 파병된 북한 인력의 안전과 향후 추가 지원 가능성을 염두에 둔 정보 수집 활동은, 북한이 이번 전쟁을 단순한 국제 분쟁이 아닌 자국의 안보 및 외교 전략과 긴밀하게 연결된 문제로 인식하고 있음을 보여주는 중요한 방증이다. 앞으로도 북한의 사이버 활동은 국제 정세 변화에 따라 더욱 활발하고 은밀하게 전개될 것으로 예상되어, 국제 사회의 지속적인 감시와 대비가 요구된다.
    • 시큐리티
    2025.05.14 17:36
  • 韓美에서 활개치는 북 해커들…美서 구글·보안기업도 노려
    [시큐리티팩트=김상규 기자] 전 세계가 사이버 해킹으로 골머리를 앓고 있는 가운데 북한 해킹 조직이 한국과 미국서 활개치고 있다. 사이버 보안 기업 '지니언스'는 12일 북한 해킹 조직 'APT37'이 지난 3월 국내 대북 분야 활동가들을 상대로 한 악성 이메일을 보냈다고 밝혔다. 지니언스 시큐리티 센터가 해당 공격을 '작전명. 토이박스 스토리'로 이름 짓고 분석한 결과, 해당 메일은 국가안보전략 싱크탱크 행사, 러시아 파병 북한군에게 보내는 편지 등을 가장해 수신자를 현혹한 것으로 드러났다. 아울러 싱크탱크 행사를 가장한 메일에는 '관련 포스터. zip'이라는 이름의 파일이 담겨 있었다. 이와 관련 지니언스는 “해당 파일에서 특정 사이트로 이동할 수 있는 링크(LNK)를 실행할 경우 내부에 은닉된 악성코드가 실행됐다”고 설명했다. 또한 북한군에 보내는 편지를 가장한 이메일에도 'zip' 형태의 파일 중 악성코드 기능을 유도하는 링크가 담긴 것으로 드러났다. 보안업계 관계자는 “해당 사례와 더불어 선거·통신사 해킹 등 사회 이슈와 맞물린 사이버 보안 위협이 증가할 수 있다”며 주의를 당부했다. 북한 사이버 요원들은 미국에서도 미국인의 신원을 도용해 외화벌이를 시도하는 사례가 크게 늘고 있다. 미국 정치전문매체 폴리티코는 12일(현지시간) 이러한 북한 해커 조직의 활동은 미국에 정보보안 인력이 부족한 데다가 코로나19 팬데믹 이후 원격근무가 늘어난 데 따른 것이라고 전했다. 이 매체는 포천 500대 기업 중에서도 공격 대상이 된 사례가 많다고도 보도했다. 구글 클라우드 산하 자회사인 맨디언트의 찰스 카머칼 최고기술책임자(CTO)는 최근 언론 브리핑에서 "포천 500대 기업의 많은 최고정보보안책임자(CISO)들과 이야기를 나눴는데, 북한 정보기술(IT) 인력 문제에 대해 내가 이야기를 나눈 거의 모든 이들은 북한 IT 인력을 한 명 이상 고용한 적이 있다고 인정했으며 10여명, 수십명인 경우도 있었다"고 말했다. 같은 브리핑에서 구글 클라우드의 이안 멀홀랜드 CISO는 "우리 (채용) 파이프라인에서 북한 IT 인력을 본 적이 있다"고 말했다. 다만 지원자들이 심사 단계에서 적발된 것인지 아니면 실제로 채용까지 됐던 것인지는 구체적으로 밝히지 않았다. 사이버보안업체 센티넬원은 북한 IT 인력 프로그램과 관련된 구직 신청 약 1천건을 받았다고 지난달에 공개했다. 미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA) 국장을 지내고 지금은 센티넬원 사이버보안 전략 담당 부사장으로 재직 중인 브랜던 웨일스는 “북한이 무기 프로그램에 쓸 자금을 모으기 위해 전에 본 적이 없는 ‘규모와 속도’로 이런 위장취업 전략을 쓰고 있다”고 설명했다. 북한 사이버 요원들은 실제로 존재하는 미국인의 사회보장 기록, 여권 정보, 신분증 정보, 주소 등 개인정보를 도용해 신원을 사칭하고 가짜 링크트인 프로필을 만드는 것으로 전해졌다. 이런 가짜 '페르소나'는 수천 개에 달한다. 다만, 가짜 페르소나들의 배후에 있는 북한 사이버 요원들의 규모는 정확히 파악되지 않고 있다. 이들은 가짜 신원을 이용해 보수가 후한 원격근무 IT 일자리에 한꺼번에 지원하거나 채용 담당자와 연락을 취하는 경우가 많다. 이들은 서류심사를 통과해 화상 면접 단계까지 가면, 인공지능(AI)으로 딥페이크를 활용해 사칭 피해자의 외모와 음성을 실시간으로 만들어내 면접을 보는 것으로 파악됐다. 북한 사이버 요원은 원격근무 취업에 성공하면 실제로는 미국이 아니라 북한이나 중국 등 다른 지역에서 일하면서 업무용으로 지급받은 노트북은 미국에서 작동되도록 해놓는다. 이 과정에는 돈을 받고 미국 내 주소를 빌려주는 미국인들이 협조하며, 이들은 한 집에 여러 대의 노트북 PC를 설치해놓고 가동하는데 이런 시설은 '랩톱 농장'이라고 불린다. 이런 수법으로 북한 사이버 요원이 한 개 일자리에서 원격근무로 벌어들일 수 있는 돈은 연간 최대 30만 달러(4억2천만원) 수준이다. 미국의 보안 전문가들은 “이렇게 북한 사이버 요원들이 벌어들이는 돈이 무기 프로그램에 직접 사용되거나 김정은 일가에게 전달되며 그 액수가 수백만 달러 내지 수천만 달러에 이를 것”으로 보고 있다. 연합뉴스는 폴리티코 보도를 인용해 이런 계획에 속아 넘어가 북한 사이버 요원들을 채용하고 이들에게 내부 IT 시스템에 접근 권한을 제공한 미국 기업 중 상당수는 피해 사실을 알고 나서도 신고나 공개를 꺼리는 경우가 많다고 전했다.
    • 시큐리티
    2025.05.13 22:42
  • 격화되는 '보이지 않는 전쟁'.. 인도-파키스탄 사이버 격전
    [시큐리티팩트=최석윤 기자] 인도와 파키스탄 간의 오랜 갈등이 물리적 충돌의 위협과 함께 사이버 공간이라는 새로운 전선에서 격렬하게 펼쳐지고 있다. 지난 4월 22일 파할감 테러 이후, 양국은 상대방 핵심 인프라를 마비시키고 정보를 탈취하며 심리적 우위를 점하기 위한 치열한 사이버 전쟁을 벌이고 있는 것으로 드러났다. 150만 건이 넘는 공격 시도와 성공적인 침투 사례들은, 이미 '보이지 않는 전쟁'이 현실화되었음을 생생하게 보여준다. 파키스탄, 인도를 겨냥한 '150만 번의 칼날' 인도 마하라슈트라 사이버 당국이 발표한 보고서 '신두르의 길'은 파할감 테러 이후 인도 전역의 주요 인프라 웹사이트를 대상으로 감행된 150만 건 이상 사이버 공격 실태를 상세히 기록하고 있다. 이 보고서에 따르면, 파키스탄을 기반으로 하거나 연계된 7개의 지능형 지속 위협(APT) 그룹이 조직적으로 인도 사이버 공간을 공격해왔다. 비록 이 중 150건의 공격만이 성공했지만, 그 규모와 지속성은 인도에 대한 사이버 위협이 일시적인 보복 수준을 넘어선 심각한 안보 문제임을 시사한다. 보고서는 공격에 사용된 다양한 수법들을 구체적으로 명시하고 있다. 악성코드 유포 캠페인, 분산 서비스 거부(DDoS) 공격, GPS 스푸핑 등의 전통적인 사이버 공격 방식뿐만 아니라, 인도 웹사이트를 훼손하고 허위 정보를 유포하여 사회적 혼란을 야기하려는 시도까지 포괄적으로 이루어졌다. 특히 주목할 점은, 공격의 주체가 파키스탄뿐만 아니라 방글라데시, 중동, 인도네시아 등 다양한 지역에 걸쳐 있다는 사실이다. 이는 특정 국가의 단독적인 행위를 넘어, 인도-파키스탄 갈등을 둘러싼 복잡한 국제적 역학 관계가 사이버 공간에서도 반영되고 있음을 보여준다. 성공적인 침투, 흔들리는 인도 핵심 인프라 150만 건 공격 시도 중 150건 성공적인 침투는 결코 가볍게 넘길 수 없는 결과다. 쿨가온 바드라푸르 시의회 웹사이트가 훼손되었고, 공격자들은 뭄바이의 차트라파티 시바지 마하라즈 국제공항(CSMIA)과 통신사 데이터를 탈취했다고 주장하며, 일부 데이터는 다크넷에 유출된 것으로 알려져 충격을 주고 있다. 또한, 잘란다르에 있는 국방 간호대학 웹사이트까지 훼손된 사례는 사이버 공격이 단순한 웹사이트 마비 수준을 넘어, 국가 안보와 관련된 민감한 정보까지 위협할 수 있음을 경고한다. 파키스탄 국방 소식통의 주장에 따르면, 파키스탄은 전체 '사이버 무기고'의 10%도 사용하지 않고도 인도 IT 산업에 상당한 피해를 입히는 데 성공했다. 공격의 규모는 제한적이었지만, 주요 기반 시설에 대한 타격은 인도 측의 허점을 정확히 꿰뚫었다는 평가다. 보안 전문가들은 파키스탄의 사이버 공격 이후 광범위한 혼란이 발생했다고 보고한다. 10개의 SCADA 시스템이 파괴되고, 1744개의 서버가 완전히 삭제되었으며, 13개의 정부 웹사이트가 오프라인 상태가 되었다. 철도 시스템이 마비되고, 전력망이 멈추면서 인도 경제의 심장부인 뭄바이조차 비상 예비 전력에 의존해야 하는 상황까지 발생했다. 이는 사이버 공격이 단순한 기술적 피해를 넘어 경제적, 사회적 혼란으로까지 확대될 수 있는 파괴적인 잠재력을 보여준다. 파키스탄은 GPS 스푸핑, 신호 방해, 위성 교란, 데이터베이스 해킹 등 다양한 공격 전술을 복합적으로 사용한 것으로 보인다. 특히 '내러티브 전쟁'이라는 심리전 전략을 통해 인도 사회의 불안감을 증폭시키려는 시도까지 감행한 것으로 알려졌다. 파키스탄 국방 소식통은 이를 단순한 보복이 아닌 '5세대 전쟁'이라고 규정하며, 전통적인 군사적 대응 방식을 넘어선 새로운 형태의 전쟁 양상이 펼쳐지고 있음을 강조했다. 휴전.. 하지만 끝나지 않는 '보이지 않는 전쟁' 물리적인 충돌은 일시적인 휴전 국면에 접어든 것으로 보이지만, 사이버 공간에서 공방은 여전히 격렬하게 진행 중이다. DDoS 공격은 양국을 대상으로 꾸준히 발생하고 있으며, 이는 사이버 전쟁이 물리적 충돌과는 별개의 독립적인 전선으로 자리 잡았음을 시사한다. 인터넷 및 애플리케이션 보안 전문 기업 NSFOCUS 분석에 따르면, 파할감 테러 발생 직전부터 양국을 대상으로 한 디도스(DDoS) 공격이 급증했으며, 교전 기간 동안 높은 수준을 유지했다. DDoS, '분산 서비스 거부 공격'은 웹 사이트의 정상적인 트래픽을 방해하려는 악의적인 시도이다. 비록 국제 사회 개입으로 상황이 다소 완화되어 DDoS 공격 빈도가 점차 감소하는 추세를 보이고 있지만, 여전히 4월 이전 수준으로 회복되지 못하고 있다. 이는 양국 간의 사이버 긴장이 여전히 높으며, 언제든 재발할 가능성을 내포하고 있다는 것을 의미한다. 공격 여파로 여러 인도 기관의 웹사이트가 일시적으로 마비되었으며, 여기에는 인도 고유식별기관(UIAI)과 국영 통신 사업자 BSNL 등 주요 기관들이 포함되었다. 파키스탄 역시 월드콜 텔레콤(WorldCall Telecom), 비상 서비스 부서, 상무부 등 주요 웹사이트가 일시적으로 접속 불능 상태에 빠지는 피해를 입었다. 특히 잠무 시청에 대한 사이버 공격은 단순한 웹사이트 마비를 넘어 개인 정보, 세금 정보, 지역 인프라 세부 정보 등 민감한 데이터를 유출시키는 심각한 결과를 초래했다. 정보 당국은 이 공격의 목적이 "공공 서비스를 불안정하게 만들고 대중 사이에 두려움을 퍼뜨리는 것"이라고 분석하며, 이는 국가 지원을 받는 사이버 전쟁의 전형적인 수법이라고 지적했다. 허위 정보와 사이버 공격의 결합 '하이브리드 전쟁' 마하라슈트라 사이버 당국의 보고서는 파키스탄 연계 세력의 '하이브리드 전쟁' 전략에 주목하고 있다. 이는 사이버 공격과 함께 광범위한 허위 정보 유포 활동을 병행하여 사회적 혼란을 극대화하려는 전략이다. 실제로 공격자들은 인도 은행 시스템 해킹, 대규모 정전 발생, 위성 방해 등 확인되지 않은 허위 주장을 소셜 미디어를 통해 유포하여 사회 불안을 조장하려 시도했다. 마하라슈트라 사이버 당국은 이러한 허위 정보 5000건 이상을 식별하여 삭제했으며, 추가적인 허위 정보 사례에 대해서도 조치를 취하고 있다. 이는 사이버 공격이 단순히 기술적인 영역에 국한되는 것이 아니라, 심리전과 결합된 복합적인 위협으로 진화하고 있음을 보여준다. 인도와 파키스탄 간의 사이버 전쟁은 더 이상 가상 공간 이야기가 아닌, 현실 세계 안보를 위협하는 심각한 문제로 부상했다. 150만 건이 넘는 공격 시도와 성공적인 정보 유출 사례들은, 사이버 공간이 새로운 형태의 전쟁터로 변모했음을 명확히 보여준다. 특히 핵심 인프라를 대상으로 한 공격은 국가 기능 마비라는 심각한 결과를 초래할 수 있으며, 허위 정보 유포는 사회적 혼란과 불신을 증폭시켜 국가 안보를 더욱 취약하게 만들 수 있다.
    • 시큐리티
    2025.05.13 09:41
  • “AI로 인한 보안 위협 속에 ‘딥 옵저버빌리티’ 수요 증가”
    [시큐리티팩트=김상규 기자] 인공지능(AI)으로 인해 보안 위협이 더욱 정교해지면서 하이브리드 클라우드 인프라 전반에 걸쳐 딥 옵저버빌리티(Deep Observability)에 대한 전 세계적 수요가 증가하는 추세다. 2024년 글로벌 보안 및 IT 리더 1000명을 대상으로 한 ‘하이브리드 클라우드 보안 설문조사(2024 Hybrid Cloud Security Survey)’에 따르면, 응답자의 84%가 딥 옵저버빌리티가 클라우드 보안의 핵심 요소라고 응답한 바 있다. 딥 옵저버빌리티는 네트워크 수준의 데이터를 활용해 기존 모니터링 도구가 놓치는 사각지대까지 파악할 수 있도록 해주는 고급 가시성 기술이다. 단순히 로그나 메트릭만 보는 것이 아니라 패킷과 플로우, 메타데이터 등 네트워크에서 파생된 심층 데이터를 분석해 보안, 성능, 운영 문제를 더 정확하고 빠르게 감지할 수 있다. 딥 옵저버빌리티는 다음과 같은 기능을 제공해야 한다 - 패킷 또는 컴퓨팅 인프라에서 이벤트 메타데이터(Event Metadata)를 추출하여 네트워크/보안/컴퓨팅 트래픽을 분석해야 한다 - 하드웨어 프로브 또는 가상 에이전트 형태로 제공이 가능하다 - 멀티벤더(Multi-Vendor) 환경 지원은 필수다 - 퍼블릭 클라우드, 프라이빗 데이터센터, 코로케이션(Co-location) 환경 모두 지원해야 한다 - 다양한 옵저버빌리티 플랫폼의 데이터 레이크(Data Lake)와 상호 운용 가능해야 한다 딥 옵저빌리티 시장 또한 꾸준히 성장하고 있다. 시장조사기관 650그룹에 따르면 딥 옵저버빌리티 시장은 2024년에 전년 대비 17% 성장했으며, 조직들이 하이브리드 클라우드(Hybrid Cloud) 인프라를 적극 도입함에 따라 계속해서 성장세를 이어가고 있다. 이 시장은 연평균성장률 30%를 기록하며 2029년에는 약 18억 달러 규모에 이를 것으로 전망된다. 650 그룹의 앨런 웩켈(Alan Weckel) 공동 창립자이자 애널리스트는 “2024년에는 기업들이 NetOps, SecOps, CloudOps 간 전통적인 사일로를 허물며 AI 도입의 요구를 충족시킴에 따라, 딥 옵저버빌리티가 상당한 비즈니스 가치를 창출했다”라고 말했다. 이어 “AI 통합이 가속화됨에 따라 클라우드 접점 증가 및 네트워크 복잡성이 심화되고, 이는 보안과 성능 측면에서 새로운 도전 과제를 야기한다. 딥 옵저버빌리티를 통해 기업은 AI 기반 데이터 경로 전반에 대한 완전한 가시성을 확보하게 되어, 보안 강화, 성능 최적화, 자동화 향상이라는 핵심 가치를 실현할 수 있다”라고 강조했다. 현재 딥 옵저빌리티 주요 벤더는 아리스타(Arista), 기가몬(Gigamon), 켄틱(Kentik), 키사이트(Keysight) 및 넷스카우드(Netscout) 등이 있다. 이중 기가몬은 시장조사기관 650 그룹 보고서에서 2024년 딥 옵저버빌리티(Deep Observability) 시장 점유율 55%를 기록했다. 650그룹이 지난 2022년부터 관련 보고서를 발표한 이후 계속해서 점유율 1위를 기록해 왔다고 기가몬은 주장했다. 기가몬의 셰인 버클리(Shane Buckley) 사장 겸 CEO는 “2025년의 보안 위협 은 AI의 급속한 확산으로 인해 급격히 변화하고 있으며, 이는 조직이 하이브리드 클라우드 인프라를 안전하게 보호하고 운영하는 데 큰 영향을 미치고 있다”라고 말하며, “이처럼 복잡한 환경 속에서 고객들이 이동 중인 데이터에 대한 심층 가시성을 우선시하고 있어, 글로벌 차원에서 가시성 확대에 대한 수요가 지속적으로 증가하고 있다”라고 밝혔다.
    • 시큐리티
    2025.05.12 17:01
  • 코드 속으로 파고든 전쟁.. 인공지능, 전장의 미래를 다시 쓰다
    [시큐리티팩트=최석윤 기자] 과거 전쟁은 병사의 수, 총과 포의 화력, 그리고 지휘관의 전략적 판단에 의해 승패가 갈렸다. 하지만 지금, 전장의 풍경이 근본적으로 바뀌고 있다. 인공지능(AI)이 자율 무기 시스템, 고도화된 사이버전, 그리고 알고리즘 기반의 초고속 의사 결정을 통해 현대 전쟁의 패러다임을 송두리째 뒤흔들고 있는 것이다. AI가 국방 네트워크 깊숙이 통합되면서 전투 전략은 물론 세계 안보 질서와 군사 윤리까지 재편되고 있으며, 각국이 군사 AI 개발에 막대한 자원을 쏟아부음에 따라 전쟁의 미래는 그 어느 때보다 복잡하고 불확실해지고 있다. 12일(현지시각) 애널리틱스 인사이트(Analytics Insight)는 AI는 더 이상 공상과학 영화 속 이야기가 아니라며, 전장에 실질적인 행위자로 등장하며 전쟁의 본질 자체를 변화시키고 있는 '미래 전장'를 분석한 기획 기사를 보도했다. 전쟁의 진화, 그리고 알고리즘의 시대 도래 전통적인 전쟁은 물리적인 힘과 인간의 판단력에 전적으로 의존했다. 하지만 지난 20여 년간 디지털 혁명은 드론, GPS 유도 폭탄, 그리고 실시간 감시 시스템과 같은 새로운 기술을 전장에 도입하며 변화를 예고했다. 오늘날의 군사 작전은 이제 인공지능 없이는 상상하기 어렵다. AI는 물류 관리, 위험 분석, 표적 식별, 심지어 전술적 의사 결정 과정에 이르기까지 핵심적인 역할을 수행하며 전장의 효율성과 속도를 극대화하고 있다. 우리는 인간의 판단에 흔히 수반되는 주저함이나 감정적 요소 없이 기계가 정보를 처리하고 대응하는, 말 그대로 '알고리즘 전쟁'의 시대로 접어든 것이다. 과거의 전쟁이 '인간 대 인간' 또는 '인간이 조종하는 기계 대 인간이 조종하는 기계'의 싸움이었다면, 이제는 '알고리즘 대 알고리즘'의 대결 양상까지 나타나고 있다. 자율 무기 시스템, 역량과 논란 사이 '위험한 줄타기' AI가 전장에 가져온 가장 가시적이고 논란이 뜨거운 변화는 바로 '자율 무기 시스템(Autonomous Weapon Systems)'의 등장이다. 이 시스템은 인간의 직접적인 개입 없이 독립적으로 표적을 탐지하고, 선정하며, 공격하도록 설계되었다. 여기에는 공격용 드론, 무인 지상 로봇, 그리고 AI 기반 미사일 시스템 등이 포함된다. 이러한 자율 무기 시스템의 지지자들은 인명 피해를 최소화하고, 인간보다 월등히 높은 정확도로 표적을 타격하며, 언제든 배치되어 즉각적인 대응이 가능하다고 주장한다. 특히 위험 지역에서의 임무 수행 시 인간 병사의 희생을 줄일 수 있다는 점이 큰 강점으로 꼽힌다. 그러나 자율 무기 시스템은 심각한 윤리적, 법적 문제를 야기하며 국제 사회의 첨예한 논쟁 대상이 되고 있다. 비판론자들은 시스템 오작동으로 인한 무고한 민간인 살상 위험, 타겟팅 소프트웨어에 내재된 편향성 문제, 그리고 인간의 생사를 기계에게 맡기는 것에 대한 근본적인 윤리적 문제를 지적한다. '킬러 로봇'이라고 불리는 완전 자율 살상 기계의 통제 또는 전면적인 금지에 대한 국제적인 논쟁이 유엔 등 여러 국제 기구에서 활발하게 진행되고 있지만, 아직까지 실효적인 구속력 있는 규제나 국제적인 합의는 이루어지지 않고 있다. 인간의 개입 없이 기계가 살상을 결정하는 상황에서, 만약 오발 사고나 잘못된 판단으로 인한 부수적 피해가 발생했을 경우 책임 소재를 누구에게 물어야 하는가에 대한 질문(코드를 짠 프로그래머인가, 사용 승인을 한 지휘관인가, 아니면 시스템 자체의 문제인가)은 여전히 해결되지 않은 숙제로 남아있다. 데이터, 감시, 그리고 '예측전'의 도래 방대한 양의 정보를 초고속으로 처리하고 분석하는 능력은 AI가 기존 기술에 비해 압도적인 우위를 보이는 분야이며, 이는 현대 감시 및 정보전의 핵심을 변화시키고 있다. 위성 이미지, 정찰 드론 영상, 통신 감청 등 다양한 출처로부터 쏟아져 들어오는 무한한 양의 데이터를 AI 알고리즘이 실시간으로 분석하여 적의 움직임을 파악하고, 패턴을 인식하며, 심지어 위협을 예측하는 '예측전(Predictive Warfare)'의 시대가 도래한 것이다. 이러한 정보 분석 능력의 비대칭성은 군사 작전의 양상을 근본적으로 바꾸고 있다. 적이 공격을 감행하기 전의 움직임을 사전에 파악하여 무력화시키거나, 예상치 못한 경로로 침투하려는 시도를 사전에 탐지하여 차단하는 것이 가능해졌다. 이는 군사 작전의 효율성을 극대화하고 아군의 피해를 최소화하는 데 기여할 수 있다. 하지만 AI 기반 감시 기술의 발전은 동시에 프라이버시 침해, 국가 개입의 확대, 그리고 알고리즘 오류로 인한 오탐지 및 부수적 피해 발생 가능성 등 심각한 윤리적, 사회적 불안감을 야기한다. 끊임없이 수집되고 분석되는 데이터는 개인의 사생활 영역을 침범할 수 있으며, 알고리즘의 잘못된 판단이 예상치 못한 결과를 초래할 위험도 배제할 수 없다. '빅 브라더'와 같은 전체주의적 감시 사회에 대한 우려가 현실로 다가오고 있는 것이다. 사이버전의 최전선, AI '공격과 방어' 이중 역할 현대전에서 사이버 공간은 물리적인 전장만큼이나 중요한 전략적 공간이 되었다. 국가 간의 분쟁이 점점 더 빈번하게 사이버 영역으로 확산됨에 따라, AI는 사이버전의 최전선에서 공격과 방어 모두에 활용되는 핵심적인 '전투원'으로 부상하고 있다. 공격적인 측면에서, AI 기술은 사이버 작전을 통합하고, 소프트웨어의 숨겨진 취약점을 자동으로 파악하며, 악성코드를 활용하여 목표 시스템에 대한 집중적이고 파괴적인 공격을 수행하는 데 활용된다. AI는 인간 해커가 탐지하기 어려운 복잡하고 다층적인 공격 경로를 생성하고, 방어 시스템의 허점을 실시간으로 파고드는 데 탁월한 능력을 발휘한다. 방어적인 측면에서, AI 알고리즘은 네트워크 상의 이상 징후를 실시간으로 탐지하고, 악성 트래픽이나 침입 시도를 즉각적으로 차단하며, 시스템의 보안 취약점에 대한 패치를 실시간으로 적용하는 등 사이버 방어 능력을 획기적으로 강화하고 있다. 이러한 알고리즘적 개입은 인간 보안 담당자의 개입 없이도 신속한 대응과 방어 시스템 강화를 가능하게 한다. 사이버전에서 AI의 역할 확대는 기존 군사 작전의 개념을 바꾸고 있다. 물리적인 군사적 개입 없이도 사이버 공격을 통해 적국의 핵심 기반 시설(전력망, 통신망, 금융 시스템 등)을 마비시키거나 심각한 혼란을 야기하는 것이 가능해졌기 때문이다. 사회 기반 시설이 점차 디지털화됨에 따라, 사이버전은 전력 공급, 통신 케이블, 국가 안보 네트워크 등 국가의 생존과 직결된 핵심 시스템에 대한 직접적인 위협으로 부상하고 있다. 윤리적 딜레마와 글로벌 규제의 부재 AI를 전쟁에 활용하는 것은 끔찍한 윤리적 문제와 깊이 연관되어 있다. 가장 첨예한 논쟁은 'AI가 인간의 생사를 결정할 수 있는가'라는 질문이다. 만약 자율 무기 시스템의 오류로 인해 무고한 민간인이 살상될 경우, 그 책임은 누구에게 물어야 하는가? 코드의 문제인가, 지휘관의 판단 착오인가, 아니면 시스템 개발자의 책임인가? 책임 소재를 명확히 가리기 어려운 상황은 군사 윤리와 국제법의 근간을 흔들 수 있다. 유엔과 같은 국제 단체들은 전쟁용 AI 사용에 대한 명확한 가이드라인과 규제 마련을 위한 논의를 시작했지만, 아직까지 실질적인 구속력을 가지는 시행 정책은 마련되지 못하고 있다. 강대국들이 군사 AI 기술 개발 경쟁에 몰두하는 상황에서 국제적인 합의 도출은 더욱 어려운 과제가 되고 있다. 국제적인 규제가 부재한 상황에서 전쟁용 AI는 통제 불능의 상태로 발전할 위험이 있으며, 이는 예상치 못한 결과를 초래하고 인류에게 심각한 위협이 될 수 있다. 미래 전장의 AI, 조력자인 동시에 '잠재 위협' 미래 전장에서 AI는 조력자인 동시에 잠재적인 위협이 될 것이다. 전략적인 관점에서, 군사 AI에 막대한 투자를 하고 기술력을 확보하는 국가들은 압도적인 군사적 우위를 점하게 될 것이다. 전쟁은 더욱 알고리즘화되고, 물리적인 자원 배분 추적만으로는 전력을 가늠하기 어려워지며, 승패가 눈에 보이지 않는 코드와 데이터 속에서 결정될 가능성이 커진다. 인간과 기계의 협력, 수십, 수백, 수천 대의 로봇이 동시에 임무를 수행하는 군집 로봇 기술, 그리고 양자 컴퓨팅 기반의 초고속 의사 결정 프로세스와 같은 새로운 개념들이 군사 전략가들의 연구 대상이 되고 있다. 이러한 개념들은 국방 정책과 전장 패러다임을 근본적으로 재정의할 것이다. 군사적 우위를 차지하기 위한 AI 기술 확보 경쟁은 이미 새로운 형태의 군비 경쟁을 촉발하고 있다. 과거의 군비 경쟁이 총과 미사일, 핵무기 등 물리적인 무기의 양과 질을 겨루는 것이었다면, 이제는 '총알'이 아닌 '코드'와 '알고리즘'으로 움직이는 경쟁이다. 누가 더 빠르고 정확하며 예측 불가능한 알고리즘을 개발하고 활용하는가가 미래 전장의 승패를 좌우할 것이다. 기술과 윤리의 교차점, 인류의 시험대 인공지능은 전장의 근간을 완전히 뒤바꾸고 있다. 자율 플랫폼부터 사이버 전쟁 전략에 이르기까지, 인공지능은 인간의 상상을 초월하는 속도, 효율성, 그리고 복잡성을 군사 작전에 도입한다. 알고리즘이 가상 및 실제 전장을 관리함에 따라, 인류가 수천 년 동안 쌓아온 고대의 교전 규칙과 윤리적 기준은 새로운 시험대에 올랐다. 전쟁의 미래는 이제 기술 발전의 속도와 인류의 도덕적 책임 사이에서 균형을 잡아야 하는 고위험의 저글링 행위와 같다. AI가 도입된 전쟁이 역사상 전례 없는 의미에서 더 안전해질지, 아니면 더 위험해질지는 아직 알 수 없다. 하지만 한 가지 확실한 것은, 컴퓨터와 알고리즘이 주도하는 '컴퓨터 전쟁'은 이미 시작되었으며, 인류는 이 새로운 시대의 도전에 어떻게 현명하게 대응해야 할지에 대한 근본적인 질문에 직면해 있다는 것이다. 기술 발전의 빛과 그림자 속에서, 인류의 미래는 인공지능을 어떻게 통제하고 활용하는가에 달려 있다.
    • 시큐리티
    2025.05.12 13:18
  • KISA, AI보안·제로트러스트 등 18개 과제 사업자 선정
    [시큐리티팩트=김상규 기자] 정부가 ▲우수 인공지능(AI) 보안 시제품·사업화 지원 ▲한국형 통합보안 개발 시범사업 ▲제로트러스트 도입 시범사업의 18개 과제 사업자를 선정해 발표했다. 한국인터넷진흥원(KISA)과 과학기술정보통신부는 9일 사업자 선정을 통해 정보보호산업 신기술 보안 제품·서비스 개발에 본격 착수한다고 밝혔다. AI는 국민의 일상 및 산업 전반의 대변화를 일으키며 디지털 혁신을 주도하고 있다. 하지만 최근 AI를 악용한 고도화된 사이버 위협 등 AI 기술의 부작용에 대한 우려가 증가하여 보안기술을 통한 대비가 필요한 상황이다. 이에 KISA와 과기정통부는 지난 2021년부터 선제적으로 AI를 활용한 국내 우수 보안 제품·서비스의 개발 및 상용화, 국내외 이용 확산 등을 추진하여 지난 4년간 총 66개의 과제를 지원해왔다. 올해는 기업의 성장 단계별로 AI 보안 시제품 신규 개발과 기개발된 AI 보안 제품·서비스 사업화 등 2개 분야에 대해 외부 전문위원 평가를 통해 각각 5개, 4개 과제를 선정했다. 시제품 분야에서 최종 선정된 과제는 ▲제로샷 학습기반 위협감지 물리보안 기술개발 및 고도화(디비엔텍) ▲멀티 LLM 기반 웹 애플리케이션 보안 취약점 자동 진단 시스템 개발(엔키화이트햇) ▲API 거버넌스 보안위협 대응 AI 기반 API 보안위협 모니터링 솔루션 개발(소프트프릭) ▲AI 기반 악성 딥페이크 탐지 및 대응 시스템 개발(누리랩) ▲공격표면관리(ASM)기반 AI 자동 공격코드 생성 및 대응 시스템 개발(에이아이스페라)이다. 사업화 분야는 ▲멀티모달 생성형 AI 기반 다채널 온디바이스 안전 모니터링 시스템 사업화(엣지디엑스) ▲선박 영상 AI 감시 시스템 적대적 공격 탐지·대응 솔루션(싸이터) ▲칩페이크 탐지 기술 기반 안티스푸핑 얼굴 인식 솔루션 사업화(세이프에이아이) ▲탈중앙화 생체보안 시스템 기반 딥페이크 차단 안면 결제 실증 솔루션(고스트패스)이 수행과제로 최종 선정되었다. 한국형 통합보안 모델 개발 시범사업에는 ▲중소·중견기업용 SaaS 기반 개방형 통합보안(XDR) 서비스 개발(로그프레소, 에이아이스페라, 엑소스피어랩스) ▲사이버 위협 통합검역 모델 기반의 중소기업 대상 APT 탐지 및 대응(앰진, 엔드포인트랩, 자이온) ▲통합 개인정보 보호 및 위협 탐지 시스템(오내피플, 가디언넷)이 최종 선정되어 협업 과제를 추진하게 된다. 이어 제로 트러스트(Zero Trust)분야에서 최종 선정된 6개 과제는 ▲AI 클라우드 인프라 보호를 위한 제로트러스트 시범사업(주관: 이니텍, 참여: 아스트론시큐리티, 피앤피시큐어, 큐비트시큐리티) ▲금융 부문 모바일 개발환경 제로트러스트 보안모델 도입 사업(주관: 에스지에이솔루션즈, 참여: 앤앤에스피, 에스에스알) ▲SaaS 환경 저변 확대에 따른 제로트러스트 기반의 보안실증 사업(주관: SK쉴더스, 참여: 넷츠, 모놀리, 자이온, 소프트캠프) ▲데이터 중심의 제로트러스트 오버레이 금융망 구축(주관: 프라이빗테크놀로지, 참여: 아이티센피엔에스, 소프트버스, 파이오링크) ▲SSE 플랫폼 기반 제로트러스트 보안모델 실증(주관: 모니터랩, 참여: 안랩, 라온시큐어, LG유플러스) ▲제로트러스트 기반 범용 인증(클라우드 및 특수망) 접근제어 시스템 구축사업(주관: 이스트시큐리티, 참여: 시큐어링크, 사이시큐연구소, 옥타코)이다. 오진영 KISA 정보보호산업본부장은 “국민 디지털 안전 강화를 위한 디지털 혁신 기술 기반의 신규 보안 과제 발굴을 적극적으로 지원하겠다”며, “앞으로도 디지털 신기술의 빠른 발전 속도에 따라 고도화된 사이버 위협에 맞서기 위해 국내 정보보호 산업의 내실 강화와 시장 성장을 견인할 것”이라고 말했다.
    • 시큐리티
    2025.05.09 13:32
  • '눈 뜨고 코 베이는' 페이스북 광고.. 유명인 사칭 계정 해킹
    [시큐리티팩트=최석윤 기자] 글로벌 보안 기업 비트디펜더(Bitdefender)가 페이스북 광고 네트워크를 악용한 정교한 악성코드 유포 캠페인을 상세히 포착해 공개하며 암호화폐 투자자들의 각별한 주의를 촉구했다. 8일(현지시각) HackRead에 따르면, 사이버 범죄자들은 바이낸스, 트레이딩뷰 등 유명 암호화폐 거래소의 이름과 일론 머스크, 젠다야와 같은 유명 인사들의 이미지를 무단으로 도용, 가짜 암호화폐 거래소 광고를 제작해 페이스북을 통해 대량으로 유포시키고 있는 것으로 드러났다. 비트디펜더의 보안 연구팀이 Hackread.com과 공유한 이번 조사 결과는, 공격자들이 다층적인 침투 방식을 통해 피해자의 시스템에 은밀하게 악성코드를 심는 과정을 소상히 밝히고 있다. 특히 가짜 웹사이트와 피해자 컴퓨터 간의 숨겨진 통신 채널을 구축, 악성 페이로드를 은밀하게 전달하는 지능적인 수법이 확인되어 충격을 주고 있다. '무료' 유혹에 빠진 순간 악몽 시작 연구팀에 따르면, 공격자들은 페이스북 계정을 해킹하거나 허위 계정을 대량으로 생성하여 금전적 이득이나 암호화폐 보너스를 미끼로 한 현혹적인 광고를 게시하고 있다. 이러한 광고는 클릭 시 합법적인 암호화폐 플랫폼과 매우 유사하게 위장된 가짜 웹사이트로 사용자를 유도한다. 이 가짜 웹사이트는 마치 공식 클라이언트인 것처럼 위장한 악성 '데스크톱 클라이언트' 프로그램의 다운로드를 유도하는 것이 핵심 목표다. 사용자가 아무런 의심 없이 이 악성 데스크톱 클라이언트를 다운로드하고 실행하는 순간, 공격의 다음 단계가 은밀하게 진행된다. 프로그램 설치 과정에서 악성 DLL 파일이 생성되고, 이는 피해자의 컴퓨터 내부에 로컬 기반 서버를 가만히 백그라운드에서 실행시킨다. 이 숨겨진 서버는 공격자와 피해자의 시스템 간의 은밀한 C2(Command and Control) 센터 역할을 수행하게 된다. 더욱 교활한 점은, 가짜 웹사이트의 사용자 인터페이스(프런트엔드) 내부에 난독화된 스크립트가 숨겨져 있다는 것이다. 이 스크립트는 앞서 실행된 로컬 서버와 통신하며, WMI(Windows Management Instrumentation) 쿼리를 전송하고, 궁극적으로 추가 악성 페이로드를 실행하는 명령을 내린다. PowerShell의 그림자… 감염 후에도 멈추지 않는 악성 행위 공격의 최종 단계는 더욱 심각한 위협을 내포하고 있다. 공격자들은 원격 서버로부터 추가적인 악성 소프트웨어를 다운로드하는 여러 개의 인코딩된 파워쉘(PowerShell) 스크립트를 실행하는 방식을 주로 사용한다. PowerShell은 윈도우 시스템 관리 도구로, 악성 행위자들이 시스템 깊숙이 침투하여 다양한 악성 행위를 수행하는 데 악용될 수 있다. 뿐만 아니라, 이번 캠페인에서는 공격자들이 고도의 샌드박스 검사 기술까지 구현한 것으로 밝혀졌다. 이는 사이버 범죄자들이 '가치 있다'고 판단하는 특정 인구 통계 및 행동 프로필을 가진 사용자에게만 악성코드가 전송되도록 필터링하는 지능적인 수법이다. 비트디펜더 연구원 이오누트 발타리우는 "특정 페이스북 광고 추적 매개변수가 없는 사용자, 페이스북에 로그인하지 않은 사용자, 또는 공격자들이 관심 없어 하는 IP 주소나 운영체제를 사용하는 사용자에게는 무해한 콘텐츠가 표시된다"고 지적하며, 공격자들의 치밀한 표적화 전략을 강조했다. 이러한 정교한 타겟팅 방식을 통해 공격자들은 보안 분석가들에게 노출될 위험을 최소화하면서, 최대한의 피해를 입힐 수 있는 사용자만을 집중적으로 공략하고 있는 것이다. '눈 뜨고 코 베이는' 페이스북 광고 생태계 이번 악성코드 캠페인의 규모는 비트디펜더 연구팀이 수백 개의 악성 페이지 홍보 페이스북 계정을 발견하면서 그 심각성이 더욱 부각되었다. 놀랍게도, 어떤 경우에는 단 24시간 만에 단일 페이지에 100개가 넘는 악성 광고가 게재되기도 했다. 페이스북 측에서 이러한 사기성 광고들을 지속적으로 삭제하고 있지만, 상당수의 광고는 삭제되기 전에 이미 수천 건의 조회수를 기록하며 광범위한 피해를 야기할 수 있는 상황이다. 특히 공격자들의 타겟팅 전략은 매우 정교하게 설계되어 있다. 실제 사례로, 불가리아와 슬로바키아의 18세 이상 남성을 특정하여 광고를 노출시키는 사례가 확인되기도 했다. 이는 공격자들이 특정 국가나 인구 통계 집단을 집중적으로 공략하고 있음을 시사한다. 더욱 우려스러운 점은, 공격자들이 트레이딩뷰와 같은 합법적인 플랫폼의 공식 페이지를 완벽하게 모방한 가짜 페이스북 페이지까지 제작하고 있다는 것이다. 이들은 가짜 경품 행사 등을 홍보하는 조작된 게시물과 댓글을 통해 사용자들의 신뢰를 얻은 뒤, 악성코드를 유포하는 웹사이트로 연결되는 링크를 삽입하는 치밀함을 보였다. 끊이지 않는 페이스북 악용 사례… 플랫폼 보안 강화 '절실' 페이스북이 악성 소프트웨어 배포를 위한 주요 매개체 역할을 지속하고 있다는 사실은 간과할 수 없는 심각한 문제다. 앞서 모르피섹(Morphisec)에서 발표한 조사 결과에서도, 사이버 범죄자들이 가짜 AI 플랫폼 광고를 통해 새로운 정보 탈취형 악성코드인 누들파일 스틸러(Noodlophile Stealer)를 유포하고 있는 사실이 드러난 바 있다. 이러한 사례들은 사이버 범죄자들이 플랫폼의 광범위한 도달 범위와 정교한 광고 기능을 악의적인 목적으로 어떻게 효과적으로 활용하는지를 여실히 보여준다. 이는 사용자 스스로의 경각심 제고와 더불어, 페이스북과 같은 플랫폼 사업자의 보다 강력한 보안 조치 및 악성 광고 필터링 시스템 구축의 필요성을 절실히 강조하는 대목이다. 비트디펜더는 사용자들에게 온라인 광고에 대한 경계를 늦추지 말고, 사기 및 링크 검사 도구를 적극적으로 활용하며, 운영체제 및 보안 소프트웨어를 항상 최신 상태로 유지할 것을 강력히 권고했다. 또한, 페이스북에서 발견되는 의심스러운 광고를 즉시 신고하여 자신은 물론 다른 사용자들의 피해를 예방하는 데 동참해 줄 것을 당부했다. 사이버 범죄자들의 수법은 날마다 교묘해지고 있으며, 플랫폼 사업자와 사용자의 공동 노력을 통해서만 온라인 위협으로부터 안전을 확보할 수 있다.
    • 시큐리티
    2025.05.09 09:43
  • 델 테크놀로지스, ‘파워플렉스 위드 뉴타닉스 클라우드 플랫폼’ 정식 출시
    [시큐리티팩트=김상규 기자] 델이 자사 고성능 확장형 시스템과 뉴타닉스의 소프트웨어 정의 아키텍처가 결합된 신제품 ‘델 파워플렉스 위드 뉴타닉스 클라우드 플랫폼’을 출시했다. 7일 델 테크놀로지스는 '뉴타닉스 클라우드 플랫폼’과 통합된 외장형 스토리지 오퍼링을 공식 출시했다고 밝혔다. 이 오퍼링은 IT 현대화를 가속하고 운영 효율성을 강화하는 동시에 스토리지 및 인프라 관리 간소화를 돕는다. 이 플랫폼은 회복탄력성, 보안, 확장성 및 고성능이 필수적인 대규모 미션 크리티컬 환경에 적합하도록 설계됐다. 소프트웨어 정의 솔루션으로서 델 파워플렉스의 확장성 및 성능과 뉴타닉스의 검증된 하이퍼바이저, 통합형 재해 복구 기능 및 네트워크 보안을 결합했다. ‘델 파워플렉스 위드 뉴타닉스 클라우드 플랫폼’은 간편한 통합 및 확장성이 특징이다. 가상화 및 베어메탈 미션 크리티컬 워크로드를 단일 플랫폼에 통합하여 사일로를 없애고 운영 비용을 절감한다. 컴퓨팅 및 스토리지를 독립적으로 확장하고 각각의 자원을 손쉽게 조정함으로써 운영 중단 없이 변화하는 요구사항에 대응하기 용이하다. 간소화된 IT 관리 자동화가 가능하다. 파워플렉스 매니저(PowerFlex Manager) 및 뉴타닉스 프리즘 센트럴(Nutanix Prism Central)과 같은 자동화 툴을 사용해 업데이트, 리소스 할당, 지속적인 관리와 같은 IT 프로세스를 간소화한다. 이를 통해 IT 팀은 비즈니스 성과에 직결되는 전략적 우선순위에 더 많은 시간을 할애할 수 있다. 또한 이 플랫폼은 고성능 및 엔터프라이즈급 데이터를 보호하는 이점이 있다. 최신 워크로드에 요구되는 고성능 및 엔터프라이즈급 보안을 제공한다. 이를 통해 워크로드를 통합하고 동적으로 확장하며 중요한 프로세스를 자동화하는 동시에 내장된 사이버 회복탄력성 및 재해 복구 기능을 통해 강력한 데이터 보호 기능을 활용할 수 있다. 중요한 애플리케이션의 보안과 고가용성, 변화하는 요구 사항에 대한 적응력을 유지하여 오늘날의 급변하는 디지털 환경에서 탁월한 안정성과 유연성을 확보할 수 있다. 김경진 한국 델 테크놀로지스 총괄사장은 “급변하는 디지털 환경에 맞춰 성장을 촉진하기 위해서는 민첩성과 유연성은 물론 인프라 단에서의 강력한 보안 조치를 확보해야 한다. 뉴타닉스와의 협력은 혁신을 향한 델의 꾸준한 노력에 새로운 힘을 더한다”고 말했다.
    • 시큐리티
    2025.05.07 18:08
  • [SKT 해킹 중간 점검] 악성코드 8종 추가 발견, 20만 명 이탈, 집단 소송 움직임
    [시큐리티팩트=최석윤 기자] 지난 4월, SK텔레콤의 가입자 식별 장치(USIM) 정보 저장 서버가 해킹당하는 초유의 사태가 발생한 지 한 달여가 지난 현재, 그 파장은 통신 업계를 넘어 사회 전반으로 확산되고 있다. 민관 합동 조사단은 6일 8종의 악성 코드를 추가로 공개하며 심층 조사에 박차를 가하고 있지만, SK텔레콤을 향한 고객들의 불안감은 쉽게 가라앉지 않고 있다. 대규모 가입자 이탈이라는 직접적인 타격을 입은 SK텔레콤과는 대조적으로, 경쟁사인 KT와 LG유플러스는 반사 이익을 누리며 주가가 상승하는 등 엇갈린 시장 반응을 보이고 있다. 이번 기획에서는 SK텔레콤 유심 해킹 사태의 현재까지 진행 상황을 부문별로 심층 분석하고, 향후 전망을 진단한다. 악성코드 추가 발견과 심화되는 조사, 풀리지 않는 의혹 민관 합동 조사단은 SK텔레콤 해킹과 관련하여 리눅스 시스템을 대상으로 한 공격 사례를 확인하고, 8종의 악성 코드를 추가로 공개했다. 이는 단순한 정보 유출을 넘어 시스템 깊숙이 침투하려는 조직적인 공격 시도가 있었음을 시사한다. 조사단은 새롭게 발견된 악성 코드가 해킹당한 것으로 확인된 홈가입자서버(HSS)에서 발견된 것인지, 아니면 다른 서버에서 발생한 것인지 등 구체적인 정황을 파악하는 데 주력하고 있다. 보안 업계 일각에서는 이번 SK텔레콤 해킹의 배후로 이반티(Ivanti)의 VPN(가상사설망) 장비 취약점이 지목되고 있다. 실제로 해외에서는 이반티 VPN 장비 취약점을 이용한 해킹 사례가 보고된 바 있다. 하지만 SK텔레콤이 리눅스 기반 서버에 이반티 VPN 장비를 사용하고 있는지 여부는 아직 확인되지 않았다. 또한, SK텔레콤의 보안 시스템 최신성 유지 활동이 제대로 이루어졌는지에 대한 의혹도 제기되고 있다. 이에 대해 류정환 SK텔레콤 인프라센터장은 해킹당한 장비가 네트워크 장비로서 특수성이 있으며, 통신 서비스에 국한된 서비스인 만큼 자체적으로 다양한 보안 장치를 마련하고 있다고 해명했다. 또한, 보안 최신성 유지를 위해 노력하고 있으며, 외부 경계 보안에 더욱 신경 쓰고 있다고 덧붙였다. 하지만 잇따른 해킹 정황 공개에도 불구하고 정확한 침투 경로와 공격 주체, 유출된 정보의 범위 등 핵심적인 의혹은 여전히 명확히 밝혀지지 않고 있어 불안감을 증폭시키고 있다. '탈SKT' 가속화, 20만 명 육박하는 이탈 쓰나미 SK텔레콤 유심 해킹 사태는 1위 이동통신 사업자에게 전례 없는 규모의 가입자 이탈이라는 직격탄을 안겼다. 과거에도 번호 이동 순감 현상이 있었지만, 이번 사태 이후 그 규모는 심각한 수준으로 치솟고 있다. 평소 월 2만~2만 5천 건 수준이던 번호 이동 순감이 하루 3만 건 안팎으로 폭증하며, ‘고객 이탈의 현실화’를 넘어 ‘이탈 쓰나미’라는 표현까지 등장하고 있다. 실제로 4월 28일부터 5월 5일까지 8일간 SK텔레콤에서 KT와 LG유플러스로 이동한 번호 이동 건수는 총 19만 2824건에 달했다. 같은 기간 KT에서 LG유플러스로 이동한 고객은 633명에 불과했다는 점을 고려하면, SK텔레콤의 가입자 이탈은 압도적인 수준이다. 특히 KT로의 이동이 LG유플러스보다 더 많은 것으로 나타났다. 정부는 유심 보호 서비스 가입자의 경우 유출된 정보만으로는 불법 유심 복제나 사용이 불가능하다며 과도한 불안감을 경계하는 입장이지만, 소비자들의 심리적 불안은 쉽게 해소되지 않고 있다. 전체 가입자의 96%에 달하는 2411만 명이 유심 보호 서비스에 가입했지만, 해킹 사태에 대한 불신은 실제 시장 이탈로 이어지고 있으며, 이 추세가 장기화될 경우 SK텔레콤의 가입자 기반은 물론 전체 통신 시장 점유율에도 심각한 영향을 미칠 것으로 우려된다. '원론적 배상' 약속.. 불신과 집단 소송 움직임 SK텔레콤은 유심 정보 유출에 따른 피해 발생 시 100% 배상하겠다는 입장을 수차례 밝혔지만, 소비자들은 과거 정보 유출 사고의 배상 전력을 볼 때 실제로 피해를 입증하고 배상까지 받기가 쉽지 않을 것이라며 강한 불신감을 드러내고 있다. 특히 "사고는 업체가 쳤는데 그 입증은 소비자가 해야 된다는 것 자체가 말이 안 된다"는 비판이 거세다. 개인 정보 보호법에 따라 SK텔레콤은 정보 침해에 고의나 과실이 없음을 입증하지 못하면 책임을 지게 되지만, 소비자가 정보 유출과 2차 피해 간의 인과관계를 입증하는 것은 현실적으로 매우 어렵다. 이에 전문가들은 체계적인 증거 수집과 집단적인 대응이 필요할 수 있다고 조언한다. 이러한 소비자들의 불만을 반영하듯, SK텔레콤 해킹 사태와 관련하여 집단 소송을 준비하는 움직임도 나타나고 있다. 하희봉 로피드법률사무소 대표변호사는 SK텔레콤의 '전수 배상' 주장이 사실상 마케팅적 성격이 크다고 지적하며, 실제 소송 과정에서는 소비자에게 최소한의 입증 책임을 요구할 가능성이 크다고 전망했다. 소비자 단체 역시 SK텔레콤이 선제적이고 구체적인 배상안을 제시하지 않을 경우 '통신 업계 불매 운동'으로까지 확산될 수 있다고 경고하며 강경한 입장을 보이고 있다. 유통·물류 업계 '보안 강화' 비상, '불안' 확산 SK텔레콤 유심 해킹 사태의 여파는 통신 업계를 넘어 유통 및 물류 업계까지 확산되고 있다. 고객 개인 정보를 다량으로 보유하고, 네트워크 기반으로 운영되는 시스템의 특성상 보안 취약점이 발생할 경우 심각한 피해로 이어질 수 있다는 우려 때문이다. 이마트와 롯데멤버스는 선제적으로 신세계포인트 통합 ID 및 엘포인트 서비스에서 SKT와 SKT 알뜰폰 본인 인증을 제한하는 조치를 시행했다. 이는 SKT 해킹 사태와 직접적인 피해 사례가 접수된 것은 아니지만, 보안을 강화하는 차원에서 선제적으로 대응에 나선 것이다. 물류 업계 역시 배송 정보 암호화, 주기적인 보안 위험 요소 모니터링 강화 등 보안 시스템 점검에 박차를 가하고 있다. 이는 SKT 해킹 사태로 인해 디지털 시스템 전반에 대한 보안 불안 심리가 확산되고 있음을 보여주는 단적인 사례다. 경쟁사 KT·LGU+ '반사 이익' 톡톡, 주가 상승·가입자 순증 SK텔레콤의 위기는 경쟁사인 KT와 LG유플러스에게는 예상치 못한 반사이익으로 작용하고 있다. SK텔레콤 가입자들의 대규모 이동으로 인해 KT와 LG유플러스는 가입자 순증이라는 긍정적인 효과를 누리고 있으며, 주가 역시 상승세를 보이고 있다. 특히 KT는 52주 신고가를 경신하며 1조 원이 넘는 시가총액 증가를 기록했고, LG유플러스 역시 3800억 원가량 시가총액이 늘어나는 등 뚜렷한 수혜를 입고 있다. 통신 시장 성장 정체에도 불구하고, SK텔레콤 해킹 사태 이후 신규 통신 가입자가 늘면서 KT와 LG유플러스는 2분기 유의미한 매출 변화를 기대하고 있다. 실제로 매달 가입자 순감을 겪었던 양사는 지난달 각각 4만 8337명, 3만 7265명의 순증을 기록했다. SK텔레콤의 신규 가입 중단과 더딘 유심 교체 속도를 고려할 때, KT와 LG유플러스의 외형 성장세는 당분간 지속될 것이라는 전망이 우세하다. '신뢰 회복' 최우선 과제, 통신 업계 전반 보안 강화 촉구 SK텔레콤 유심 해킹 사태는 단순한 통신사고를 넘어 디지털 사회의 신뢰 기반을 흔드는 심각한 사건이다. 추가적인 악성코드 발견과 대규모 가입자 이탈, 소비자들의 불신 심화는 SK텔레콤에게 '신뢰 회복'이라는 막중한 과제를 안겨주고 있다. SK텔레콤은 투명하고 신속한 정보 공개와 함께, 실질적인 피해 보상 방안 마련에 적극적으로 나서야 한다. 또한, 이번 사태를 계기로 통신 업계 전반의 보안 시스템을 근본적으로 재점검하고 강화해야 한다는 목소리가 높아지고 있다. 솜방망이 처벌과 안일한 대응으로는 더 이상 국민들의 불안감을 해소할 수 없다. 정부는 통신사를 포함한 주요 기간 통신 사업자의 보안 실태를 철저히 감독하고, 사이버 공격에 대한 예방 및 대응 체계 강화가 시급하다. 더 나아가, 금융, 유통, 물류 등 디지털 시스템에 의존하는 모든 산업 영역에서 보안 강화 노력을 기울여야만, SK텔레콤 해킹 사태와 같은 비극이 재발하는 것을 막고 안전한 디지털 사회를 구축할 수 있다.
    • 시큐리티
    2025.05.07 10:55
  • 美 의원들, '중국 군부 연루' 기업 25곳 뉴욕증시서 상장 폐지 공식 요청
    [시큐리티팩트=최석윤 기자] 미국 공화당 소속의 존 무레나르 하원 중국 특별위원회 위원장과 릭 스콧 상원 고령화 특별위원회 위원장이 미국 증권거래위원회(SEC)에 25개 중국 기업의 뉴욕증시 상장 폐지를 공식적으로 요청했다고 4일(현지시각) 외신이 보도했다. 두 의원은 이들 기업이 중국 군부와 연루되었을 가능성이 있으며, 이는 미국의 국가 안보에 위협이 된다고 주장하고 나섰다. 두 의원이 폴 앳킨스 SEC 위원장에게 보낸 서한에서 즉각적인 조치를 촉구한 대상 기업들은 알리바바, 바이두, JD.com, 웨이보 등 이미 미국 증시에 상장된 주요 중국 기업들을 포함한다. 또한 자율주행 기술 회사인 포니(Pony) AI, 미 국방부의 군사 연관 의혹을 부인하고 있는 레이저 센서 제조업체 헤사이(Hesai), 이미 미 국방부 블랙리스트에 오른 텐센트 뮤지(Tencent Music), 그리고 신장에서 강제 노동 의혹으로 블랙리스트에 오른 폴리실리콘 생산업체 다코 뉴 에너지(Daqo New Energy)등도 상장 폐지 요구 대상에 포함되었다. 美 의원들, 中 기업의 군 연루·안보 위협 심각하게 우려 파이낸셜 타임스에 공개된 서한에서 무레나르와 스콧 의원은 해당 기업들이 중국 군부와 연루되었다는 주장이 미국 투자자들을 위험에 빠뜨리고 국가 안보를 위협한다고 경고했다. 이들은 SEC가 가진 권한을 행사하여 미국 시장을 보호해야 한다고 강조했다. 서한은 "이들 단체들은 미국 투자자 자본의 혜택을 누리면서 동시에 중국 공산당의 전략적 목표를 달성하고 있다"며 "군 현대화와 심각한 인권 침해를 지원하고 있으며, 이는 미국 투자자들에게 용납할 수 없는 위험을 초래한다"고 지적했다. 특히 의원들은 이들 중국 기업들이 겉으로는 상업적인 활동을 하는 듯 보이지만, 중국의 '군민 융합' 프로그램으로 인해 "궁극적으로 사악한 국가적 목적에 이용되고 있다"고 주장했다. '군민 융합'은 중국 정부의 지시에 따라 기업들이 인민해방군과 기술을 공유하도록 강요하는 정책이다. 의원들은 중국 공산당(CCP)의 이러한 기업 통제가 "미국 투자자들에게 체계적으로 은폐되어 있으며" 중국 법률 자체가 "미국 투자자들에게 예측 불가능한 위험을 가하고 있어, 강화된 공시로도 이를 완화할 수 없다"고 경고했다. 또한 서한에 언급된 많은 기업들이 "단순히 불투명한 것이 아니라" "중국 군대 및 감시 기관에 적극적으로 통합되어 있다"는 점을 강조했다. SEC의 적극 조치 촉구.. “미국 투자자 보호해야” 무레나르와 스콧 의원은 SEC가 이미 외국기업책임법(Holding Foreign Companies Accountable Act)에 따라 "미국 투자자를 적절히 보호하지 못하는 중국 기업의 증권 등록을 정지 또는 취소함으로써 거래를 중단시키고 상장 폐지를 강제할 수 있는" 필요한 수단과 권한을 보유하고 있다고 지적했다. 서한은 "SEC는 조치를 취할 수 있고, 또 취해야 한다"고 강조하며 SEC의 적극적인 개입을 촉구했다. 의원들은 해당 기업들이 "대량 학살을 자행하는 독재 정권이자 미국의 최대 지정학적 경쟁자인 중국에 봉사하면서 미국 자본에 접근하고 있다"고 비판하며, 이들의 상장 유지가 부적절하다는 점을 분명히 했다. 미중 경제안보검토위원회에 따르면, 지난 3월 기준으로 미국 증권 거래소에 상장된 중국 기업은 286개에 달한다.
    • 시큐리티
    2025.05.04 23:47
  • 틱톡, 유럽 사용자 데이터 중국 전송.. 8000억대 벌금
    [시큐리티팩트=최석윤 기자] 아일랜드 데이터 보호 위원회(DPC)가 인기 비디오 공유 플랫폼 틱톡에 5억 3000만 유로(약 8300억원)의 벌금을 부과했다고 해커뉴스가 2일 보도했다. 유럽 사용자 데이터를 중국으로 전송하여 유럽 개인 정보 보호 규정(GDPR)을 위반했다는 이유에서다. DPC는 성명을 통해 "틱톡이 유럽경제지역(EEA) 사용자 데이터를 중국으로 전송하는 행위는 GDPR 위반에 해당한다"고 명확히 밝혔다. 이번 결정에는 거액의 벌금과 함께 틱톡이 6개월 이내에 관련 절차를 유럽 규정에 부합하도록 시정하라는 명령이 포함되었다. 특히, 해당 기간 내에 중국으로의 데이터 전송을 중단하라는 요구도 담겼다. 3년에 걸친 조사, 결국 거액 벌금으로 이어져 이번 벌금은 2021년 9월부터 시작된 장기간의 조사 결과다. 당시 DPC는 틱톡이 유럽 사용자들의 개인 정보를 중국으로 전송하는지 여부와, 데이터를 제3국으로 이전할 때 유럽의 엄격한 개인 정보 보호법을 제대로 준수하는지를 집중적으로 조사했다. 그레이엄 도일 DPC 부위원장은 "틱톡의 중국 내 EEA 사용자 개인 정보 전송은 해당 데이터가 유럽연합 내에서 제공받는 것과 동등한 수준의 개인 정보 보호를 보장하지 못했기 때문에 GDPR 46조 1항을 위반한 것"이라고 강조했다. 더욱이 도일 부위원장은 틱톡이 중국 정부의 테러 방지법이나 방첩법과 같은 법률에 의해 유럽 사용자 데이터에 접근할 수 있다는 우려를 해소하지 못했다고 지적했다. 유럽연합의 개인 정보 보호 기준과 "상당히" 다른 중국 법률로 인해 발생할 수 있는 잠재적 위험을 간과했다는 것이다. 유럽경제지역 데이터 중국 서버에 저장 조사 과정에서 틱톡은 EEA 사용자 데이터를 중국 서버에 저장하지 않았다고 주장했으나, 이는 사실과 다른 것으로 드러났다. DPC는 틱톡이 오히려 지난달 감시 당국에 2025년 2월에 틱톡 시스템에서 문제를 발견했으며, 그 결과 제한적인 양의 EEA 데이터가 실제로 중국 서버에 저장되었다고 뒤늦게 밝혔다고 비판했다. 도일 부위원장은 "틱톡은 해당 데이터가 현재 삭제되었다고 DPC에 통보했지만, 우리는 유럽연합 데이터 보호 당국과 협력하여 추가적인 규제 조치가 필요한지 검토하고 있다"고 언급하며 사안의 엄중함을 시사했다. 틱톡 "데이터 보안 강화 노력 간과됐다" 반발 이에 대해 틱톡의 유럽 공공 정책 및 정부 관계 책임자인 크리스틴 그랜은 이번 결정이 유럽 사용자 데이터 보호를 위한 틱톡의 데이터 보안 강화 계획인 '프로젝트 클로버(Project Clover)'를 제대로 고려하지 않았다고 반박했다. 그녀는 이번 판결이 현재 시행 중인 보호 장치를 제대로 반영하지 못한다고 주장했다. 그랜 책임자는 또한 "DPC 보고서에는 틱톡이 중국 당국으로부터 유럽 사용자 데이터에 대한 요청을 받은 적이 없으며, 유럽 사용자 데이터를 제공한 적도 없다고 일관되게 밝혔다는 내용이 기록되어 있다"고 강조했다. 이는 틱톡이 데이터 보안에 문제가 없음을 강조하려는 의도로 풀이된다. 한편, 이번 벌금은 DPC가 틱톡 모회사인 바이트댄스에 부과한 두 번째 벌금이다. 앞서 2023년 9월에는 틱톡이 아동의 개인 데이터를 처리하는 과정에서 GDPR을 위반한 혐의로 3억 4,500만 유로(당시 약 5천억 원)의 벌금을 부과받은 바 있다. 각국의 틱톡 규제 움직임, 보안 우려 확산 틱톡은 개인 정보 보호 문제뿐만 아니라, 국가 안보와 관련된 보안 문제로 인해 여러 국가에서 규제 대상이 되고 있다. 특히 틱톡의 모회사가 중국 기업이라는 점 때문에, 중국 정부가 사용자 데이터를 감시하거나 영향력을 행사할 수 있다는 우려가 지속적으로 제기되고 있다. 이미 미국, 캐나다, 유럽연합의 일부 기관 등에서는 정부 기관 기기에서의 틱톡 사용을 금지하는 조치를 취했다. 이들은 틱톡이 수집하는 방대한 양의 사용자 데이터가 중국 정부에 유출될 수 있다는 가능성을 우려하고 있다. 더불어 틱톡의 알고리즘이 사용자에게 특정 콘텐츠를 편향적으로 노출시켜 정치적 영향력을 행사하거나 허위 정보를 확산시키는 데 이용될 수 있다는 지적도 나온다. 이러한 우려로 인해 각국 정부는 틱톡의 데이터 처리 방식과 알고리즘 작동 방식에 대한 감시를 강화하는 추세다. 틱톡 측은 이러한 보안 우려를 해소하기 위해 데이터 보안 조치를 강화하고, 데이터가 안전하게 관리되고 있음을 강조하고 있다. '프로젝트 클로버'와 같은 데이터 보안 이니셔티브를 통해 유럽 사용자 데이터를 유럽 내에서 처리 및 저장하고 외부 감시를 받도록 하겠다고 약속하기도 했다. 그러나 이번 아일랜드 DPC의 대규모 벌금 부과는 틱톡의 이러한 노력에도 불구하고 여전히 유럽의 데이터 보호 기준을 충족하지 못하고 있다는 점을 시사한다. 틱톡이 유럽 시장에서 지속적으로 서비스를 제공하기 위해서는 데이터 처리 방식과 보안 조치를 더욱 강화하고 투명성을 높여야 할 것으로 보인다. 이번 벌금 결정은 틱톡을 비롯해 해외 시장에서 사업을 운영하는 다른 플랫폼들에게도 데이터 보안 및 개인 정보 보호의 중요성을 다시 한번 강조하는 계기가 될 전망이다.
    • 시큐리티
    2025.05.03 23:48
  • M&S이어 해로즈까지 털려.. 영국 소매업계 '보안 비상'
    [시큐리티팩트=최석윤 기자] 고급 백화점 해로즈가 사이버 공격을 받은 사실을 공개하며 영국 소매업계 전반에 사이버 보안 경계령이 내려졌다고 1일(현지시각) BBC가 보도했다. 해로즈 측은 자사 시스템 접근 시도 이후 "사무실 인터넷 접근을 제한했다"고 밝히며, 잇따른 소매업체 대상 사이버 위협에 대한 우려가 증폭되고 있다. 1849년 식료품점에서 시작.. 고급 백화점의 대명사 해로즈는 1849년 찰스 헨리 해러드가 런던 동부에서 작은 식료품점으로 시작한 이래, 170년이 넘는 역사를 자랑하는 영국을 대표하는 고급 백화점이다. 런던 나이츠브리지의 브롬pton 로드에 위치한 해로즈는 '모든 것을, 모든 사람에게, 모든 곳에(Omnia Omnibus Ubique)'라는 라틴어 모토처럼, 패션, 뷰티, 식품, 가정용품, 보석, 시계 등 다양한 최고급 상품들을 취급하며 전 세계적으로 명성을 떨치고 있다. 8층 규모의 웅장한 건물은 단순한 쇼핑 공간을 넘어 화려한 인테리어와 이집트 테마의 홀, 다이애나 왕세자비와 도디 알 파예드를 추모하는 공간 등 다양한 볼거리를 제공하며 연간 수백만 명의 방문객을 끌어모으는 런던의 랜드마크이기도 하다. 특히 해로즈 식품관은 고급 식료품과 미식 경험을 제공하는 것으로 유명하며, 자체 브랜드 상품 역시 높은 품질로 인정받고 있다. 이처럼 런던의 상징이자 세계적인 고급 백화점인 해로즈마저 사이버 공격의 표적이 되면서, 소매업계 전반의 디지털 보안 시스템에 대한 우려가 더욱 커지고 있다. 이는 '협동조합(Co-op)'이 해킹 시도를 막기 위해 일부 IT 시스템을 폐쇄한 다음 날 발생한 사건이다. 앞서 마크스앤스펜서(M&S)는 수백만 파운드의 매출 손실을 야기한 사이버 공격의 여파에서 여전히 벗어나지 못하고 있는 상황이다. 해로즈는 주력 매장과 온라인 판매는 정상적으로 운영되고 있다고 밝혔지만, 네트워크에 미친 구체적인 영향 범위는 언급하지 않았다. 다만 고객들에게 "현재로서는 추가적인 조치를 취하지 말아달라"고 당부했다. 해로즈 측은 성명을 통해 "최근 당사 시스템 일부에 무단 접근하려는 시도가 있었다"며 "숙련된 IT 보안팀이 즉시 적극적인 조치를 취해 시스템을 안전하게 유지했으며, 그 결과 오늘 사업장의 인터넷 접속이 제한되었다"고 설명했다. 현재 나이츠브리지 본점과 H 뷰티 매장, 공항 매장은 정상 영업 중이며, 온라인 쇼핑몰 역시 이용 가능하다. 잇따른 공격에 당국도 경고.. 소매업계 보안 취약 사이버 위협에 직면한 조직을 지원하는 영국 정부 기관인 국가 사이버 보안 센터(NCSC)의 리처드 혼 최고경영자는 이번 일련의 공격이 해로즈, 코옵, M&S에 "경고"가 되어야 한다고 강조했다. 그는 NCSC가 사고를 보고한 기업들과 긴밀히 협력하여 "이러한 공격의 특성을 완전히 파악하고 위협 상황을 바탕으로 광범위한 부문에 전문적인 조언을 제공하고 있다"고 밝혔다. 미국 국가안보국(NSA)의 전 사이버 책임자이자 현재 사이버보안 회사 EclecticIQ의 최고경영자인 코디 배로는 이번 사건이 "사이버 위협에 대한 해당 부문의 취약성이 커지고 있음을 드러냈다"고 지적했다. 그는 소매업체들이 방대한 고객 데이터와 그로 인한 막대한 파급력을 고려할 때, 사이버 공격의 주요 표적이 될 수 있다는 점을 인지해야 한다고 경고했다. 또한 소비자들에게는 "비밀번호를 업데이트하고, 금융 활동을 면밀히 감시하며, 최근 침해를 악용한 사기를 주의해야 한다"고 당부했다. M&S는 여전히 '몸살'.. 공급망 취약성 지적도 한편, 마크스앤스펜서(Marks & Spencer, 이하 M&S)는 지난주 발생한 사이버 공격으로 인해 여전히 심각한 운영 차질을 겪고 있다. 고객들은 온라인 주문을 이용할 수 없으며, 일부 매장의 상품 진열대는 텅 비어 있는 상태다. 경찰은 현재 이 사건을 수사 중이다. M&S는 단순한 의류 판매점을 넘어 영국을 대표하는 종합 유통 기업이다. 1884년 마이클 막스와 토마스 스펜서가 리즈에서 '페니 바자(Penny Bazaar)'라는 작은 상점으로 시작한 M&S는 140년이 넘는 역사 동안 영국인의 삶 깊숙이 자리매김해 왔다 '협동조합(Co-op)' 역시 지난 30일 해커의 침입 시도에 따라 일부 IT 시스템을 폐쇄한 바 있다. 특히 협동조합 직원들에게 원격 근무 회의 중 카메라를 켜고 모든 참석자를 확인하라는 지시가 내려진 사실이 알려지면서, 회사가 해커가 통화에 잠입했을 가능성을 의심하고 있다는 분석이 나왔다. 다만, 이 세 건의 사건이 서로 연관되어 있는지는 아직 확인되지 않았다. '협동조합'은 일반적으로 'The Co-operative Group', 줄여서 'Co-op'이라고 불리는 영국의 대표적인 협동조합 기업을 지칭한다. 1844년 로치데일 선구자들에 의해 설립된 코-옵은 단순한 기업을 넘어 윤리적 경영과 공동체 정신을 핵심 가치로 삼는 조직이다. 3건의 소매업체 해킹, '드래곤포스'가 배후 가능성 사이버 보안 회사 다크트레이스(Darktrace)의 위협 분석 책임자인 토비 루이스는 M&S, 코옵, 해로즈에 영향을 미친 세 건의 사건이 단순한 우연의 일치일 가능성을 제기했다. 하지만 그는 다른 두 가지 가능성도 제시했다. 첫째, 세 소매업체가 공통의 공급업체나 기술을 공유하고 있으며, 그 취약점이 해커의 침입 경로로 활용되었을 수 있다는 것이다. 둘째, M&S에 대한 공격의 심각성으로 인해 다른 소매업체들이 자체 보안 기록을 면밀히 검토하게 되었고, 이전에는 간과했던 활동에 대해 선제적인 조치를 취했을 수 있다는 분석이다. 루이스 책임자는 "이번 사건은 대규모 기업이 공급망에서 발생하는 위협에 대처하는 데 얼마나 어려움을 겪고 있는지 다시 한번 보여주는 사례"라며 "특히 위협의 규모와 정교함이 커짐에 따라 더욱 그렇다"고 지적했다. M&S에서 발생한 혼란은 랜섬웨어 공격으로 인한 것으로 추정된다. 랜섬웨어는 컴퓨터 시스템에 접근하여 중요한 데이터를 암호화한 후, 이를 볼모로 삼아 몸값을 요구하는 악성 소프트웨어의 일종이다. 보안 전문가들은 29일 BBC에 '드래곤포스(DragonForce)'라는 이름의 랜섬웨어 그룹이 이번 공격의 배후에 있을 가능성을 제기했다. 반면, 협동조합은 자사에 가해진 사이버 공격의 구체적인 성격에 대해서는 함구하고 있다. 한편, 의회 상무위원회 위원장인 리엄 번은 M&S의 최고경영자 스튜어트 머친에게 서한을 보내 M&S의 사이버보안 방어에 대한 추가 정보와 NCSC가 제공한 지침을 제대로 준수했는지 여부를 질의했다. 잇따른 대형 소매업체들의 사이버 공격 소식은 기업들의 보안 불감증에 대한 경각심을 높이는 동시에, 더욱 강력하고 체계적인 사이버 방어 전략 마련의 시급성을 시사하고 있다.
    • 시큐리티
    2025.05.02 21:03
비밀번호 :