4월 둘째주 보안뉴스

[단독] KISIA, 뉴스레터 이메일 대량 유출...1월 이어 또또또!

https://www.boannews.com/media/view.asp?idx=136775

[단독] KISIA, 뉴스레터 이메일 대량 유출...1월 이어 또또또!

1. 사건 요약

• 발생 시점 : 2024년 4월 6일 (1월에도 동일 사고 발생)
• 피해 내용 : 뉴스레터 구독자 이메일 주소 1만여 건 노출
• 유출 경로 : 지난 뉴스레터(1/2자)를 재발송하면서 수신자 전체 이메일이 노출됨
• 원인 분석 : 서버실 전기공사 → 서버 재부팅 과정에서 메일 발송 시스템 오류
• 위험 요소 : 보안업계 종사자 대상 → 타깃형 피싱/스피어피싱 가능성 ↑

2. 핵심 보안 이슈

• 같은 뉴스레터에서 동일한 방식의 유출이 2번 발생 → 시스템 관리 및 점검 부족
• 메일 발송 시 수신자 전체 주소를 노출 (BCC 미사용 가능성)
• 보안담당자, 협회 회원사 등 → 정보가 공격자에게 매우 유용
• 후속 조치에도 불구하고 반복 발생 → 대응 프로세스 신뢰도 문제 제기됨

3. KISIA 1월 & 4월 이메일 유출 사고 비교

항목	1월 사고 (제2899호 뉴스레터)	4월 사고 (동일 뉴스레터 재발송)
발생 시점	2024년 1월 3일경	2024년 4월 6일
사고 내용	메일 수신자 전체 이메일 주소가 노출됨	같은 뉴스레터 재발송 중 다시 이메일 전체 노출
유출 수	약 1만 건	1만 588건
유출 방식	To/Cc에 수신자 포함 (BCC 미사용 추정)	동일 원인 가능성 매우 높음
발생 원인	메일 발송 시스템 설정 오류	서버 재부팅 후 설정 복원 실패
대상자	뉴스레터 구독자 (보안업계 종사자 포함)	동일 대상자
대응 조치	발송 시스템 교체, 발송 확인 절차 강화	이전 시스템 중단했으나 동일 메일 오발송 발생
재발 방지 실패	—	명백한 반복 사고 발생

 

---

해킹도 AI로...‘잔소록스AI’ 등장에 우려 증폭

https://www.boannews.com/media/view.asp?idx=136815&skind=5

해킹도 AI로...‘잔소록스AI’ 등장에 우려 증폭

1. 사건 요약

• 발표 시점 : 2024년 4월 9일 (슬랙시넥스트 공개)
• 모델명 : Xanthorox AI
• 구조 : 자체 개발 멀티 모델 구조 (custom LLM) => 오픈AI, LLaMA 기반이 아님
• 운영 방식 : 로컬 서버 전용 실행 – 외부 API/클라우드 필요 없음 → 탐지 회피 우수
• 주요 기능 : 말웨어 생성, 취약점 활용 자동화, 이미지 분석, 피싱 메일 작성, 데이터 요약·추론 등
• 위협 요인 : 공격 전 과정 자동화 → AI 기반 APT 가능성 ↑

 

2. 핵심 구성 기능

모듈	설명
Xanthorox Coder	악성코드, 스크립트, 취약점 익스플로잇 등을 자동 생성하는 코드 제작 엔진
Xanthorox Vision	스크린샷, 이미지 분석을 통해 민감한 정보 추출 및 시각 자료 해석
Reasoner Advanced	피싱 메일 작성, 소셜 엔지니어링 시나리오 자동 생성 등 고급 추론 기능
정보 수집기	50개 이상의 검색 엔진에서 제로데이 기법, 취약점 정보를 자동 수집
문서 분석기	PDF, Office 문서에서 탈취 데이터 자동 요약 및 정리

 

 

3. 핵심 개념

• 탈옥 AI (Jailbreaked LLM) : GPT, LLaMA 같은 기존 모델을 비윤리적 목적으로 변형해 사용
• 멀웨어 자동화 : GPT 계열로 악성코드 생성/테스트를 자동화하는 기술 (→ 개발자 스킬 없이 공격 가능)
• 소셜 엔지니어링 AI : 심리적으로 사용자를 속이는 대화, 이메일, 음성 생성까지 자동 처리
• AI 비안전성(Alignment Risk) : 생성형 AI가 비윤리적/악의적 목적에 맞춰 사용될 수 있는 위험성
• 로컬 LLM의 탐지 회피성 : 외부 통신 없이 로컬에서 AI가 실행되면 모니터링, 추적이 거의 불가능

 

4. 발전 및 강화되어야 할 보안 기술

영역	필요성
AI 생성 콘텐츠 감지 기술	GPT/LLM이 만든 피싱 메일, 이미지, 대화 등을 자동 식별할 수 있는 탐지 모델 필요
AI 기반 보안 위협 탐지 (AI vs AI)	공격용 AI를 감지할 수 있는 방어용 AI 모델 (Red teaming 탐지) 개발 필수
악성 코드 생성 추적 체계	"누가, 어떻게" 코드를 생성했는지 메타데이터 기반 추적 구조 마련 필요
로컬 실행 AI에 대한 정책적 대응	PC 단말기 내 AI 실행 감시 정책, EDR·DLP 연계 필요
AI 위협 인텔리전스 공유체계	GPT 악용 사례, Xanthorox 계열 기능 구조를 Threat DB화 하여 공유 필요

 

---

日 닛산 전기車, 내 맘대로...원격 해킹, 운전대 조작

https://www.boannews.com/media/view.asp?idx=136847

日 닛산 전기車, 내 맘대로...원격 해킹, 운전대 조작

1. 사건 요약

• 발표 시점 : 2025년 4월, Black Hat Asia 2025
• 피해 대상 : 닛산 리프(Leaf) 2세대 (2020년형 전기차)
• 연구 주제 : 차량 보안 전문기업 PC오토모티브(PCautomotive)
• 취약점 : CVE-2025-32056 ~ CVE-2025-32063 (총 8개)
• 침투 경로 : 블루투스 기능을 통해 인포테인먼트 시스템 접속 → 차량 내부 네트워크 접근
• 가능한 공격 : 차량 위치 추적, 대화 녹음, 화면 캡처, 경적/조명 조작, 운전대 원격 제어

 

2. 취약점 분석

CVE 번호	취약점 유형	설명
CVE-2025-32056	Bluetooth 인증 우회	블루투스 페어링 시 인증 절차 생략 가능 → 비인가 장치 연결 가능
CVE-2025-32057	명령어 인증 누락	인포테인먼트 명령 인터페이스에 인증 없이 제어 명령 전달 가능
CVE-2025-32058	CAN 메시지 우회 전송	외부에서 전송된 메시지가 필터링 없이 차량 제어망으로 전달됨
CVE-2025-32059	디버깅 포트 노출	생산용 디버깅 포트가 비활성화되지 않고 노출되어 내부 접근 가능
CVE-2025-32060	OTA 업데이트 인증 결함	OTA 업데이트 과정에서 무결성·서명 검증이 미흡하여 악성 펌웨어 삽입 가능
CVE-2025-32061	인포테인먼트 시스템 루트 권한 탈취	기본 설정의 취약점으로 인해 루트 쉘 접근 가능
CVE-2025-32062	UI 조작 통한 정보 노출	UI에서 감춰져야 할 디버그/로그 정보가 외부에서 노출될 수 있음
CVE-2025-32063	오디오 시스템 마이크 권한 노출	외부 명령으로 마이크를 활성화하고 내부 대화를 녹음 가능

 

3. 필수 보안 개념

• CAN (Controller Area Network)

차량 내 전자제어장치(ECU) 간 통신을 위한 표준 네트워크 프로토콜

주행 제어(핸들, 브레이크 등), 센서, 조명, 내비게이션 등 모든 시스템이 연결됨

취약점: 인증·암호화 없이 메시지를 주고받기 때문에, 침입 시 신호 위조가 쉬움

• ECU (Electronic Control Unit)

차량 기능 하나하나를 제어하는 소형 컴퓨터 장치

조향, 엔진, 브레이크, ABS, 조명 등 수십 개 ECU가 CAN 버스로 연결됨

공격자가 CAN 접근권만 얻으면 다수의 ECU를 통제 가능

• IVI (In-Vehicle Infotainment)

내비게이션, 오디오, 디스플레이, 블루투스 등을 포함한 차량용 정보·오락 시스템

최근에는 OTA 업데이트, 음성비서, 앱 실행 등 기능이 다양해지면서 해킹 타깃으로 부상

취약한 경우 → 차량 제어 네트워크로의 진입점이 됨

• Bluetooth 보안

차량과 스마트폰 간 페어링, 음악, 통화 등 연결에 사용

블루투스 연결의 보안 설정이 약하면 인증 우회·무단 침입이 가능

페어링 무결성 검증, 타임아웃 설정, 권한 분리가 중요

• OTA (Over-the-Air) 업데이트

차량 소프트웨어를 무선으로 업데이트할 수 있는 기능

업데이트 과정의 서명 검증, 무결성 체크가 미흡하면 악성 펌웨어 삽입 가능

반드시 암호화된 전송 + 디지털 서명 검증 필요

 

4. 대응방안

• CAN 통신망 보안
  • 인증 기반 메시지 구조 적용 (CAN-FD + 토큰 기반 인증)
  • 제어망과 외부망 사이에 게이트웨이 설치
  • OBD 포트 등 물리적 인터페이스 접근 제한
• ECU 및 차량 제어 보호
  • ECU 간 제어 권한 분리 및 승인 검증
  • 차량 내부 통신 암호화 (AES 등)
  • 이상행위 탐지 시스템(IDS) 적용
• IVI 시스템 & 블루투스 보안
  • 인포테인먼트와 주행제어망 네트워크 완전 분리
  • 블루투스 인증 강화 및 디버그 포트 제거
  • 블루투스 페어링 요청 제한 및 타임아웃 적용
• OTA 업데이트 보안
  • 모든 업데이트에 디지털 서명 필수
  • 무결성 검증 및 전송 시 암호화 적용
  • 롤백 방지(구버전 설치 차단) 설정
• 정보 노출 및 프라이버시 보호
  • 마이크·카메라 동작 시 사용자에게 알림 표시
  • 민감 정보(대화, 위치, 로그)는 암호화 저장
  • 앱 권한 요청은 최소화 + 사용자 제어 허용
• 제조사 및 공급망 대응
  • 설계 단계부터 보안 설계(Secure by Design)
  • 정적 분석 및 퍼징 테스트 수행
  • OTA 대응 체계 + CVE 관리 프로세스 운영
  • ECU·IVI 공급업체와 보안협력 체계 유지

 

---

[사람과 보안] 보안 생태계의 새로운 게임체인저 ‘우주항공’

https://www.boannews.com/media/view.asp?idx=136844

[사람과 보안] 보안 생태계의 새로운 게임체인저 ‘우주항공’

 

 

보안의 진화

• 보안의 범위가 물리 → 사이버 → AI → 우주항공으로 확장
• 이제 보안은 기술이 아니라 경제와 국가의 기반이 됨
• 디지털 사회에서는 신뢰와 안정성이 경제의 핵심이고 그 중심에 보안이 있음
• 사이버 공격이 단순 정보 유출 아니라 기업 가치에 직접적인 타격을 줌
• 보안은 더 이상 비용이 아니라 필수 인프라로 간주
• 글로벌 보안 산업이 연 1,800억 달러에서 2030년 4,000억 달러 이상으로 성장할 전망

보안과 국가 생존

• 사이버 공간이 현대 전쟁의 제3 전장이 됨
• 사이버 공격으로 전력망·통신망·금융망 마비시키면 국가 기능 자체가 무력화됨
• 러시아-우크라이나 전쟁에서 대규모 사이버 공격이 선제적으로 사용
• 전력망, 통신망, 정부기관 네트워크까지 디지털 블랙아웃 상태
• 사이버 한 방에 국가 전체가 흔들릴 수 있다는 걸 세계가 직접 목격

스타링크

 

• 우크라이나가 일론 머스크에 요청해 스타링크 수백 대 수급받음
• 스타링크는 저궤도 위성 인터넷으로 지상 통신망 없이도 작전 가능케 함
• 드론 통제, 실시간 영상 공유, 부대 간 지휘 등 핵심 기능을 스타링크가 맡음
• 민간 기술이 전쟁 지휘를 실현시킴 → 사실상 전장 네트워크 역할 수행
• 미국은 스타링크를 우크라이나 외교 압박 수단으로도 활용
• 머스크 본인도 “내가 끄면 전선 무너진다” 발언

우주항공보안

 

• 우주항공은 민간경제와 군사안보를 동시에 움직이는 핵심 산업
• 위성 해킹 시 금융, 통신, 감시, 재난 대응 모두 무력화 가능
• 인공위성은 단순 하드웨어가 아니라 정보력과 전략력의 결정판
• 우주 보안이 안보이자 외교 카드이자, 군사작전 플랫폼이 되는 시대
• 우주자산은 국가의 눈과 신경망 → 보호 못하면 국가 기능 정지

보안과 안보의 통합

 

• 과거엔 보안(Security)은 기술자, 안보(National Security)는 군/정부 영역
• 이제 그 경계가 붕괴 → 보안 = 안보, 민간 = 군, 기술 = 전략
• 사이버·물리 보안 구분만으로는 현대 위협 못 막음
• 우주항공 보안은 경제력, 안보력, 외교력까지 통합적으로 다루게 됨
• 앞으로는 지상뿐 아니라 궤도까지 방어하는 보안력이 국가 경쟁력이 될 것

 

---

中, 대미 사이버 공격 첫 시인...親대만 경고성

https://www.boannews.com/media/view.asp?idx=136845

中, 대미 사이버 공격 첫 시인...親대만 경고성

 

1. 사건 요약

미중 사이버전의 실체

• 작년 말 美中 비공개 회담에서 중국이 미국 핵심 인프라 공격을 사실상 시인
• 제네바 회담 당시 중국은 직접적 언급은 피했지만, 미국 측은 이를 ‘암묵적 인정’으로 해석
• 과거 중국은 항상 사이버 공격 개입을 부정했기 때문에 이번 발언은 이례적임
• 미국은 해당 내용을 바이든 정부와 트럼프 인수위 모두에 공유
• 이 발언은 대만 지원 정책에 대한 경고 신호로 해석됨

사이버 공격 대상과 정황

• 미국은 항구, 공항, 수도, 항공망 등 국가 핵심 인프라에 반복적 사이버 공격 받아 옴
• ‘볼트 타이푼(Vault Typhoon)’이라는 이름으로 작전이 포착
• 이 공격은 비상시 물리적 피해보다 기반시설 마비 목적의 장기 침투형 사이버 작전
• 최근엔 ‘솔트 타이푼(Salt Typhoon)’을 통해 미국 통신망에 대한 공격도 진행 중인 것으로 보임
• 사이버전은 미중 갈등 시 전면전 없이도 혼란과 위기 유발 가능함

외교의 도구가 된 사이버전

• 중국의 발언은 단순 해킹이 아니라 정치적 목적을 가진 의도된 사이버 행위
• 사이버 공격이 외교협상, 군사갈등, 대외정책 압박의 수단이 되는 현실
• 사이버전은 공개 선전포고 없이도 가능한 무력화 전략
• 미국 국무부는 “중국의 사이버 활동은 미국 안보에 대한 지속적 위협”이라고 공식화

국제안보 시사점

• 핵심 인프라를 노린 장기 침투형 공격은 전시 대비가 아닌 상시 위협으로 대응해야 함
• 사이버공격은 군사 충돌의 전조 현상 혹은 협상 지렛대가 될 수 있음
• 외교·국방·정보·통신 부문 간 사이버 거버넌스 통합 필요
• 사이버 안보는 이제 ‘기술 대응’만으로 해결되지 않고, 국가 전략 차원에서 다뤄야 함

 

2.  알아둬야 할 개념

볼트 타이푼 (Vault Typhoon)

• 정체: 미국 정부가 공식 지정한 중국 국가 후원 해킹 그룹
• 특징: 속도보다는 은밀함을 중시하는 장기 침투형 사이버 작전(ACT: Advanced Cyber Threat)
• 활동 방식
  • 네트워크에 조용히 침입해 오랜 시간 탐지되지 않도록 잠복
  • 일반적인 해킹툴이 아닌 정상 프로세스 위장 기술(Living-off-the-land) 사용
  • 미국의 전력망, 수자원, 교통, 해양, 항공, 통신망 등 핵심 인프라에 침투 시도
• 시사점
  • 전면전이 일어나지 않아도 국가 기능을 사전 마비시킬 수 있는 사이버 무기화 전략
  • 단순한 정보 탈취가 아니라 물리적 작전 전 선제적 기반 조작을 위한 준비행위

솔트 타이푼 (Salt Typhoon)

• 정체: Vault Typhoon과 연계된 것으로 추정되는 또 다른 중국 해킹 조직 또는 작전 이름
• 특징: 주로 통신망, 네트워크 백본, 인터넷 서비스 제공자(ISP) 등을 정찰·해킹
• 활동 방식
  • 미국 통신사들의 내부 시스템에 침투해, 트래픽 흐름·이용자 패턴 분석
  • 네트워크 라우터, DNS, BGP 경로 등 핵심 네트워크 레이어에 대한 통제 시도
• 위험성
  • 정보 수집이 주목적이지만 이후에 선택적 차단, 감시, 마비 공격이 가능
  • 전면 사이버전 또는 대만 문제 대응 수단으로 전환될 수 있음