국가사이버안보센터가 ▲해외 국가 보안 동향 6건 ▲취약점 사례 6건 ▲그 외 피싱 및 맬웨어 등 사례 7건의 해외 사이버보안동향을 발표했다.

해외 국가 보안 동향

미국 군인 카메론 존 웨이지니어스(Cameron John Wagenius, 20)가 대통령 통화 기록 유출 및 통신사 AT&T와 버라이즌(Verizon) 해킹 혐의로 2024년 12월 20일 텍사스 포트 후드에서 체포됐다.

美 당국은 그가 카이버펜텀(Kiberphant0m) 닉네임으로 활동했으며, 통신사에서 도난한 전화 기록을 유출하고 판매한 혐의로 체포했다고 전했다. 그는 스노우플레이크 해킹 캠페인과 연관됐으며, 이 캠페인은 수백 개 조직에 영향을 준 것으로 추정했다.

그와 공범으로 추정되는 캐나다인 코너 릴리 마우카(Connor Riley Moucka(Judische))와 다른 해커 존 에린 빈즈(John Erin Binns)도 이미 체포된 상태다.

미국 재무부가 중국 베이징 소재 사이버 보안 기업 인테그리티 테크놀로지 그룹(Integrity Technology Group)을 미국을 대상으로 한 사이버 공격을 주도한 혐의로 제재했다.

이 회사는 2021년 중반부터 북미, 유럽, 아시아 등의 정부, 기업, 대학 등을 대상으로 공격을 수행한 중국 국가 배후 해킹조직 ‘플랙스 타이푼(Flax Typhoon(일명 Ethereal Panda 또는 RedJuliett))’과 연결되어 있으며 IoT 봇넷 랩터 트레인(Raptor Train)을 운영하고 있다.

중동 지역의 정부 기관과 인터넷 서비스 제공업체(ISP)를 대상으로 ‘이거비(Eagerbee)’ 백도어가 배포되고 있으며, 이 공격은 중국의 국가 지원 해커 그룹인 '크림슨 궁(Crimson Palace)'과 연관됐다. 이 백도어는 시스템 정보를 수집하고, 파일 관리, 원격 접근, 네트워크 모니터링 등의 다양한 기능을 가진 플러그인을 실행해 침투를 강화했다.

중국 국가배후 해커그룹 ‘솔트 타이푼(Salt Typhoon)’이 최근 미국 통신 기업 차터 커뮤니케이션(Charter Communications), 콘솔리데이티드 커뮤니케이션(Consolidated Communications), 윈드스트림(Windstream)을 대상으로 사이버 공격을 감행했다.

이 그룹은 이전에 AT&T, 버라이즌(Verizon), 루멘(Lumen) 등 주요 통신사들을 공격하여 문자, 음성 메시지, 통화 데이터를 탈취한 전적이 있다. 이에 CISA는 공격 대응을 위해 Signal과 같은 종단 간 암호화 메시징 앱 사용을 권장하고, FBI 및 NSA가 제시한 보안 강화를 즉시 이행할 것을 요구했다.

한편, 미국 국방부가 중국 기업 텐센트(Tencent)를 중국 정부의 '군민 융합 전략'에 참여하는 기업들을 열거한 1260리스트에 추가했다. 텐센트는 위챗(WeChat)과 같은 플랫폼을 운영하고 있으며, 이는 중국 정부가 정보를 전달하는 주요 경로로 활용했다.

목록에 등재된 기업은 미국 정부와의 협력이 제한되며, 공급망 문제나 소비자 반발 등 여러 분야 활동에 제약받는다.

유엔의 국제민간항공기구(ICAO)가 최근 국제 조직 대상 활동 위협 행위자와 관련된 정보 보안 사고"에 대한 조사를 진행 중이다. 2016년 4월부터 2024년 7월까지의 채용 지원서 정보 등 4만 2000개의 문서가 유출되어 암시장 포럼에서 판매되었으며, 문서에는 이름, 생년월일, 성별, 결혼 여부, 주소, 이메일, 전화번호, 교육 및 고용 정보 등이 포함됐다.

취약점 사례

마이크로소프트의 액티브 디렉토리(Active Directory)에서 LDAP 취약점(CVE-2024-49113)이 발견됐다. 이 취약점은 RCE(원격 코드 실행) 공격으로 확장될 수 있으며, 인터넷에 연결된 DNS 서버가 있는 도메인 컨트롤러를 표적으로 한다. 이에 패치되지 않은 모든 Windows 서버를 동시에 다운시킬 수 있는 위험이 있어 즉각적인 패치가 필요하다.

CVE-2024-49113(7.5점)으로 명명된 윈도우 LDAP(Lightweight Directory Access Protocol)의 서비스 거부(DoS) 취약점이 발견됐다. PoC(개념 증명) 공격 도구인 LDAPNightmare가 이를 악용해 서버를 공격하고 재부팅 할 수 있으며, 도메인 컨트롤러뿐만 아니라 인터넷 연결이 가능한 모든 윈도우 서버에 영향을 미친다. 특히 CLDAP 패킷을 수정하면 원격 코드 실행도 가능하다.

한편, 산업 네트워크 통신장비 제조사 목서(Moxa)가 자사의 일부 라우터와 네트워크 보안 장치에서 취약점 두 가지가 발견되었다고 보고했다. 각각 CVE-2024-9138(하드코딩된 자격증명)과 CVE-2024-9140(OS 명령 주입)이며, 원격 공격자가 루트 권한을 획득하거나 임의 코드 실행이 가능한 취약점이다.

글로벌 반도체 기업 미디어텍(MediaTek)은 2025년 초에 51개의 칩셋에 영향을 미치는 원격 코드 실행(RCE) 취약점을 포함한 여러 보안 취약점을 공개했다. 특히, 이번에 공개한 RCE 취약점은(CVE-2024-20154)은 공격자가 제어하는 기지국 연결시 발생하며, 추가 권한이나 사용자 상호작용 없이도 공격이 가능하다.

신종 Mirai 봇넷이 2024년 11월부터 산업용 라우터와 스마트 홈 기기의 제로데이 취약점 악용해 IoT 기기를 좀비로 만들고 있다. 1만 5000개의 봇 노드 보유했으며, 봇넷은 에이수스(ASUS), 화웨이(Huawei), 네터비트(Neterbit), 포페이스(Four-Faith) 라우터 등 20개 이상의 취약점을 이용해 공격했다.

CISA가 미국 연방기관 대상 오라클 웹로직 서버(Oracle WebLogic Server)와 마이텔 미이콜랩(Mitel MiCollab) 시스템에서 발견된 취약점에 대해 경고했다.

이번에 마이텔 마이콜랩(Mitel MiCollab)의 누포인트(NuPoint) 통합 메시징 구성 요소에서 경로에서 발견된 우회 취약점(CVE-2024-41713)은 인증 없이 관리 작업을 수행하고 사용자 및 네트워크 정보에 접근이 가능하다.

한편, 오라클 웹로직 서버에서 발견된 취약점(CVE-2020-2883)은 미인증 공격자가 서버를 원격으로 장악할 수 있다.. CISA는 이들 취약점을 "활발히 악용되는 취약점"으로 지정하고, 연방 기관들이 1월 28일까지 네트워크를 안전하게 보호할 것을 권고했다.

피싱, 맬웨어 등 그 외 동향

전 세계 약 330만 개의 POP3 및 IMAP 메일 서버가 TLS 암호화 없이 인터넷에 노출되어 네트워크 스니핑 공격에 취약해졌다. TLS 암호화가 없으면 이메일 콘텐츠와 사용자 자격 증명이 평문으로 전송되어 해커에게 노출이 용이하므로, 오래된 TLS 버전을 최신 버전으로 업그레이드를 해야한다.

패키지 관리 툴 NPM에서 악성 패키지 ethereumvulncontracthandler가 발견됐다. 이 패키지는 이더리움 스마트 컨트랙트 취약점 도구로 위장해 Quasar RAT(Remote Access Trojan)을 배포하고 윈도우 시스템을 감염시킨다.

Quasar RAT는 원격 제어 및 데이터 유출을 목적으로 C2 서버와 통신하며, 지속을 위해 윈도우 레지스트리를 수정한다. 한편, 이 패키지는 학술 커뮤니티 깃헙(GitHub)에서 허위 별점을 구매하는 등 악성 리포지토리의 신뢰도와 인기 조작 사례가 증가하고 있다.

또한 이더리움 개발 환경 하드햇(Hardhat)을 가장한 20개의 악성 NPM 패키지가 발견되었으며, 민감한 데이터와 개인 키를 노리는 것으로 확인됐다.

이 패키지는 NPM에서 검색 엔진을 사용하지 않고 웹 브라우저에 URL을 잘못 입력하는 인터넷 사용자를 노리는 사회 공학적 공격 기법 ‘타이포스쿼팅(Typosquatting)’으로 하드햇 관련 패키지를 위장해 설치를 유도했으며, 1000회 이상의 다운로드를 기록했다. 또한 패키지는 개발자의 개인 키, 니모닉, 구성 파일을 암호화해 공격자 서버로 전송했다.

한편, 글로벌 보안 기업 팔로알토 네트웍스가 LLM의 안전 장치를 우회해 유해하거나 악의적인 응답을 생성하는 ‘Bad Likert Judge’라는 새로운 AI 탈옥 기법을 개발했다.

이 기법은 LLM이 리커트(Likert) 척도를 사용해 응답의 유해성을 평가하도록 유도하고, 가장 높은 점수의 유해 콘텐츠를 포함한 예제를 생성한다. 증오, 괴롭힘, 불법 활동, 악성코드 생성 등 다수 카테고리에서 테스트 되었으며, 기존 공격들보다 전반적인 측도에서 60% 높은 공격 성공률을 보였다.

정보 탈취 기능을 제공하는 안드로이드 맬웨어 ‘파이어스캠(FireScam)’ 악성코드가 발견됐다. 파이어스캠은 텔레그램 프리미엄(Telegram Premium) 앱으로 위장해 피싱 사이트를 통해 배포되는 안드로이드 악성코드로, 민감 정보를 수집해 ‘파이어베이스(Firebase)’ 클라우드 데이터베이스로 전송한다.

안드로이드 기기의 앱 삭제 및 설치, 사용자 활동 추적, 클립보드 모니터링 등 다양한 스파이웨어 기능을 수행하며, 회피 기술을 활용해 C&C 서버와 통신한다.

중국어 사용자들을 대상으로 피싱 이메일과 순위를 조작해 악성 앱 설치를 유도하는 SEO(Search Engine Optimization, 검색 엔진 최적화) 중독 기법으로 악성코드 ‘PLAYFULGHOST’가 유포되는 정황이 발견됐다.

이 맬웨어는 키로깅, 스크린 캡처, 오디오 녹음 등 다양한 정보 수집 기능을 갖춘 악성코드로, 합법적인 VPN 앱(예: LetsVPN)을 악성코드로 감염시킨 후 DLL 검색 순서 하이재킹 및 사이드로딩 기술을 사용해 메모리에 로드한다. 윈도우 환경에서 지속성을 유지하며, 파일 삭제, 보안 로그 제거, 키보드/마우스 입력 차단 등의 기능을 수행한다.

한편, 테슬라 사이버트럭 폭발사건과 관련해 자동차 데이터 프라이버시에 대한 논란이 발생했다. 테슬라는 폭발 사고 발생 후 차량 내 데이터를 통해 운전자의 이동 경로를 빠르게 추적해 수사에 큰 도움을 주었지만, 이에 개인정보 침해에 대한 우려가 야기됐다.

특히, 자동차가 수집하는 데이터의 종류가 다양해지고 있으며, 데이터 활용 투명성이 부족이 문제점으로 지적됐다.