국가사이버안보센터가 해외 보안 동향을 발표했다.

한국 금융 감독원(FSS)은 카카오페이가 4천만 명 이상의 사용자 데이터를 중국 결제 플랫폼 알리페이의 싱가포르 지사에 사용자 동의 없이 전달한 사실을 공개했다. 이 데이터에는 카카오 계정 ID, 전화번호, 이메일 주소, 결제 내역 등이 포함됐다.

카카오페이는 비즈니스 협력의 일환으로 데이터를 공유했다고 주장했지만, FSS는 이를 불법으로 판단했다.

중국 연관 추정 사이버 스파이 캠페인 '이스트윈드(EastWind)'가 러시아 정부기관 대상 공격에서 다양한 중국의 APT 도구들을 사용한 정황이 발견됐다. 해당 캠페인은 드롭박스, 깃허브, 쿼라(Quora) 등의 클라우드 서비스를 C2 서버로 활용하고 APT31과 APT27이라는 두 개의 중국 정부 후원 해커 그룹의 악성코드를 사용하고 있었으며, 클라우드소서러(CloudSorcerer)라는 클라우드 기반 백도어를 활용했다.

한편 윈도우의 IPv6 기능을 사용하는 모든 시스템에 영향을 미치는 원격 코드 실행(RCE) 취약점이(CVE-2024-38063) 발견됐다. 이 취약점은 인티저 언더플로우(Integer Underflow) 문제로 인해 발생하며, 공격자는 이를 이용해 임의의 코드 실행이 가능하다. 특히, 이 문제는 워머블(wormable) 취약점으로, IPv6 패킷만으로도 원격에서 악성 코드를 실행할 수 있어 매우 위험한 수준이다.

글로벌 보안 미디어 시큐리티어페어(securityaffairs)에 따르면, 지난 8월 15일 이란 중앙은행(CBI)과 여러 이란 은행들이 대규모 사이버 공격을 받아 은행 시스템이 마비됐다. 이 사건은 이란이 가자 지구 분쟁에서 휴전이 이루어지지 않으면 이스라엘을 공격하겠다고 발표한 시점과 맞물려 있으며, 이는 이란의 국가 인프라에 대한 최대 규모의 사이버 공격 중 하나로 평가됐다.

한편, 지난 7월 새로운 사이버 공격이 아제르바이잔과 이스라엘의 외교관들을 대상으로 민감한 데이터 탈취 시도가 시작됐다. ‘Actor240524’로 추정되는 이 공격은 피싱 이메일을 통해 악성 매크로를 실행하고, 악성 코드를 로드해 원격 서버와 연결했다. 이 악성 코드는 시스템 정보를 탈취하고 분석 회피 기술을 사용하며 두 나라의 외교 관계를 겨냥한 것으로 판단됐다.

주로 SSH 서버를 무차별 대입 공격으로 해킹한 후, 경쟁 악성 코드를 종료시키고 자체 암호화폐 채굴 프로그램을 설치하는 ‘Gafgyt’ 봇넷 변종이 출현했다. Gafgyt는 2014년부터 활동해 온 IoT 봇넷으로, 주로 약한 자격 증명을 악용해 DDoS 공격을 수행해 왔으나, 이번 변종은 암호화폐 채굴에 더 중점을 두고 활동했다. 현재 약 3천만 개의 SSH 서버가 공개적으로 접근이 가능해, 이에 보안 조치가 필요하다.