5월 보안뉴스 1

랜섬웨어 해커 집단 록빗의 굴욕...사이트 해킹 당해 관리자 데이터 등 유출

https://www.boannews.com/media/view.asp?idx=137216&skind=D

랜섬웨어 해커 집단 록빗의 굴욕...사이트 해킹 당해 관리자 데이터 등 유출

1. 사건 개요

• 랜섬웨어 조직 LockBit이 정체불명의 해커에게 다크웹 사이트를 해킹 당함
• 해커는 홈페이지를 변조하고, 내부 데이터를 다운로드할 수 있는 링크와 함께 “CRIME IS BAD” 메시지 남김
• 다크웹 내 유명 랜섬웨어 그룹이 역으로 공격 당한 이례적 사례

 

2. 유출된 주요 데이터

항목	내용
비트코인 주소	59,975건 유출됨 → 금전 흐름 추적 가능성 ↑
피해자 협상 채팅 기록	총 4,442건 → 협상 방식, 대화 전략 등 노출
조직 관리자 정보	LockBit 관리자·협력자 75명 리스트 포함
관리자 계정 정보	76개 ID/패스워드 → 일부는 평문 저장
TOX 아이디	22건 포함됨 → 해커 추적에 활용 가능
공격 도구 자료	협력자들이 사용한 악성코드 도구 일부 포함됨

 

3. 시사점과 의미

• 범죄조직조차 내부 보안이 허술함이 드러난 사례
• 유출된 채팅 로그와 지갑 주소는 수사당국에게 귀중한 단서
• TOX ID 등으로 해커 활동패턴 추적 가능성 상승
• “CRIME IS BAD” 메시지 → 과거 Everest 조직 해킹 당시 메시지와 동일 → 해커들 간 보복전 or 내부 균열 가능성 제기

 

4. 사건 영향

• LockBit은 작년 FBI ‘크로노스 작전’(서버 압수 + 복호화키 유출) 이후 이미 신뢰도 하락 중이었음
• 이번 사건으로 조직 내 평판·통제력 약화 예상
• 다크웹 내 해커 간 내전 가능성까지 제기됨
• 피해 기업/기관은 과거 협상 내용 유출로 2차 보안 우려 발생

 

5. 향후 활용 가능성

• 비트코인 지갑 주소 → 암호화폐 흐름 추적 가능
• 협상 채팅 → 공격 방식/언어 패턴/심리전 분석
• 평문 계정 → 조직 내부 계층 구조 및 역할 분석
• TOX ID 매칭 → 포럼 활동 추적, 실체 드러낼 수 있음

 

---

AI 장착 초강력 ‘악성 봇’, 여행 산업 노린다

https://www.boannews.com/media/view.asp?idx=137227

AI 장착 초강력 ‘악성 봇’, 여행 산업 노린다

 

1. 주요 통계 및 추세

지표	수치 및 내용
전체 웹 트래픽 중 봇 비율	51% (2024년 기준, 10년 만에 사람보다 많아짐)
전체 트래픽 중 악성 봇 비율	37% (2023년 32% → 2024년 37%)
AI 기반 공격에서 바이트스파이더 비중	54%
주요 산업군 악성 봇 비중	리테일 59%, 여행 41%
API 대상 고급 봇 비중	전체 고급 봇 트래픽 중 44%

 

2. 악성 봇 생태계 특징

• AI + 자동화 + 서비스화 = BaaS 생태계의 대중화
• 생성형 AI 도구(ChatGPT, Claude, ByteSpider 등)의 대중화
  → 기술력이 낮은 공격자도 고급 봇 공격 가능
• BaaS(Bot-as-a-Service) 형태로 판매 및 유통
  → 봇 공격의 서비스화, 공격 장벽 낮아짐
• 흐름 요약도

[1] 봇 개발자 (개인/조직)
↓
[2] BaaS 플랫폼 (다크웹 마켓, Discord, Telegram 등)
↓
[3] 구매자 (초보 해커, 사이버 범죄자)
↓
[4] 공격 수행 (봇 배포, API 공격, 웹스크래핑 등)
↓
[5] 결과 수익화 (계정 탈취, 사기, 판매)

단계	설명	예시/구현 방식
봇 제작자	고급 AI 및 자동화 기술로 악성 봇 생성	AI 기반 웹 크롤러 - API 취약점 분석 봇 - 결제 스니핑 도구
BaaS 플랫폼 등록	봇을 상품화하여 판매하는 유통 채널	다크웹, 해킹 포럼 - Telegram 채널 - Discord 서버
구매자 확보	기술력 없는 범죄자도 손쉽게 구매 가능	사전 패키징된 봇 - UI 기반 제어판 제공 - 월 구독 모델
자동화된 공격 실행	특정 사이트·산업군 대상으로 봇 작동	대량 로그인 시도 - 가격정보 탈취 - 웹 크롤링 - API 호출 오용
수익화	탈취 정보 판매 또는 직접 활용	탈취 계정 판매 - 가짜 예약/주문 - 결제 우회 통한 현금화

 

3. 산업별 영향

산업군	주요 피해 양상
금융	계정 탈취(ATO), API 악용, PII 노출 (전체 ATO 공격의 22%)
의료	환자 데이터 유출, 의료 시스템 자동화 인프라 대상
전자상거래	재고탈취, 가격스크래핑, 결제 사기, API 도용
여행	단순 봇 폭증(52%), 트래픽 침수형 공격 증가

 

4. AI 기반 악성 봇 주요 사례

봇 이름	역할/특징
ByteSpider	전체 AI 기반 공격의 54% 차지, 공격 집중형
ClaudeBot	대화형 에이전트 변형, 정보수집
ChatGPT 사용자 봇	자동화된 텍스트 상호작용 기반 피싱 등
Google Gemini/Perplexity	콘텐츠 탐색 및 자동화 봇 활용 증가 추세

 

5. 공격 기법의 진화

• API 대상 공격 증가 (44%)
  • 단순 호출이 아닌 비즈니스 로직 자체를 겨냥한 공격
  • 자동 결제 사기, ATO, 데이터 탈취
• 기술 변화
  • 과거 고급 회피 기법 → 이젠 일반 봇 공격에까지 적용
  • 고급 봇 vs 단순 봇 간 경계가 모호해 짐

 

6. 전문가 권고 (Tim Chang, Imperva)

“회복력 있는 방어를 위해선 정교한 봇 탐지와 사전 예방 중심의 보안 전략이 필요하다.”

• 정교한 봇 탐지 솔루션(Behavioral Bot Detection 등) 적용
• API 보호를 위한 비즈니스 로직 감사와 이상 트래픽 실시간 탐지
• 자동화 공격 대응을 위한 AI 기반 보안 체계 도입
• 클라우드·마이크로서비스 보안 연계 및 Zero Trust 기반 설계

 

---

CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도

https://www.boannews.com/media/view.asp?idx=137157

CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도

 

1. 사건 개요

항목	내용
발생시점	2025년 4월 말 ~ 5월 초
피해 기업	CJ올리브네트웍스 (CJ그룹 계열 IT 기업)
공격자	북한 해킹 그룹 ‘김수키(Kimsuky)’로 추정
유출 항목	디지털 인증서(전자 서명)
주요 악용처	한국기계연구원 대상 악성코드 유포 시도

• 공격흐름도

[1] 내부 침투 또는 정보 유출
     └─ 개발 서버 또는 빌드 환경 침투
     └─ 인증서(.pfx, .pem 등) 탈취

           ↓

[2] 디지털 서명 도용
     └─ 악성코드에 CJ 인증서 서명
     └─ 정상 소프트웨어로 위장

           ↓

[3] 타깃 유포
     └─ 한국기계연구원 등 기관·기업에 이메일 첨부
     └─ 보안 탐지 우회 (정상 인증된 실행파일처럼 보임)

           ↓

[4] 실행 및 감염
     └─ 사용자 실행 시 악성코드 동작
     └─ 정보 탈취, 명령제어(C2), 내부 침투

           ↓

[5] 확산 및 통제권 장악
     └─ lateral movement
     └─ 기밀 유출, 시스템 장악

 

2. 디지털 서명(인증서) 악용 방식

절차	설명
인증서 탈취	CJ올리브네트웍스에서 서명용 인증서 파일 유출
악성코드 서명	김수키가 악성파일에 디지털 서명 삽입
정상파일 위장	보안 프로그램 탐지 우회 (정상 SW로 오인)
유포 시도	한국기계연구원 등 기관에 위장 악성파일 배포 시도

• 디지털 서명이란? → 소프트웨어 배포 시 "이건 A사가 만든 안전한 프로그램입니다"라고 인증하는 전자 서명 방식

 

3. 왜 위험한가?

• 보안 솔루션에서 서명 유효 파일은 자동 신뢰
• 공격자가 인증된 SW처럼 악성코드를 배포 가능
• 공급망 공격으로 이어질 가능성 존재
• 피해자는 CJ 계열사 전체 + SW 고객사 + 정부기관

 

4. 공격자 정보: 김수키(Kimsuky)

특징	내용
국가	북한 연계 APT 그룹
주 타깃	외교안보, 방산, 에너지, 언론기관 등
주요 수법	사회공학, 문서 위장, 디지털 서명 악용, 원격제어
최근 활동	ThinkPHP 취약점, 전자결재시스템 침투, 교육기관 위장 공격 등

 

5. 대응 현황 및 조치

항목	조치 내용
인증서 상태	즉시 폐기, 현재 유효하지 않음
확인자	CJ올리브네트웍스 보안팀
공개 경로	중국 보안 기업 레드드립팀(RedDripTeam)이 분석 정보 최초 공개
당국 개입 여부	(기사에는 미표기, KISA나 국가 CERT 대응 추정됨)

 

6. 향후 보안 우려

• 이전 악성 파일들에도 해당 인증서 재사용 가능성 존재
• 인증서 탈취를 통한 국내 다기관 대상 공급망 침투 우려
• CJ 내부 개발 플랫폼 및 고객사 배포 채널에 대한 신뢰도 하락

 

7. 디지털 인증서 탈취형 공급망 공격 대응 체크리스트

보안 영역	점검 항목
인증서 보안	- 코드 서명용 인증서를 HSM(하드웨어 보안 모듈) 또는 KMS에 보관 - .pfx, .pem 등 인증서 파일은 로컬 환경에 저장 금지 - 서명용 인증서에 비밀번호 및 접근통제 이중 보안 적용
빌드 환경 보호	- 빌드 서버 접근에 MFA(다중 인증) 적용 - 빌드 자동화 과정 중 서명 이력 로깅 및 감사 설정 - 빌드 환경의 OS 및 보안 패치 최신 상태 유지
서명 감사 및 검증	- 서명된 모든 실행파일의 해시값 정기 검증 - 코드 서명 이력(누가/언제/무엇)에 대한 주기적 감사 - 배포 전 악성코드 스캔 및 무결성 확인 절차 도입
서드파티 모듈 검증	- 외부 라이브러리 SBOM(소프트웨어 자재명세서) 관리 - 외부 모듈 업데이트 시 서명 진위 여부 확인 - 신뢰된 공급업체 저장소 외 사용 제한
유출 시 대응	- 인증서 유출 확인 즉시 폐기 및 CRL/OCSP 갱신 - 고객사, 배포처에 위험 공지 및 영향도 보고 - 유출 서명 포함 악성파일 IOC 생성 및 위협 공유
외부 대응 커뮤니케이션	- 국가기관(KISA, CERT 등)에 즉시 신고 - 계열사 및 고객 대상 대응 매뉴얼 배포 - 보안공지/FAQ 형태로 위기 대응 Q&A 마련

 

---

포티넷, QKD·PQC로 양자컴 위협 대응

https://www.boannews.com/media/view.asp?idx=137224

포티넷, QKD·PQC로 양자컴 위협 대응

 

1. 발표 개요

항목	내용
발표일	2025년 5월 12일
기업	포티넷코리아 (Fortinet Korea)
발표 내용	양자 컴퓨팅 시대를 대비한 QKD + PQC 보안 전략 발표
핵심 메시지	공포 대신 기술적 대비가 필요하며, 선제적 준비를 완료

 

2. 핵심 전략: QKD + PQC 병행

기술	설명	특장점
QKD (Quantum Key Distribution)	양자 중첩/얽힘 특성을 이용한 도청 불가능한 키 분배 기술	도청 시도 즉시 감지 가능
PQC (Post-Quantum Cryptography)	양자컴퓨터에도 안전한 수학 기반 암호 알고리즘	기존 시스템과 높은 호환성

 

3. 적용 사례 및 제품

항목	내용
제품	FortiOS 7.6 (2023 출시)
알고리즘	- Kyber (키 교환용) - Dilithium (전자서명용)
특징	기존 장비와 호환 가능, 하드웨어 교체 없이 양자 보안 업그레이드
적용 사례	JP모건 (IDQ 연동), 싱가포르 양자 보안 네트워크 구축

 

4. 양자보안 적용 구조

[양자 장치] → (광섬유 전송) → [FortiOS 방화벽] → [기업 네트워크 보호]

• 키 생성부터 전송, 암호화까지 자동화
• 스위스 기업 IDQ와 협력

 

5. 글로벌 협력 및 표준화 활동

• 유럽 전기통신표준협회 ETSI 참여
• 글로벌 보안기업 및 양자 장비 제조사와 협력
• 표준 수립 + 생태계 확장 병행

 

6. 요점 요약

구분	내용
기존 대칭키 대응	키 길이 두 배로 늘려 양자 위험 대응 가능
비대칭키 대응	PQC 알고리즘 적용 필요 (Kyber, Dilithium 등)
장점	하드웨어 교체 불필요, 자동화 키 처리, 실제 글로벌 사례 확보
방향성	QKD + PQC 병행 구축, 국제표준화 선도, 클라우드·금융 적용 가능성 ↑

 

---

삼성도 당했다...‘디지털 사이니지’ 해커 공격 포착

https://www.boannews.com/media/view.asp?idx=137143

삼성도 당했다...‘디지털 사이니지’ 해커 공격 포착

 

1. 취약점 개요

항목	내용
취약 시스템	MagicINFO 9 (삼성 디지털 사이니지 콘텐츠 관리 서버)
CVE 번호	CVE-2024-7399
취약점 종류	파일 업로드 취약점 → 원격 코드 실행(RCE)
위험 등급	Critical (심각)
패치 버전	21.1050 이상 (2024년 8월 삼성 보안 패치로 해결됨)

 

2. 공격 흐름 (전형적인 RCE Exploit 시나리오)

[1] 공격자 접근 (비인가 사용자)
↓
[2] 매직인포 서버에 경로 우회로 JSP 웹쉘 업로드
↓
[3] 웹쉘 경유 자바 코드 실행 (RCE 발생)       
↓
[4] 봇넷 악성코드 다운로드 및 설치
↓
[5] C2 연결 또는 DDoS 공격 등 수행

• 공격 특징: 인증 우회 + 파일 업로드 조작 → JSP 웹쉘 실행 가능

 

3. 실제 공격 동향

항목	내용
PoC 존재 여부	존재 (SSD 디스클로저 연구원 공개)
PoC 난이도	낮음, 누구나 실행 가능
악용 사례	- 5월 들어 실전 공격 다수 발견됨 - 미라이(Mirai) 봇넷 변종 활용 - IoT 장비 감염 → DDoS 공격에 활용됨
주요 피해 우려	- 병원/공항/상점 등 디지털 사이니지 장비 - 폐쇄망 환경에서도 내재적 위험 존재

 

4. 대응 방안 체크리스트

구분	조치 내용
업데이트	MagicINFO 9 서버를 v21.1050 이상으로 즉시 업데이트
접근 제어	해당 서버의 외부 접근 제한, 내부망에서만 허용되도록 방화벽 설정
업로드 필터링	업로드 확장자 및 경로 필터링 강화, JSP 실행 차단
탐지 및 대응	웹서버 로그에서 /upload/, .jsp 실행 시도 탐지 룰 생성
위협 IOC 대응	미라이 변종 관련 C2 IP 및 해시 기반 위협 차단 목록 반영

 

---

마이데이터 전송 이렇게...개인정보위, 개인정보 전송요구권 제도 안내서 발간

https://www.boannews.com/media/view.asp?idx=137132

마이데이터 전송 이렇게...개인정보위, 개인정보 전송요구권 제도 안내서 발간

 

1. 제도 개요

항목	설명
주관	개인정보보호위원회
발표일	2025년 5월 6일
발표 내용	‘개인정보 전송요구권 제도 안내서’ 발간
목적	정보주체가 본인 개인정보를 안전하게 제어/전송할 수 있도록 권리 행사 지원

 

2. 개인정보 전송요구권의 두 가지 유형

유형	설명
본인전송 요구	정보주체가 자신의 개인정보를 직접 수신하거나 직접 다운로드 요청
제3자전송 요구	정보주체가 개인정보를 다른 기관(예: 관리 전문기관)에 직접 전송하도록 요청

 

3. 정보주체 권리 행사 방식

대상	방법
정보주체 본인	- 자사 홈페이지에서 다운로드 - API, 스크래핑 방식 활용
대리인	- 위임장 및 인증 정보 기반 대리 요청 - 자동화 도구(스크래핑) 사용 가능

• 대리 전송 시 기술적·관리적 보호조치 필요
• 예: 크리덴셜 스터핑, 심 스와핑 공격 대비

 

4. 법적 및 정책적 시사점

항목	내용
법적 기반	개인정보 보호법 제35조의2 (전송요구권 조항)
실질적 보호 조치	대리 인증, 자동 수집 도구 사용 시에도 안전성 확보 필수
정책 방향	- 대국민 홍보 강화 - 정보주체의 자기결정권 실질 보장 - 기업의 기술적·관리적 보안 대응 병행 요구