개인정보 유출 사고 피해

데이터베이스 별 위챗/알리페이 피해 규모유출된 중국 개인정보 데이터베이스 (출처: 사이버뉴스)2025년 역대 최대 규모 개인정보 유출 피해 최근 금융데이터, 위챗, 알리페이 정보 등 631기가바이트(GB)분량의 민감 개인정보 최대 40억 건이 비밀번호 없이 노출된 것을 발견했습니다.유출된 데이터베이스는 메신저 위챗과 관련된 wechatid_db에는 8억 500만 건, 실제 주소 정보인 address_db에는 7억 8,000만 건, bank는 6억 3,000만 건의 신용카드 번호, 생일, 이름, 전화번호 정보 등이 포함되어 있었습니다. 사용자 ID 5억 7,700만 건의 정보가 담긴 wechatinfo라는 데이터베이스까지 발견되어 메타 데이터나 커뮤니케이션 로그, 심지어 사용자 대화까지 유출됐을 가능성이 큽니다.중국 모바일 결제 시장 1위 알리페이의 카드와 토큰 정보 3억 건 유출도 확인되었으며, 알리페이 관련 기타 데이터 유출도 2,000만 건, 차량 등록, 고용 정보, 연금 기금, 보험에 관한 데이터도 3억 5,300만 건으로 조사되었습니다.예스24 공지문 (출처: 예스24)국내 개인정보 유출 피해 사례최근 국내 개인정보 유출 피해 사례도 급증하고 있습니다. 6월 10일 예스24도 랜섬웨어를 공격을 통한 개인정보 유출로 확인되었으며, 이로인해 도서 주문, 전자책 열람, 공연 티켓 예매 등 서비스 이용이 불가능 했습니다. 결국 9일 만에 서비스 복구가 되었으나, 해커들에게 대금을 지불하고 서비스를 복구한 것으로 알려졌습니다.랜섬웨어는 백업 시스템이 있어도 공격자들은 이를 미리 알고 백업 시스템을 먼저 공격해 복구를 어렵게 합니다. 더 큰 문제는 첫 공격 이후 2차, 3차 공격을 이어간다는 점이며, 1차에서 찾은 취약점을 이용해 피해 범위를 최대한 넓혀가며 대가 지불 을 더 강하게 압박 할 수 있습니다.개인정보 유출 사고 원인 (출처: 한국인터넷진흥원)업무 과실에 의한 개인정보 유출 사례 (출처: 개인정보보호포털)개인정보 유출 사고 원인개인정보 유출 원인은 총 3가지로 분류됩니다. 첫번째는 해킹으로 인한 개인정보 유출, 두번째는 업무 과실로 인한 개인정보 유출, 세번째는 홈페이지 설계 및 개발 과실로 인한 개인정보 유출입니다. 첫번째, 해킹으로 인한 개인정보 유출 상세 원인은 대표적으로 크리덴셜 스터핑 (Credential Stuffing), SQL 인젝션 공격 등이 있습니다. 두번째, 업무 과실로 인한 개인정보 유출 상세 원인은 대표적으로 홈페이지 게시판에 개인정보 업로드, 메일 오인발송, 개인정보가 포함된 업무용 기기 분실 등이 있습니다.세번째, 홈페이지 설계 및 개발 과실로 인한 개인정보 유출 상세 원인은 신뢰되지 않은 API 사용, 관리자 페이지 외부 접근 제한 미흡 등이 있습니다.결론개인정보 유출은 다양한 원인으로 발생하며, 심각한 피해를 초래할 수 있습니다. 유출 사고 발생 시에는 유출 경로 파악, 피해 규모 확인, 법적 조치 및 기술적 보안 강화 등의 대응이 필요합니다. 보안 전문가는 개인정보 보호를 위한 기술적, 관리적 조치를 지속 강화하여 예방하고, 개인은 자신의 정보를 안전하게 관리하며 유출 시에는 신속하게 대응해야 하며 개인정보 보호를 위한 지속적인 노력이 중요합니다.개인정보 유출 시 대응 및 예방 방안• 개인정보 유출 시 대응1. 기업 : 피해 사실 인지 시 신속한 신고 -> 유출 경로 및 피해 규모 파악 -> 피해 사용자 알림 및 대응 조치방법 공유 -> 법적 조치 -> 기술적 보안 강화 -> 재발 방지 대책 마련2. 개인 : 피해 사실 인지 시 신속한 신고 -> 개인정보 유출 사이트 및 관련된 모든 사이트 개인정보(ID/PW 등) 변경 -> 인터넷 사용기록 삭제• 개인정보 보호를 위한 예방 방안1. 개인정보 처리 방침 확인 : 서비스를 이용하기 전에 반드시 개인정보 처리 방침을 확인2. 출처가 불분명한 링크 클릭 주의 : 의심스러운 링크는 클릭하지 않고 삭제3. 강력한 비밀번호 설정 및 주기적 변경 : 타인이 유추하기 어려운 비밀번호 설정 후 정기적으로 변경4. 개인정보 노출 최소화 : 불필요한 개인정보는 공개하지 않도록 주의이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

신생 랜섬웨어 조직, 나이트스파이어

나이트스파이어 소개나이트스파이어 다크웹 사이트2025년 새로 등장한 랜섬웨어 조직, 나이트스파이어 2025년 3월 등장한 NightSpire(나이트스파이어)는 RaaS(Ransomware-as-a-Service) 구조를 가진 신생 랜섬웨어 조직으로 중앙 운영자와 하위 공격자가 협업하여 공격을 수행합니다. 이들은 단순 암호화 뿐만 아니라 데이터 유출을 병행하는 이중 갈취(double extortion) 수법을 사용합니다.이메일 피싱, VPN, RDP, 웹 애플리케이션, 방화벽 등 외부에 노출된 시스템의 취약점을 악용하며, 최근에는 Fortinet 제로데이 공격 정황도 확인되었습니다. 내부에 침투한 후에는 Mimikatz, PsExec, PowerShell 등을 활용해 인증 정보를 수집하고 파일을 .nightspire 확장자로 암호화하며 백업 데이터까지 파괴합니다. 협박 메시지 는 README_NIGHTSPIRE.txt라는 파일로 남깁니다.이 조직의 위험성은 단순 기술력에 그치지 않습니다. 민첩한 조직 구조와 빠른 적응력을 이용해 타깃 환경에 맞춰 공격 방식을 유동적으로 조절합니다. 또한, 감염 기업에 대한 심리적 압박 수법도 점점 세련되고 진화하고 있습니다.쿼드마이너 피해 사실 (출처: redpacketsecurity)사고 정보 (출처: HookPhish)나이트스파이어 조직, 국내 기업 겨냥2025년 6월, 나이트스파이어는 국내 보안 전문 기업 쿼드마이너(QuadMiners)를 공격 하여 약 40GB 분량의 데이터를 탈취한 뒤, 이를 다크웹에서 협박 수단으로 활용했습니다.피해 기업은 사고 발생 4일 뒤 침해 사실을 인지하고 대응에 나섰으며, 공격자는 미국 법인 및 내부 소스코드를 포함해 민감한 정보가 포함되어 있다고 주장 및 압박하였습니다. 이들은 쿼드마이너의 개발자 맥북과 GitHub 저장소, MFA가 적용된 클라우드 리포지터리에 접근했다고 밝히며, 일부 프론트엔드 코드를 실제로 공개하기도 했습니다. 또한 매출의 7% 수준에 해당하는 금액을 랜섬으로 요구하며, 응하지 않을 경우 백엔드 API 코드 및 전체 소스코드를 점진적으로 공개하겠다고 경고했습니다.쿼드마이너는 해당 공격과 관련하여 유출된 정보는 과거 테스트용 데모 코드와 만료된 인증서로 실제 서비스 운영과 무관하다는 입장을 밝혔으며, 고객 정보나 민감한 운영 코드는 유출되지 않았다고 강조했습니다.결론NightSpire는 VPN·웹·방화벽 등 외부 자산의 취약점을 통해 침투하고 내부에서는 인증 정보 탈취, 측면 이동(lateral movement), 백업시스템 파괴까지 전방위 공격을 감행합니다. 2025년 4월 이후 이들의 공격을 받은 기업은 캐나다 AetherBank(금융), 대만 MedixGroup(의료), 독일 AutroPack(제조) 등으로 국가·산업·기업 규모를 가리지 않는 무차별 공격이 특징이며, 보안 인프라가 미흡한 중견기업이나 노후 시스템을 운영 중인 기관, 쿼드마이너처럼 보안 전문 기업까지 타깃이 되고 있습니다. 이들은 LockBit, BlackCat 등과 같은 대형 조직으로 성장할 가능성을 보이며, 그 어느 때보다도 사전적 방어 전략과 내부 보안 체계 강화가 필요합니다.위협 대응 및 보안 권고 사항• 행위 기반 탐지(EDR, XDR) 및 위협 인텔리전스 활용 • 다크웹 모니터링• 분리된 별도의 저장소에 백업 데이터 보관 • 외부 시스템에 대한 취약점 점검 및 패치 업데이트 적용 • 임직원 대상 피싱 및 사회공학 대응 교육 • 실시간 사고 대응 체계 구축이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2025년 1분기 취약점 현황

등록된 취약점 총 수와 2024년 1분기 및 2025년 1분기의 중요 취약점 수취약점 등록 현황 및 경향2024년 1분기에는 총 9,727건의 취약점(CVE)이 등록되었으며, 이 중 430건이 치명적(Critical) 등급으로 분류되었습니다. 반면 2025년 1분기에는 전체 등록 건수가 6,616건으로 감소하였고 치명적 등급도 227건에 그쳤습니다. 전체 등록수와 고위험 취약점 수 모두 전년 동기 대비 줄어든 양상을 보이며, 이는 취약점 보고 방식, 보안 커뮤니티 활동, 또는 벤더의 공개 정책 변화 등 외부 요인의 영향을 반영하는 결과로 해석될 수 있습니다.다만, 취약점 수의 감소와는 별개로 메모리 안전이 확보되지 않은 시스템 구조에서 비롯되는 근본적인 기술적 위험은 여전히 지속되고 있습니다. C/C++로 작성된 저수준 시스템 코드에서 발생하는 취약점이 주를 이루며, 공격자는 이를 악용해 권한 상승이나 악성코드 삽입 등을 시도합니다. 특히 Windows에서는 Out-ofbounds Write와 Heap Overflow, Linux 커널에서는 Null 포인터 역참조와 Use After Free 취약점이 자주 발견되며, 이는 운영체제의 메모리 관리 구조 차이에 따라 취약점 유형의 분포에도 차이가 있음을 보여줍니다.2025년 1분기 APT 공격에서 악용된 상위 10개 취약점 (출처: 카스퍼스키)APT 공격에서의 취약점 악용 사례지능형 지속 위협(APT) 공격자들은 더이상 제로데이 취약점에만 의존하지 않습니다. 오히려 이미 공개된 취약점을 체계적으로 조합하고 재활용하여 장기적인 침투와 권한 확장을 시도하는 방식이 일반화되고 있습니다. 예를 들어 Zerologon(CVE2020-1472)은 2020년에 공개된 취약점이지만, 여전히 도메인 컨트롤러를 장악하기 위한 주요 수단으로 활용되고 있습니다. 이 취약점을 통해 공격자는 인증을 우회하고 측면 이동(lateral movement)을 통해 조직 내부 전반으로 접근 범위를 넓힐 수 있습니다.Linux 환경에서도 Dirty Pipe(CVE-2022-0847)와 같은 권한 상승 취약점이 자주 사용되며, 루트 권한을 획득하는 공격 사례가 지속적으로 보고되고 있습니다. APT 그룹들은 종종 국가의 후원을 받거나 특정 산업군(예: 금융, 제조, 방산 등)을 대상으 로 설정하여 여러 개의 알려진 취약점을 조합한 정교한 침투 시나리오를 설계합니다. 이러한 공격은 초기 침투에 그치지 않고 이후 백도어 설치, C2 서버 통신, 정보 수집 및 탈취로 이어지는 다단계 공격 흐름을 따르는 것이 특징입니다.파일 탐색기에 완전히 표시되지 않는 추가 문자가 있는 바로 가기 속성ZDI-CAN-25373: Windows의 LNK 파일 처리 취약점2025년 1분기에 공개된 가장 주목 할만한 취약점으로 ZDI-CAN-25373이 있습니다. 이는 Windows 운영체제의 바로가기(LNK) 파일 처리 방식에 존재하는 심각한 보안 취약점으로 파일 탐색기에서 LNK 파일의 Target 필드 중 일부만 표시되는 시각적 제한을 악용합니다. 공격자는 정상적인 경로 뒤에 공백이나 줄바꿈 문자를 삽입해 악성 명령을 숨긴 뒤 사용자에게는 정상적인 바로가기처럼 보이도록 위장할 수 있습니다.이러한 방식으로 사용자가 바로가기를 실행하면, 눈에 보이지 않던 숨겨진 명령이 동시에 실행됩니다. 예를 들어 powershell.exe를 통해 원격에서 악성 페이로드를 다운로드하고 실행하는 방식으로 악용될 수 있습니다. 이 취약점은 단순한 기술적 결함을 넘어서 사용자의 인지 한계를 노린 사회공학적 기법을 포함하고 있어 더욱 위협적입니 다. 특히 파일 탐색기의 시각적 제한을 악용하는 방식이기 때문에 보안 인식이 낮은 사용자 환경에서 실제 피해로 이어질 가능성이 높습니다.결론2025년 1분기 보안 위협은 과거에 이미 공개된 취약점이 여전히 활발히 악용되고 있으며, 메모리 기반 결함이나 UI 취약점, APT 공격 기법과 같은 시스템 수준의 위협이 지속된다는 점을 보여주었습니다. 이는 단순한 기술적 대응만으로는 방어가 어렵다는 사실을 다시 확인시켜주며, 보안은 기술 자체보다는 실행력과 조직의 대응 역량이 더 중요함을 시사합니다.조직은 최신 위협 정보를 기반으로 자산별 우선순위에 따라 취약점 관리 전략을 수립해야 하며, 단순히 패치를 제공하는 것을 넘어 실제 적용 여부를 확인하고 추적하는 체계가 필요합니다. 특히 사용자 실수를 노린 사회공학적 공격이 증가함에 따라 기술 대응만큼이나 사용자 대상 교육과 실전 모의 훈련이 병행되어야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

BPFDoor 해킹사고

고객 유심 정보 유출 사과문 (출처: oo기 홈페이지)oo기업 해킹 사고 2025년 4월 말, OO기업의 가입자 인증 시스템(HSS: Home Subscriber Server)이 악성코드에 감염되어 약 2,695만 건에 달하는 유심(USIM) 관련 정보가 외부로 유출되는 보안사고를 겪었습니다. 유출된 정보에는 이동통신 망 인증 과정에서 사용되는 단말기 고유 식별 번호(IMEI), 가입자 식별 번호 (IMSI), 유심 인증 키(KI) 등이 포함되어 있습니다.이번 사건은OO기업전체 가입자 수를 초과하는 규모로 국내 통신사 해킹 사례 중 단일 사고로는 최대 수준으로 평가되고 있습니다. 유출된 정보 중 일부는 다크웹에서 실제 거래 정황이 포착되었으며, 이로 인해 향후 유심 복제나 스미싱, 금융 사기 등 2차 피해로 이어질 가능성도 제기되고 있습니다. 특히 유심 인증 정보는 한번 유출될 경우 일반 사용자가 피해 사실을 인지하기 어렵고 대응이 지연될 수 있다는 점에서 더욱 심각한 위협으로 간주되고 있습니다.깃허브에 공개된 BPFDoor한국 통신사가 이미 BPFDoor 공격당한 것으로 분석됨 (출처: 트렌드마이크로)BPFDoor 악성코드란? BPFDoor는 리눅스 서버에 설치되어 포트를 열지 않고도 공격자의 명령을 수신 할 수 있는 백도어 악성코드입니다. 이 악성코드는 리눅스 커널의 BPF(Berkeley Packet Filter) 기술을 활용해 특정한 매직 패킷이 도달했을 때만 동작하는 방식으로 설계되어 있습니다. 또한 리버스 쉘 실행, 방화벽 우회, RC4 암호화 통신 등 고급 기능을 통해 탐지를 어렵게 하며, 프로세스 위장 및 파일리스 실행으로 보안 솔루션을 회피합니다.BPFDoor는 2021년 공개된 이후, 중국계 해킹 그룹을 중심으로 APT 공격에 활용된 사례가 다수 보고되었습니다. 특히 이번OO기업해킹 사태에서도 여러 시스템에 이 악성코드가 설치되어 있었으며, 수년간 발각되지 않고 장기적으로 활동하며 대규모 정보를 유출한 것으로 나타났습니다. 해킹 사태에 쓰인 악성 코드는 오픈소스 기반으로 변형 가능성이 높은 만큼 지속적인 행위 기반 탐지와 보안 로그 모니터링이 필수적입니다. 또한, eBPF를 윈도우 시스템에 적용하려는 시도도 진행 중으로 리눅스 이외의 시스템에서도 주의가 필요합니다.결론이번 사고는 단순한 정보 유출을 넘어 통신 인프라의 보안체계 전반에 대한 신뢰를 크게 훼손한 사건으로 평가되고 있습니다. 사고 이후OO기업은 침해 서버 격리와 함께 전국 대리점에서 유심 무상 교체 서비스를 제공하였으며, 유심 복제를 방지하기 위한 유심 보호 서비스를 전면 무상화 하였습니다. 그럼에도 불구하고 5월 한 달 동안OO기업을 이탈한 가입자는 약 94만 명으로, 이는 전월 대비 약 77% 증가한 수치입니다. 아울러 피해 이용자들은 집단분쟁조정을 신청하며 기업의 책임을 묻는 움직임도 나타나고 있습니다. 이 사건은 고도화된 백도어 공격이 기존의 보안 체계를 무력화시킬 수 있음을 보여준 대표적인 사례로 앞으로 기업과 기관은 유사 사고 재발을 방지하기 위해 노력하여야 합니다.BPFDoor 기반 악성코드 대응 방안 • 침해 지표(IOC) 기반 탐지 및 차단 • 비정상 네트워크 트래픽 탐지 강화 • 시스템 모니터링 및 파일 무결성 검증 • 로그 분석 및 장기 로그 보관• 보안 솔루션 탐지 우회 감시 • 내부 사용자 대상 정기적인 보안 교육 실시KISA BPFDoor 악성코드 점검 가이드 참고 (출처: KISA 보호나라)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

진화하는 사이버 위협, 피싱

최근 5년 간 미국 내 사이버 범죄 피해 추이 (출처: FBI)FBI 2024년 연간 인터넷 범죄 분석미국 연방수사국(FBI) 인터넷범죄신고센터(IC3)가 23일 발간한 2024 연간 인터넷 범죄 보고서에 따르면, 지난해 85만 9,532건의 사이버 범죄 피해 신고가 접수 됐으며, 피해 총액은 166억달러였습니다. 이는 전년 대비 33% 증가한 수치입니다. 이중 실제 피해가 일어난 것은 25만 6,256건이었으며, 사건당 평균 피해 금액 은 1만 9,372달러였습니다.가장 흔하게 나타난 공격 방식은 피싱 및 스푸핑으로 전체 중 22.5% 차지했으며 갈취가 10%, 개인정보 유출이 7.5%로 뒤를 이었습니다. 투자 사기 관련 사이버 범죄 피해 규모가 650만달러로 가장 컸고, 기업 이메일 공격과 기술 지원 사칭으로 인한 피해가 각각 277만달러와 146만달러였습니다. 개인정보 유출로 인한 피해도 145만달러에 달했습니다.연령대별 사이버 범죄 피해 규모 (출처: FBI)FBI가 발표한 사이버 위협 연령대별 통계연령대별 사이버 범죄 피해를 조사한 결과, 특히 노인들이 사이버 공격에 취약해 가장 많은 피해를 보는 것으로 드러났습니다. 60세 이상 인구 집단은 14만 7,127건 의 신고를 접수했고, 피해액은 48억달러였습니다. 신고 건수와 피해 금액 모두 전체 연령별 집단 중 가장 많았습니다.콜센터나 교통 범칙금을 통보하는 경찰 등을 사칭해 돈이나 개인정보를 가로채는 인터넷 사기 피해액이 137억달러로 전체 사이버 범죄 피해의 대부분을 차지했습니다. 랜섬웨어나 DDos 등 디지털 인프라에 대한 공격으로 인한 피해는 15억 7,100 만달러였습니다. 전체 신고의 9%를 차지한 랜섬웨어 공격이 인프라에 대한 가장 큰 위협으로 평가되었습니다.인기 있는 소셜 플랫폼과 금융 사이트를 사칭한 피싱 사이트 (출처: Fortinet)진화하는 사이버 위협, 피싱피싱 전술이 더욱 정교해짐에 따라 공격자들은 다양한 플랫폼과 서비스로 공격 대상을 확대하고 있습니다. AI의 활용은 이러한 기법을 더욱 정교하게 만들어 피싱 시도를 더욱 기만적이고 탐지하기 어렵게 만들었습니다.조직은 빠르게 진화하는 위협 환경에 발맞춰 방어 체계를 강화해야 합니다. 이 메일 필터나 블랙리스트와 같은 기존 방어 체계는 알려진 위협을 차단할 수 있지만, 신종 및 AI 기반 피싱 공격에는 효과가 떨어집니다. 실시간 안티피싱 (RTAP) 솔루션은 AI와 머신러닝을 활용하여 대규모 피싱 캠페인과 고도로 표적화된 스피어피싱 공격을 실시간으로 식별하고 완화함으로써 이러한 과제를 해결하는 데 도움을 줍니다.결론최근 다수 발견된 피싱은 단순한 수준을 넘어서 정교한 복제 기술과 다크웹 기반 유통망을 통해 실제 사이트와 거의 구별이 불가능한 수준으로 진화하고 있습니다. 특히 다크웹에서 프론트 및 백앤드 통합 복제 서비스가 거래되고, 도메인 위장 기법이 고도화되면서 피해자는 물론 정상 기업에도 심각한 피해를 유발하고 있습니다. 또한, 단일 도메인 내에서 국가별 피싱 페이지를 운영하는 정황은 다수의 사기 캠페인이 전 세계적으로 확산되고 있음을 시사합니다.사용자, 기업 및 보안 담당자 대응 방안• 사용자 측 대응방안 1. 도메인 철자와 형식을 주의 깊게 확인하고 자주 이용하는 사이트는 북마크를 활용해 접속하는 방법이 좋습니다. 2. 사칭 사이트는 로그인 필드만 존재하거나 입력 시 비 정상적인 리다이렉션이 발생하는 경우가 많아 이상 징후에 주의를 기울여야 합니다.• 기업 및 보안 담당자 대응 방안 1. 브랜드 보호 차원에서 유사 도메인 등록 여부를 주기적으로 모니터링합니다. 2. DNS 및 방화벽 보안 장비에 IOC를 등록하여 위협 도메인을 차단하고, 기타 보안솔루션에도 연동해 사전 대응력을 높이는 것이 중요합니다. 3. 고객을 대상으로 자사 공식 도메인을 안내하고 피해 사례 발생 시 빠르게 공지하여 신뢰를 유지할 필요가 있습니다. 4. 다크웹 모니터링을 통해 위협 조기 탐지 및 대응체계를 갖추는 것도 권장됩니다이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

라자루스, 한국 겨냥한 오퍼레이션 싱크홀 공격

워터링 홀 공격 과정북한 라자루스, 한국 겨냥한 오퍼레이션 싱크홀 공격북한 해킹 조직인 라자루스 그룹이 국내에서 널리 사용되는 파일 전송 소프트웨어의 취약점을 악용해 한국을 공격한 정황이 드러났습니다. 이번 공격은 고도화된 워터링 홀 방식과 서드파티 소프트웨어 취약점 악용을 결합한 정밀 공급망 공격 형태로 전개 됐습니다.라자루스는 국내 행정 및 금융 시스템에서 보안 파일 전송 용으로 널리 활용되는 이노릭스 에이전트 취약점을 활용해 감염 시스템 내부로 측면 이동을 시도하고 최종적으로 ThreatNeedle, LPEClient 등의 악성코드를 배포해 내부 네트워크를 장악했습니다.이번 새로운 사이버 공격을 오퍼레이션 싱크홀이라 명명했습니다. 라자루스는 소프트웨어, IT, 금융, 반도체, 통신 분야 등 최소 6개 한국 조직을 표적으로 삼았으며, 공격 에 악용된 소프트웨어의 보급률을 감안할 때 실제 피해 규모는 훨씬 더 클 것으로 보 입니다.리다이렉션된 공격 페이지 (출처: 카스퍼스키)오퍼레이션 싱크홀 공격 흐름오퍼레이션 싱크홀 공격 흐름공격자는 한국 사용자가 자주 방문하는 온라인 미디어 사이트를 감염시켜 워터링 홀 방식으로 피해자를 특정하고, 악성 리다이렉션 페이지를 통해 공격을 개시했습니다. 피해자의 브라우저는 공격자가 제어하는 사이트로 연결되며, 이후 Agamemnon이라는 악성 다운로더가 실행되면서 취약한 이노릭스 에이전트 버전(9.2.18.496)을 표적으로 악성코드를 설치했습니다.이 과정에서 한국산 정품 보안 프로그램 CrossEX의 하위 프로세스인 SyncHost.exe이 공격에 악용됐습니다. CrossEX는 브라우저 기반 환경에서 보안 파일 전송을 지원하는 도구로, 한국 내 기업 환경에 깊숙이 침투해 있는 특화 소프트웨어입니다. ThreatNeedle과 SIGNBT 백도어의 변종은 이 정품 프로세스 메모리 내에서 실행되며 탐지를 회피했습니다.이노릭스 외에도 브라우저 플러그인 등 다른 서드파티 도구들이 반복적으로 공격에 악용 됐습니다. 특히 해당 도구들은 높은 권한으로 실행되고 브라우저 메모리와 밀접하게 연동되기 때문에 공격자에게 매력적인 표적이 되므로 주의해야 합니다.결론라자루스 그룹은 한국 소프트웨어 생태계에 대한 깊은 이해를 바탕으로 다단계 사이버 공격을 수행하고 있습니다. 워터링 홀 방식과 서드파티 소프트웨어 취약점을 결합해 공격을 감행하는 과정에서 이노릭스 에이전트의 취약점이 악용됐고, 공격자는 이를 통해 추가 악성코드를 설치하며 내부 네트워크를 장악했습니다. 이번 사이버 공격은 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례로 정부와 민간 기업의 긴밀한 협력을 통해 위협 인텔리전스와 리소스를 공유하며 국가적 차원의 디지털 방어를 강화해 야 합니다.라자루스 공격 대응을 위한 보안 권고 사항• 소프트웨어 최신 업데이트• 정기적인 네트워크 및 자산 보안 감사• EDR/XDR 기반 실시간 위협 대응 체계 구축• 최신 위협 인텔리전스 활용이 콘텐츠의 저작권은한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

메두사 랜섬웨어, 주요 사이버 보안 위협으로 부상

메두사 랜섬웨어 (출처: thehackernews)메두사 랜섬웨어 랜섬노트 (출처: unit42)메두사 랜섬웨어란?메두사(Medusa) 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS(Ransomwareas-a-Service) 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활 발하게 활동하며 악명을 떨쳤습니다.해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으로 삼고 있습니다. 공격자들은 주로 피싱 캠페인, 공개된 인터넷 자산, 패치되지 않은 취약점을 이용하여 초기 침투에 성공하며 경우에 따라 초기 접근 브로커를 통해 외 부로부터 접근 권한을 구매하기도 합니다. 메두사 랜섬웨어는 침투 이후 데이터를 암호화한 뒤 유출 사실을 공개하겠다고 협박하 는 이중 갈취(Double Extortion) 전략을 사용해 피해자에게 금전을 요구합니다. 또한 운영 체제에 내장된 도구 등 정상 소프트웨어를 악용하는 자급자족형(living-off-theland) 기술을 통해 보안 탐지를 회피하고 은밀하게 활동합니다.2023~2025 메두사 랜섬웨어 공격 건수 (출처: Medusa leaks site)메두사 랜섬웨어, 2025년 40건 이상 공격2025년 들어 메두사 랜섬웨어의 활동은 급격히 증가하였습니다. 2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 이들은 주로 의료, 교육, 법률, 보 험, 기술, 제조 등 다양한 산업을 표적으로 삼았습니다. 2023년과 2024년 사이 공격 건수가 42% 증가한 것으로 나타났으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다.몸값 요구 금액은 최소 10만 달러에서 최대 1,500만 달러에 이르렀으며, 피해 기업의 규모나 중요도에 따라 크게 차이가 났습니다. 이 가운데 의료 기관과 교 육 기관이 가장 많은 공격을 받은 것으로 나타났습니다. 특히 의료 기관은 민감 한 환자 데이터를 보유하고 있고 교육 기관은 연구 데이터 및 학생 정보를 이유 로 협박의 강도가 높은 경향을 보였습니다.메두사 랜섬웨어 블로그 (출처: unit42)메두사 랜섬웨어 공격 기법메두사 랜섬웨어는 Microsoft Exchange Server 등의 취약점을 악용하거나 초기 접근 브로커(IAB)를 통해 조직 내부로 침투합니다. 침투 후에는 SimpleHelp, AnyDesk, MeshAgent 등의 원격 관리 도구를 설치해 지속적인 접근을 유지하고 PDQ Deploy를 활용해 악성 파일을 내부에 전파합니다.보안 우회를 위해 BYOVD 기법으로 취약한 드라이버를 실행하고 KillAV 도구를 사 용해 백신과 보안 프로그램을 종료시킵니다.이후 NetScan으로 네트워크를 탐색하고 크리덴셜 덤핑을 통해 관리자 권한을 탈취 한 뒤 측면 이동(lateral movement)을 수행합니다.마지막으로 RoboCopy와 Rclone 같은 도구를 이용해 데이터를 유출하고 암호화한 뒤 유출 정보를 공개하겠다고 협박하는 이중 갈취 전략을 실행합니다.결론메두사 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활발 하게 활동하며 악명을 떨쳤습니다. 해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으 로 삼고 있습니다.2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다. 이는 메두사 랜섬웨어 조직이 전 세계적으로 공격을 확대하면주요 사이버 보안 위협으로 부상하고 있어 각별한 주의가 필요합니다.메두사 랜섬웨어에 대응하기 위한 조치사항 • 운영 체제, 소프트웨어, 펌웨어 등 알려진 취약점이 악용되지 않도록 위험 수준에 따라 적절한 시기에 패치하고 최신 상태로 유지합니다.• 초기 감염된 장치나 동일 조직 내 다른 장치로의 측면 이동을 차단하기 위해 네트워크를 분할합니다.• 신뢰할 수 없거나 출처가 불분명한 트래픽이 내부 시스템의 원격 서비스에 접근하지 못하도록 네트워크 트래픽을 필터링합니다.• 계정이 탈취되더라도 추가 인증 없이 접근하지 못하도록 다중 인증을 활성화합니다.• 정기적인 백업을 통해 데이터 복구가 가능하도록 하며 피싱 및 악성 이메일에 대한 교육을 통해 보안 인식을 높일 수 있도록 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Remcos RAT 악성코드

유포 메일 원본 (출처: ASEC)첨부된 html 스크립트 JS (출처: ASEC)Remcos RAT 악성코드 개요Remcos는 원격 액세스 트로이 목마(RAT)이며 2021년 상위 10개 멀웨어 변종 중 하나입니다. 컴퓨터를 감염시킨 후 Remcos는 공격자에게 감염된 시스템에 대한 백 도어 액세스를 제공하고 다양한 민감한 정보를 수집합니다.Remcos는 일반적으로 피싱 공격을 통해 배포됩니다. 멀웨어는 송장 또는 주문이 포 함되어 있다고 주장하는 PDF로 가장한 악성 ZIP 파일에 포함될 수 있습니다. 또는 Microsoft Office 문서 및 악성 매크로를 사용하여 멀웨어의 압축을 풀고 배포하는 멀웨어도 배포되었습니다.주로 html 스크립트 클릭을 유도하는 내용으로 발송하며 유포되는 메일의 원본으로 내부에 html 스크립트가 첨부되어있습니다. 해당 html 파일은 실행하여 Download 버튼을 클릭하면 악성 JS 파일이 다운로드 됩니다. 하지만 다운로드 URL은 “blob” 형태의 URL로 외부 서버로부터 다운로드 하는 유형은 아닙니다.복호화된 자바스크립트 (출처: ASEC)자바스크립트의 생성 파일의 기능 (출처: ASEC)Remcos RAT 악성코드 공격 흐름 html 스크립트의 코드로 인코딩된 악성 자바스크립트를 오브젝트로 변환하여 브라 우저 내에서만 접근 가능한 URL을 통해 악성 JS 파일을 생성합니다. 더미코드를 제거한 실제 악성 행위를 수행하는 코드입니다. 실행 시 그림과 같이 임의 구동 파일 을 생성(knkfcutogchunsg.bls, wtine.amv) 및 다운로드(kmwdx.txt, fdilfn.dll) 하며 기능은 아래와 같습니다.임의 구동 파일들을 생성한 이후에 정상 오토잇 로더(kmwdx.txt)의 인자로 악성 오토잇 스크립트(fdilfn.dll)를 실행합니다. 쉘코드 기능의 일부 코드로 인젝션을 위 해 정상 프로세스(RegSvcs.exe)를 실행(CreateProcessW) 하는 코드입니다.이후 아래와 같은 순서로 Remcos 악성코드를 인젝션 합니다. 이후 정상 프로세스 (RegSvcs.exe)에서 동작하는 Remcos RAT 악성코드의 메인함수 일부입니다. 최 종적으로 실행된 Remcos RAT는 Remote Access Tool 악성코드로 C2 명령에 따라 사용자 PC의 정보 탈취 및 다양한 원격 명령이 수행될 수 있습니다.결론Remcos RAT은 공격자가 사용자 PC에 접근해 시스템에 대한 제어권을 가질 수 있는 백도어입니다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기 때문에 발견 즉시 삭제해야 합니다. 또한 악성 메일의 첨부 파일 실행을 유도하기 때문에 이를 방지하기 위해서는 악성 메일에 대한 사용자의 보안 인식과 정기적인 백신 업데이트가 필요합니다.Remcos RAT 악성코드에 대한 보안 권장 사항• 공격자의 주소나 침해당한 주소로 정보를 유출하는 유형과 달리 정상 플랫폼을 C2로 활용하는 사례가 계속 증가하고 있으므로 사용자는 각별한 주의가 필요합니다.•출처가 불분명한 메일 열람은 사용자의 각별한 주의가 요구됩니다.• 2차 피해를 예방하기 위해 주기적인 패스워드 변경이 필요합니다.• PC에서 민감한 자동완성 데이터를 사용하지 않는게 좋습니다.• 정기적인 백신 업데이트가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

랜섬웨어 수익 감소, 그 이유는?

랜섬웨어 피해액 연도별 변화 (출처: Chainalysis)2024년 랜섬웨어 개요2024년 랜섬웨어 공격으로 인한 총 수익은 약 8억 1,355만 달러로 2023년 대비 35% 감소하였습니다. 이는 2022년 이후 처음으로 수익이 줄어든 사례입니다. 특히 2024년 상반기에는 랜섬웨어 공격자들이 약 4억 5,980만 달러를 갈취하며 전년 동 기 대비 2.38% 증가했으나 7월 이후 공격 활동이 급격히 줄어들면서 하반기 피해액 이 34.9% 감소하였습니다.이러한 감소는 피해자들의 랜섬머니 지급 거부 증가와 법 집행 기관의 적극적인 개입 이 주요 원인으로 작용한 것으로 보입니다. 특히 2024년 초 LockBit과 같은 대형 랜섬웨어 그룹이 국제법 집행 기관의 집중 단속을 받으며 운영이 크게 위축된 점도 영향을 미쳤습니다.그러나 랜섬웨어 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화에서 벗어나 데이터 유출을 활용한 협박 전략을 강화하고 있습니다. 따라서 기업과 기관의 보안 강화 및 법 집행 기관의 지속적인 대응이 필수적입니다.법 집행 기관으로부터 단속된 LockBitAkira 랜섬웨어 협박 메시지주요 랜섬웨어 그룹 활동 변화 Akira 랜섬웨어 협박 메시지 2024년 랜섬웨어 그룹별 활동에는 큰 변화가 있었습니다. LockBit의 경우 2024 년 초 영국 국가범죄청(NCA)과 미국 연방수사국(FBI)의 대규모 단속으로 인해 하반기 피해액이 79% 감소하였습니다. 이는 국제법 집행 기관들의 협력이 랜섬웨어 조직을 무력화하는 데 효과적이었다는 것을 보여줍니다.ALPHV(BlackCat)은 2023년까지 주요 랜섬웨어 그룹으로 활동했으나 2024년 1월 내부 사기 사건이 발생하면서 조직이 와해되었습니다. 이로 인해 해당 그룹의 활동이 중단되었으며 랜섬웨어 생태계 전반에도 영향을 미쳤습니다.반면, Akira는 2023년 3월 이후 250개 이상의 기관을 공격했으며 2024년 하반기에도 활동을 지속한 유일한 상위 10위 랜섬웨어 그룹으로 나타났습니다. 기존 주요 조직들이 약화된 상황에서도 공격을 이어가고 있어 새로운 위협으로 부상하고 있습니다.2024년 랜섬웨어 피해자 대응 변화 (출처: Chainalysis)피해자 대응 및 데이터 유출 협박2024년 하반기 랜섬웨어 사건 수는 증가했지만 피해자가 실제로 지급한 랜섬머니 총액은 감소하는 추세를 보였습니다. 이는 기업과 개인의 지급 거부 사례 증가가 주요 원인으로 분석됩니다.이에 대응해 공격자들은 데이터 유출을 활용한 협박을 강화하고 있습니다. 2024년 에는 새로운 데이터 유출 사이트가 56개 등장했으며 이는 2023년 대비 두 배 증가한 수치입니다. 피해자의 데이터를 공개적으로 유출하여 심리적 압박을 가하는 전략이 더욱 활성화되고 있으며 이는 기업의 명성 훼손과 법적 문제로 이어질 수 있습니다.또한, 랜섬웨어 조직들은 자금 세탁 방식도 진화시키고 있습니다. 기존에는 믹서 (Mixer)를 통한 세탁이 일반적이었으나 법 집행 단속이 강화되면서 중앙화 거래소 (CEX), 개인 지갑, 브릿지(Bridge) 등을 통한 자금 이동이 증가하고 있습니다. 이는 공격자들이 감시를 피해 보다 다양한 방식으로 자금을 은닉하고 있음을 시사합니다.결론랜섬웨어 공격으로 인한 피해액은 감소하고 있지만 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화 방식에서 벗어나 데이터 유출을 활용한 협박 전략을 더욱 강화하고 있습니다. 이에 법 집행 기관의 단속이 일정 수준의 효과를 거두면서 주요 랜섬웨어 그룹들의 활동이 위축되었지만 새로운 랜섬웨어 그룹들이 등장하며 위협이 지속되고 있습니다.또한, 공격자들은 기존의 믹서(Mixer) 서비스를 이용한 자금 세탁 대신 중앙화 거래소(CEX), 개인 지갑, 브릿지(Bridge) 등을 활용하여 법 집행 기관의 감시를 회피하려 하고 있습니다. 이에 따라 랜섬웨어 위협을 완화하기 위해서는 기업 및 기관의 보안 강화, 피해자의 적극적인 대응, 법 집행 기관의 지속적인 단속과 국제적 협력이 필수적입니다.대응 방안• 정기적인 보안 점검 및 패치 적용• 오프라인과 클라우드를 병행한 데이터 백업• 피싱 이메일 및 악성코드 대응 보안 교육• 데이터 유출 피해를 최소화할 대체 복구 전략 마련• 데이터 접근 통제 및 암호화 강화• 랜섬머니 지급이 아닌 랜섬웨어 복구 도구 이용이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Kimsuky의 새로운 공격 캠페인 DEEP#DRIVE

DEEP#DRIVE 공격 흐름 (출처: Securonix)새로운 공격 캠페인 ‘DEEP#DRIVE’최근 사이버 보안 연구자들은 북한의 해킹 그룹인 Kimsuky가 새로운 사이버 공격 캠페인인 DEEP#DRIVE를 수행하고 있음을 발견했습니다. 이 공격은 주로 한국의 기업, 정부 기관 및 암호화폐 사용자를 대상으로 하며 정교한 피싱 공격과 악성 파일 배포 기법을 사용하여 시스템을 침투하고 정보를 탈취하는 방식으로 진행됩니다.공격자들은 신뢰할 수 있는 문서 파일 형식인 한글(.hwp), 엑셀(.xlsx), 파워포인트(.pptx) 등을 악용하여 악성 파일을 위장하고 있습니다. 피해자는 이 파일을 실행하면 자신도 모르게 악성 코드에 감염되며 이후 공격자는 피해자의 시스템에 침투하여 다양한 정보를 수집하고 외부로 전송합니다. 이러한 공격 방식은 사회공학적 기법을 활용하여 피해자가 의심 없이 파일을 열도록 유도하는 것이 특징입니다.피싱 미끼 (출처: Securonix)DEEP#DRIVE 공격 분석공격자들은 한국어 맞춤형 피싱 미끼를 이용해 종신안내장V02_곽성환 D.pdf.pdf와 같은 .lnk(바로가기) 파일을 문서 파일로 위장하여 배포합니다. 사용자가 이를 실행하면 악성 스크립트가 자동 실행되며 추가 악성 코드가 다운로드됩니다.공격자는 감염된 시스템에서 지속적인 접근을 유지하기 위해 ChromeUpdateTaskMachine이라는 이름의 Windows 작업 스케줄러 작업을 생성합니다. 이를 통해 악성 스크립트가 정기적으로 실행되도록 설정하여 가해자가 시스템을 재부팅 하더라도 공격이 계속될 수 있도록 합니다.또한, 공격자는 감염된 시스템에서 PowerShell 기반 악성 스크립트 (system_first.ps1)를 실행해 IP 주소, 운영 체제 정보, 백신 제품, 실행 중인 프로세스 등의 데이터를 수집합니다. 이후 이를 신뢰할 수 있는 클라우드 서비스인 Dropbox로 전송하여 보안 탐지를 우회합니다. 이는 보안 시스템이 Dropbox와 같은 합법적인 서비스의 트래픽을 차단하지 않는 점을 악용한 전략입니다.결론DEEP#DRIVE 캠페인은 정교한 피싱 공격과 악성 코드 유포 기법을 결합하여 신뢰할 수 있는 플랫폼을 악용하는 특징을 가지고 있습니다. 특히, 한국어 기반의 맞춤형 공격을 활용하고 Dropbox와 같은 합법적인 서비스를 악용해 탐지를 우회함으로써 보안 대응을 더욱 어렵게 만들고 있습니다. 이러한 위협은 기존 보안 솔루션만으로 완벽히 차단하기 어려우며 조직 차원의 선제적 대응과 지속적인 보안 모니터링이 반드시 필요합니다. 따라서 보안 인식 교육 강화, 악성 코드 탐지 시스템 도입, 클라우드 서비스 모니터링 강화 등 다층적인 보안 전략이 요구되며 지속적으로 발전하는 사이버 위협에 대응하기 위해 최신 보안 동향을 파악하고 철저한 대비책 마련이 필 수적입니다.대응 방안• PowerShell 사용 제한• Dropbox를 포함한 클라우드 서비스 모니터링• 사용자 피싱 이메일 교육• 보안 업데이트 및 백신 프로그램 실행• Windows 작업 스케줄러의 비정상적인 작업 생성 및 실행 차단이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2024년 하반기 사이버 위협 동향 - KISA

침해사고 신고 현황 (출처: KISA 2024 하반기 사이버 위협 동향 보고서)유형별 침해사고 신고 현황 (출처: KISA 2024 하반기 사이버 위협 동향 보고서)2024년 하반기 사이버 위협 동향 - 침해사고 신고 현황한국인터넷진흥원에서 발표한 2022년부터 2024년까지 반기별 침해사고 신고 현황을 살펴보면 2024년 상반기 침해사고 신고 건수는 899건으로 전년 상반기 대비 35% 증가했고 2024년 하반기 침해사고 신고 건수는 988건으로 전년 하반기 대비 61% 증가하였습니다. 이는 공격자의 해킹 경유지 악용 등으로 인한 서버 해킹이 크게 증가했기 때문으로 보입니다.2024년 유형별 침해사고 신고 통계를 살펴보면 서버 해킹 공격이 전년대비 약 2배로 급격히 증가했습니다. 이는 공격자의 해킹 경유지 악용과 더불어, 보안관리가 취약한 중소기업의 홈페이지 웹 취약점을 악용한 웹 셸 공격이 증가한 것과도 밀접한 관련이 있습니다.정보유출, 스팸 문자 및 메일 발송 등 기타 유형의 침해사고 신고는 매년 상반기보다 하반기에 증가하였는데 이는 연말 행사, 취업 준비, 대학 입시 등 연령대별 관심사를 노린 사회 공학적 피싱 공격이 하반기에 더 많이 발생하기 때문입니다.락앤락 개인정보 유출 관련 안내 (출처: 락앤락)국내 서버 해킹 사례 ①락앤락은 신원 미상의 외부 해커로부터 서버 해킹 공격을 받아 통합회원 등의 개인 정보가 유출되는 사건이 발생하였습니다. 유출된 개인정보에는 아이디, 암호화된 비밀번호, 이름, 주소, 휴대폰번호, 이메일, CI 등이 포함되었으며 입력된 정보에 따라 성별, 생일, 기념일, 전화번호, 자동로그인 연동 정보 등이 추가로 포함되었을 가능성이 있습니다.사고 발생 후 락앤락은 즉시 접근 통제와 모니터링을 강화하고 한국인터넷진흥원 (KISA)에 해킹 사고를 신고하여 조사를 진행하였습니다. 해당 개인정보 유출로 인해 보이스피싱 등 2차 피해가 발생할 우려가 있었으며 이에 따라 이용자들에게 피싱 메시지에 대한 주의를 당부하고 비밀번호 변경 등 보안 조치를 하도록 권장하였습니다.스티비 개인정보 유출 관련 안내 (출처: 스티비)국내 서버 해킹 사례 ②국내 뉴스레터 플랫폼 스티비가 서버 해킹 공격을 받아 일부 사용자들의 개인정보가 유출되는 사건이 발생하였습니다. 이번 해킹으로 인해 이메일, 비밀번호, 이름, 연락처, 결제 시 사용한 카드 정보 등이 유출된 것으로 확인되었습니다. 특히, 이번 공격으로 인해 프롭테크 스타트업 알스퀘어의 뉴스레터 구독 자 약 4만 명에게 외교부를 사칭한 스팸 메일이 발송되는 등 2차 피해가 발생하면서 피해자들의 불안이 커졌습니다.사고 발생 후 스티비 측은 즉시 보안 정책을 강화하고 피해를 최소화하기 위해 보안 전문 기관과 협력하였습니다. 또한, 향후 서비스 제공에 필요한 최소한의 정보만 보유하는 방향으로 개인정보 보관 정책을 변경할 계획이라고 발표하였습니다.결론2022년부터 2024년까지 해킹 공격이 급증하면서 2024년에는 침해사고 신고 건수가 전년 대비 최대 61% 증가하였습니다. 특히, 해커들이 서버를 해킹 경유지로 악용하는 사례가 늘어나면서 기업과 기관의 보안 위협이 더욱 심화되고 있습니다.최근 발생한 락앤락과 스티비의 서버 해킹 사고는 기업이 보안 시스템을 철저히 관리하지 않을 경우 대규모 개인정보 유출로 이어 질 수 있음을 보여주는 대표적인 사례입니다. 두 사례 모두 사용자의 중요한 개인정보가 유출되었으며 이는 기업의 보안 취약점이 해커들의 주요 공격 대상이 되고 있음을 보여줍니다.기업은 단순한 보안 조치만으로는 충분하지 않으며 정기적인 보안 점검과 최신 보안 기술 적용이 필수적입니다. 개인정보 보호는 기업의 신뢰와 직결되므로 선제적인 보안 강화와 신속한 대응 체계를 구축하는 것이 반드시 필요합니다. 특히 다중 인증(MFA) 도입, 최신 보안 패치 유지, 서버 접근 권한 최소화 등 종합적인 보안 대책을 지속적으로 강화해야 합니다. 이를 통해 해킹 위협을 사 전에 차단하고 고객의 개인정보를 안전하게 보호할 수 있을 것입니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

PlushDaemon, 한국 IPany VPN 표적 삼다

IPany 웹사이트 (출처: IPany)악성 설치 프로그램을 다운로드할 수 있는 IPany 웹 페이지 (출처: ESET)PlushDaemon, 한국 IPany VPN 표적 삼다PlushDaemon은 최소 2019년부터 활동해 온 중국과 연계된 APT 그룹으로 주로 중국, 대만, 홍콩, 한국, 미국, 뉴질랜드의 개인 및 기관을 대상으로 사이버 스파이 활동을 수행하여 왔습니다.2023년, PlushDaemon은 한국의 VPN 소프트웨어 IPany의 설치 프로그램을 악성코드로 교체하는 공급망 공격을 수행하였습니다. 사용자가 공식 웹사이트에서 VPN을 다운로드하는 과정에서 감염되었으며 설치 프로그램 내부의 악성코드가 실행되었습니다.이 악성 설치 프로그램은 정상적인 VPN과 함께 SlowStepper 백도어를 설치 하여 공격자가 피해자의 시스템에 원격 접근할 수 있도록 하였습니다. 이 공격으로 한국의 반도체 기업 및 소프트웨어 개발 회사에서 감염 사례가 확인되었으며 일본과 중국에서도 피해자가 보고되었습니다.정상 파일과 악성 파일 배포 (출처: ESET)SlowStepper의 pycall 셸 명령을 통한 도구 실행 (출처: ESET)맞춤형 멀웨어 ‘SlowStepper’SlowStepper는 C++, Python, Go로 작성된 다기능 백도어로 약 30개의 모듈로 구성되어 있습니다. 이 백도어는 감염된 시스템에서 다양한 스파이 활동을 수행할 수 있도록 설계되었으며 모듈식 구조로 인해 기능을 확장하거나 변형하기 용이합니다.SlowStepper는 감염된 시스템에서 시스템 정보를 수집하고 추가적인 악성코드를 다운로드하여 실행할 수 있습니다. 또한, 파일 시스템을 열람하고 Python 기반의 스파이웨어 모듈을 실행하며 공격자의 명령을 수행하는 기능을 갖추고 있습니다. 뿐만 아니라 특정 파일을 삭제하거나 감염 흔적을 제거하기 위한 자가 삭제 기능도 포함되어 있습니다.이 백도어는 주로 DNS 쿼리를 이용한 C&C(Command and Control) 통신 기법을 통해 공격자의 명령을 수신하고 데이터를 전송합니다. 이를 통해 보안 솔루션을 우회할 수 있으며 정기적으로 공격자와 연결하여 명령을 수신할 수 있습니다.결론PlushDaemon의 이번 공급망 공격은 VPN 소프트웨어의 신뢰성을 악용하여 악성코드를 배포한 대표적인 사례입니다. 특히, 사용자가 공식 웹사이트에서 소프트웨어를 다운로드하는 과정에서 감염되었기 때문에 기존의 보안 지침만으로는 방어하기 어려운 심각한 보안 위협이 되었습니다.SlowStepper 백도어는 정교한 설계와 모듈식 구조를 통해 장기간 피해자의 네트워크를 감시하고 정보를 수집할 수 있으며 DNS 기반 C&C 통신 방식을 사용해 보안 솔루션을 우회할 가능성이 높습니다. 이러한 특성으로 인해 일반적인 네트워크 모니터링만으로 탐지하기 어려운 강력한 위협이 됩니다.이러한 공급망 공격과 백도어 위협에 대응하기 위해서는 소프트웨어 공급망의 무결성을 보장하는 보안 조치가 필수적입니다. 기업과 보안 연구 기관은 APT 그룹의 동향을 지속적으로 추적하고 최신 공격 기법을 분석하여 사전 방어 전략을 수립해야 합니다. 또한, 소프트웨어 코드 서명 검증, 침입 탐지 시스템(IDS) 활용, 네트워크 모니터링 강화 등을 통해 보안 대응 체계를 구축하는 것이 중요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

북한 해커, 13억 달러 상당의 암호화폐 탈취

총 손실액 (출처: Chainalysis)북한 해커, 13억 달러 상당의 암호화폐 탈취2024년 북한 해커들은 47건의 사이버 공격을 통해 총 13억 4천만 달러 상당의 암호 화폐를 탈취하며 사상 최대의 피해 규모를 기록했습니다. 이는 전 세계 암호화폐 해킹 피해액의 61%에 해당하며 전년 대비 21% 증가한 수치입니다.특히, 2024년 5월 일본의 DMM 비트코인에서 약 3억 500만 달러, 7월 인도의 WazirX에서 약 2억 3천 500만 달러 상당의 암호화폐가 탈취된 사건이 주목받았습니다. 이번 공격에서 탈취된 자산의 44%는 개인 키 유출로 인해 발생했으며 보안 취 약점의 악용은 6.3%에 불과했습니다.또한, 해커들의 공격 목표는 시기별로 변화하는 양상을 보였습니다. 1분기에는 주로 DeFi 플랫폼이 주요 표적이었으나 2분기와 3분기에는 중앙화 거래소로 초점이 옮겨 갔습니다.탈취 금액 (출처: Chainalysis)암호화폐 탈취의 기록적인 한 해2024년은 북한 해커들에게 있어 가장 성공적이고 기록적인 한 해였습니다. 이들은 총 47건의 해킹 공격을 통해 약 13억 4천만 달러 상당의 암호화폐를 탈취했으며 이는 단일 연도 기준으로 사상 최대 규모입니다.2023년에 북한 해커들이 20건의 공격으로 약 6억 6,050만 달러를 탈취했던 것과 비교하면 2024년에는 사건 수와 피해 금액 모두 크게 증가하여 피해 규모는 무려 102.88%나 늘어났습니다. 탈취된 자금은 전 세계 암호화폐 해킹 피해 총액의 61% 이상을 차지하며 북한 해커들이 암호화폐 해킹에 있어 가장 강력한 세력 중 하나로 자리 잡고 있음을 보여줍니다.이러한 활동은 주로 암호화폐 거래소와 개인 지갑을 대상으로 한 정교한 공격으로 이루어졌으며 이를 통해 북한은 국제 제재를 회피하고 핵 및 미사일 프로그램과 같은 군사적 활동 자금을 조달하는 데 성공했습니다.DMM 비트코인 공식 X 계정자금 추적 (출처: Chainalysis)북한 해커, DMM 비트코인 탈취2024년 5월 일본의 암호화폐 거래소 DMM 비트코인은 북한 해커 조직의 표적이 되어 약 4,502.9 비트코인, 당시 약 3억 500만 달러 상당의 자산을 탈취당하는 사건이 발생했습니다.이 사건은 북한의 주요 해커 그룹인 라자루스(Lazarus)가 주도한 것으로 파악되었 습니다. 해커들은 헤드헌팅 이메일을 가장한 악성 링크를 유포해 DMM 비트코인 직원들의 시스템 접근 권한을 탈취했으며 이를 통해 내부 네트워크에 침투한 후 개인키와 거래 데이터를 확보했습니다.탈취된 자산은 빠르게 여러 중간 주소로 분산 전송되었고 해커들은 비트코인 믹싱 서비스와 탈중앙화 금융(DeFi) 플랫폼을 활용하여 자산의 출처를 숨겼습니다. 또 한, 다양한 암호화폐 브릿지를 통해 다수의 블록체인 네트워크 간 이동을 반복함으로써 자금의 흔적을 복잡하게 만들어 추적을 어렵게 만들었습니다.결론2024년 북한 해커들은 47건의 공격을 통해 약 13억 4천만 달러에 달하는 암호화폐를 탈취하며 사상 최대의 피해를 기록했습니다. 이러한 활동은 암호화폐 생태계의 보안 취약점을 적나라하게 드러냈으며 국제 제재를 우회하고 군사 활동 자금을 조달하려는 북한의 전략적 움직임을 보여줍니다. 특히, 탈취된 자산의 44%가 개인키 유출로 인해 발생했으며 자산의 세탁은 믹싱 서비스와 탈중앙화 금융(DeFi) 플랫폼을 통해 이루어져 추적을 어렵게 했습니다. 현재 암호화폐 생태계는 기술적 방어 체계 강화와 국제적 협력이 필요한 상황입니다.암호화폐 업계와 국제 사회는 기술적 측면에서 다중 서명 지갑과 콜드 월렛의 사용 확대, 정기적인 보안 감사, 그리고 거래 모니터 링 시스템의 강화가 필수적이며 또한, 사회공학적 공격을 방지하기 위한 직원 교육과 피싱 대응 전략이 필요합니다. 무엇보다 글로벌 협력 체계를 구축하여 해킹 활동 정보를 공유하고 법적 대응과 기술적 방어를 통합적으로 실행해야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

가짜 CAPTCHA 멀버타이징 캠페인

멀버타이징의 공격 흐름 (출처: Imperva)구글 검색결과 중 확인된 멀버타이징 (출처: Malwarebytes)멀버타이징멀버타이징(Malvertising)이란 악성 광고 Malicious Advertising의 줄임말 로 온라인 광고를 통하여 사용자에게 멀웨어를 퍼트리거나 악성 사이트로 리다 이렉션 해 공격하는 기법을 말합니다.공격자들은 웹사이트의 광고 공간을 구매해서 해당 공간에 업로드할 이미지에 악성 코드를 숨겨 광고를 제작합니다. 공격이 숨겨진 광고가 웹사이트에 게시 되면 사용자들이 웹사이트에 접속했을 때 공격이 숨겨진 광고를 로드 하게 되고 로드가 되는 즉시 광고에 포함된 악성 코드가 실행되어 멀웨어에 감염 될 수 있습니다.멀버타이징의 작동 원리로는 광고를 클릭해 악성 코드가 활성화 되는 클릭 기 반 감염 방식과 광고를 로딩 하는 것만으로도 악성 코드가 실행되는 드라이브 바이 다운로드 방식이 있습니다.디셉션애즈(DeceptionAds) 공격 흐름도 (출처: GuardioLabs)디셉션애즈디셉션애즈(DeceptionAds)는 최근 발견된 대규모 멀버타이징 캠페인으로, 가짜 CAPTCHA 인증 페이지를 통해 사용자들을 속여 정보 탈취형 멀웨어인 룸마를 설치하도록 유도하는 공격입니다.이 공격은 Monetag 광고 네트워크를 활용하여 하루 100만 건 이상의 광고 노출을 발생시키며 약 3,000개의 웹사이트를 통해 확산됩니다. 사용자가 악성 광고를 클릭하면 BeMob 클로킹 서비스를 통해 가짜 CAPTCHA 페이지로 리 다이렉션 되며 이 페이지는 사용자의 클립보드에 악성 파워 셸 명령어를 복사 합니다. 이후 사용자는 자신도 모르게 해당 명령어를 실행하게 되어 정보 탈취 형 멀웨어인 룸마가 시스템에 설치됩니다.이러한 공격은 주로 불법 스트리밍 사이트나 소프트웨어 플랫폼에서 발생하며 사용자들이 의심 없이 악성 코드에 감염되도록 유도합니다.결론디셉션애즈 캠페인은 가짜 CAPTCHA 페이지와 같은 사회공학적 기법을 통해 멀버타이징 공격의 위험성을 보여주고 있습니다. 이 공격은 대규모 광고 네트워크를 악용하여 멀웨어를 은밀히 배포하며 사용자와 광고 생태계 모두에 심각한 위협을 가하고 있습니다. 디셉션애즈는 단순한 개인 사용자 뿐만 아니라 기업 및 광고 네트워크의 보안 허점을 악용하여 더 큰 피해를 야기할 수 있어 모두가 이러한 공격 기법에 대해 인지하고 적절한 대응책을 마련하는 것이 중요합니다.디셉션애즈 캠페인에 대한 보안 권장 사항•의심스러운 CAPTCHA 페이지 경계• 소프트웨어 및 브라우저 업데이트• 광고 차단 도구 사용• 불법 복제 소프트웨어 및 불법 스트리밍 사이트 접속 금지이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

중소기업 침해사고 피해지원서비스 동향보고서 (2024년 3분기)

분기별 침해사고 신고 통계랜섬웨어 LockBit의 다크웹 데이터 유출 사이트(출처 : KISA)2024년 3분기 중소기업 침해사고 통계2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 가장 많이 발생한 침해사고 유형은 해킹 경유지이며, 이어서 랜섬웨어, 포털사이트 피싱, 웹페이지변조 순으로 접수되었습니다.그중 랜섬웨어 사고의 비율이 1분기 12.3%, 2분기 14.3%, 3분기 19.6%로 꾸준히 증가하고 있으며, 2분기 대비 5.2% 증가율을 보입니다. 개인정보유출과 악성 사이트유도 유형도 상승 폭이 컸으나, 랜섬웨어는 전체 사고 유형 중에서 꾸준히 높은 비중을 차지했으며, 3분기에는 가장 많은 비중을 차지했습니다.반면, 해킹경유지는 1분기 뿐만 아니라 전체 사고 유형중에서도 가장 많이 발생하였으나, 지속적으로 감소하는 추세를 보이고 있습니다.BitLocker의 랜섬 노트(출처: 블리핑컴퓨터)Mallox 랜섬웨어의 공격자와 피해자가 협상하기 위한 웹사이트(출처: 팔로알토 네트웍스)2024년 주요 랜섬웨어 유형랜섬웨어는 단순한 데이터 암호화에 그치지 않고 다각화된 공격 방식을 채택하는 등 점점 정교해지고 있습니다.과거에는 특정 기업이나 조직을 목표로 한 제한적인 공격이 주를 이루었으나, 현재는 공격대상이 광범위해지고 공격 기법 또한 다양해진 상황입니다.특히, Ransomware-as-a-Service (RaaS) 모델의 등장으로 누구나 랜섬웨어를 쉽게 배포할 수 있고, 다운받아서 사용할 수 있게 되었으며, 이를 통해서 공격이 더욱 조직적이고 빠르게 확산되고 있습니다.최근 랜섬웨어 공격은 파일 암호화 뿐 아니라, 기업의 핵심 시스템 마비, 백업 데이터 삭제 등 다양한 방법으로 지속적인 피해를 유발하고 있습니다. 2024년 KISA의 중소기업 침해사고 피해 지원 서비스에 접수된 사고 중 가장 많이 이용되는 랜섬웨어 유형으로는 Phobos, LockBit, BitLocker, Mallox 순으로 확인되었습니다.Phobos 랜섬웨어의 랜섬 노트 예시 (출처: CISCO Talos 블로그) Phobos Phobos 랜섬웨어는 서비스형 랜섬웨어(RaaS,, Ransomware-as-a-Service) 로 2017년 10월 처음 발견됐습니다. 이 랜섬웨어에 감염되면 파일들이 “파일명. 기존확장자.id[감염 PC의 VSN-고정 4자리 숫자].[공격자 메일주소].랜섬웨어 확장자” 와 같이 암호화됩니다. 암호화에 사용되는 알고리즘은 대칭키 암호화 알고리 즘인 AES 알고리즘입니다.Phobos가 감염을 시작하면, 지속성 유지를 위해 LOCALAPPDATA 경로에 악성 코드를 복사하고, Run키에 등록해 재부팅 이후에도 재실행 될 수 있도록 하며, 이 미 Phobos의 확장자나 다른 랜섬웨어의 확장자로 암호화 되어있는 경우나 특정 언어환경에선 암호화를 수행하지 않고 있습니다. 또한, Phobos는 방화벽을 비활 성화 하고, 복구 방지를 위해 볼륨의 셰도우 복사본을 삭제해 차단을 방지하고 복 구를 방해합니다.Phobos는 피싱 메일이나 외부에 노출된 보안이 취약한 RDP 서비스를 대상으로 공격하여 하여 유포되는 특징을 가지고 있으며, 사용자의 수동 조작으로 실행되는 특성을 가지고 있습니다. 또한, 다양한 변종으로 발전하고 있어 주의가 필요한 랜 섬웨어입니다.결론2024년 1분기부터 3분기까지 KISA의 중소기업 침해사고 피해지원 서비스에 접수된 주요 사고에서 주목해야 할 사고 유형은 랜섬웨어에 의한 사고입니다. 랜섬웨어에 의한 사고는 분기마다 지속적으로 증가하고 있으며, Phobos, LockBit, BitLocker, Mallox 순으로 사고가 자주 발생하고 있습니다. 이중 Phobos 랜섬웨어는 많은 변종을 가지고 있으며, 서비스형 랜섬웨어로 이를 구매한 공격자가 목표에 맞게 특성화 하여 공격을 수행할 수 있는 특징을 가지고 있어 주의가 필요합니다.랜섬웨어 예방 방안 • 운영체제 및 소프트웨어 업데이트 • 백신 소프트웨어 사용 및 최신 버전 유지 • 취약점 관리 및 패치 • 스팸 메일 차단 • 망 분리 및 접근 통제 강화 • 안전한 브라우저 사용 • 관리자 계정 암호 설정 강화 • PC내 중요 자료 정기적 백업 및 주기적인 볼륨 스냅샷 관리 • 스냅샷 보호를 위한 보안 솔루션 적용중소기업 랜섬웨어 대응 지원(출처 : KISA)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계