모바일 신분증 400만 시대, 해킹으로부터 안전할까?

모바일 신분증, 안전할까?모바일 신분증 도입이 본격화되면서 점차 우리 일상에 자리 잡고 있습니다.스마트폰 하나로간편하게 신원 인증이 가능한 편리함 덕분에 모바일 신분증을 사용하는 사람들이 꾸준히 증가하고 있습니다.하지만 최근 국내에서 발생한 여러 차례 해킹사고로 인해 모바일 신분증에 대한 우려가 제기되어 행정안전부에서는 공지사항을 내걸기도 했습니다.모바일 신분증은 과연해킹 위험으로부터 안전할까요?모바일 신분증이 어떻게 개인정보를 보호하고 보안사고를예방하고 있는지 알아 보겠습니다모바일 신분증의 개념-개인 스마트폰에 저장하여 사용하는 신분증- 온라인 환경(ex.정부24), 오프라인(ex. 은행, 주민센터)에서 간편하게 사용할 수 있는디지털 신원인증 방식모바일 신분증의 장점- 기존 신분증과 달리 필요한 정보만을 골라서 제공 가능- QR코드 스캔 활용한 신원 검증 방식으로 위조 및 악용이 불가능이용자 수 / 발급 현황모바일 신분증은 2022년 7월부터 발급을 시작하여 2024년 12월까지 약 2년 간 사용자 400만 명*을 넘어섰습니다. 특히 모바일 운전면허증의 발급 수가 많았는데, 이는 전체 운전면허증 소지자 전체 1,300만 명 중 30%에 해당하는 수로, 10명 중 3명이 모바일 운전면허증을 사용하는 셈입니다. 모바일 주민등록증은 2025년 2월부터 점차 전국으로 확대 시행되었으며 아직까지 모바일 주민등록증에 대해 집계된 자료가 없으나 공무원증, 면허증 등의 사례를 미루어 보았을 때 긍정적인 피드백이 예상됩니다*운전면허증, 국가보훈등록증 등을 포함한 수치모바일 신분증이 안전한 이유1. APP내 기본 기능 - 기본적으로 앱 실행 시 생체인증(지문 또는 안면인식) 필요- 기기 분실 시 도난분실신고 후 앱 잠금상태로 자동 전환 - 개인정보가 모두 노출되었던 기존 신분증과 달리 QR코드만 표시되어 불필요한 개인정보 노출 없음 - 30초마다 화면이 초기화되어 다른 기기로 사진을 찍어도 무효화 2. 분산원장기술(DLT, Distributed Ledger Technology)- 정보가 기록된 원장을 공유 네트웍스에 분산하여 공동으로 관리하는 기술- 대표적인 예 : 블록체인- 탈중앙화 : 중앙 서버 없이 분산 관리되어 단일 장애 위험 ↓- 각 서비스 별로 개인정보를 반복 저장 불필요, 해킹 위험 분산결론 구분 공인인증 금융권공동인증 분산ID신원정보생성/등록 공인인증기관 각 금융회사 등 누구나 저장 가능 신원정보의 신뢰성 기반 공인인증기관의 기술적, 관리적,물리적 보호조치 기반의 인증서 신뢰 체인 금융업권별자체적으로 운영하는블록체인 별도 지정된 블록체인(신뢰된 분산ID 저장소) 신원정보 관리 형태 중앙기관에서 모든 사용자의신원정보 관리 금융업권별자체적으로 운영하는 블록체인 신뢰된 분산ID 저장소를 이용하여 관리 신원정보 이용 형태 공인된 하나의 ID로 공동이용 금융업권별로 신원정보 관리(블록체인 참여사업자간 신원정보 동기화) 사용자 필요 시마다 용도별로ID 생성 후 이용 타 업권 간 공동이용 근거 전자서명법 (공인인증체계) 타 업권과의 협약에 의한 신뢰 신뢰된 분산ID 저장소에 대한 신뢰성 신원정보 발급기관 내개인정보 저장 일괄 저장 일괄 저장 사용자 선택에 의한 저장 모바일 신분증은 분산ID를 활용하여 개인정보를 안전하게 보호하며 일상 속에서 더욱 신뢰할 수 있는 신분 확인 수단으로 자리잡고 있습니다.모바일 신분증이 대중화에 성공적인 결과를 보이고 있기에 차세대 보안 기술의 발전과 확장이 더욱 기대 되고 있습니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

신종 랜섬웨어 Argon Wiper

신종 랜섬웨어 Argon Wiper전 세계적으로 랜섬웨어 관련 사고가 끊이질 않고 있는 가운데 공격자들의 전략 또한 빠르게 변화하고 있습 니다. 공격자들은 이메일을 이용한 피싱과 소프트웨어 취약점, 유출된 계정 정보, 공급망 공격 등 기술적 접근을 통한 침투와 공격이 다수 발생하고 있으며, 여기에 더해 시스템에 설치되어 있는 정상 도구나 원격 관 리도구를 악용해 탐지와 행위를 은폐하고 있습니다.또한, Malware-as-a-Service (MaaS), Ransomware-as-a-Service (RaaS)와 같은 전략적 선택이 늘어남에 따라 공격에 사용되는 모든 도구를 직접 제작하지 않고 오픈소스, 유출된 빌더 등을 통해 공격을 시도하는 모습이 많이 확인되고 있습니다.그 중 최근 확인된 특정 샘플에서 파일이나 데이터를 영구적으로 삭제하는 시스템 악성코드 Wiper와 랜섬 웨어가 결합된 신종 랜섬웨어가 확인 되었습니다.공격 개요(출처: SK쉴더스)악성코드 구성(출처: SK쉴더스)Wiper 악성코드는 시스템이 파괴되지 않는 선에서 모든 파일을 삭제하고, DB, 이미지, 로그, 백업 등 확장자 기반으로 일치되는 파일은 무조건 삭제 합니다.이외 파일들은 삭제 전 파일을 백업하는 과정을 거칩니다. 생성되는 백업 파일은 100개 단위로 파일 을 tar + Zstandard(Zstd)로 압축 후 AES GCM모드 로 암호화되며, 키 생성에 사용되는 값과 암호화에 사용되는 IV 등과 함께 백업 파일에 반복해서 저장합니다.공격 과정에서는 공개된 오픈소스 도구가 다수 사용 된 것이 확인 되었습니다. PowerShell 기반 다운로더, .NET 다운로더, Tokenvator(권한 상승), SharpInjector(프로세스 인젝션), Donut Shellcode(메모리 내 실행) 등은 모두 오픈소스 도구를 직접 사용 하거나 일부 변형한 형태 였습니다.또한, .NET 기반 악성코드에는 Confuser, Golang 기반 Wiper에는 garble과 같은 공개된 난독화 도구가 적용되어 있었으며, 이는 상용 난독화 솔루션을 사용 하지 않고도 분석 지연 효과와 개발 비용 절감을 동시에 달성하기 위한 선택으로 보여집니다. 특히 Wiper에 garble을 적용한 부분은 탐지 우회보다는 분석 지연을 통한 방어 측 대응 속도 저하를 목적으로 사용한 것으로 판단 됩니다.악성코드 특징(출처: SK쉴더스)백업 파일 리스트(출처: SK쉴더스)랜섬 노트(출처: SK쉴더스)파워쉘 스크립트로 작성된 코드를 통해 악성코드를 다운로드 및 로드 후 Sliver를 다운로드 실행하고, Tokenvator를 통해 권한 상승을 시도합니다.또한, SharpInjector로 Donut Shellcode를 주입해 실행하며 최종 Golang으로 작성된 와이퍼 악성코드를 통해 백업 파일 생성 및 파일 삭제 과정을 거친다. 이후 랜섬노트를 통해 연락처와 방법을 안내 합니다.특징1. 다양한 오픈소스 도구를 사용하며, 대부분 난독화 과정을 거친 악성코드를 사용합니다.2. .NET과 Go 언어를 주 언어로 사용 합니다.3. Wiper와 랜섬웨어의 결합된 형태를 보이고 있으며, 파일을 암호화 후 시스템에 남겨두는 랜섬웨어와 달리 압축과 암호화 후 파일을 삭제 합니다.확인된 백업 파일의 이름은 왼쪽 그림과 같은 형태를 띠고 있습니다.확인된 랜섬노트의 파일명은 backup_log.txt, {Computer name}_log.txt 두가지 형태로 나뉘며, 한글과 영어를 사용해 연락 방법을 안내하고 있습니다.결론최근 위협 환경의 변화와 맞물려 랜섬웨어와 Wiper의 경계가 점차 모호해지고 있습니다. 전통적으로 랜섬웨어는 파일 암호화를 통해 금전적 이익을 추구하는 데 집중한 반면, Wiper는 복구 불가능한 데이터 파괴를 목적으로 사용 되어 왔습니다. 그러나 이번 사례에서처럼 파일을 암호화한 뒤 삭제하는 혼합적 접근법은 단순한 금전 갈취를 넘어, 데이터의 가용성을 근본적으로 위협하는 새로운 형태의 공격 모델이 발견 되었습니다.단순히 "파일 삭제형 Wiper"가 아니라, 암호화와 삭제를 병행하는 이중적 메커니즘을 도입하였으며, 파일을 압축 후 암호화하고, 그 결과물을 곧바로 삭제하는 방식이다. 일반적인 AES-GCM 암호화는 무결성 검증을 위한 태그 인증을 거치지만, 해당 샘플은 태그 인증을 건너뛰어 복호화가 가능하도록 구현되어 있었다. 더불어 암호화 키 생성 과정에 하드코딩된 secret 값이 사용되는 등, 의도적으로 복구 가능성을 남긴 설계가 확인됩니다. 이는 공격자가 단순한 파괴가 아닌, 협박·금전 갈취·심리적 압박을 복합적으로 고려했음을 시사 합니다.침해 위협에 대응하기 위해 단순 시그니처 기반 탐지에 머물지 않고, 행위 기반 탐지, 오픈소스 도구 사용 흔적 모니터링, 키 및 백업 파일 패턴 분석 등을 포함한 정교한 대응 전략을 마련해야 합니다. 향후 유사 공격에 대비하기 위해 선제적 인텔리전스 공유와 대응 체계 강화가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2025년 상반기 사이버 위협 동향

침해사고 신고 현황 (출처: KISA 2025년 상반기 사이버 위협 동향 보고서)2025년 상반기 침해사고 신고 현황2023년부터 2025년 상반기까지 침해사고 신고 건수를 보면 지속적인 증가 추세가 뚜렷합니다. 2023년에는 총 1,277건(상반기 664건, 하반기 613건)이었으나 2024년에는 1,887건(상반기 899건, 하반기 988건)으로 전년 대비 약 48% 증가하였습니다. 특히 2025년 상반기에는 1,034건이 신고되어 전년 동기 대비 15% 증가한 수치를 기록하였습니다. 2025년 상반기 신고 증가의 주요 원인은 IoT 기기 취약점을 악용한 DDoS 공격과 웹 셸(Web Shell)·악성 URL 삽입을 통한 서버 해킹 증가로 볼 수 있습니다. 또한 정보통신망법 개정(침해사고 정황 인지 후 24시간 이내 신고)과 4월 발생한 SK텔레콤 침해사고는 기업들의 경각심을 높여 신고 증가에도 영향을 주었습니다. 결국 침해사고 건수 증가는 공격 빈도의 확대뿐 아니라 제도적 변화와 기업 인식 개선이 맞물린 결과라 할 수 있습니다.유형별 침해사고 신고 현황 (출처: KISA 2025년 하반기 사이버 위협 동향 보고서)2025년 상반기 유형별 침해사고 신고 현황2024년 침해사고 신고 통계에 따르면 서버 해킹이 전년 대비 약 2배 증가하며 전체의 56%로 가장 높은 비중을 차지하였습니다. 2025년 상반기에도 서버 해킹은 51.4%로 여전히 가장 큰 비중을 유지하였으며 DDoS 공격은 전년 동기 대비 55.5% 증가한 238건으로 23.0%를 기록하였습니다. 특히 DDoS 공격의 71%가 DNS Query Flooding 유형으로 나타났으며 주요 표적은 정보통신업이었습니다. 2023년부터 2025년 상반기까지 반기별 추이를 보면 서버 해킹은 지속적으로 가장 많은 신고 건수를 기록하며 2025년 상반기 531건에 달하였습니다. DDoS 공격 역시 꾸준히 증가하여 2023년 상반기 124건에서 2025년 상반기 238건으로 확대되었고 악성코드 감염은 변동을 보였으나 2025년 상반기 115건으로 집계되었습니다. 이러한 추세는 서버 해킹과 DDoS 공격이 주요 위협으로 자리잡고 있음을 보여줍니다.서버 해킹서버 해킹이 여전히 가장 많은 침해사고 유형으로 집계되는 이유는 기업들의 기초 보안 관리가 여전히 허술하기 때문입니다. 패치가 늦어지거나 웹 애플리케이션 취약점이 방치되는 경우가 많고 인증 체계 역시 취약한 경우가 적지 않습니다. 해커들은 이런 빈틈을 노 려 웹 셸(Web Shell) 삽입이나 악성 URL 유포 같은 방식으로 내부로 침투합니다. 실제 SK텔레콤 침해사고에서는 핵심 전산망이 뚫려 수천만 명의 유심 정보가 유출되는 대규모 피해가 있었습니다. 결국 이런 사건은 보안 관리 소홀 문제가 단순한 기술적 결함을 넘어 기업 운영 전반에 막대한 영향을 미칠 수 있음을 잘 보여줍니다.DDoS 공격DDoS 공격은 최근 IoT 기기의 보안 취약점을 악용한 대규모 봇넷과 DNS Query Flooding 기법을 중심으로 빠르게 확산되고 있습니다. DNS Query Flooding은 정상적인 DNS 요청과 유사한 질의를 대량으로 발생시켜 서버 자원을 고갈시키는 방식으로 탐지가 어렵고 서비스 전체에 장애를 일으킬 수 있어 피해 규모가 큽니다. 실제로 2025년 1분기 아시아·태평양(APAC) 지역에서는 통신업을 비롯한 주요 산업군이 집중적인 공격을 받았으며 특히 통신업은 전년 대비 136% 증가한 것으로 나타났습니다. 이러한 흐름은 DDoS 공격이 단순한 대역폭 소모형을 넘어 서비스 자체를 마비시키는 정교한 형태로 진화하고 있음을 보여줍니다.결론2025년 상반기 침해사고 신고 결과를 종합하면 서버 해킹과 DDoS 공격이 가장 큰 위협으로 자리잡고 있음을 확인할 수 있습니다. 서버 해킹은 기업의 보안 관리 미흡과 기초적인 시스템 취약점 방치에서 비롯되었고 DDoS 공격은 IoT 기기 취약점과 DNS Query Flooding을 기반으로 더욱 정교하고 대규모화되는 추세를 보였습니다. 이는 단순히 침해사고 건수가 늘어난 것이 아니라 공격 기법이 고도화·다양화되고 있다는 점에서 심각한 의미를 갖습니다. 따라서 기업과 기관은 사후 대응에 머무르지 않고 정기적 점검과 선제적 보안 관리체계 구축에 집중해야 합니다.대응 전략 및 보안 강화• 시스템 보안 관리 강화: 정기적 패치, 취약점 점검, 웹 서버·DB 서버 보안 강화• 탐지 및 차단 체계 고도화: 침입 탐지·차단 시스템(IDS/IPS), 이상 트래픽 탐지 도입 • DDoS 대응 역량 강화: DNS 보안 강화, 전용 방어 솔루션과 트래픽 분산 체계 마련 • 보안 인식 제고: 임직원 보안 교육, 내부 통제 강화 • 산업·제도적 협력: 법적 규제 준수, 업계 전반의 공동 대응 체계 마련이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

주한 대사관을 겨냥한 스피어피싱과 XenoRAT

스피어피싱 공격 흐름도 (출처: Genians)스피어피싱과 XenoRAT 악성코드 스피어피싱 공격은 특정 대상에게 맞춤형 이메일을 보내 악성 ZIP 파일 다운로드를 유도하고 그 안의 LNK 파일을 통해 PowerShell 스크립트를 실행하게 하는 방식으로 진행됩니다. 공격자는 사회공학적 기법을 사용해 정상적인 메시지나 문서를 가장하며, 피해자가 첨부 파일을 열도록 유도합니다. 이후 스크립트는 추가 악성 파일을 구글 드라이브에서 다운로드하고 예약 작업을 생성해 지속성을 확보하며, 최종적으로 XenoRAT과 같은 원격 제어 악성코드를 설치해 시스템 정보 수집과 원격 조종이 가능하도록 합니다. XenoRAT은 오픈소스 기반의 RAT(Remote Access Trojan) 계열 악성코드로 공격자가 피해자 시스템에 원격으로 접속해 키로깅, 명령 실행, 파일 전송, 스크린샷, 비디오 캡처, 마이크 및 카메라 제어 등 다양한 활동을 수행할 수 있습니다. 또한 HTTPS 및 GitHub, Dropbox 등과 같은 정상 서비스를 활용한 은밀한 C2 통신으로 탐지 회피가 용이하며, 내부망 장악 후 랜섬웨어 및 정보 탈취 등 추가 공격에도 활용될 수 있 어 단순 악성코드가 아닌 고급 APT 공격용 툴킷으로 국제 보안 커뮤니티에서 분류되고 있습니다.개별 공격의 타임라인 (출처: Trellix)공격에 사용된 피싱 이메일 (출처: Trellix)외교관 타깃 XenoRAT 스피어피싱 2025년 3~7월 북한 연계 해킹 조직 ‘김수키’는 주한 외국 대사관 및 외교관을 겨냥해 정교한 스피어피싱 캠페인을 진행했습니다. 공격자는 외교 관계자나 정부기관을 사칭한 이메일을 발송하고 피해자가 악성 문서를 열거나 링크를 클릭하면 XenoRAT이 설치되어 시스템이 감염되었습니다. 일부 공격은 다국어 문서를 포함하여 외교관별 맞춤형 사회공학 기법이 적용되었습니다. 이러한 공격은 국내외 CERT와 보안업체가 공동 경보를 발령할 정도로 위협도가 높았습니다.감염 이후 공격자는 내부 문서, 이메일 계정 정보, 시스템 환경 데이터를 탈취해 C2 서버로 전송했고 필요시 HVNC를 통해 피해자 PC를 은밀히 원격 제어했습니다. 보안업체들은 공격에 사용된 GitHub 저장소, 악성 파일 해시, C2 도메인 등 IOC를 공개해 탐지 및 차단을 지원하고 있습니다. 이번 사례는 단순 정보 탈취를 넘어 장기적 내부망 침투와 지속적 감시가 가능한 APT 공격임을 보여줍니다.결론XenoRAT은 오픈소스 생태계를 활용하는 고위험 APT 공격 도구로 외교 및 국가 기관뿐 아니라 민간 기업까지 언제든 표적이 될 수 있으며, 단일 방화벽이나 백신만으로는 탐지와 방어가 어렵습니다. 공격자는 GitHub, Dropbox 등과 같은 정상 서비스를 활용해 은폐하며 장기적 내부망 침투가 가능하므로 다층적 보안체계 구축과 지속적 모니터링이 필수적입니다.위협 대응 및 보안 권고 사항• 보안 프로그램 최신화 : 백신, EDR/XDR 등 보안 솔루션을 항상 최신 상태로 유지 • 외부 서비스 모니터링 : GitHub, Dropbox 같은 외부 트래픽을 주기적으로 확인해 이상 활동을 탐지• 중요 계정 보호 : 관리자 계정이나 중요한 시스템에는 MFA(다중 인증)적용 • 데이터 백업 : 중요한 데이터는 정기적으로 백업하고, 비상 시 복구할 수 있는 절차 마련 • 정기적인 교육 : 이메일 첨부파일이나 링크 클릭 전에 주의하도록 정기적인 훈련 시행이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

생성형 AI의 발전과 사이버 범죄의 진화

활용 분야 (출처: 소프트웨어정책연구소)생성형 AI(Generative AI)란생성형 AI는 텍스트, 이미지, 음성, 영상 등 다양한 형태의 콘텐츠를 사람이 아닌 인공지능이 자동으로 생성하는 기술을 말합니다. 이 기술은 대규모 언어모델 (LLM: Large Language Model)과 자연어 처리(NLP) 기술을 기반으로 하며, 인간의 언어를 이해하고 창의적으로 재생산할 수 있다는 점에서 기존의 인공지능과는 구분됩니다. 대표 서비스로는 OpenAI의 ChatGPT, Google의 Gemini, Meta의 LLaMA, Stability AI의 Stable Diffusion 등이 있습니다.이러한 생성형 AI는 출시 이후 빠르게 확산되며 다양한 산업에 영향을 미치고 있습니다. 특히 고객 응대 자동화, 콘텐츠 제작 보조, 교육 자료 생성, 소프트웨어 개발 지원, 마케팅 문구 작성 등에서 두드러진 활용도를 보이며 기업과 개인 모두에게 생산성 향상의 도구로 각광받고 있습니다. 사용자 친화적인 인터페이스와 높은 접근성, 그리고 실시간 반응성과 창의성 덕분에 활용 범위는 지속적으로 확대되고 있는 추세지만, 기술이 발전하면서 그에 따른 부작용과 잠재적 위협도 함께 부상하고 있어 보다 균형 잡힌 시각이 필요합니다.생성형 AI 주요 보안 위협악성 프롬프트가 숨겨진 피싱 이메일 (출처: 오딘)범죄 도구로 활용되는 생성형AI 생성형 AI는 사이버 범죄자들에게 강력한 도구로 떠올랐습니다. 자연스럽고 전문적인 문체로 피싱 이메일과 소셜 엔지니어링 메시지를 자동 생성해 공격자가 쉽게 정교한 공격 시나리오를 만들 수 있습니다. 특히 다크웹에서는 공개된 AI 모델을 변형하거나 자체 훈련시켜 보안 시스템 우회 기술을 시험하고 법적 제약이 적은 AI 챗봇을 제작해 공격을 자동화하는 움직임도 늘고 있습니다. 이로 인해 과거 인간의 직접 개 입이 필요했던 공격 단계들이 빠르게 자동화돼 공격 빈도와 규모가 커지고 있습니다.최근 사례로는 구글 AI 챗봇 Gemini의 이메일 요약 기능이 피싱 공격에 악용될 수 있다는 것이 알려졌습니다. 이는 HTML과 CSS를 활용해 사용자에게는 보이지 않는 명령을 이메일 본문에 삽입한 뒤 AI 요약 기능이 이를 명령어로 해석하게 만들어 보안 경고로 가장한 내용을 보여주도록 유도하였습니다. 이외에도 AI를 이용하여 자동으로 대량의 피싱 이메일을 생성하거나 음성·영상 합성으로 유명인을 사칭해 사용자 를 속이는 공격들도 급증하고 있습니다. 실제로 호주에서는 AI 음성을 활용한 피싱 공격으로 상당한 금전적 피해가 발생한 사례도 보고된바 있습니다.2024-2025년 애플리케이션 사칭 비율 (출처: 카스퍼스키)ChatGPT 등 AI 및 생산성 앱을 사칭한 공격2025년 들어 사이버 범죄자들은 생산성 앱, AI 기반 도구를 위장한 악성 소프트웨어 유포에 주력하고 있습니다. 4,000건 이상의 악성 파일이 인기 앱을 사칭한 형태로 발견되었으며, ChatGPT를 사칭한 공격은 전년 대비 115% 증가한 177건, DeepSeek 역시 83건의 사칭 사례가 보고되는 등 AI에 대한 관심과 기대를 악용한 공격이 빠르게 증가하고 있습니다. 반면, Perplexity와 같은 비교적 조용한 도구는 아직 사칭 대상에서 제외되어 공격자들이 도구의 인기와 과대광고 여부를 기준으로 표적을 정한다는 점이 드러났습니다.협업 플랫폼을 사칭한 공격도 증가세를 보이고 있습니다. Zoom 위장 악성 파일은 전년 대비 13% 증가하여 1,652건에 달했으며, Microsoft Teams와 Google Drive도 각각 100%, 12%의 증가율을 기록했습니다. 이는 원격 근무와 협업 도구의 일상화가 해커들에게 새로운 기회를 제공하고 있다는 증거입니다. 사용자는 소프트웨어를 다운로드하거나 구독 서비스에 가입할 때 출처와 웹사이트 URL을 반드시 확인해야하며, 의심스러운 이메일 링크나 광고는 클릭하지 않는 것이 중요합니다.결론생성형 AI는 이제 우리 일상에서 빼놓을 수 없는 도구이자 든든한 조력자가 되었습니다. 생성형 AI는 기술적으로 매우 강력한 도구이며, 효율성을 극대화할 수 있는 잠재력을 지니고 있는 동시에 악의적인 목적에도 쉽게 활용될 수 있다는 이중성을 가집니다. AI를 활용한 사이버 공격이 점차 자동화되고 정교해지며, 공격의 대중화까지 이루어지고 있어 이에 적극적이고 선제적인 대비가 필요합 니다. 글로벌 차원의 규제와 기술적 식별체계 마련을 더불어 개별 사용자와 조직이 스스로 보안을 강화하고 대응 역량을 키우는 것 또한 중요합니다. 생성형 AI는 강력한 도구이지만, 그것을 어떻게 사용하느냐에 따라 든든한 조력자가 될 수도 혹은 등에 칼을 꽂는 배신자가 될 수도 있다는 점을 잊지 말아야 합니다.대응 및 보안수칙• AI 관련 피싱 및 악성 앱 탐지 체계 강화 • 공식 출처 이외 생성형 AI 앱 다운로드 금지• 기업 내 AI 사용 가이드라인 수립• 사용자 대상 정기적인 보안 교육• EPP/EDR 등 보안 솔루션 고도화이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

전 세계를 위협하는 사이버 범죄 수단, RaaS

랜섬웨어 직접 운영(왼쪽)과 RaaS 운영(오른쪽) (출처: 트렌드마이크로)서비스형 랜섬웨어, RaaS랜섬웨어는 기업 시스템에 침투해 시스템을 잠그거나 데이터를 암호화한 뒤, 이를 풀 어주는 대가로 금전을 요구하는 사이버 공격입니다. 최근 랜섬웨어 공격의 빈도와 규모가 점점 증가하고 있는데 이는 서비스형 랜섬웨어(Ransomware as a Service, 이하 RaaS)의 확산으로 공격의 진입장벽이 크게 낮아졌기 때문입니다. RaaS는 랜섬웨어를 일종의 서비스 형태로 제공하는 모델입니다. 프로그래밍이나 해킹에 대한 전문 지식이 없어도 개발자에게 일정 비용만 지불하면 누구나 랜섬웨어를 이용한 공격을 수행할 수 있습니다. RaaS 이용자는 피해자가 몸값을 지불할 경우 수익의 일부를 가져가거나 정해진 비율의 수수료를 받는 방식으로 수익을 분배받습니다. 개발자는 다크웹을 통해 의뢰인을 모집하고 모든 거래는 가상자산을 통해 이루어집니다. 이 과정에는 자금 세탁자와 초기 접근 브로커도 함께 가담해 공격 체계를 더욱 조직화합니다. RaaS 운영 구조 덕분에 이제는 전문 지식이 없는 사람도 특정 대상을 손쉽게 공격할 수 있어 이에 대한 각별한 주의가 필요합니다.데이터 유출 공지 (출처: 사이퍼마)랜섬노트 (출처: 지니언스)정교화된 RaaS, 건라(Gunra) 랜섬웨어최근 보건의료, 보험, IT 인프라 기업 등 고가치 산업군을 대상으로 한 건라(Gunra) 랜섬 웨어가 발견되었습니다. 건라는 2025년 4월 처음 활동이 포착된 신종 랜섬웨어로 2022년 유출된 Conti 랜섬웨어 소스코드를 기반으로 개발되었으며, 전체 코드의 약 25%가 구조적으로 유사한 것으로 분석되었습니다.건라는 ChaCha20 대칭키와 RSA-2048 공개키를 결합한 이중 암호화 방식을 사용하며, 암호화된 파일에는 GRNC 식별자가 삽입됩니다. 시스템 감염 후에는 각 폴더마다 R3ADM3.txt라는 랜섬노트를 생성하고 피해자가 Tor 기반 협상 사이트(.onion)에 접속하도록 유도합니다. 협상이 이루어지지 않을 경우 공격자는 다크웹에 구축된 전용 블로그를 통해 피해 기업의 민감 정보를 공개하겠다고 협박합니다. 주요 감염 경로는 스피어피싱 이메일, 패치되지 않은 VPN, 외부 노출 RDP 등이며, 암호화 대상은 문서, 데이터베이스, 가상머신 이미지 등 기업 자산에 집중됩니다. 운영체제 핵심 파일은 암호화에서 제외돼 시스템 마비보다는 협상을 유도하려는 의도가 드러납니다.결론건라(Gunra) 랜섬웨어는 단순 Conti 랜섬웨어의 변종이 아니라 서비스형 랜섬웨어(RaaS) 시장의 정교화된 진화 사례로 볼 수 있습니다. 지속해서 고도화되는 랜섬웨어 공격에 대응하기 위해서는 모든 자산의 보안 상태를 점검하고 공격 표면을 최소화하는 한편, 임직원과 파트너의 보안 인식 제고, 데이터 유출 방지 및 백업 체계 개선 등의 다방면의 노력이 필요합니다. 건라를 포함한 랜섬웨어 공격은 단발성이 아닌 반복적으로 발생할 수 있으므로 사고 발생 시 철저한 조사를 통해 추가 침해 가능성을 차단해야 합니다.위협 대응 및 보안 권고 사항• 운영체제 및 소프트웨어의 최신 보안 업데이트 적용(자동 업데이트 권장) • RDP 포트 제한 및 다단계(MFA) 활성화 • 전체 시스템 백업 및 오프사이트(물리적ㆍ논리적 분리) 백업 저장 • 최신 Yara 룰 적용 • 침해 지표(IOC) 기반 로그 모니터링 강화 • 한국인터넷진흥원(KISA)의 랜섬웨어 대응 보안수칙 및 랜섬웨어 대응 데이터백업 보안수칙 참고랜섬웨어 대응을 위한 데이터백업 8대 보안 수칙 (출처: KISA)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

개인정보 유출 사고 피해

데이터베이스 별 위챗/알리페이 피해 규모유출된 중국 개인정보 데이터베이스 (출처: 사이버뉴스)2025년 역대 최대 규모 개인정보 유출 피해 최근 금융데이터, 위챗, 알리페이 정보 등 631기가바이트(GB)분량의 민감 개인정보 최대 40억 건이 비밀번호 없이 노출된 것을 발견했습니다.유출된 데이터베이스는 메신저 위챗과 관련된 wechatid_db에는 8억 500만 건, 실제 주소 정보인 address_db에는 7억 8,000만 건, bank는 6억 3,000만 건의 신용카드 번호, 생일, 이름, 전화번호 정보 등이 포함되어 있었습니다. 사용자 ID 5억 7,700만 건의 정보가 담긴 wechatinfo라는 데이터베이스까지 발견되어 메타 데이터나 커뮤니케이션 로그, 심지어 사용자 대화까지 유출됐을 가능성이 큽니다.중국 모바일 결제 시장 1위 알리페이의 카드와 토큰 정보 3억 건 유출도 확인되었으며, 알리페이 관련 기타 데이터 유출도 2,000만 건, 차량 등록, 고용 정보, 연금 기금, 보험에 관한 데이터도 3억 5,300만 건으로 조사되었습니다.예스24 공지문 (출처: 예스24)국내 개인정보 유출 피해 사례최근 국내 개인정보 유출 피해 사례도 급증하고 있습니다. 6월 10일 예스24도 랜섬웨어를 공격을 통한 개인정보 유출로 확인되었으며, 이로인해 도서 주문, 전자책 열람, 공연 티켓 예매 등 서비스 이용이 불가능 했습니다. 결국 9일 만에 서비스 복구가 되었으나, 해커들에게 대금을 지불하고 서비스를 복구한 것으로 알려졌습니다.랜섬웨어는 백업 시스템이 있어도 공격자들은 이를 미리 알고 백업 시스템을 먼저 공격해 복구를 어렵게 합니다. 더 큰 문제는 첫 공격 이후 2차, 3차 공격을 이어간다는 점이며, 1차에서 찾은 취약점을 이용해 피해 범위를 최대한 넓혀가며 대가 지불 을 더 강하게 압박 할 수 있습니다.개인정보 유출 사고 원인 (출처: 한국인터넷진흥원)업무 과실에 의한 개인정보 유출 사례 (출처: 개인정보보호포털)개인정보 유출 사고 원인개인정보 유출 원인은 총 3가지로 분류됩니다. 첫번째는 해킹으로 인한 개인정보 유출, 두번째는 업무 과실로 인한 개인정보 유출, 세번째는 홈페이지 설계 및 개발 과실로 인한 개인정보 유출입니다. 첫번째, 해킹으로 인한 개인정보 유출 상세 원인은 대표적으로 크리덴셜 스터핑 (Credential Stuffing), SQL 인젝션 공격 등이 있습니다. 두번째, 업무 과실로 인한 개인정보 유출 상세 원인은 대표적으로 홈페이지 게시판에 개인정보 업로드, 메일 오인발송, 개인정보가 포함된 업무용 기기 분실 등이 있습니다.세번째, 홈페이지 설계 및 개발 과실로 인한 개인정보 유출 상세 원인은 신뢰되지 않은 API 사용, 관리자 페이지 외부 접근 제한 미흡 등이 있습니다.결론개인정보 유출은 다양한 원인으로 발생하며, 심각한 피해를 초래할 수 있습니다. 유출 사고 발생 시에는 유출 경로 파악, 피해 규모 확인, 법적 조치 및 기술적 보안 강화 등의 대응이 필요합니다. 보안 전문가는 개인정보 보호를 위한 기술적, 관리적 조치를 지속 강화하여 예방하고, 개인은 자신의 정보를 안전하게 관리하며 유출 시에는 신속하게 대응해야 하며 개인정보 보호를 위한 지속적인 노력이 중요합니다.개인정보 유출 시 대응 및 예방 방안• 개인정보 유출 시 대응1. 기업 : 피해 사실 인지 시 신속한 신고 -> 유출 경로 및 피해 규모 파악 -> 피해 사용자 알림 및 대응 조치방법 공유 -> 법적 조치 -> 기술적 보안 강화 -> 재발 방지 대책 마련2. 개인 : 피해 사실 인지 시 신속한 신고 -> 개인정보 유출 사이트 및 관련된 모든 사이트 개인정보(ID/PW 등) 변경 -> 인터넷 사용기록 삭제• 개인정보 보호를 위한 예방 방안1. 개인정보 처리 방침 확인 : 서비스를 이용하기 전에 반드시 개인정보 처리 방침을 확인2. 출처가 불분명한 링크 클릭 주의 : 의심스러운 링크는 클릭하지 않고 삭제3. 강력한 비밀번호 설정 및 주기적 변경 : 타인이 유추하기 어려운 비밀번호 설정 후 정기적으로 변경4. 개인정보 노출 최소화 : 불필요한 개인정보는 공개하지 않도록 주의이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

신생 랜섬웨어 조직, 나이트스파이어

나이트스파이어 소개나이트스파이어 다크웹 사이트2025년 새로 등장한 랜섬웨어 조직, 나이트스파이어 2025년 3월 등장한 NightSpire(나이트스파이어)는 RaaS(Ransomware-as-a-Service) 구조를 가진 신생 랜섬웨어 조직으로 중앙 운영자와 하위 공격자가 협업하여 공격을 수행합니다. 이들은 단순 암호화 뿐만 아니라 데이터 유출을 병행하는 이중 갈취(double extortion) 수법을 사용합니다.이메일 피싱, VPN, RDP, 웹 애플리케이션, 방화벽 등 외부에 노출된 시스템의 취약점을 악용하며, 최근에는 Fortinet 제로데이 공격 정황도 확인되었습니다. 내부에 침투한 후에는 Mimikatz, PsExec, PowerShell 등을 활용해 인증 정보를 수집하고 파일을 .nightspire 확장자로 암호화하며 백업 데이터까지 파괴합니다. 협박 메시지 는 README_NIGHTSPIRE.txt라는 파일로 남깁니다.이 조직의 위험성은 단순 기술력에 그치지 않습니다. 민첩한 조직 구조와 빠른 적응력을 이용해 타깃 환경에 맞춰 공격 방식을 유동적으로 조절합니다. 또한, 감염 기업에 대한 심리적 압박 수법도 점점 세련되고 진화하고 있습니다.쿼드마이너 피해 사실 (출처: redpacketsecurity)사고 정보 (출처: HookPhish)나이트스파이어 조직, 국내 기업 겨냥2025년 6월, 나이트스파이어는 국내 보안 전문 기업 쿼드마이너(QuadMiners)를 공격 하여 약 40GB 분량의 데이터를 탈취한 뒤, 이를 다크웹에서 협박 수단으로 활용했습니다.피해 기업은 사고 발생 4일 뒤 침해 사실을 인지하고 대응에 나섰으며, 공격자는 미국 법인 및 내부 소스코드를 포함해 민감한 정보가 포함되어 있다고 주장 및 압박하였습니다. 이들은 쿼드마이너의 개발자 맥북과 GitHub 저장소, MFA가 적용된 클라우드 리포지터리에 접근했다고 밝히며, 일부 프론트엔드 코드를 실제로 공개하기도 했습니다. 또한 매출의 7% 수준에 해당하는 금액을 랜섬으로 요구하며, 응하지 않을 경우 백엔드 API 코드 및 전체 소스코드를 점진적으로 공개하겠다고 경고했습니다.쿼드마이너는 해당 공격과 관련하여 유출된 정보는 과거 테스트용 데모 코드와 만료된 인증서로 실제 서비스 운영과 무관하다는 입장을 밝혔으며, 고객 정보나 민감한 운영 코드는 유출되지 않았다고 강조했습니다.결론NightSpire는 VPN·웹·방화벽 등 외부 자산의 취약점을 통해 침투하고 내부에서는 인증 정보 탈취, 측면 이동(lateral movement), 백업시스템 파괴까지 전방위 공격을 감행합니다. 2025년 4월 이후 이들의 공격을 받은 기업은 캐나다 AetherBank(금융), 대만 MedixGroup(의료), 독일 AutroPack(제조) 등으로 국가·산업·기업 규모를 가리지 않는 무차별 공격이 특징이며, 보안 인프라가 미흡한 중견기업이나 노후 시스템을 운영 중인 기관, 쿼드마이너처럼 보안 전문 기업까지 타깃이 되고 있습니다. 이들은 LockBit, BlackCat 등과 같은 대형 조직으로 성장할 가능성을 보이며, 그 어느 때보다도 사전적 방어 전략과 내부 보안 체계 강화가 필요합니다.위협 대응 및 보안 권고 사항• 행위 기반 탐지(EDR, XDR) 및 위협 인텔리전스 활용 • 다크웹 모니터링• 분리된 별도의 저장소에 백업 데이터 보관 • 외부 시스템에 대한 취약점 점검 및 패치 업데이트 적용 • 임직원 대상 피싱 및 사회공학 대응 교육 • 실시간 사고 대응 체계 구축이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

2025년 1분기 취약점 현황

등록된 취약점 총 수와 2024년 1분기 및 2025년 1분기의 중요 취약점 수취약점 등록 현황 및 경향2024년 1분기에는 총 9,727건의 취약점(CVE)이 등록되었으며, 이 중 430건이 치명적(Critical) 등급으로 분류되었습니다. 반면 2025년 1분기에는 전체 등록 건수가 6,616건으로 감소하였고 치명적 등급도 227건에 그쳤습니다. 전체 등록수와 고위험 취약점 수 모두 전년 동기 대비 줄어든 양상을 보이며, 이는 취약점 보고 방식, 보안 커뮤니티 활동, 또는 벤더의 공개 정책 변화 등 외부 요인의 영향을 반영하는 결과로 해석될 수 있습니다.다만, 취약점 수의 감소와는 별개로 메모리 안전이 확보되지 않은 시스템 구조에서 비롯되는 근본적인 기술적 위험은 여전히 지속되고 있습니다. C/C++로 작성된 저수준 시스템 코드에서 발생하는 취약점이 주를 이루며, 공격자는 이를 악용해 권한 상승이나 악성코드 삽입 등을 시도합니다. 특히 Windows에서는 Out-ofbounds Write와 Heap Overflow, Linux 커널에서는 Null 포인터 역참조와 Use After Free 취약점이 자주 발견되며, 이는 운영체제의 메모리 관리 구조 차이에 따라 취약점 유형의 분포에도 차이가 있음을 보여줍니다.2025년 1분기 APT 공격에서 악용된 상위 10개 취약점 (출처: 카스퍼스키)APT 공격에서의 취약점 악용 사례지능형 지속 위협(APT) 공격자들은 더이상 제로데이 취약점에만 의존하지 않습니다. 오히려 이미 공개된 취약점을 체계적으로 조합하고 재활용하여 장기적인 침투와 권한 확장을 시도하는 방식이 일반화되고 있습니다. 예를 들어 Zerologon(CVE2020-1472)은 2020년에 공개된 취약점이지만, 여전히 도메인 컨트롤러를 장악하기 위한 주요 수단으로 활용되고 있습니다. 이 취약점을 통해 공격자는 인증을 우회하고 측면 이동(lateral movement)을 통해 조직 내부 전반으로 접근 범위를 넓힐 수 있습니다.Linux 환경에서도 Dirty Pipe(CVE-2022-0847)와 같은 권한 상승 취약점이 자주 사용되며, 루트 권한을 획득하는 공격 사례가 지속적으로 보고되고 있습니다. APT 그룹들은 종종 국가의 후원을 받거나 특정 산업군(예: 금융, 제조, 방산 등)을 대상으 로 설정하여 여러 개의 알려진 취약점을 조합한 정교한 침투 시나리오를 설계합니다. 이러한 공격은 초기 침투에 그치지 않고 이후 백도어 설치, C2 서버 통신, 정보 수집 및 탈취로 이어지는 다단계 공격 흐름을 따르는 것이 특징입니다.파일 탐색기에 완전히 표시되지 않는 추가 문자가 있는 바로 가기 속성ZDI-CAN-25373: Windows의 LNK 파일 처리 취약점2025년 1분기에 공개된 가장 주목 할만한 취약점으로 ZDI-CAN-25373이 있습니다. 이는 Windows 운영체제의 바로가기(LNK) 파일 처리 방식에 존재하는 심각한 보안 취약점으로 파일 탐색기에서 LNK 파일의 Target 필드 중 일부만 표시되는 시각적 제한을 악용합니다. 공격자는 정상적인 경로 뒤에 공백이나 줄바꿈 문자를 삽입해 악성 명령을 숨긴 뒤 사용자에게는 정상적인 바로가기처럼 보이도록 위장할 수 있습니다.이러한 방식으로 사용자가 바로가기를 실행하면, 눈에 보이지 않던 숨겨진 명령이 동시에 실행됩니다. 예를 들어 powershell.exe를 통해 원격에서 악성 페이로드를 다운로드하고 실행하는 방식으로 악용될 수 있습니다. 이 취약점은 단순한 기술적 결함을 넘어서 사용자의 인지 한계를 노린 사회공학적 기법을 포함하고 있어 더욱 위협적입니 다. 특히 파일 탐색기의 시각적 제한을 악용하는 방식이기 때문에 보안 인식이 낮은 사용자 환경에서 실제 피해로 이어질 가능성이 높습니다.결론2025년 1분기 보안 위협은 과거에 이미 공개된 취약점이 여전히 활발히 악용되고 있으며, 메모리 기반 결함이나 UI 취약점, APT 공격 기법과 같은 시스템 수준의 위협이 지속된다는 점을 보여주었습니다. 이는 단순한 기술적 대응만으로는 방어가 어렵다는 사실을 다시 확인시켜주며, 보안은 기술 자체보다는 실행력과 조직의 대응 역량이 더 중요함을 시사합니다.조직은 최신 위협 정보를 기반으로 자산별 우선순위에 따라 취약점 관리 전략을 수립해야 하며, 단순히 패치를 제공하는 것을 넘어 실제 적용 여부를 확인하고 추적하는 체계가 필요합니다. 특히 사용자 실수를 노린 사회공학적 공격이 증가함에 따라 기술 대응만큼이나 사용자 대상 교육과 실전 모의 훈련이 병행되어야 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

BPFDoor 해킹사고

고객 유심 정보 유출 사과문 (출처: oo기 홈페이지)oo기업 해킹 사고 2025년 4월 말, OO기업의 가입자 인증 시스템(HSS: Home Subscriber Server)이 악성코드에 감염되어 약 2,695만 건에 달하는 유심(USIM) 관련 정보가 외부로 유출되는 보안사고를 겪었습니다. 유출된 정보에는 이동통신 망 인증 과정에서 사용되는 단말기 고유 식별 번호(IMEI), 가입자 식별 번호 (IMSI), 유심 인증 키(KI) 등이 포함되어 있습니다.이번 사건은OO기업전체 가입자 수를 초과하는 규모로 국내 통신사 해킹 사례 중 단일 사고로는 최대 수준으로 평가되고 있습니다. 유출된 정보 중 일부는 다크웹에서 실제 거래 정황이 포착되었으며, 이로 인해 향후 유심 복제나 스미싱, 금융 사기 등 2차 피해로 이어질 가능성도 제기되고 있습니다. 특히 유심 인증 정보는 한번 유출될 경우 일반 사용자가 피해 사실을 인지하기 어렵고 대응이 지연될 수 있다는 점에서 더욱 심각한 위협으로 간주되고 있습니다.깃허브에 공개된 BPFDoor한국 통신사가 이미 BPFDoor 공격당한 것으로 분석됨 (출처: 트렌드마이크로)BPFDoor 악성코드란? BPFDoor는 리눅스 서버에 설치되어 포트를 열지 않고도 공격자의 명령을 수신 할 수 있는 백도어 악성코드입니다. 이 악성코드는 리눅스 커널의 BPF(Berkeley Packet Filter) 기술을 활용해 특정한 매직 패킷이 도달했을 때만 동작하는 방식으로 설계되어 있습니다. 또한 리버스 쉘 실행, 방화벽 우회, RC4 암호화 통신 등 고급 기능을 통해 탐지를 어렵게 하며, 프로세스 위장 및 파일리스 실행으로 보안 솔루션을 회피합니다.BPFDoor는 2021년 공개된 이후, 중국계 해킹 그룹을 중심으로 APT 공격에 활용된 사례가 다수 보고되었습니다. 특히 이번OO기업해킹 사태에서도 여러 시스템에 이 악성코드가 설치되어 있었으며, 수년간 발각되지 않고 장기적으로 활동하며 대규모 정보를 유출한 것으로 나타났습니다. 해킹 사태에 쓰인 악성 코드는 오픈소스 기반으로 변형 가능성이 높은 만큼 지속적인 행위 기반 탐지와 보안 로그 모니터링이 필수적입니다. 또한, eBPF를 윈도우 시스템에 적용하려는 시도도 진행 중으로 리눅스 이외의 시스템에서도 주의가 필요합니다.결론이번 사고는 단순한 정보 유출을 넘어 통신 인프라의 보안체계 전반에 대한 신뢰를 크게 훼손한 사건으로 평가되고 있습니다. 사고 이후OO기업은 침해 서버 격리와 함께 전국 대리점에서 유심 무상 교체 서비스를 제공하였으며, 유심 복제를 방지하기 위한 유심 보호 서비스를 전면 무상화 하였습니다. 그럼에도 불구하고 5월 한 달 동안OO기업을 이탈한 가입자는 약 94만 명으로, 이는 전월 대비 약 77% 증가한 수치입니다. 아울러 피해 이용자들은 집단분쟁조정을 신청하며 기업의 책임을 묻는 움직임도 나타나고 있습니다. 이 사건은 고도화된 백도어 공격이 기존의 보안 체계를 무력화시킬 수 있음을 보여준 대표적인 사례로 앞으로 기업과 기관은 유사 사고 재발을 방지하기 위해 노력하여야 합니다.BPFDoor 기반 악성코드 대응 방안 • 침해 지표(IOC) 기반 탐지 및 차단 • 비정상 네트워크 트래픽 탐지 강화 • 시스템 모니터링 및 파일 무결성 검증 • 로그 분석 및 장기 로그 보관• 보안 솔루션 탐지 우회 감시 • 내부 사용자 대상 정기적인 보안 교육 실시KISA BPFDoor 악성코드 점검 가이드 참고 (출처: KISA 보호나라)이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

진화하는 사이버 위협, 피싱

최근 5년 간 미국 내 사이버 범죄 피해 추이 (출처: FBI)FBI 2024년 연간 인터넷 범죄 분석미국 연방수사국(FBI) 인터넷범죄신고센터(IC3)가 23일 발간한 2024 연간 인터넷 범죄 보고서에 따르면, 지난해 85만 9,532건의 사이버 범죄 피해 신고가 접수 됐으며, 피해 총액은 166억달러였습니다. 이는 전년 대비 33% 증가한 수치입니다. 이중 실제 피해가 일어난 것은 25만 6,256건이었으며, 사건당 평균 피해 금액 은 1만 9,372달러였습니다.가장 흔하게 나타난 공격 방식은 피싱 및 스푸핑으로 전체 중 22.5% 차지했으며 갈취가 10%, 개인정보 유출이 7.5%로 뒤를 이었습니다. 투자 사기 관련 사이버 범죄 피해 규모가 650만달러로 가장 컸고, 기업 이메일 공격과 기술 지원 사칭으로 인한 피해가 각각 277만달러와 146만달러였습니다. 개인정보 유출로 인한 피해도 145만달러에 달했습니다.연령대별 사이버 범죄 피해 규모 (출처: FBI)FBI가 발표한 사이버 위협 연령대별 통계연령대별 사이버 범죄 피해를 조사한 결과, 특히 노인들이 사이버 공격에 취약해 가장 많은 피해를 보는 것으로 드러났습니다. 60세 이상 인구 집단은 14만 7,127건 의 신고를 접수했고, 피해액은 48억달러였습니다. 신고 건수와 피해 금액 모두 전체 연령별 집단 중 가장 많았습니다.콜센터나 교통 범칙금을 통보하는 경찰 등을 사칭해 돈이나 개인정보를 가로채는 인터넷 사기 피해액이 137억달러로 전체 사이버 범죄 피해의 대부분을 차지했습니다. 랜섬웨어나 DDos 등 디지털 인프라에 대한 공격으로 인한 피해는 15억 7,100 만달러였습니다. 전체 신고의 9%를 차지한 랜섬웨어 공격이 인프라에 대한 가장 큰 위협으로 평가되었습니다.인기 있는 소셜 플랫폼과 금융 사이트를 사칭한 피싱 사이트 (출처: Fortinet)진화하는 사이버 위협, 피싱피싱 전술이 더욱 정교해짐에 따라 공격자들은 다양한 플랫폼과 서비스로 공격 대상을 확대하고 있습니다. AI의 활용은 이러한 기법을 더욱 정교하게 만들어 피싱 시도를 더욱 기만적이고 탐지하기 어렵게 만들었습니다.조직은 빠르게 진화하는 위협 환경에 발맞춰 방어 체계를 강화해야 합니다. 이 메일 필터나 블랙리스트와 같은 기존 방어 체계는 알려진 위협을 차단할 수 있지만, 신종 및 AI 기반 피싱 공격에는 효과가 떨어집니다. 실시간 안티피싱 (RTAP) 솔루션은 AI와 머신러닝을 활용하여 대규모 피싱 캠페인과 고도로 표적화된 스피어피싱 공격을 실시간으로 식별하고 완화함으로써 이러한 과제를 해결하는 데 도움을 줍니다.결론최근 다수 발견된 피싱은 단순한 수준을 넘어서 정교한 복제 기술과 다크웹 기반 유통망을 통해 실제 사이트와 거의 구별이 불가능한 수준으로 진화하고 있습니다. 특히 다크웹에서 프론트 및 백앤드 통합 복제 서비스가 거래되고, 도메인 위장 기법이 고도화되면서 피해자는 물론 정상 기업에도 심각한 피해를 유발하고 있습니다. 또한, 단일 도메인 내에서 국가별 피싱 페이지를 운영하는 정황은 다수의 사기 캠페인이 전 세계적으로 확산되고 있음을 시사합니다.사용자, 기업 및 보안 담당자 대응 방안• 사용자 측 대응방안 1. 도메인 철자와 형식을 주의 깊게 확인하고 자주 이용하는 사이트는 북마크를 활용해 접속하는 방법이 좋습니다. 2. 사칭 사이트는 로그인 필드만 존재하거나 입력 시 비 정상적인 리다이렉션이 발생하는 경우가 많아 이상 징후에 주의를 기울여야 합니다.• 기업 및 보안 담당자 대응 방안 1. 브랜드 보호 차원에서 유사 도메인 등록 여부를 주기적으로 모니터링합니다. 2. DNS 및 방화벽 보안 장비에 IOC를 등록하여 위협 도메인을 차단하고, 기타 보안솔루션에도 연동해 사전 대응력을 높이는 것이 중요합니다. 3. 고객을 대상으로 자사 공식 도메인을 안내하고 피해 사례 발생 시 빠르게 공지하여 신뢰를 유지할 필요가 있습니다. 4. 다크웹 모니터링을 통해 위협 조기 탐지 및 대응체계를 갖추는 것도 권장됩니다이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

라자루스, 한국 겨냥한 오퍼레이션 싱크홀 공격

워터링 홀 공격 과정북한 라자루스, 한국 겨냥한 오퍼레이션 싱크홀 공격북한 해킹 조직인 라자루스 그룹이 국내에서 널리 사용되는 파일 전송 소프트웨어의 취약점을 악용해 한국을 공격한 정황이 드러났습니다. 이번 공격은 고도화된 워터링 홀 방식과 서드파티 소프트웨어 취약점 악용을 결합한 정밀 공급망 공격 형태로 전개 됐습니다.라자루스는 국내 행정 및 금융 시스템에서 보안 파일 전송 용으로 널리 활용되는 이노릭스 에이전트 취약점을 활용해 감염 시스템 내부로 측면 이동을 시도하고 최종적으로 ThreatNeedle, LPEClient 등의 악성코드를 배포해 내부 네트워크를 장악했습니다.이번 새로운 사이버 공격을 오퍼레이션 싱크홀이라 명명했습니다. 라자루스는 소프트웨어, IT, 금융, 반도체, 통신 분야 등 최소 6개 한국 조직을 표적으로 삼았으며, 공격 에 악용된 소프트웨어의 보급률을 감안할 때 실제 피해 규모는 훨씬 더 클 것으로 보 입니다.리다이렉션된 공격 페이지 (출처: 카스퍼스키)오퍼레이션 싱크홀 공격 흐름오퍼레이션 싱크홀 공격 흐름공격자는 한국 사용자가 자주 방문하는 온라인 미디어 사이트를 감염시켜 워터링 홀 방식으로 피해자를 특정하고, 악성 리다이렉션 페이지를 통해 공격을 개시했습니다. 피해자의 브라우저는 공격자가 제어하는 사이트로 연결되며, 이후 Agamemnon이라는 악성 다운로더가 실행되면서 취약한 이노릭스 에이전트 버전(9.2.18.496)을 표적으로 악성코드를 설치했습니다.이 과정에서 한국산 정품 보안 프로그램 CrossEX의 하위 프로세스인 SyncHost.exe이 공격에 악용됐습니다. CrossEX는 브라우저 기반 환경에서 보안 파일 전송을 지원하는 도구로, 한국 내 기업 환경에 깊숙이 침투해 있는 특화 소프트웨어입니다. ThreatNeedle과 SIGNBT 백도어의 변종은 이 정품 프로세스 메모리 내에서 실행되며 탐지를 회피했습니다.이노릭스 외에도 브라우저 플러그인 등 다른 서드파티 도구들이 반복적으로 공격에 악용 됐습니다. 특히 해당 도구들은 높은 권한으로 실행되고 브라우저 메모리와 밀접하게 연동되기 때문에 공격자에게 매력적인 표적이 되므로 주의해야 합니다.결론라자루스 그룹은 한국 소프트웨어 생태계에 대한 깊은 이해를 바탕으로 다단계 사이버 공격을 수행하고 있습니다. 워터링 홀 방식과 서드파티 소프트웨어 취약점을 결합해 공격을 감행하는 과정에서 이노릭스 에이전트의 취약점이 악용됐고, 공격자는 이를 통해 추가 악성코드를 설치하며 내부 네트워크를 장악했습니다. 이번 사이버 공격은 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례로 정부와 민간 기업의 긴밀한 협력을 통해 위협 인텔리전스와 리소스를 공유하며 국가적 차원의 디지털 방어를 강화해 야 합니다.라자루스 공격 대응을 위한 보안 권고 사항• 소프트웨어 최신 업데이트• 정기적인 네트워크 및 자산 보안 감사• EDR/XDR 기반 실시간 위협 대응 체계 구축• 최신 위협 인텔리전스 활용이 콘텐츠의 저작권은한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

메두사 랜섬웨어, 주요 사이버 보안 위협으로 부상

메두사 랜섬웨어 (출처: thehackernews)메두사 랜섬웨어 랜섬노트 (출처: unit42)메두사 랜섬웨어란?메두사(Medusa) 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS(Ransomwareas-a-Service) 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활 발하게 활동하며 악명을 떨쳤습니다.해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으로 삼고 있습니다. 공격자들은 주로 피싱 캠페인, 공개된 인터넷 자산, 패치되지 않은 취약점을 이용하여 초기 침투에 성공하며 경우에 따라 초기 접근 브로커를 통해 외 부로부터 접근 권한을 구매하기도 합니다. 메두사 랜섬웨어는 침투 이후 데이터를 암호화한 뒤 유출 사실을 공개하겠다고 협박하 는 이중 갈취(Double Extortion) 전략을 사용해 피해자에게 금전을 요구합니다. 또한 운영 체제에 내장된 도구 등 정상 소프트웨어를 악용하는 자급자족형(living-off-theland) 기술을 통해 보안 탐지를 회피하고 은밀하게 활동합니다.2023~2025 메두사 랜섬웨어 공격 건수 (출처: Medusa leaks site)메두사 랜섬웨어, 2025년 40건 이상 공격2025년 들어 메두사 랜섬웨어의 활동은 급격히 증가하였습니다. 2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 이들은 주로 의료, 교육, 법률, 보 험, 기술, 제조 등 다양한 산업을 표적으로 삼았습니다. 2023년과 2024년 사이 공격 건수가 42% 증가한 것으로 나타났으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다.몸값 요구 금액은 최소 10만 달러에서 최대 1,500만 달러에 이르렀으며, 피해 기업의 규모나 중요도에 따라 크게 차이가 났습니다. 이 가운데 의료 기관과 교 육 기관이 가장 많은 공격을 받은 것으로 나타났습니다. 특히 의료 기관은 민감 한 환자 데이터를 보유하고 있고 교육 기관은 연구 데이터 및 학생 정보를 이유 로 협박의 강도가 높은 경향을 보였습니다.메두사 랜섬웨어 블로그 (출처: unit42)메두사 랜섬웨어 공격 기법메두사 랜섬웨어는 Microsoft Exchange Server 등의 취약점을 악용하거나 초기 접근 브로커(IAB)를 통해 조직 내부로 침투합니다. 침투 후에는 SimpleHelp, AnyDesk, MeshAgent 등의 원격 관리 도구를 설치해 지속적인 접근을 유지하고 PDQ Deploy를 활용해 악성 파일을 내부에 전파합니다.보안 우회를 위해 BYOVD 기법으로 취약한 드라이버를 실행하고 KillAV 도구를 사 용해 백신과 보안 프로그램을 종료시킵니다.이후 NetScan으로 네트워크를 탐색하고 크리덴셜 덤핑을 통해 관리자 권한을 탈취 한 뒤 측면 이동(lateral movement)을 수행합니다.마지막으로 RoboCopy와 Rclone 같은 도구를 이용해 데이터를 유출하고 암호화한 뒤 유출 정보를 공개하겠다고 협박하는 이중 갈취 전략을 실행합니다.결론메두사 랜섬웨어는 2022년 후반부터 활동이 포착된 RaaS 플랫폼으로 2023년 초부터 주로 Windows 기반 환경을 대상으로 활발 하게 활동하며 악명을 떨쳤습니다. 해당 랜섬웨어는 의료, 교육, 법률, 보험, 기술, 제조 등 다양한 산업 분야의 조직을 공격 대상으 로 삼고 있습니다.2023년부터 현재까지 총 400건 이상의 공격을 감행했으며 2025년 초 두 달 동안에만 40건 이상의 공격이 확인되어 공격 빈도가 가파르게 증가하고 있습니다. 이는 메두사 랜섬웨어 조직이 전 세계적으로 공격을 확대하면주요 사이버 보안 위협으로 부상하고 있어 각별한 주의가 필요합니다.메두사 랜섬웨어에 대응하기 위한 조치사항 • 운영 체제, 소프트웨어, 펌웨어 등 알려진 취약점이 악용되지 않도록 위험 수준에 따라 적절한 시기에 패치하고 최신 상태로 유지합니다.• 초기 감염된 장치나 동일 조직 내 다른 장치로의 측면 이동을 차단하기 위해 네트워크를 분할합니다.• 신뢰할 수 없거나 출처가 불분명한 트래픽이 내부 시스템의 원격 서비스에 접근하지 못하도록 네트워크 트래픽을 필터링합니다.• 계정이 탈취되더라도 추가 인증 없이 접근하지 못하도록 다중 인증을 활성화합니다.• 정기적인 백업을 통해 데이터 복구가 가능하도록 하며 피싱 및 악성 이메일에 대한 교육을 통해 보안 인식을 높일 수 있도록 합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계

Remcos RAT 악성코드

유포 메일 원본 (출처: ASEC)첨부된 html 스크립트 JS (출처: ASEC)Remcos RAT 악성코드 개요Remcos는 원격 액세스 트로이 목마(RAT)이며 2021년 상위 10개 멀웨어 변종 중 하나입니다. 컴퓨터를 감염시킨 후 Remcos는 공격자에게 감염된 시스템에 대한 백 도어 액세스를 제공하고 다양한 민감한 정보를 수집합니다.Remcos는 일반적으로 피싱 공격을 통해 배포됩니다. 멀웨어는 송장 또는 주문이 포 함되어 있다고 주장하는 PDF로 가장한 악성 ZIP 파일에 포함될 수 있습니다. 또는 Microsoft Office 문서 및 악성 매크로를 사용하여 멀웨어의 압축을 풀고 배포하는 멀웨어도 배포되었습니다.주로 html 스크립트 클릭을 유도하는 내용으로 발송하며 유포되는 메일의 원본으로 내부에 html 스크립트가 첨부되어있습니다. 해당 html 파일은 실행하여 Download 버튼을 클릭하면 악성 JS 파일이 다운로드 됩니다. 하지만 다운로드 URL은 “blob” 형태의 URL로 외부 서버로부터 다운로드 하는 유형은 아닙니다.복호화된 자바스크립트 (출처: ASEC)자바스크립트의 생성 파일의 기능 (출처: ASEC)Remcos RAT 악성코드 공격 흐름 html 스크립트의 코드로 인코딩된 악성 자바스크립트를 오브젝트로 변환하여 브라 우저 내에서만 접근 가능한 URL을 통해 악성 JS 파일을 생성합니다. 더미코드를 제거한 실제 악성 행위를 수행하는 코드입니다. 실행 시 그림과 같이 임의 구동 파일 을 생성(knkfcutogchunsg.bls, wtine.amv) 및 다운로드(kmwdx.txt, fdilfn.dll) 하며 기능은 아래와 같습니다.임의 구동 파일들을 생성한 이후에 정상 오토잇 로더(kmwdx.txt)의 인자로 악성 오토잇 스크립트(fdilfn.dll)를 실행합니다. 쉘코드 기능의 일부 코드로 인젝션을 위 해 정상 프로세스(RegSvcs.exe)를 실행(CreateProcessW) 하는 코드입니다.이후 아래와 같은 순서로 Remcos 악성코드를 인젝션 합니다. 이후 정상 프로세스 (RegSvcs.exe)에서 동작하는 Remcos RAT 악성코드의 메인함수 일부입니다. 최 종적으로 실행된 Remcos RAT는 Remote Access Tool 악성코드로 C2 명령에 따라 사용자 PC의 정보 탈취 및 다양한 원격 명령이 수행될 수 있습니다.결론Remcos RAT은 공격자가 사용자 PC에 접근해 시스템에 대한 제어권을 가질 수 있는 백도어입니다. 백도어는 공격자가 감염 PC에 지속적으로 접근할 수 있는 통로를 제공하기 때문에 발견 즉시 삭제해야 합니다. 또한 악성 메일의 첨부 파일 실행을 유도하기 때문에 이를 방지하기 위해서는 악성 메일에 대한 사용자의 보안 인식과 정기적인 백신 업데이트가 필요합니다.Remcos RAT 악성코드에 대한 보안 권장 사항• 공격자의 주소나 침해당한 주소로 정보를 유출하는 유형과 달리 정상 플랫폼을 C2로 활용하는 사례가 계속 증가하고 있으므로 사용자는 각별한 주의가 필요합니다.•출처가 불분명한 메일 열람은 사용자의 각별한 주의가 요구됩니다.• 2차 피해를 예방하기 위해 주기적인 패스워드 변경이 필요합니다.• PC에서 민감한 자동완성 데이터를 사용하지 않는게 좋습니다.• 정기적인 백신 업데이트가 필요합니다.이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안뉴스

랜섬웨어 수익 감소, 그 이유는?

랜섬웨어 피해액 연도별 변화 (출처: Chainalysis)2024년 랜섬웨어 개요2024년 랜섬웨어 공격으로 인한 총 수익은 약 8억 1,355만 달러로 2023년 대비 35% 감소하였습니다. 이는 2022년 이후 처음으로 수익이 줄어든 사례입니다. 특히 2024년 상반기에는 랜섬웨어 공격자들이 약 4억 5,980만 달러를 갈취하며 전년 동 기 대비 2.38% 증가했으나 7월 이후 공격 활동이 급격히 줄어들면서 하반기 피해액 이 34.9% 감소하였습니다.이러한 감소는 피해자들의 랜섬머니 지급 거부 증가와 법 집행 기관의 적극적인 개입 이 주요 원인으로 작용한 것으로 보입니다. 특히 2024년 초 LockBit과 같은 대형 랜섬웨어 그룹이 국제법 집행 기관의 집중 단속을 받으며 운영이 크게 위축된 점도 영향을 미쳤습니다.그러나 랜섬웨어 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화에서 벗어나 데이터 유출을 활용한 협박 전략을 강화하고 있습니다. 따라서 기업과 기관의 보안 강화 및 법 집행 기관의 지속적인 대응이 필수적입니다.법 집행 기관으로부터 단속된 LockBitAkira 랜섬웨어 협박 메시지주요 랜섬웨어 그룹 활동 변화 Akira 랜섬웨어 협박 메시지 2024년 랜섬웨어 그룹별 활동에는 큰 변화가 있었습니다. LockBit의 경우 2024 년 초 영국 국가범죄청(NCA)과 미국 연방수사국(FBI)의 대규모 단속으로 인해 하반기 피해액이 79% 감소하였습니다. 이는 국제법 집행 기관들의 협력이 랜섬웨어 조직을 무력화하는 데 효과적이었다는 것을 보여줍니다.ALPHV(BlackCat)은 2023년까지 주요 랜섬웨어 그룹으로 활동했으나 2024년 1월 내부 사기 사건이 발생하면서 조직이 와해되었습니다. 이로 인해 해당 그룹의 활동이 중단되었으며 랜섬웨어 생태계 전반에도 영향을 미쳤습니다.반면, Akira는 2023년 3월 이후 250개 이상의 기관을 공격했으며 2024년 하반기에도 활동을 지속한 유일한 상위 10위 랜섬웨어 그룹으로 나타났습니다. 기존 주요 조직들이 약화된 상황에서도 공격을 이어가고 있어 새로운 위협으로 부상하고 있습니다.2024년 랜섬웨어 피해자 대응 변화 (출처: Chainalysis)피해자 대응 및 데이터 유출 협박2024년 하반기 랜섬웨어 사건 수는 증가했지만 피해자가 실제로 지급한 랜섬머니 총액은 감소하는 추세를 보였습니다. 이는 기업과 개인의 지급 거부 사례 증가가 주요 원인으로 분석됩니다.이에 대응해 공격자들은 데이터 유출을 활용한 협박을 강화하고 있습니다. 2024년 에는 새로운 데이터 유출 사이트가 56개 등장했으며 이는 2023년 대비 두 배 증가한 수치입니다. 피해자의 데이터를 공개적으로 유출하여 심리적 압박을 가하는 전략이 더욱 활성화되고 있으며 이는 기업의 명성 훼손과 법적 문제로 이어질 수 있습니다.또한, 랜섬웨어 조직들은 자금 세탁 방식도 진화시키고 있습니다. 기존에는 믹서 (Mixer)를 통한 세탁이 일반적이었으나 법 집행 단속이 강화되면서 중앙화 거래소 (CEX), 개인 지갑, 브릿지(Bridge) 등을 통한 자금 이동이 증가하고 있습니다. 이는 공격자들이 감시를 피해 보다 다양한 방식으로 자금을 은닉하고 있음을 시사합니다.결론랜섬웨어 공격으로 인한 피해액은 감소하고 있지만 공격 건수는 여전히 높은 수준을 유지하고 있으며 공격자들은 단순한 파일 암호화 방식에서 벗어나 데이터 유출을 활용한 협박 전략을 더욱 강화하고 있습니다. 이에 법 집행 기관의 단속이 일정 수준의 효과를 거두면서 주요 랜섬웨어 그룹들의 활동이 위축되었지만 새로운 랜섬웨어 그룹들이 등장하며 위협이 지속되고 있습니다.또한, 공격자들은 기존의 믹서(Mixer) 서비스를 이용한 자금 세탁 대신 중앙화 거래소(CEX), 개인 지갑, 브릿지(Bridge) 등을 활용하여 법 집행 기관의 감시를 회피하려 하고 있습니다. 이에 따라 랜섬웨어 위협을 완화하기 위해서는 기업 및 기관의 보안 강화, 피해자의 적극적인 대응, 법 집행 기관의 지속적인 단속과 국제적 협력이 필수적입니다.대응 방안• 정기적인 보안 점검 및 패치 적용• 오프라인과 클라우드를 병행한 데이터 백업• 피싱 이메일 및 악성코드 대응 보안 교육• 데이터 유출 피해를 최소화할 대체 복구 전략 마련• 데이터 접근 통제 및 암호화 강화• 랜섬머니 지급이 아닌 랜섬웨어 복구 도구 이용이 콘텐츠의 저작권은 한국재정정보원에 있으며 영리적, 개인적 사용, 무단 수정을 금합니다.

> 주요사업 > 사이버안전센터 운영 > 사이버위협 정보 및 통계 > 보안동향 및 통계