금융보안원, ‘TAS 2025’에서 북한 공격 사례 시사점 공유
“신뢰 검증과 선제적 보안 중요”
[타이베이=보안뉴스 강현주 기자] “액티브X(ActiveX) 시대가 지난 지금도 한국 금융 환경은 10년 전 취약점 악용 패턴을 그대로 반복하며 북한 해킹 표적이 되고 있습니다. 보안에 대한 ‘신뢰’를 철저히 검증하고 선제적 보안으로 전환이 필요합니다.”
유정각 금융보안원 레드 아이리스(RED IRIS)팀장은 지난 3일 대만 일루메 타이베이에서 팀T5(TeamT5)가 개최한 ‘TAS 2025’ 컨퍼런스에서 이같이 밝혔다. 레드 아이리스는 금보원 내 침투 테스트 조직이다.
유 팀장은 이 날 ‘신뢰 악용’(Exploiting Trust)이라는 주제로 발표하며 지난 10년 간 한국 금융권을 겨냥한 북한 공격 사례들을 분석하고 시사점을 공유했다.
그는 특히 넌-액티브X(Non-ActiveX)로 넘어 온 후에도 중앙 관리 시스템과 보안 플러그인에 대한 맹목적 신뢰가 취약점이 되고 있는 현상을 두고 ‘10년 전 데자뷰’라고 지적했다.
▲유정각 금융보안원 RED IRIS 팀장이 발표하고 있다. [자료: TeamT5]
“의무 설치 플러그인으로 감염... 신뢰 악용 10년 전 역사 반복”
유 팀장은 “1999년 한국에 공개키 기반 구조(PKI) 도입 이후 액티브X를 채택하면서 ‘더 많은 보안 소프트웨어는 더 많은 안전을 의미한다’는 잘못된 믿음에 길들여졌다”며 “2013년 3.20 사이버 테러 당시, 공격자들은 중앙 관리 시스템의 제로데이 취약점을 이용해 대규모 악성코드를 배포했다”고 회상했다.
이어 “액티브X 폐지 후 보안 환경은 넌-액티브X 기반의 의무 설치 플러그인과 중앙 관리 시스템으로 대체됐지만, 근본적인 구조적 취약점은 해소되지 않았다”며 “새로운 시스템들은 여전히 로컬 웹 서버를 사용하거나, 최고 권한으로 실행되는 에이전트를 엔드포인트마다 다수 설치하게 만들며 공격 표면을 극대화하고 있다”고 설명했다.
유 팀장은 “우리는 10년 동안 같은 문제를 해결하려 했지만, 단지 기술적 기본값만 바뀌어 취약한 액티브X 시스템이 취약한 넌-액티브X 시스템으로 바뀌었을 뿐”이라며 “역사는 반복되고 있다”고 했다.
특히 북한의 사이버 공격은 이러한 ‘신뢰 기반’ 한국 보안 환경을 집중적으로 악용하고 있다고 유 팀장은 강조했다.
그 사례로 북한 라자루스가 넌-액티브X의 플러그인 취약점을 악용해 금융권에 가했던 2023년 ‘고블린 작전’(Operation GoldGoblin), 2025년 ‘싱크홀 작전’(Operation Synchole) 등을 들었다. 당시 공격자들은 공격 대상들이 자주 찾아오는 신뢰하는 웹사이트에 악성코드를 미리 잠복시키고, 표적이 오면 감염시키는 ‘워터링홀’(Watering hole) 공격을 가했다.
이 공격들은 신뢰를 악용해 자동 감염을 시키고, 감염된 PC를 발판으로 금융 정보 탈취나 시스템 파괴 등을 자행하는 공격이다. 이후 금보원은 금융권과 협력해 취약한 플러그인 제거 등 보안 개선 활동을 해왔다는 설명이다.
유 팀장은 신뢰 받는 중앙관리시스템을 통한 북한의 공급망 공격도 조명했다.
유 팀장은 “공격자들은 액티브X 플러그인 취약점 악용 뿐 아니라 데이터손실방지(DLP), 네트워크접근제어(NAC) 등 기업이 신뢰하는 중앙 관리 서버 자체를 침해해 궁극적 효율성을 추구한다”며 “벤더의 업데이트 서버를 장악하거나 에이전트의 권한을 탈취하는 방식으로 시스템 전체를 손쉽게 장악하고 있다”고 말했다.
▲유정각 금융보안원 RED IRIS 팀장이 발표하고 있다. [자료: TeamT5]
AI 가세 북한 공격... “신뢰 검증과 능동적 위협 헌팅 전환해야”
이와 함께 그는 북한의 가상자산 탈취와 인공지능(AI) 악용 활동도 언급했다.
유 팀장은 “북한의 공격 동기가 금전적 이득이 된 이후 가상자산을 노린 활동이 두드러졌다”고 했다. 이어 “최근 북한 해킹 그룹은 신뢰할 수 있는 페르소나 생성, 악성코드 개발, 사실적 미끼를 만드는 데 AI를 적극적으로 활용하고 있다”며 “이는 사회공학 공격의 위협 수준을 높이는 요소”라고 강조했다.
이 같은 보안 위협에 대응하기 위해 금보원은 레드팀 운영을 통한 선제적 보안 전략을 주도하고 있다는 게 유 팀장의 설명이다.
유 팀장은 “금보원은 북한 공격자들의 전술과 기술을 모방해 위협 주도형 레드팀을 운영하고 있으며, 신뢰 기반 넌-액티브X 플러그인과 중앙관리시스템 내 제로데이 취약점을 발견하고 취약점 공개 및 패치 활동 등을 주도한다”며 “실제 사건 대응 과정에서 발견된 취약점을 국가 사이버 위기 관리 체계와 공동 대응해 피해를 최소화하고 있다”고 밝혔다.
유 팀장은 “보안은 더 이상 사후 대응이나 규제 준수를 위한 보여주기식이 돼선 안 된다”며 “신뢰는 검증돼야 하며 제로트러스트와 능동적 위협 헌팅 전략으로 전환해야 한다”고 강조했다.
[타이베이=강현주 기자(jjoo@boannews.com)]
“신뢰 검증과 선제적 보안 중요”
[타이베이=보안뉴스 강현주 기자] “액티브X(ActiveX) 시대가 지난 지금도 한국 금융 환경은 10년 전 취약점 악용 패턴을 그대로 반복하며 북한 해킹 표적이 되고 있습니다. 보안에 대한 ‘신뢰’를 철저히 검증하고 선제적 보안으로 전환이 필요합니다.”
유정각 금융보안원 레드 아이리스(RED IRIS)팀장은 지난 3일 대만 일루메 타이베이에서 팀T5(TeamT5)가 개최한 ‘TAS 2025’ 컨퍼런스에서 이같이 밝혔다. 레드 아이리스는 금보원 내 침투 테스트 조직이다.
유 팀장은 이 날 ‘신뢰 악용’(Exploiting Trust)이라는 주제로 발표하며 지난 10년 간 한국 금융권을 겨냥한 북한 공격 사례들을 분석하고 시사점을 공유했다.
그는 특히 넌-액티브X(Non-ActiveX)로 넘어 온 후에도 중앙 관리 시스템과 보안 플러그인에 대한 맹목적 신뢰가 취약점이 되고 있는 현상을 두고 ‘10년 전 데자뷰’라고 지적했다.
▲유정각 금융보안원 RED IRIS 팀장이 발표하고 있다. [자료: TeamT5]
“의무 설치 플러그인으로 감염... 신뢰 악용 10년 전 역사 반복”
유 팀장은 “1999년 한국에 공개키 기반 구조(PKI) 도입 이후 액티브X를 채택하면서 ‘더 많은 보안 소프트웨어는 더 많은 안전을 의미한다’는 잘못된 믿음에 길들여졌다”며 “2013년 3.20 사이버 테러 당시, 공격자들은 중앙 관리 시스템의 제로데이 취약점을 이용해 대규모 악성코드를 배포했다”고 회상했다.
이어 “액티브X 폐지 후 보안 환경은 넌-액티브X 기반의 의무 설치 플러그인과 중앙 관리 시스템으로 대체됐지만, 근본적인 구조적 취약점은 해소되지 않았다”며 “새로운 시스템들은 여전히 로컬 웹 서버를 사용하거나, 최고 권한으로 실행되는 에이전트를 엔드포인트마다 다수 설치하게 만들며 공격 표면을 극대화하고 있다”고 설명했다.
유 팀장은 “우리는 10년 동안 같은 문제를 해결하려 했지만, 단지 기술적 기본값만 바뀌어 취약한 액티브X 시스템이 취약한 넌-액티브X 시스템으로 바뀌었을 뿐”이라며 “역사는 반복되고 있다”고 했다.
특히 북한의 사이버 공격은 이러한 ‘신뢰 기반’ 한국 보안 환경을 집중적으로 악용하고 있다고 유 팀장은 강조했다.
그 사례로 북한 라자루스가 넌-액티브X의 플러그인 취약점을 악용해 금융권에 가했던 2023년 ‘고블린 작전’(Operation GoldGoblin), 2025년 ‘싱크홀 작전’(Operation Synchole) 등을 들었다. 당시 공격자들은 공격 대상들이 자주 찾아오는 신뢰하는 웹사이트에 악성코드를 미리 잠복시키고, 표적이 오면 감염시키는 ‘워터링홀’(Watering hole) 공격을 가했다.
이 공격들은 신뢰를 악용해 자동 감염을 시키고, 감염된 PC를 발판으로 금융 정보 탈취나 시스템 파괴 등을 자행하는 공격이다. 이후 금보원은 금융권과 협력해 취약한 플러그인 제거 등 보안 개선 활동을 해왔다는 설명이다.
유 팀장은 신뢰 받는 중앙관리시스템을 통한 북한의 공급망 공격도 조명했다.
유 팀장은 “공격자들은 액티브X 플러그인 취약점 악용 뿐 아니라 데이터손실방지(DLP), 네트워크접근제어(NAC) 등 기업이 신뢰하는 중앙 관리 서버 자체를 침해해 궁극적 효율성을 추구한다”며 “벤더의 업데이트 서버를 장악하거나 에이전트의 권한을 탈취하는 방식으로 시스템 전체를 손쉽게 장악하고 있다”고 말했다.
▲유정각 금융보안원 RED IRIS 팀장이 발표하고 있다. [자료: TeamT5]
AI 가세 북한 공격... “신뢰 검증과 능동적 위협 헌팅 전환해야”
이와 함께 그는 북한의 가상자산 탈취와 인공지능(AI) 악용 활동도 언급했다.
유 팀장은 “북한의 공격 동기가 금전적 이득이 된 이후 가상자산을 노린 활동이 두드러졌다”고 했다. 이어 “최근 북한 해킹 그룹은 신뢰할 수 있는 페르소나 생성, 악성코드 개발, 사실적 미끼를 만드는 데 AI를 적극적으로 활용하고 있다”며 “이는 사회공학 공격의 위협 수준을 높이는 요소”라고 강조했다.
이 같은 보안 위협에 대응하기 위해 금보원은 레드팀 운영을 통한 선제적 보안 전략을 주도하고 있다는 게 유 팀장의 설명이다.
유 팀장은 “금보원은 북한 공격자들의 전술과 기술을 모방해 위협 주도형 레드팀을 운영하고 있으며, 신뢰 기반 넌-액티브X 플러그인과 중앙관리시스템 내 제로데이 취약점을 발견하고 취약점 공개 및 패치 활동 등을 주도한다”며 “실제 사건 대응 과정에서 발견된 취약점을 국가 사이버 위기 관리 체계와 공동 대응해 피해를 최소화하고 있다”고 밝혔다.
유 팀장은 “보안은 더 이상 사후 대응이나 규제 준수를 위한 보여주기식이 돼선 안 된다”며 “신뢰는 검증돼야 하며 제로트러스트와 능동적 위협 헌팅 전략으로 전환해야 한다”고 강조했다.
[타이베이=강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
