4월 셋째, 넷째주 보안뉴스

[배종찬의 보안 빅데이터] 완전자율주행 위협하는 ‘원격 해킹’ 운전

https://www.boannews.com/media/view.asp?idx=136860

[배종찬의 보안 빅데이터] 완전자율주행 위협하는 ‘원격 해킹’ 운전

완전자율주행은 기술 진보의 정점이자 '꿈의 자동차'

• 운전자 조작 없이 센서와 AI가 전 구간을 자율 운행하는 시스템
• 자율주행은 레벨 0~5로 구분되며 현재 레벨 4 수준까지 상용화 시도 중
• 테슬라, 현대차 등 글로벌 기업들이 완전자율주행 경쟁 중
• 자율주행에 대한 감성 연관어는 ‘혁신’, ‘기대’, ‘선도’, ‘최첨단’, ‘효율’ 등 긍정적 이미지가 우세

자율주행차에 대한 '안전성' 우려도 함께 나타남

• 연관어 중 ‘우려’, ‘불안정’, ‘위험성’도 동시에 빈번하게 출현
• 첨단 기술에 대한 낙관론 뒤에는 예상치 못한 보안 위협이 존재
• ‘편리함 + 공포’라는 이중 감정이 자율주행차에 대한 인식의 핵심

실제 해킹 사례: 닛산 리프 해킹 사건

• 2025 블랙햇 아시아에서 PC오토모티브가 닛산 리프 차량 원격 조작 시연
• 블루투스 → 인포테인먼트 → 내부 네트워크 침투 → 조향·조명·경적 제어까지 가능
• 차량 운행 중 원격으로 핸들 조작 가능 = 교통사고·인명 피해 직결 가능성
• “완전자율주행이 아니라 완전원격해킹주행이 될 수도 있음”이라는 경고 제기

스타링크 탑재 차량의 보안 취약점

• 스타링크 기능이 탑재된 스바루 차량에서 광범위한 보안 취약점 발견
• 이메일, 차량번호판, 전화번호 중 하나만 알아도 다중 공격 루트 가능
• 원격 시동, 문 열림/잠금, 위치 조회, 과거 1년 주행 이력 열람까지 가능
• 미국·일본·캐나다 내 스타링크 탑재 차량 전체가 노출될 수 있음

기술의 편리함이 곧 위협이 될 수 있는 현실

• 자율주행차는 기술 편의성을 넘은 새로운 ‘가치’를 줄 수 있음
• 그러나 시스템이 외부에 뚫릴 경우 → 인명과 재산을 위협하는 무기화 가능성 존재
• ‘운전이 아니라 해킹이 주행을 지배하는’ 현실이 될 수도 있음
• 보안 안전장치 없이 상용화되는 완전자율주행은 위험한 실험일 수 있음

 

---

AI코드, 그대로 믿었다간 ‘환각’ 상태?...SW 공급망 오염 우려 제기

https://www.boannews.com/media/view.asp?idx=136863

AI코드, 그대로 믿었다간 ‘환각’ 상태?...SW 공급망 오염 우려 제기

 

1. 요약

생성형 AI는 코드 작성도 도와주는 유용한 도구

 

• GPT-4, 코드라마(CodeLlama), 위자드코더 등 AI는 개발자가 입력한 프롬프트에 따라 코드 생성해 줌
• 코드 생성 과정에서 라이브러리, 패키지 추천 기능도 포함 됨
• 많은 개발자가 실사용 중이며 점점 의존도 높아지는 추세 

AI는 '없는 코드'를 지어내는 환각 일으킴

 

• 코드 생성 AI도 일반 언어 AI처럼 환각(Hallucination) 발생
• 존재하지 않는 소프트웨어 패키지, 잘못된 라이브러리 이름을 만들어 냄
• 예: import ultra_utils_optim 같은 실제 존재하지 않는 패키지를 추천

환각을 악용한 새로운 공격 기법 = 슬랍스쿼팅

• 공격자는 AI가 잘못 추천한 환각 패키지명을 실제로 악성 라이브러리로 만들어 게시
• 이후 다른 개발자가 같은 프롬프트를 입력했을 때 동일한 가짜 패키지명을 추천받게 됨
• 개발자가 “어? 이거 쓰라는 건가 보다” 하고 설치 → 악성코드 감염
• 이 방식은 AI가 거짓말을 하도록 유도하는 게 아니라 AI의 실수를 이용한 공격

 

연구와 통계로 본 현실 위협 수준

 

• 총 57만 6천 개 코드 샘플 중 20%가 존재하지 않는 패키지를 포함
• GPT-4도 약 5% 환각 발생률 타 오픈소스 모델들은 30% 이상 환각률 기록
• 43%의 가짜 패키지명은 비슷한 프롬프트에 반복 등장
• 58%는 10번 중 1번꼴로 반복 등장 → 단순 노이즈 아닌 패턴화된 오류

 

2. 필수 보안 개념

용어	설명
환각(Hallucination)	AI가 존재하지 않는 정보나 코드를 사실처럼 생성하는 현상
슬랍스쿼팅(Slopsquatting)	AI 환각이 만든 가짜 패키지명을 공격자가 실제로 등록하여 감염 유도하는 공격
타이포스쿼팅(Typosquatting)	인기 패키지 이름과 비슷한 이름으로 악성 패키지를 올리는 공격 기법
패키지 관리자	PyPI(pip), NPM, Maven 등 개발자가 코드 라이브러리를 설치할 때 사용하는 플랫폼
서플라이체인 공격	코드나 도구의 공급 과정에 악성 요소를 삽입해 최종 사용자까지 감염시키는 방식

 

3. 타이포스쿼팅과 슬랍스쿼딩

구분	타이포스쿼팅 (Typosquatting)	슬랍스쿼팅 (Slopsquatting)
공통점	- 인기 소프트웨어 패키지를 위장하여 - 개발자가 잘못된 패키지를 설치하도록 유도하고 - 악성 라이브러리를 통해 악성코드 유포 또는 백도어 삽입
공격 방식	- 유명 패키지 이름의 철자를 일부 바꿔 - 사용자의 오타 입력을 유도함	- 생성형 AI가 환각으로 만들어낸 패키지명 - 공격자가 실제로 등록하여 사용자를 속임
유형	사용자 실수를 악용한 오타 기반 공격	AI 환각을 악용한 추천 기반 공격
필요 조건	인기 있는 패키지 존재 + 사용자의 오타	AI 모델의 코드 생성 기능 + 반복적인 환각
위험도	중간~높음 (주로 신규 개발자 대상)	높음 (AI 활용자 증가로 확산 가능성 큼)
예시	- 진짜: requests - 가짜: requets	- AI가 지어낸: ultra_utils_optim - 공격자가 등록: 같은 이름으로 PyPI에 악성 업로드

 

4. 대응방안

타이포스쿼팅(Typosquatting) 대응 방안

• 자주 사용하는 인기 패키지 이름은 정확하게 기억하고 입력해야 함
• 복사/붙여넣기보다는 공식 문서나 저장소 링크에서 직접 설치 명령 복사할 것
• 설치 전 PyPI, NPM 등 패키지 설명·다운로드 수 확인하여 진짜 여부 판단
• 사내 코드 리뷰 또는 CI 단계에서 의심 패키지 자동 경고 설정 권장
• 팀 내 패키지 화이트리스트나 내부 검증된 미러 저장소 사용하는 것도 좋은 방법

슬랍스쿼팅(Slopsquatting) 대응 방안

• AI가 추천하는 패키지는 기본적으로 검증되지 않은 것으로 간주해야 함
• 생소하거나 처음 보는 라이브러리는 공식 저장소에서 반드시 수동 검색 및 확인할 것
• AI가 생성한 코드를 바로 실행하거나 설치하지 말고 사전 검토 후 분리된 환경에서 테스트
• 개발자에게 “AI 코드 추천 = 가짜 가능성 존재”라는 보안 인식 교육 필요
• 기업/기관 차원에서 패키지명 모니터링 자동화 도구 도입 검토 가능 (예: Socket, Phylum 등)

공통 대응 전략

• 모든 외부 패키지 설치 시 버전 고정(fixed version) 및 무결성 검증(hash) 체크
• requirements.txt, package-lock.json 등으로 설치 환경 고정
• 의심되는 패키지는 분석 툴로 바이너리 내부 검토 or 샌드박스 환경에서 설치
• 공급망 공격에 대비해 서플라이 체인 보안 도구(Dependabot, Snyk 등) 활용 권장

 

---

[한국정보공학기술사 보안을 論하다-13] 사이버 레질리언스 첫걸음

https://www.boannews.com/media/view.asp?idx=136862

[한국정보공학기술사 보안을 論하다-13] 사이버 레질리언스 첫걸음

1. 핵심 요약

디지털 전환 시대, 위협과 편의는 동시에 커짐

• AI, IoT, 클라우드, 오픈소스, 5G 등 기술 확산되면서 업무 생산성 향상
• 반면, 공격자도 최신 기술을 활용해 정교한 위협 지속적으로 고도화 됨
• 특히 엔드포인트 수 증가로 인해 방어 범위도 넓어짐

사이버 하이진이란 무엇인가

• 개인 위생처럼 정보 자산을 깨끗하고 안전하게 유지하는 반복적 보안 활동
• 시스템, 디바이스, 소프트웨어 상태를 꾸준히 확인하고 취약점은 바로 조치해야 함
• 목표는 단순 방어가 아니라 사이버 회복력 확보(Cyber Resilience)

사이버 하이진의 핵심 적용 대상 = 엔드포인트

• 엔드포인트는 단말기만이 아님 → 노트북, 스마트폰, 서버, IoT, 프린터, 산업장비까지 포함됨
• BYOD 확산으로 개인 장비가 회사망에 접속하면서 보안 접점 다수 발생함
• 클라우드 기반 환경에서 애플리케이션 업데이트도 잦아, 취약점 지속 발생함

사이버 하이진은 결국 '가시성과 지속 관리'의 문제

• 어떤 자산이 있는지 식별(Identify)
• 어떤 취약점이 있는지 진단(Detect)
• 패치가 필요한 항목을 조치(Respond)
• 이런 과정이 지속적이고 자동화되어야 의미 있음

프레임워크 기반으로 체계 구축 가능

• NIST 사이버보안 프레임워크(CSF2)에서 하이진 개념 강조됨
• NIST 기능 5단계: 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)
• 자산관리, 취약점관리, 패치관리, 이상징후 탐지 등 모두 하이진 실천 항목

하이진 미흡 시 벌어지는 일

• log4j, OpenSSL 등 제로데이 발생 시 자산 식별과 대응 속도 늦어짐
• 조직 내 어느 시스템이 영향받았는지 확인하는 데 수일 소요됨
• 대응 완료 보고, 재설정, 재배포에 더 많은 리소스와 시간 낭비됨

결론: 보안도 결국 "측정 → 관리 → 개선"의 순환

• 측정할 수 없으면 관리할 수 없고, 관리 못 하면 개선도 안 됨 (피터 드러커 명언 인용)
• 사이버 하이진은 기술이 아닌 ‘관리 체계’
• 단발성 대응이 아니라 지속적으로 “깨끗한 상태”를 유지하는 문화 필요

 

2. 사이버 하이진 실천을 위한 체크리스트

• 연결된 모든 자산 목록 확보하고 실시간 관리 중인가?
• 취약점 스캐닝 도구로 주기적 검사하고 있는가?
• 보안 패치 및 설정 변경 이력 추적 가능하도록 관리 중인가?
• 새로운 위협 발생 시 대상 식별 → 조치까지 빠르게 진행 가능한가?
• 보안 상태에 대한 현황 보고가 관리자/운영진에게 전달되고 있는가?

---

SKT, 초유의 유심정보 유출...문제는 2차 피해 후폭풍

KISA, SKT 해킹 악성코드 공개...보안 점검 권고

SKT, “유심 공짜 교체”...법조계, “싸게 막는 셈”

https://www.boannews.com/media/view.asp?idx=136964

SKT, 초유의 유심정보 유출...문제는 2차 피해 후폭풍

https://www.boannews.com/media/view.asp?idx=137004

KISA, SKT 해킹 악성코드 공개...보안 점검 권고

https://www.boannews.com/media/view.asp?idx=136999

SKT, “유심 공짜 교체”...법조계, “싸게 막는 셈”

 

1. 타임라인 사건 정리

• 4월 19일

SK텔레콤, 사내 시스템 침해 정황 발견
홈가입자서버(HSS)에서 고객 유심 정보(전화번호, IMSI 등) 유출 가능성 인지함
내부 긴급 대응팀 구성, 악성코드 즉시 삭제 및 해킹 의심 장비 격리 조치

 

• 4월 20일

한국인터넷진흥원(KISA)에 공식 침해사고 신고 접수
KISA 전문가 파견, 현장 조사 및 지원 시작

 

• 4월 22일 

개인정보보호위원회에도 사고 발생 사실 신고
SKT는 유심 정보 유출 가능성 공식 공지함
유심 보호 서비스 무료 제공 시작 (타기기 유심 삽입 차단 기능 활성화)

 

• 4월 22 - 24일

유심 보호 서비스 신규 가입자 206만명 폭증 → 누적 240만명 돌파
서비스 가입 폭주로 일부 고객 유심보호 등록 지연 사태 발생

 

• 4월 25일

SKT 서울 을지로 본사에서 고객 보호조치 강화 관련 공식 설명회 개최
유영상 대표 공식 사과
4월 28일부터 모든 고객 대상으로 유심 무상 교체 시행 발표
유심 교체 비용 선지급 고객에 대해 환불 조치 약속
알뜰폰(MVNO) 가입자도 무상 교체 대상 포함됨
같은 날, KISA가 보호나라에 악성코드 관련 위협정보 긴급 공개
- 공개 내용: BPFDoor 악성코드 정보 (파일 해시, 감염 징후 등)
SKT 사건과 직접 연결되진 않았지만 BPFDoor 관련성 강하게 시사됨

 

• 4월 26일 

SKT는 비정상 인증 시도 차단 시스템(FDS) 감시 강화
정부 민관합동조사단은 현장 추가 조사를 이어가며 원인·영향 범위 분석 중
SKT, 하루 500만명 대상 보호조치 안내 문자 발송 개시

 

• 추가사항

• 사건 발생부터 정부 신고까지는 약 1일 이내로 비교적 신속하게 처리됨
• 하지만 사고 공지 → 보완조치 발표 → 악성코드 정보 공개까지 약 1주일 소요
• 아직 유출 규모, 대상 수, 추가 침해 여부 등은 미공개 상태

• SKT 유심 해킹 사건 - 공격자 vs 대응 타임라인 비교

시간대	공격자 움직임 (추정)	SKT·정부 대응
~2025년 초반	- BPFDoor 악성코드 심어놓고 장기 잠복 - 서버 내부 권한 상승 및 은밀한 명령 수신 대기	- (탐지 불가 상태)
4월 19일 밤	- 홈가입자서버(HSS) 침입 후 - 유심 정보(전화번호, IMSI 등) 대량 수집 및 외부 유출 시도	- 사내 시스템 침해 정황 발견 - 악성코드 즉시 삭제, 의심 장비 격리
4월 20일	- (유출된 데이터 활용 가능성 추정)	- 한국인터넷진흥원(KISA)에 침해사고 공식 신고 - 현장 긴급 조사 착수
4월 22일	- (2차 피해 가능성 고조: 스푸핑, 심 스와핑 우려)	- 개인정보보호위원회 신고 - 유심 보호 서비스 무료 제공 시작
4월 25일	- (공격자 침투 흔적 일부 노출 가능성)	- SKT 대표 공식 사과 및 설명회 - 유심 무상 교체 조치 발표 - KISA, BPFDoor 악성코드 공개 및 보안 경고 발령
4월 26일 이후	- (추가 피해 가능성은 계속 존재)	- 정부 민관합동조사단 전면 조사 지속 - 보호조치 안내 문자 발송 (일 500만명 목표)

 

2. 핵심 개념

개념	상세 설명
홈가입자서버 (HSS)	- 이동통신 가입자의 전화번호, 고유식별번호(IMSI), 인증정보, 과금정보 등을 통합 관리하는 핵심 서버 - 통신망 내 가입자 식별과 서비스 제공의 기반 역할 수행 - 유출될 경우 통신망 신뢰 체계 자체가 붕괴될 수 있음
유심 (USIM)	- 휴대폰에 삽입되는 가입자 인증용 칩 - 내부에 IMSI, 인증키, 통신사 네트워크 정보 저장 - 유심만으로도 네트워크 접속, 인증, 본인확인 가능
IMSI (국제이동가입자식별번호)	- 15자리 숫자로 구성된 이동통신 가입자 고유 식별번호 - 구성: MCC(국가코드) + MNC(통신사코드) + 가입자번호 - 통신 네트워크 접속 시 가장 먼저 전송되어 본인 인증에 사용됨
스푸핑 (Spoofing)	- 네트워크나 시스템 상에서 타인의 신분을 위조하여 공격하는 기술 - 통화 스푸핑, 이메일 스푸핑, IP 스푸핑 등이 존재 - IMSI 스푸핑은 통신망에 타인처럼 접속 가능케 함
심 스와핑 (SIM Swapping)	- 타인의 유심 정보를 복제하거나 조작해 통신망을 탈취하는 공격 - 본인 인증(SMS 인증 등)을 우회해 금융 계좌 탈취, 기업망 침입 등 가능 - 최근 다양한 금융 범죄 수단으로 활용되고 있음
BPF도어 (BPFDoor)	- 리눅스 및 솔라리스 시스템을 노리는 은폐형 백도어 악성코드 - 포트를 열지 않고 Berkeley Packet Filter(BPF)를 조작해 명령 수신 - IDS, 방화벽 등을 우회 가능, 탐지 어려움 - 데이터 탈취, 시스템 제어, 장기 잠복 공격 기능 탑재
유심 보호 서비스 (USIM Lock)	- 등록된 디바이스 이외에 유심을 삽입할 경우 작동을 차단하는 기능 - 유심 복제나 심 스와핑 공격 방어에 효과적 - SKT는 해킹 이후 이 서비스를 무료로 제공 중
비정상 인증 시도 차단 시스템 (FDS)	- Fraud Detection System의 약자 - 유심 변경, 비정상 접속 시도, 인증 실패 등을 탐지하여 차단하는 시스템 - 통신사뿐 아니라 금융권에서도 거래 탐지에 사용

 

3. 대응 방안

구분	현재 긴급 대응 (Immediate Response)	장기 보안 강화 (Strategic Hardening)
핵심 목표	- 유출 확산 방지 - 2차 피해 차단 - 고객 불안 해소	- 통신망 신뢰성 회복 - 유사 사고 재발 방지 - 체계적 보안 문화 정착
기술적 조치	- 유심 보호 서비스(USIM Lock) 즉시 무료 적용 - 비정상 인증 시도 탐지 시스템(FDS) 강화 - 유심 무상 교체 조치 시행 - 악성코드(BPFDoor) 전수 스캔 및 제거 - 해킹 의심 장비 격리 및 포렌식 조사	- 홈가입자서버(HSS) 등 핵심 서버 이중방어 구축 - 전체 서버에 EDR, XDR 시스템 상시 적용 - 공급망(Supply Chain) 보안 감사 강화 - 통신망 트래픽 암호화 및 이상징후 실시간 탐지 강화 - 인증 체계 다중화(MFA, eSIM 안전성 강화)
운영적 조치	- 고객 대상 사고 공지 및 유심 보호 안내 문자 발송 - 유심 이상 감지 시 통신사/금융사 즉시 통보 체계 구축 - 피해 고객에 대한 전용 상담 센터 운영	- 보안 사고 대응 매뉴얼 업데이트 및 정기 훈련 - 통신사-금융사-정부 공동 위기 대응 체계 정례화 - 내부직원 보안 교육 및 관리 체계 강화 - 외부 보안 전문기관과 지속 모의훈련 실시
고객 보호	- 고객 요청 시 유심 무상 교체 - 심 스와핑 피해자 신속 복구 지원 - 금융 인증 모니터링 강화 요청	- 통신사 자체 본인인증 서비스 고도화 - 가입자 데이터 암호화 및 안전한 저장 시스템 적용 - 디지털 취약계층 대상 보안 교육 프로그램 제공
법·정책 대응	- 개인정보보호위원회 및 KISA 신고 완료 - 정부 합동조사단 협력	- 가입자 개인정보 보호를 위한 통신사 보안 규정 강화 추진 - 유심 관련 인증/변경 프로세스 법적 강화 검토

 

• 심 스와핑 대응 체크리스트

유심 보호 서비스(USIM Lock) 활성화하여 유심 변경 차단 설정했는가
최근 1개월 내 유심 교체 이력 조회 및 이상 여부 확인했는가
금융앱, 포털사이트, 주요 서비스에 2단계 인증(OTP, 생체 인증) 적용했는가
금융거래 내역, 소액결제 내역 주기적으로 모니터링하고 있는가
스마트폰 통화 불통, 문자 수신 불가 등 이상 징후 발생 시 즉시 통신사·금융사에 신고할 준비 되어 있는가
알뜰폰(MVNO) 사용자도 유심 보호 옵션을 확인하고 적용했는가
통신사 고객센터 통한 본인 확인 추가 인증 등록(음성비밀번호 등)했는가

 

• 스푸핑 대응 체크리스트

 

본인 명의 스마트폰의 IMSI 유출 여부 모니터링하고 있는가
기업 내부망, 이메일, 메신저 서비스에 MFA(다단계 인증) 적용했는가
기업 시스템 로그에서 비정상 로그인, 이중 접속 시도 탐지하고 있는가
민감 업무(금융거래, 기업 접속 등) 시 별도 VPN 및 보안 네트워크 경로 사용하고 있는가
통신사에 "번호 변경 통지 서비스" 등록하여 내 번호 사용 이상 감지할 준비했는가
본인 인증·로그인 시 "기기 변경 알림" 등 이중 알림 설정했는가
불필요한 위치추적 앱, 의심스러운 통신 관련 앱 제거했는가

 

• BPFDoor 악성코드 대응 체크리스트

 

리눅스·솔라리스 서버에 대해 최신 보안 패치 및 커널 업데이트 적용했는가
모든 서버에 EDR(Endpoint Detection & Response) 솔루션 도입했는가
BPF(Packet Filter) 조작 탐지를 위한 네트워크 트래픽 분석 체계 구축했는가
서버 내부 무포트(Portless) 통신 패턴 이상 탐지 룰 설정했는가
감염 의심 서버는 격리하고 포렌식 분석을 통해 명령 기록 확보 준비했는가
주요 서버는 아예 외부 명령 트래픽을 차단하거나 엄격히 제한했는가
전사 침해 대응 매뉴얼에 "BPFDoor 유사 패턴 탐지" 프로세스 반영했는가

 

---

北 라자루스, 국내 IT·반도체 등 6곳 해킹... 새로운 ‘오퍼레이션 싱크홀’ 공격

https://www.boannews.com/media/view.asp?idx=137003

北 라자루스, 국내 IT·반도체 등 6곳 해킹... 새로운 ‘오퍼레이션 싱크홀’ 공격

 

1. 공격 주체

• 북한 해킹 그룹 라자루스
• 과거에도 금융기관, 정부기관, 방위산업체 등을 겨냥한 공격 다수 수행한 그룹

 

2. 공격 대상

• 한국의 주요 산업군 - IT SW, 반도체, 금융, 통신, 기타 대기업 및 기관 네트워크

 

3. 공격 방식 흐름

 

• 워터링 홀(Watering Hole) 공격
  • 국내 언론사 웹사이트에 악성 스크립트 삽입
  • 조건 부합하는 방문자만 악성 도메인으로 리디렉션 유도
• 서드파티 소프트웨어 취약점 악용
  • CrossEX 소프트웨어의 하위 프로세스 SyncHost.exe 악용
  • 사용자는 정상 사이트 방문했지만, 보안 도구를 통해 감염
• 제로데이 취약점 이용
  • 보안 파일 전송 소프트웨어 Innorix Agent의 제로데이 취약점(KVE-2025-0014) 이용
  • 구 버전(9.2.18.496) 사용자 노출
  • 내부망으로 측면 이동(Lateral Movement) 시도
• 악성코드 배포 및 내부 장악
  • 다운로더 Agamemnon 이용
  • 라자루스 대표 악성코드 ThreatNeedle, LPEClient 배포
  • 내부망 지배 및 정보 탈취

4. 사용된 프로그램 및 주요 악성 코드

구분	설명
워터링 홀	정상 웹사이트에 악성코드 심어놓고 타깃 방문자 감염시키는 공격
CrossEX	국내 특화된 브라우저 보안 연동 프로그램
SyncHost.exe	CrossEX 하위 프로세스, 악성 행위에 활용됨
Innorix Agent	국내 행정/금융기관에 널리 쓰이는 파일 전송 솔루션
Agamemnon	다운로더 악성코드 (후속 페이로드 다운로드 담당)
ThreatNeedle	라자루스 대표 악성 RAT(Remote Access Trojan)
LPEClient	권한 상승 및 추가 침투용 악성 도구

5. 대응 방안

대응 영역	구체적 조치사항
소프트웨어 관리	- 모든 상용/서드파티 소프트웨어 최신 버전으로 업데이트 - CrossEX, Innorix Agent 등 취약점 패치 적용 여부 점검 - 브라우저 플러그인, 보조 보안 프로그램 실행 권한 최소화
네트워크 보안	- 인터넷망과 내부망 분리 강화 - 웹사이트 스크립트 무결성 검사 정기적 수행 - DNS 트래픽 모니터링 및 비정상 리디렉션 탐지
위협 탐지 및 대응	- EDR(Endpoint Detection and Response) 도입 및 상시 모니터링 - XDR(eXtended Detection and Response) 체계 구축 - Agamemnon, ThreatNeedle, LPEClient 등 IOC(침해지표) 기반 위협 탐지 강화
자산 및 접근 관리	- 중요 시스템 관리자 계정 이중 인증(MFA) 적용 - 내부 자산(서버, DB 등) 주기적 취약점 스캔 및 접근통제 - 제로트러스트(Zero Trust) 아키텍처로 접근 권한 최소화
위협 인텔리전스 활용	- 최신 APT 그룹 위협정보(TTPs, IoCs) 지속 업데이트 - 위협 인텔리전스 피드 연동해 탐지 정책 강화 - 대응팀(TSOC, CERT) 정기 인텔리전스 브리핑 시행
사용자 교육 및 인식 제고	- 워터링 홀 공격 대응법(의심 웹사이트 접근 주의) 교육 - 의심 이메일, 링크 클릭 금지 강조 - 정품 소프트웨어 외 프로그램 설치 금지 원칙 재교육

 

---

도시바, 광통신망에서 250km QKD 양자 통신 구현

https://www.boannews.com/media/view.asp?idx=137002

도시바, 광통신망에서 250km QKD 양자 통신 구현

 

1. 연구 배경

• 양자키분배(QKD)는 양자역학 원리(중첩, 얽힘)를 이용해
  해킹이 불가능한 암호 통신을 구현하는 기술임
• 기존 암호 체계(수학적 난제 기반)는 양자컴퓨터 등장 시 무력화될 위험 존재함
• 이에 따라 QKD 기술이 미래 정보보안의 핵심 대안으로 주목받고 있음

 

2. 기존 QKD 통신의 한계

• 장거리 전송이 매우 어려움 → 안정성 저하 문제
• 고가의 극저온 장비 필요 → 상용화 비용 장벽 매우 높음
• 전용 양자통신 네트워크 구축 필요 → 경제성 떨어짐

 

3. 도시바유럽의 연구 성과

• 독일 프랑크푸르트 ↔ 키르히펠트 ↔ 켈을 연결하는 254km 상용 광통신망 사용
• 상온에서 작동 가능한 저비용 장비 활용
• 광자 검출 효율 저하, 노이즈 문제를 양자 신호 실시간 보정 기술로 극복
• 별도의 전용 네트워크 없이 상용망 활용 성공 → 경제성 대폭 향상

 

4. 핵심 기술 포인트

구분	연구 특징
통신 거리	254km (상용망 기준)
네트워크	상용 광통신망 활용 (중국 방식은 전용 네트워크)
장비 환경	극저온 장비 아님, 상온 저비용 장비 사용
기술 극복	양자 신호 실시간 보정으로 노이즈 및 검출 효율 문제 해결
경제성	상업적 적용 가능성 크게 향상

 

5. 기술적 의미와 향후 전망

• QKD의 대중적 상용화 가능성이 실제로 높아짐
• 향후 5G/6G 통신망, 금융 네트워크, 정부 통신 인프라에
  양자 보안 네트워크(QSN: Quantum Secure Network) 구축 현실화 가능성
• 사이버 보안 영역에서 포스트퀀텀 보안(PQC)과 함께 핵심 기술로 부상 예상됨

 

6. QKD 통신 기술 개념

[송신자 (Alice)]
    ↓
  양자 상태 생성
    ↓
[양자 채널] (광섬유 또는 위성 통한 광자 전송)
    ↓
  수신자 (Bob) 수신
    ↓
  양자 상태 측정 (무작위성 유지)
    ↓
  키 생성 (비밀키 공유)
    ↓
[공개 채널] (암호화된 키 조정 과정)
    ↓
  최종 보안 키 생성 완료

양자 채널 : 광자(Quantum Bit)를 이용해 정보를 전송하는 경로
공개 채널 : 키 생성 후 에러 수정 및 개인정보 유출 여부 검증 통로 (암호화된 상태)
중간 도청자가 존재할 경우 → 양자 상태 붕괴 → 즉각 탐지 가능

 

• QKD vs PQC vs QRNG 기술 비교

구분	QKD (Quantum Key Distribution)	PQC (Post-Quantum Cryptography)	QRNG (Quantum Random Number Generator)
기술 개요	양자역학 원리로 비밀 키를 생성·분배하는 통신 기술	양자컴퓨터에도 안전한 수학적 기반 암호 기술	양자물리 현상으로 완전 무작위 난수를 생성하는 기술
목적	완전한 도청 불가능 비밀 통신	양자 이후 시대에도 안전한 데이터 암호화	예측 불가능한 암호 키 생성 보장
보안 특성	물리 법칙 기반, 도청 즉시 감지	수학적 난제 기반, 이론적 보안성	물리적 무작위성 기반 보안성 강화
장점	완전 도청 불가능, 높은 이론적 안전성	기존 통신 인프라 그대로 적용 가능	예측 불가능한 고품질 난수 제공
단점	장거리 통신 제한, 높은 구축 비용	양자컴퓨터 발전에 따라 다시 위협 가능성 있음	난수 품질은 높지만 별도 키 분배 체계 필요
적용 예시	국가급 비밀 통신망, 양자 인터넷	금융기관, 클라우드 서비스 암호화	QKD 키 생성, 암호키 생성기

 

---

‘no-reply@accounts.google.com’, 분명 구글 계정인데...보안 경고 위장 피싱

https://www.boannews.com/media/view.asp?idx=136962

‘no-reply@accounts.google.com’, 분명 구글 계정인데...보안 경고 위장 피싱

1. 사건 개요

• 구글 공식 이메일 계정(no-reply@google.com)에서
  수사기관 영장 집행을 위장한 피싱 메일이 발송됨
• 발송 메일은 DKIM 인증까지 정상적으로 통과 → 진짜 구글 메일처럼 보임
• 스팸 필터도 통과해 받은편지함에 정상적으로 도착함

2. 공격 흐름

공격자가 임의의 도메인 등록
---- 예시: google-mail-smtp-out-198-xxx.net 처럼 구글 내부 서버처럼 보이게 만듦
그 도메인으로 이메일 계정(me@해당도메인) 생성
구글 워크스페이스 연동 후 OAuth 앱 생성
---- 앱 이름에 피싱 메일 내용 그대로 삽입
---- 줄바꿈, 공백 조정해서 앱 이름 = 메일 제목처럼 보이게 만듦
이 OAuth 앱을 통해 구글 보안 경고 메일 자동 발송
---- 진짜 no-reply@google.com 계정 사용
---- DKIM, SPF 모두 통과
메일 본문에 sites.google.com 링크 삽입
---- 링크 클릭 시 가짜 구글 로그인 페이지로 이동
---- 로그인 정보 탈취

 

3. 주요 악용 포인트

구분	내용
메일 발송자	구글 공식 계정(no-reply@google.com)
인증 절차	DKIM, SPF 인증 정상 통과
링크 URL	sites.google.com 하위 도메인 (누구나 제작 가능)
피싱 기법	가짜 로그인 페이지 유도 및 계정 탈취
사용자 인식	정상 메일로 착각할 가능성 매우 높음

4. 보안적 의미

• 이제 구글 서버에서 온 메일조차 완전히 신뢰할 수 없음
• 이메일 인증(DKIM, SPF) 만으로 발신자 진위 판단이 불가능해졌음
• OAuth 시스템 및 사이트 호스팅 서비스까지 연동 악용 가능성이 확인됨

5. 대응 방안

• 사용자 측

이메일 제목, 발신자 뿐 아니라 본문 링크 주소를 항상 직접 확인할 것
google.com이 아니라 sites.google.com이면 일단 의심할 것
구글 로그인 시 URL 주소창을 직접 확인 (https://accounts.google.com)
구글 계정에 2단계 인증(MFA) 반드시 설정
수상한 메일은 클릭하지 않고, 별도로 구글 보안센터 통해 사실 여부 확인

 

• 기업·보안팀 측

수신 이메일의 OAuth 앱 메타데이터 검증 강화
이메일 보안 솔루션에 본문 링크 평판 조회 기능 추가
직원 대상 피싱 시뮬레이션 훈련 강화
이메일 무결성(DKIM, SPF) 외에도 콘텐츠 기반 이상 징후 탐지 활성화