[보안뉴스 문가용 기자] 황혼에서 새벽까지 보도된 보안 외신을 간략히 정리하며 당신이 잠든 사이에 일어난 일들을 짚는다.
1. 악성 직원 제거법
아무리 보안 기술이 발전한다 하더라도 막기 힘든 위협이 있으니 바로 악성 내부자다. 회사 임직원이 마음만 먹으면 중요한 기밀과 내부 계정을 외부자에게 판매할 수 있고, 중요 시스템 파일을 삭제해 디도스 공격을 실시할 수도 있다. 부주의와 실수로 비슷한 피해를 입히는 경우도 허다하다. 국제 보안 표준인 ISO 27001과 ISO 42001을 획득하고, 이를 매일의 업무 프로세스에 녹여내는 것부터 시작하면 이런 내부자 위협들을 제거하는 데에 도움이 된다고 보안 전문가들은 제안한다. 전자는 전반적인 정보 보호 관리 향상에, 후자는 직무 안전과 건강 관리에 적절하다.
[자료: gettyimagesbank.com]
2. 맥아피 vs. 노턴
일반 사용자들 사이에서 널리 알려진 백신 브랜드를 꼽으라면 맥아피(McAfee)와 노턴(Norton)이 대부분 언급될 정도로 둘은 시장에 오래 자리를 잡아 왔다. 맥아피 토털 프로텍션(McAfee Total Protection)과 노턴360 딜럭스(Norton 360 Deluxe)를 비교했을 때 공통적으로 VPN과 방화벽 기능을 제공하나 스팸 방지에는 큰 효과를 갖지 못한다. 부모 관리와 백업 기능은 노턴에서만 제공된다. 다크웹 모니터링 기능은 맥아피가 뛰어나다. 전체 종합 점수는 노턴이 근소한 차이로 앞서나 그것만으로 둘 중 하나를 선택할 정도는 아니다. 필요한 기능에 따라 고르는 게 더 안전하다.
[자료: gettyimagesbank.com]
3. 최근 애플 CPU 대상 부채널 공격
애플의 최신 칩셋들에서 부채널 공격 가능성이 대두되고 있다. 두 가지 공격법이 발견됐는데 플롭(FLOP)과 슬랩(SLAP)으로 명명됐다. 전자는 M3와 A17 등 보다 최신 세대들에, 후자는 M2와 A15 등 조금 오래된 세대들에 영향을 준다. 2021년부터 출시된 맥, 아이폰, 아이패드를 공격하는 게 가능하다는 의미다. 칩셋 내 하위 시스템인 LAP와 LVP가 문제의 근원인데, 모두 실행을 미리 예측하는 기능과 관련이 있다. 즉 성능 향상을 위해 마련된 시스템들로부터 문제가 시작되는 것이다. 플롭은 크롬과 사파리 브라우저, 슬랩은 사파리와만 관련이 있다.
4. 트림블시티웍스 취약점, CISA가 경고
자산 관리 소프트웨어인 트림블시티웍스(Trimble Cityworks)에서 고위험도 취약점이 발견됐다. CVE-2025-0994로, CVSS 기준 8.6점을 받았다. 원격 코드 실행을 가능하게 해 준다. 시티웍스 15.8.9 이전 버전과 오피스 기능이 탑재된 시티웍스 23.10 이전 버전에서 발견되고 있어 패치가 요구된다. 미국의 보안 전담 기관 CISA는 이 취약점을 KEV 목록에 포함시켜 연방 기관들이 2월 28일까지 업데이트를 완료하도록 하고 있다. KEV에 포함되어 있다는 건 이미 실제 공격이 일어나고 있다는 의미도 된다.
5. LLM재킹 공격, 현금 챙기는 공격자들
딥시크 R1과 챗GPT와 같은 대형 언어 모델(LLM) 기반 서비스의 인기가 폭등하자, LLM재킹(LLMJacking)이라는 유형의 공격이 증가하기 시작했다. 인기 높은 서비스의 계정들을 탈취해 사용하는 건데, 최근에는 다크웹에서 중요 LLM 계정들이 30달러 선에서 거래까지 되고 있다. 남의 계정과 클라우드 자원을 단돈 30달러에 이용할 수 있게 되는 것. 피해 기업들로서는 필요 이상의 자원과 비용 소모는 물론 크리덴셜과 API 도난이 병행되는 것도 심각한 문제다. 접근 키 관리와 아이덴티티 관리를 통해 막을 수 있다. 크리덴셜 등을 리포지터리에 하드코딩 하는 것도 지양해야 한다.
[자료: gettyimagesbank.com]
6. 대규모 무작위 대입 공격, 280만 IP 겨냥
수많은 네트워크 장비들을 겨냥한 무작위 대입 공격이 발각됐다. 무작위로 비밀번호를 대입해 네트워크 장비들에 대한 접속 권한을 가져가기 위한 것으로, 무려 매일 280만 IP 주소를 그 대상으로 하고 있다. 접속에 성공하면 네트워크 내부로 들어가 추가 공격을 실시한다. 공격 대상이 되는 280만 IP 주소 중 약 110만은 브라질에 있다. 그 다음 튀르키예, 러시아, 아르헨티나, 모로코, 멕시코 순이다. 팔로알토, 이반티, 소닉월, 마이크로틱, 화웨이, 시스코, 보아, ZTE 등 유명 브랜드 제품들이 전부 표적이다. 비밀번호 대입 횟수를 제한하고, 공격 시도가 일어나고 있는 장비를 파악해 분리해두는 게 안전하다.
7. 북한 김수키, 자체 개발 멀웨어 사용
북한의 APT인 김수키가 한국 보안 업체 안랩에 뒤를 밟혔다. 이번 캠페인의 목적은 포스카피(forceCopy)라는 이름의 정보 탈취 멀웨어를 퍼트리기 위한 것이었다. 김수키는 오피스 문서로 위장된 악성 LNK 파일을 피해자에게 전달하는데, 여기에 속아 파일을 열 경우 파워셸이 실행된다. 그러면서 1단계 멀웨어인 페블대시(PebbleDash)나 RDP래퍼(RDP Wrapper)가 설치되고, 이 둘은 2단계 멀웨어인 포스카피를 가져와 심는다. 포스카피와 RDP래퍼는 김수키가 직접 개발하거나 조작한 것이라고 한다. 그 외에도 여러 키로거와 로더, 인젝터 등이 활용됐다. 특이하게 백도어를 사용하지 않았다는 게 이번 캠페인의 특징이다.
[자료: gettyimagesbank.com]
8. 2000만 챗GPT 사용자 계정, 다크웹에서 판매
다크웹에 2000만 챗GPT 사용자 계정이 올라왔다. 한 러시아 해커가 판매하는 것으로, 아직 이 주장 혹은 판매 아이템의 진위 여부는 정확히 분석되지 않고 있다. 진짜 크리덴셜을 판매하는 것이라면 공격자가 챗GPT 플랫폼 인증 시스템을 우회할 수 있는 방법을 찾아냈을 가능성이 높아 보인다. 피싱 공격이나 크리덴셜 하베스트 공격으로 2000만 개를 수집한다는 건 매우 힘든 일이기 때문이다. auth0.openai.com이라는 서브도메인을 침해했을 수도 있다. 챗GPT 사용자라면 비밀번호를 변경하고 다중인증 옵션을 활성화 하는 게 안전하다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 악성 직원 제거법
아무리 보안 기술이 발전한다 하더라도 막기 힘든 위협이 있으니 바로 악성 내부자다. 회사 임직원이 마음만 먹으면 중요한 기밀과 내부 계정을 외부자에게 판매할 수 있고, 중요 시스템 파일을 삭제해 디도스 공격을 실시할 수도 있다. 부주의와 실수로 비슷한 피해를 입히는 경우도 허다하다. 국제 보안 표준인 ISO 27001과 ISO 42001을 획득하고, 이를 매일의 업무 프로세스에 녹여내는 것부터 시작하면 이런 내부자 위협들을 제거하는 데에 도움이 된다고 보안 전문가들은 제안한다. 전자는 전반적인 정보 보호 관리 향상에, 후자는 직무 안전과 건강 관리에 적절하다.
[자료: gettyimagesbank.com]
2. 맥아피 vs. 노턴
일반 사용자들 사이에서 널리 알려진 백신 브랜드를 꼽으라면 맥아피(McAfee)와 노턴(Norton)이 대부분 언급될 정도로 둘은 시장에 오래 자리를 잡아 왔다. 맥아피 토털 프로텍션(McAfee Total Protection)과 노턴360 딜럭스(Norton 360 Deluxe)를 비교했을 때 공통적으로 VPN과 방화벽 기능을 제공하나 스팸 방지에는 큰 효과를 갖지 못한다. 부모 관리와 백업 기능은 노턴에서만 제공된다. 다크웹 모니터링 기능은 맥아피가 뛰어나다. 전체 종합 점수는 노턴이 근소한 차이로 앞서나 그것만으로 둘 중 하나를 선택할 정도는 아니다. 필요한 기능에 따라 고르는 게 더 안전하다.
[자료: gettyimagesbank.com]
3. 최근 애플 CPU 대상 부채널 공격
애플의 최신 칩셋들에서 부채널 공격 가능성이 대두되고 있다. 두 가지 공격법이 발견됐는데 플롭(FLOP)과 슬랩(SLAP)으로 명명됐다. 전자는 M3와 A17 등 보다 최신 세대들에, 후자는 M2와 A15 등 조금 오래된 세대들에 영향을 준다. 2021년부터 출시된 맥, 아이폰, 아이패드를 공격하는 게 가능하다는 의미다. 칩셋 내 하위 시스템인 LAP와 LVP가 문제의 근원인데, 모두 실행을 미리 예측하는 기능과 관련이 있다. 즉 성능 향상을 위해 마련된 시스템들로부터 문제가 시작되는 것이다. 플롭은 크롬과 사파리 브라우저, 슬랩은 사파리와만 관련이 있다.
4. 트림블시티웍스 취약점, CISA가 경고
자산 관리 소프트웨어인 트림블시티웍스(Trimble Cityworks)에서 고위험도 취약점이 발견됐다. CVE-2025-0994로, CVSS 기준 8.6점을 받았다. 원격 코드 실행을 가능하게 해 준다. 시티웍스 15.8.9 이전 버전과 오피스 기능이 탑재된 시티웍스 23.10 이전 버전에서 발견되고 있어 패치가 요구된다. 미국의 보안 전담 기관 CISA는 이 취약점을 KEV 목록에 포함시켜 연방 기관들이 2월 28일까지 업데이트를 완료하도록 하고 있다. KEV에 포함되어 있다는 건 이미 실제 공격이 일어나고 있다는 의미도 된다.
5. LLM재킹 공격, 현금 챙기는 공격자들
딥시크 R1과 챗GPT와 같은 대형 언어 모델(LLM) 기반 서비스의 인기가 폭등하자, LLM재킹(LLMJacking)이라는 유형의 공격이 증가하기 시작했다. 인기 높은 서비스의 계정들을 탈취해 사용하는 건데, 최근에는 다크웹에서 중요 LLM 계정들이 30달러 선에서 거래까지 되고 있다. 남의 계정과 클라우드 자원을 단돈 30달러에 이용할 수 있게 되는 것. 피해 기업들로서는 필요 이상의 자원과 비용 소모는 물론 크리덴셜과 API 도난이 병행되는 것도 심각한 문제다. 접근 키 관리와 아이덴티티 관리를 통해 막을 수 있다. 크리덴셜 등을 리포지터리에 하드코딩 하는 것도 지양해야 한다.
[자료: gettyimagesbank.com]
6. 대규모 무작위 대입 공격, 280만 IP 겨냥
수많은 네트워크 장비들을 겨냥한 무작위 대입 공격이 발각됐다. 무작위로 비밀번호를 대입해 네트워크 장비들에 대한 접속 권한을 가져가기 위한 것으로, 무려 매일 280만 IP 주소를 그 대상으로 하고 있다. 접속에 성공하면 네트워크 내부로 들어가 추가 공격을 실시한다. 공격 대상이 되는 280만 IP 주소 중 약 110만은 브라질에 있다. 그 다음 튀르키예, 러시아, 아르헨티나, 모로코, 멕시코 순이다. 팔로알토, 이반티, 소닉월, 마이크로틱, 화웨이, 시스코, 보아, ZTE 등 유명 브랜드 제품들이 전부 표적이다. 비밀번호 대입 횟수를 제한하고, 공격 시도가 일어나고 있는 장비를 파악해 분리해두는 게 안전하다.
7. 북한 김수키, 자체 개발 멀웨어 사용
북한의 APT인 김수키가 한국 보안 업체 안랩에 뒤를 밟혔다. 이번 캠페인의 목적은 포스카피(forceCopy)라는 이름의 정보 탈취 멀웨어를 퍼트리기 위한 것이었다. 김수키는 오피스 문서로 위장된 악성 LNK 파일을 피해자에게 전달하는데, 여기에 속아 파일을 열 경우 파워셸이 실행된다. 그러면서 1단계 멀웨어인 페블대시(PebbleDash)나 RDP래퍼(RDP Wrapper)가 설치되고, 이 둘은 2단계 멀웨어인 포스카피를 가져와 심는다. 포스카피와 RDP래퍼는 김수키가 직접 개발하거나 조작한 것이라고 한다. 그 외에도 여러 키로거와 로더, 인젝터 등이 활용됐다. 특이하게 백도어를 사용하지 않았다는 게 이번 캠페인의 특징이다.
[자료: gettyimagesbank.com]
8. 2000만 챗GPT 사용자 계정, 다크웹에서 판매
다크웹에 2000만 챗GPT 사용자 계정이 올라왔다. 한 러시아 해커가 판매하는 것으로, 아직 이 주장 혹은 판매 아이템의 진위 여부는 정확히 분석되지 않고 있다. 진짜 크리덴셜을 판매하는 것이라면 공격자가 챗GPT 플랫폼 인증 시스템을 우회할 수 있는 방법을 찾아냈을 가능성이 높아 보인다. 피싱 공격이나 크리덴셜 하베스트 공격으로 2000만 개를 수집한다는 건 매우 힘든 일이기 때문이다. auth0.openai.com이라는 서브도메인을 침해했을 수도 있다. 챗GPT 사용자라면 비밀번호를 변경하고 다중인증 옵션을 활성화 하는 게 안전하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
