*지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다.<편집자 주>
1. AWS 사용자 노리는 랜섬웨어 캠페인
아마존 S3 사용자들을 노리는 새 랜섬웨어 캠페인에 대해 AWS 보안 팀이 권고문을 발표했다. 코드핑거(Codefinger)라고 명명된 이 캠페인에서 공격자들은 S3 크리덴셜을 훔쳐 접속한 뒤 저장돼 있는 데이터를 암호화하는 방식으로 피해 입힌다. 이 때 사용되는 건 ‘서버 측 암호화’ 기능이다. 고객이 제공한 키(SSE-C)를 활용한 암호화 기술로, AWS 플랫폼 내 데이터 보호 기능이라고 할 수 있다. AWS가 정보 보호를 위해 탑재한 기능을 악용한 것이다. 그래서 탐지가 잘 되지 않는다. 아마존은 S3 크리덴셜을 자주 바꿔줄 것을 권장했다.
[자료: gettyimagesbank]
2. 젠데스크 통해 핀테크와 암호화폐 업체들로 퍼지는 종스틸러
핀테크와 암호화폐를 겨냥한 악성 캠페인에 발견됐다. 젠데스크(Zendesk)와 같은 고객 지원 플랫폼을 악용해 기업들에 접근한 뒤 새로운 정보 탈취 멀웨어를 퍼트리는 전략이다. 새 멀웨어의 이름은 종스틸러(Zhong Stealer)다. 피해자 시스템을 감염시킨 뒤 공격자의 C&C 서버로 연결된다. 그런 후 비트디펜더(Bitdefender) 보안 솔루션 업데이트로 위장한 추가 페이로드를 다운로드 한다. 이 때 악성 인증서가 활용된다. 동시에 종스틸러는 각종 정보를 훔쳐 C&C 서버로 전송한다.
3. 오픈AI, 공격에 챗GPT 활용하려던 계정들 차단
오픈AI가 챗GPT를 악용하는 계정들을 차단했다. 인공지능 기반 정보 탐지 및 스파이 도구를 개발하려 했던 계정들이 대부분이다. 해당 계정 운영자들은 도구 개발 외에 실제 스파잉 공격을 챗GPT의 도움을 받아 진행하기도 했다. 주로 엑스와 페이스북, 유튜브, 인스타그램, 텔레그램 등으로부터 여러 글과 댓글들을 분석함으로써 세계 곳곳의 반중 시위나 정서에 대해 상세히 파악했다고 전해진다. 이미 보유하고 있는 감시 및 해킹 도구에 대한 디버깅을 챗GPT에 요청한 사례도 다수 존재했다.
4. 中 보안 업체 침해...정부 도와 염탐 실행
중국의 보안 업체 탑섹(TopSec)에서 7000건 이상의 문서들이 유출됐다. 회사 내부 사정이 공개된 것이나 마찬가진데, 중국 정부를 도와 감시와 검열을 한 정황이 같이 드러났다. 중국 공안부가 상하이 등 여러 도시에 자리를 잡고, 탑섹과 함께 일반 인터넷 사용자들이 즐겨 사용하는 웹사이트 구조와 콘텐츠의 보안 상태를 점검하는 방식까지 완전히 공개됐다. 배후 세력에 대해서는 아직 명확히 밝혀진 내용이 없다. 하지만 중국 정부와 민간 해킹 조직들이 서로 공생 관계에 있다는 것이 다시 한 번 확인됐다. 서방 세계의 이러한 주장에 대해 중국 정부는 늘 부인해 왔었다.
[자료: gettyimagesbank]
5. 구글, 양자컴퓨터 시대 대비 새 서명 기술 도입
구글 클라우드가 양자컴퓨터의 해킹에도 영향을 받지 않을 디지털 서명 기술을 클라우드 키 관리 서비스(Cloud Key Management Service, Cloud KMC)에 도입했다. ML-DSA-65(FIPS 204)와 SLH-DSA-SHA2-128S(FIPS 205)로, NIST의 포스트 퀀텀 크립토그래피(PQC) 표준과도 부합한다고 구글 측은 주장하고 있다. PQC를 도입하는 건 지금 당장을 위해서가 아니다. 공격자들이 지금 데이터를 훔쳐 가지고 있다가 나중에 양자컴퓨터가 보편화 됐을 때 복호화 하는 걸 막기 위해서다. 구글은 사용자 기업들이 새 디지털 서명을 실험하도록 권장하고 있다.
6. CISA, MS 파워페이지서 발견된 취약점을 KEV에 추가
미국 CISA가 ‘긴급 패치 취약점 목록’인 KEV에 새 취약점을 추가했다. MS 파워페이지에서 발견된 것으로 CVE-2025-24989다. CVSS 기준 8.2점을 받은 권한 상승 취약점이다. 해커들 사이에서 이미 활발히 익스플로잇 되고 있다고 한다. 익스플로잇에 성공했을 경우 사용자 등록 과정을 침해할 수 있게 된다. MS도 관련 보안 권고문과 패치를 함께 발표했다. CISA는 미국 연방 기관들에 3월 21일까지 패치 적용을 명령했다.
7. 폴란드 경찰, 전문 문서 위조 조직 와해
폴란드 경찰과 유로폴이 합세하여 문서 조작을 전문으로 하는 조직을 와해시켰다. 우크라이나인과 벨라루스인들로 구성된 조직으로, 2020년부터 소셜미디어를 통해 자신들의 일을 ‘법률 자문 및 지원’이라는 서비스로 속여 고객들을 유치해왔다. 영주권과 여권, 운전 면허증, 비자, 신분증을 만들어 제공했다. 폴란드와 우크라이나 국경 지대에 근거지를 마련해 활동했고, 문건 당 1500유로의 비용을 청구했다. 경찰은 이번 작전을 통해 1만2000건의 위조 문서와 25만유로를 압수하고, 모든 조직원들을 체포하는 데 성공했다.
[자료: gettyimagesbank.com]
8. 블랙바스타 불화? 내부 채팅 기록 유출
난데 없이 블랙바스타(Black Basta) 랜섬웨어 조직 내부 채팅 기록이 유출됐다. 한 텔레그램 사용자가 수십만 건의 정보를 갑자기 공개한 건데, 이 소식을 듣고 보안 전문가들이 너도 나도 이를 확보해 분석하기 시작했다. 공개된 건 50MB가 넘는 제이선(JSON) 파일로, 현재는 다운로드 링크가 삭제된 상태다. 내부 채팅은 전부 러시아어로 이뤄졌으며, 때문에 그 수많은 대화 내용을 한 줄 한 줄 번역해 유용한 정보를 추출하려면 시간이 걸릴 것으로 예상된다. 블랙바스타 내부에 알력 다툼이 있었던 것으로 추정된다.
[국제부 문가용 기자(globoan@boannews.com)]
1. AWS 사용자 노리는 랜섬웨어 캠페인
아마존 S3 사용자들을 노리는 새 랜섬웨어 캠페인에 대해 AWS 보안 팀이 권고문을 발표했다. 코드핑거(Codefinger)라고 명명된 이 캠페인에서 공격자들은 S3 크리덴셜을 훔쳐 접속한 뒤 저장돼 있는 데이터를 암호화하는 방식으로 피해 입힌다. 이 때 사용되는 건 ‘서버 측 암호화’ 기능이다. 고객이 제공한 키(SSE-C)를 활용한 암호화 기술로, AWS 플랫폼 내 데이터 보호 기능이라고 할 수 있다. AWS가 정보 보호를 위해 탑재한 기능을 악용한 것이다. 그래서 탐지가 잘 되지 않는다. 아마존은 S3 크리덴셜을 자주 바꿔줄 것을 권장했다.
[자료: gettyimagesbank]
2. 젠데스크 통해 핀테크와 암호화폐 업체들로 퍼지는 종스틸러
핀테크와 암호화폐를 겨냥한 악성 캠페인에 발견됐다. 젠데스크(Zendesk)와 같은 고객 지원 플랫폼을 악용해 기업들에 접근한 뒤 새로운 정보 탈취 멀웨어를 퍼트리는 전략이다. 새 멀웨어의 이름은 종스틸러(Zhong Stealer)다. 피해자 시스템을 감염시킨 뒤 공격자의 C&C 서버로 연결된다. 그런 후 비트디펜더(Bitdefender) 보안 솔루션 업데이트로 위장한 추가 페이로드를 다운로드 한다. 이 때 악성 인증서가 활용된다. 동시에 종스틸러는 각종 정보를 훔쳐 C&C 서버로 전송한다.
3. 오픈AI, 공격에 챗GPT 활용하려던 계정들 차단
오픈AI가 챗GPT를 악용하는 계정들을 차단했다. 인공지능 기반 정보 탐지 및 스파이 도구를 개발하려 했던 계정들이 대부분이다. 해당 계정 운영자들은 도구 개발 외에 실제 스파잉 공격을 챗GPT의 도움을 받아 진행하기도 했다. 주로 엑스와 페이스북, 유튜브, 인스타그램, 텔레그램 등으로부터 여러 글과 댓글들을 분석함으로써 세계 곳곳의 반중 시위나 정서에 대해 상세히 파악했다고 전해진다. 이미 보유하고 있는 감시 및 해킹 도구에 대한 디버깅을 챗GPT에 요청한 사례도 다수 존재했다.
4. 中 보안 업체 침해...정부 도와 염탐 실행
중국의 보안 업체 탑섹(TopSec)에서 7000건 이상의 문서들이 유출됐다. 회사 내부 사정이 공개된 것이나 마찬가진데, 중국 정부를 도와 감시와 검열을 한 정황이 같이 드러났다. 중국 공안부가 상하이 등 여러 도시에 자리를 잡고, 탑섹과 함께 일반 인터넷 사용자들이 즐겨 사용하는 웹사이트 구조와 콘텐츠의 보안 상태를 점검하는 방식까지 완전히 공개됐다. 배후 세력에 대해서는 아직 명확히 밝혀진 내용이 없다. 하지만 중국 정부와 민간 해킹 조직들이 서로 공생 관계에 있다는 것이 다시 한 번 확인됐다. 서방 세계의 이러한 주장에 대해 중국 정부는 늘 부인해 왔었다.
[자료: gettyimagesbank]
5. 구글, 양자컴퓨터 시대 대비 새 서명 기술 도입
구글 클라우드가 양자컴퓨터의 해킹에도 영향을 받지 않을 디지털 서명 기술을 클라우드 키 관리 서비스(Cloud Key Management Service, Cloud KMC)에 도입했다. ML-DSA-65(FIPS 204)와 SLH-DSA-SHA2-128S(FIPS 205)로, NIST의 포스트 퀀텀 크립토그래피(PQC) 표준과도 부합한다고 구글 측은 주장하고 있다. PQC를 도입하는 건 지금 당장을 위해서가 아니다. 공격자들이 지금 데이터를 훔쳐 가지고 있다가 나중에 양자컴퓨터가 보편화 됐을 때 복호화 하는 걸 막기 위해서다. 구글은 사용자 기업들이 새 디지털 서명을 실험하도록 권장하고 있다.
6. CISA, MS 파워페이지서 발견된 취약점을 KEV에 추가
미국 CISA가 ‘긴급 패치 취약점 목록’인 KEV에 새 취약점을 추가했다. MS 파워페이지에서 발견된 것으로 CVE-2025-24989다. CVSS 기준 8.2점을 받은 권한 상승 취약점이다. 해커들 사이에서 이미 활발히 익스플로잇 되고 있다고 한다. 익스플로잇에 성공했을 경우 사용자 등록 과정을 침해할 수 있게 된다. MS도 관련 보안 권고문과 패치를 함께 발표했다. CISA는 미국 연방 기관들에 3월 21일까지 패치 적용을 명령했다.
7. 폴란드 경찰, 전문 문서 위조 조직 와해
폴란드 경찰과 유로폴이 합세하여 문서 조작을 전문으로 하는 조직을 와해시켰다. 우크라이나인과 벨라루스인들로 구성된 조직으로, 2020년부터 소셜미디어를 통해 자신들의 일을 ‘법률 자문 및 지원’이라는 서비스로 속여 고객들을 유치해왔다. 영주권과 여권, 운전 면허증, 비자, 신분증을 만들어 제공했다. 폴란드와 우크라이나 국경 지대에 근거지를 마련해 활동했고, 문건 당 1500유로의 비용을 청구했다. 경찰은 이번 작전을 통해 1만2000건의 위조 문서와 25만유로를 압수하고, 모든 조직원들을 체포하는 데 성공했다.
[자료: gettyimagesbank.com]
8. 블랙바스타 불화? 내부 채팅 기록 유출
난데 없이 블랙바스타(Black Basta) 랜섬웨어 조직 내부 채팅 기록이 유출됐다. 한 텔레그램 사용자가 수십만 건의 정보를 갑자기 공개한 건데, 이 소식을 듣고 보안 전문가들이 너도 나도 이를 확보해 분석하기 시작했다. 공개된 건 50MB가 넘는 제이선(JSON) 파일로, 현재는 다운로드 링크가 삭제된 상태다. 내부 채팅은 전부 러시아어로 이뤄졌으며, 때문에 그 수많은 대화 내용을 한 줄 한 줄 번역해 유용한 정보를 추출하려면 시간이 걸릴 것으로 예상된다. 블랙바스타 내부에 알력 다툼이 있었던 것으로 추정된다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
