국가사이버안보센터가 해외 보안 동향을 공개했다.

北 해커 그룹 김수키(Kimsuky)가 대학 교수, 연구원, 교직원들을 대상으로 새로운 공격을 감행했다. 주로 스피어 피싱을 통해 정보를 수집하고, 감염된 시스템에 지속적인 원격 접근을 유지했다. 또한 합법적인 로그인 포털을 모방한 피싱 페이지를 통해 피해자들의 자격 증명을 탈취하고, 구글 드라이브에 호스팅된 PDF 문서 링크로 유도했다.

美 법무부가 北 IT 노동자들이 미국에서 원격 근무를 하도록 도운 매튜 아이작누트를 체포했다. 그는 북한 노동자들이 도용된 신원을 사용해 미국 시민으로 가장할 수 있도록 도왔으며, 이들을 위해 집에서 '노트북 팜'을 운영했다. 북한 노동자들은 중국에서 미국에 있는 것처럼 일했고, 이 과정에서 벌어들인 수익은 북한의 핵무기 프로그램 자금으로 사용됐다.

글로벌 보안 행사 ‘블랙 햇(Black Hat USA) 2024’에서 마이크로소프트 코파일럿의 취약점을 악용해 데이터를 탈취하고 피싱 공격을 실행할 수 있는 방법을 공개했다. 코파일럿을 사용해 원격 코드 실행(RCE)과 유사한 공격을 시연했으며, 코파일럿을 조작해 피해자의 은행 정보 변경, 데이터 유출, 피싱 사이트 유도 등의 공격도 시연했다

CISA 국장 젠 이스터리(Jen Easterly)가 최근 크라우드스트라이크 소프트웨어 업데이트로 인한 대규모 시스템 중단이 비록 악의적인 행위는 아니었지만, 중국의 공격 시나리오를 대비하는 유용한 ‘드레스 리허설’이 될 수 있었다고 블랙 햇 컨퍼런스에서 언급했다.

또한 그는시스템의 복원력과 보안의 중요성을 강조하며, 향후 중국과 연관된 공격자들이 미국의 핵심 인프라를 교란할 수 있는 가능성 경고했다.

한편 CISA가 최근 해킹 공격에서 시스코 스마트 인스톨(SMI) 기능이 악용되고 있다며 비활성화할 것을 권고했다. 공격자들은 SMI 프로토콜을 이용해 시스템 설정 파일을 탈취하고, 구성 파일을 변경하거나 악성 계정을 추가하는 등의 공격을 수행했다.

또한 약한 비밀번호를 사용하는 시스코 네트워크 장치가 공격에 취약하다며, 안전한 비밀번호 보호조치를 강구했다.

시스코 대상의 최대 심각도의 취약점(CVE-2024-20419) 구현 익스플로잇 코드가 공개됐다. 해당 취약점은 패치되지 않은 시스코 스마트 소프트웨어 매니저 온프레미스(SSM On-Prem) 라이센스 서버에서 공격자가 원격으로 관리자 계정을 포함한 모든 사용자의 비밀번호 변경 가능하다. 이 취약점은 비밀번호 변경 과정의 구현 문제로 인해 발생하며, 인증되지 않은 공격자가 조작된 HTTP 요청을 보내 비밀번호를 변경한다.

글로벌 보안 미디어 시큐리티윅(Security week)이 전 세계적으로 널리 사용되는 태양광 발전 시스템에서 심각한 취약점을 통해 해커들이 정전이나 전력 공급 중단을 일으킬 수 있었다고 발표했다.

이 취약점은 솔라맨(Solarman)과 데예(Deye)라는 두 중국 회사의 태양광 관리 플랫폼에서 발견되었으며, 이를 통해 공격자는 계정을 완전히 통제하거나 민감한 데이터 탈취가 가능하다.

한편, 글로벌 보안 미디어 시큐리티어페어(Security Affiars)가 18년 된 ‘0.0.0.0 Day’라는 취약점으로 크롬, 파이어폭스, 사파리 등 주요 브라우저에서 악성 웹사이트가 보안을 우회하고 로컬 네트워크를 침해할 수 있다고 전했다.

이 버그는 일관성 없는 보안 메커니즘 구현과 브라우저 표준화 부족에서 비롯되며, 0.0.0.0 IP 주소를 이용해 공격자가 로컬 서비스에 무단 접근하거나 원격 코드 실행이 가능하다.