국가사이버안보센터가 ▲해킹, 랜섬·맬웨어, 피싱, 신종 공격 5건 ▲취약점 사례  7건▲해외국 주요 안보 이슈 4건 총 16건의 해외 보안 동향을 발표했다.

해킹, 랜섬·맬웨어, 피싱, 신종 공격 등

글로벌 사이버 보안 미디어 인포시큐리티 매거진(infosecurity Magazine)이 2024년 브라우저 기반 사이버 위협이 급증했으며, 이메일 악성코드 위협은 감소했다고 분석했다.

브라우저 기반 위협은 드라이브 바이 다운로드와 악성 광고를 통해 Lumma Stealer, NetSupport Manager RAT 같은 악성코드를 전달하며, 전통적인 이메일 필터를 우회할 수 있어 공격자들이 선호했다고 밝혔다.

한편 유효 자격 증명 악용도 증가했으며, 유출된 자격 증명이 주된 초기 침입 경로로 사용됐다. 일부 사이버 범죄자들은 고가치 자격 증명을 10달러에 판매했다. 그 외 QR 코드 피싱, ClickFix 등의 새로운 공격 기법도 등장했다.

마이크로소프트가 생성AI 서비스를 악용해 유해 콘텐츠를 생성하는 사이버 범죄자들에 대한 법적 조치를 진행 중이다.

이 조직은 공개된 웹사이트에서 모은 사용자 계정 정보를 이용해 마이크로소프트의 AI 서비스에 무단으로 접근하고, 이를 통해 딥페이크와 같은 악성 콘텐츠를 생성하는 도구를 개발했다. 마이크로소프트는 이 그룹의 접근 권한을 철회하고 보안을 강화한다고 전했다.

애플의 XProtect에서 영감을 받은 문자열 암호화를 통해 안티바이러스 탐지를 우회하는 맥OS 사용자 대상 정보탈취 악성코드 ‘Banshee Stealer’의 새로운 변종이 발견됐다.

주로 피싱 웹사이트와 가짜 깃허브(GitHub) 저장소를 통해 배포되며, 구글 크롬, 텔레그램, 트랜딩뷰(TradingView) 등의 인기 소프트웨어로 위장했으나, 이번 변종은 더 많은 대상을 공격하기 위해 러시아어 설정을 우회했다.

2024년 말 AI로 제작된 랜섬웨어 ‘훵크섹(FunkSec)’이 현재까지 85명 이상의 피해자를 대상으로 이중 갈취 전술(데이터 암호화 및 탈취)을 사용하여 낮은 금액의 몸값을 요구하고 데이터를 제3자에게 판매했다.

이 그룹은 해킹 활동과 결합된 RaaS 모델을 운영하며 정치적 동기와 금전적 이익을 동시에 추구했다. 주요 도구는 AI로 개발됐으며, 최신 버전의 랜섬웨어는 Rust 언어로 작성돼 보안 통제 비활성화 및 데이터 암호화 기능을 보유했다.

한편, 피싱 캠페인이 정식 페이팔(Paypal) 링크와 이메일 주소를 사용해 피해자 계정 탈취에 악용하고 있다.

이메일은 거래 요청과 같은 세부 정보를 포함해 일반적인 페이팔 이메일처럼 보이며, 피해자가 이메일 링크를 클릭하면 정식 페이팔 로그인 페이지로 이동한다. 그러나 로그인 시 공격자의 이메일 주소가 피해자의 페이팔 계정에 연결되며, 공격자는 마이크로소프트 365 도메인을 사용해 이메일 배포 리스트를 생성하고, 이를 이용해 피해자들에게 거래를 요청한다.

취약점 사례

해커들이 글로벌 보안 기업 이반티(Ivanti)의 원격 접속 VPN 솔루션 ‘이반티 커넥트 시큐어(Ivanti Connect Secure)’의 제로데이 취약점(CVE-2025-0282)을 악용해 Dryhook과 Phasejam이라는 새로운 악성코드를 생성했다.

이 취약점은 버퍼 오버플로 문제를 이용해 원격 코드를 실행하며, VPN 장치에 초기 접근 이후 시스템 파일 조작, 및 악성코드 배포를 통해 VPN 세션 데이터베이스, 인증서, API 키와 같은 민감정보 탈취를 목표로 했다.

글로벌 보안 기업 트렌드마이크로가 마이크로소프트 윈도우 LDAP(Lightweight Directory Access Protocol, 애플리케이션 프로토콜)의 취약점(CVE-2024-49113)을 악용한 가짜 PoC(개념증명)가 정보 탈취 악성코드를 배포하는 데 사용 중이다.

이 가짜 PoC는 파이썬 기반 프로젝트인 것처럼 보이지만, 실행 파일(poc.exe)을 포함해 파워쉘(PowerShell) 스크립트를 실행하고 FTP 서버로 시스템 정보(네트워크 정보, 프로세스 목록, 디렉토리 등)를 전송하므로, 이에 트렌드마이크로는 주의를 당부했다.

글로벌 보안 미디어 더 해커 뉴스(The Hacker News)가 보안 솔루션 ‘GFI 케리오컨트롤(KerioControl)’ 방화벽의 CRLF(줄바꿈) 주입 취약점(CVE-2024-52875)을 악용해 원격 코드 실행(RCE)과 XSS 공격이 가능하다고 발표했다.

공격자는 악성 URL을 통해 관리자가 클릭시 루트 권한을 획득하고 방화벽을 제허할 수 있으며, 이에 GFI는 2024년 12월 19일 패치를 배포했다. 한편 12월 28일부터 싱가포르와 홍콩 등에서 악용 시도가 보고됐다고 전했다.

글로벌 보안 기업 팔로 알토 네트웍스(Palo Alto Networks)가 2024년 12월 31일 서비스 종료된 마이그레이션 도구 ‘익스페디션(Expedition)’의 취약점들을 패치했다. 특히, 주요 취약점(CVE-2025-0103)은 SQL 인젝션으로 인증된 공격자가 DB 및 파일에 접근할 수 있으며, 사용자 이름, 비밀번호, 장치 API 키 등 민감한 정보를 노출할 수 있었다.

안드로이드(Android) 12~14를 사용하는 삼성 기기(예: Galaxy S23, S24)에서 제로 클릭Zero-click) 공격이 가능한 Monkey's Audio 디코더 취약점(CVE-2024-49415) 발견됐다. 이 취약점은 구글 메신저의 RCS 기능이 활성화된 상태에서 특수 제작된 오디오 메시지로 악성코드 실행이 가능했다.

이에 삼성은 2024년 12월 보안 업데이트 및 스마트스위치(SmartSwitch) 취약점(CVE-2024-49413)도 함께 수정했다.

구글의 ‘구글 계정으로 가입(Sign in with Google)’ 인증 시스템에서 발견된 심각한 취약점으로 인해 수백만 명의 사용자 정보유출 가능성이 제기됐다.

이 문제는 도메인 소유권 변경과 구글 OAuth(접근 위임 개방형 표준) 로그인 간의 상호작용에서 발생하며, 폐업한 스타트업의 도메인을 새로운 소유자가 구매해 이전 직원의 계정을 재생성해 SaaS 서비스에 접근한다. 이를 통해 챗GPT, 슬랙, 노션, HR 시스템 등 민감정보를 포함한 서비스까지 접근할 수 있다.

한편, 글로벌 보안 기업 포티넷(Fortinet)이 2024년 11월~12월 사이 자사의 포티게이트(FortiGate) 방화벽이 관리 인터페이스를 통해 제로데이 취약점을 악용한 공격을 받았다.

공격자들은 4단계(취약점 스캔, 탐색, SSL VPN 설정 조작, 횡적 이동)를 통해 관리 계정을 생성하거나 탈취하고 네트워크에 침투했다. 이에 포티넷은 민감한 데이터(예: IP 주소, 계정 정보)가 유출되었음을 인정하며, 공격 대응을 위한 패치 개발과 보안 조치를 강화한다고 전했다.

해외 국가 주요 안보 이슈

중국 국가배후 해커그룹 ‘실크 타이푼(Silk Typhoon, 이명 Hafnium)’이 美 재무부 외국투자심의위원회(CFIUS) 시스템을 해킹해 국가 안보에 영향을 미칠 수 있는 외국 투자정보를 열람했다. 이들은 또한 외국자산통제국(OFAC) 네트워크를 침투해 제재대상 중국 개인 및 조직에 대한 정보를 탈취했다.

한편 중국 해커그룹 ‘레드델타(RedDelta)’가 2023년 7월부터 2024년 12월 몽골, 대만, 미얀마, 베트남, 캄보디아를 대상으로 PlugX 백도어를 배포하며 사이버 첩보 활동 전개했다.

공격은 스피어 피싱 이메일과 유인 문서를 활용했으며, 문서 주제는 2024년 대만 대선 후보, 몽골 홍수 방지, ASEAN 회의 초대장 등으로 구성됐다. 주요 표적에는 몽골 국방부(2024년 8월)와 베트남 공산당(2024년 11월) 등이 포함되었으며, 말레이시아, 일본, 미국, 인도 등 다른 국가에서도 공격 발생했다.

친러 해커 그룹 노네임057(NoName057(16))은 우크라이나 대통령 젤렌스키의 이탈리아 방문과 관련된 이탈리아의 정부 기관, 은행, 주요 인프라, 민간 기업 웹사이트를 대상으로 새로운 DDoS 공격을 감행했다. 공격은 이탈리아의 젤렌스키에 대한 군사 및 외교 지원을 비판하는 메시지와 함께 텔레그램 채널에 게시되었으며, 목표는 이탈리아의 사이버 보안 취약성 강조였다.

러시아의 주요 정부 조달 플랫폼 로젤토르그(Roseltorg)가 우크라이나 지지 해커 그룹 Yellow Drift의 사이버 공격을 받아 550TB의 데이터와 이메일, 백업이 삭제됐다. 이에 로젤토르그는 모든 데이터를 복구하고 서비스 재개를 준비 중이라고 밝혔다.