검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'김수키'통합검색 결과 입니다. (7건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

잇달은 보안사고에도..."이재명 정부 사이버보안 홀대"

국가 안보 중심인 사이버보안이 이재명 정부에서 홀대받고 있다는 지적이 전문가들에게서 잇달았다. 최근 미국에서 열린 세계 최대 보안 컨퍼런스에서 외교부 등 우리나라 정부 사이트 다수가 북한으로 추정되는 해커에게 해킹당했다는 소식이 전해진데 이어 우리 국민 생활에 큰 영향을 끼치는 예스24 사이트가 다시 해킹당하는 등 공공과 민간이 잇달아 해커 놀이터로 전락했다. 그럼에도 대한민국 사이보 보안을 총괄할 컨트롤타워 역할을 해야하는 대통령실 사이버안보 비서관이 장시간 공석인데다 국정원에서 사이버안보를 지휘하는 3차장도 아직 채워지지 않았다. 여기에 정부가 13일 공식 발표할 123개 국정과제에도 사이버와 '보안'이라는 키워드가 전무한 것으로 알려졌다. 12일 업계와 학계에 따르면 정부가 대통령 직속 국정기획위원회가 13일 대국민보고대회를 열고 이재명 정부 5년간의 국정운영 청사진을 공개한다. 지난 6월 14일 출범한 국정위는 두 달간 활동하면서 이재명 대통령 임기 동안 달성해야 할 123개 국정 과제와 564개의 세부 실천과제를 선별했다. 123개 국정과제는 '세계를 이끄는 혁신 경제', '기본이 튼튼한 사회' 등 크게 6개 대분류로 구성됐다. 하지만 이 123개 국정과제에는 사이버와 '보안'이라는 키워드가 한 개도 없는 것으로 알려졌다. 다만, 개인정보보호위원회 과제로 '국민이 안심할 수 있는 개인정보 보호체계 확립'이라는 키워드만 들어 있다. '인공지능(AI) 3대 강국 도약'을 목표로 AI와 관련한 정책들은 담았지만, 이같은 기술들을 보호하고 지켜낼 보안과 관련한 키워드는 실종한 것이다. 이에 SK텔레콤 해킹 사태를 비롯해 두 차례의 예스24 랜섬웨어 공격과 정부 사이트 해킹 등 굵직한 침해사고가 발생했음에도 정부가 보안 정책을 제대로 추진할 의지가 있느냐는 지적이 산업계와 학계에서 잇달아 제기됐다. 불과 며칠전, 북한과 중국 지원을 받는 것으로 알려진 해킹 조직 '김수키(Kimsuky)'가 지속적으로 한국 정부를 공격해왔다는 것이 전 세계에 알려졌음에도 사이버 보안 정책 홀대는 문제가 있다는 것이다. 이재명 대통령 취임 이후 2개월이 넘었지만, 국가 사이버 안보를 책임지는 사이버안보비서관과 국가정보원(국정원) 3차장은 여전히 공석인 상태다. 이에 대해 김승주 고려대 정보보호대학원 교수는 자신의 SNS를 통해 "사이버보안의 컨트롤타워는 국가안보실 사이버안보비서관이고 총무기관으로 보좌를 맞춰야 하는 곳이 국가정보원 3차장인데, 이 시국에 이들은 모두 어디에 있는가?"라고 물으며 "사이버 공간에서 동시다발적으로 난리가 나고 있는 지금 과연 사이버 보안의 컨트롤 타워는 대한민국에 존재하고 있는가"라고 지적했다. 정보보안 분야 기관장을 역임한 A 씨 역시 정부가 13일 발표한 이재명 정부 123개 국정과제에 대해 SNS에서 "국가정보보호 또는 사이버보안 국정과제 실종. 역사상 처음 있는 일이 아닌가 싶다. 어디에 숨어 있는지 모르겠지만 한때 이 분야에 종사했던 사람으로서 자괴감이 든다"는 말을 남겼다. A대학 보안전공 교수 역시 기자와의 통화에서 "사이버보안이 안보인다. 큰 실망이다"고 밝혔다. B대학 교수는 "기본적인 것들을 안고치면 아무 것도 고쳐지지 않고 지금처럼 계속 사고가 날 것"이라면서 자조적으로 "제일 좋은 건 그냥 대형사고 더 많이 나는 것 말고는 없는 것 같다. 백약이 무효"라고 한탄했다. 한 보안업계 전문가는 “정부가 재난이나 사고에 대한 안전한 사회를 구축하겠다는 의지가 강한데, 이는 사이버 사회에서도 마찬가지“라며 ”사이버 세상에서 발생하는 재난이나 사고가 곧 랜섬웨어나 해킹 사태와 같이 나오는 것“이라고 일침했다. 그는 또 ”정부의 정책 방향에 이같은 정보보호 산업 육성에 대한 내용이 담기지 않은 것은 유감“이라고 밝혔다. 다른 정보보호 전문가 역시 “작년부터 예산이 깎이는 등 정부 차원의 보안 강화 정책은 뒤처진 지 오래“라며 ”보안이 뛰어나다고 평가되는 이스라엘과 같은 국가들과 비교하면 한국의 보안 의식은 너무 뒤처져 있다“고 지적했다.

2025.08.12 17:43김기찬

[기자수첩] '민낯' 드러난 K-보안…"보안은 보험"

전 세계 보안인들 앞에 우리나라의 정보보호 민낯이 드러났다. 북한 또는 중국의 지원을 받는 것으로 알려진 해킹 조직 '김수키'(Kimsuky)가 화이트 해커들에 의해 역으로 침투당하면서, 김수키가 우리나라 정부와 주요 기관을 상대로 지속적으로 공격을 하고 있다는 사실이 알려졌다. 세계적 해킹 잡지 '프랙'(Phrack)은 최근 발행한 40주년 기념호에 'APT Down: The North Korea Files'라는 제목의 해킹 보고서를 실었다. 이 보고서는 'Saber'와 'cyb0rg'라는 화이트해커가 공저한 것으로, 김수키의 시스템에 침투한 뒤 자료를 수집해 인프라 및 악성코드 등에 대한 상세히 분석한 내용을 담았다. 이 보고서는 실력있는 전 세계 해커들이 모이는 세계 최대 해킹 대회 '데프콘(DEFCON CTF 33)' 현장에 배포됐다. 보고서에 따르면 김수키가 우리나라 정부에 대한 지속적인 공격을 이어왔던 사실이 밝혀졌다. 방첩 임무를 수행하는 국방부 방첩사령부를 포함해 외교부, 대검찰청 등의 정보가 어떻게 김수키의 손에 들어가게 됐는지도 분석돼 있었다. 한국 정부의 정보가 지속적으로 김수키의 손으로 들어갔던 사실이 전 세계 화이트해커들에게 뿌려진 셈이다. 한마디로 한국 정부 사이트가 해커에 무방비였던 것이다. 민간의 상황도 별반 다르지 않다. 국민을 불안에 떨게 했던 SKT 해킹 사태와 더불어 예스24, SGI서울보증 등 굵직한 침해사고가 올해 한꺼번에 쏟아져 나왔다. 심지어 11일 예스24는 또 다시 랜섬웨어에 당했다. 이런 배경에 침해사고 건수 역시 매년 증가세다. 한국인터넷진흥원(KISA)에 따르면 상반기 기준 최근 3년간 침해사고 신고 건수는 2023년 664건에서 지난해 상반기 899건, 올해 상반기에는 1천건을 넘어선 1034건으로 불어났다. 반면 국내 기업들의 정보보호 투자 비율은 지난해 기준 IT 투자 대비 평균 6.44%에 불과한 것으로 나타났다. 전년 대비 0.39%포인트 늘었다. 하지만 이는 미국·유럽의 평균 투자 비율인 25%에 크게 못 미치는 수치다. "전 세계 정보보호 투자액을 보면 한국은 정말 미미한 수준이에요. IT 강국이라면서 보안을 잘한다는 나라를 꼽으라면 이스라엘, 싱가포르 등 뿐이고 한국의 이름은 거론되지 않죠. 국제 보안 자격증 CISSP를 운영하고 있는 비영리단체에서도 지난해부터 한국 시장에서 등을 돌렸어요. 한국에서 보안이라…." 한 보안 컨설팅 업체 대표는 기자와 만난 자리에서 이 같이 말하며 깊은 한숨을 쉬었다. 그는 한국 정보보호업계의 현실을 지적하며 올해를 끝으로 한국에서 사업을 축소할 계획이다. 보안 투자는 기업들 입장에선 '돈'이 되지 않는다. 투자를 한다고 해서 생산성이 향상되는 것도 아니고, 몸값을 올려 다시 회수할 수 있지도 않다. 이미 국내에선 보안 투자가 '매몰비용'으로 인식되고 있는 지 오래다. 올해 상반기 침해사고 정보 공유 세미나 현장에서 인상깊었던 박상훈 한국과학기술연구원(KIST) 전문원의 말을 빌리고 싶다. "보안은 소모성 비용이 아니라 생존을 위한 보험이다"

2025.08.11 11:11김기찬

북한 추정 해커 김수키, 한국 정부 또 공격

북한 해킹 조직으로 추정되는 '김수키'(Kimsuky)가 우리나라 정부 및 통신사에 대한 지속적인 공격을 이어왔던 것으로 또 드러났다. 8일 해킹 잡지 '프랙'(Phrack)은 최근 발행한 40주년 기념호에 이같은 내용을 담은 'APT Down: The North Korea Files' 보고서를 공개했다. 'Saber'와 'cyb0rg'라는 화이트해커가 공동으로 만든 보고서다. 보고서는 미국 시각 7~10일 샌프란시스코에서 열린 세계 최대 해킹 대회 '데프콘'(DEFCON CTF 33) 현장에 배포됐다. 이 보고서와 관련한 8.9GB 분량 데이터를 미국 비영리 단체 '디도시크릿츠'(DDoSecrets)가 자사 사이트에 내려받을 수 있게 공개했다. 해당 데이터는 김수키가 어떻게 정부 및 국내 기업들을 공격해왔는지와 관련된 내용이 주를 이뤘다. '프랙'은 해커 문화와 기술을 다루는 대표적인 전자 잡지(e-zine)로, 전 세계 해커 커뮤니티에서 전설적인 위치를 차지하고 있다. 1985년 11월 창간호를 냈다. 지난해 8월 기준 71호째를 발간했다. 보고서에는 'Saber'와 'cyb0rg'가 김수키의 시스템이나 자료를 침투·수집한 뒤 인프라 및 악성코드 등에 대한 상세히 분석한 내용이 담겼다. 김수키는 교묘한 수단을 통해 국내 기관에 침투하는 북한 추정 해킹 집단으로 잘 알려져 있다. 지난 2023년 우리 정부의 블랙리스트에도 이름을 올린 바 있으며, 기자, 교수 등을 사칭해 국내 기관에 피싱 시도를 서슴지 않는다. 공개된 덤프 파일(시스템 상태나 데이터 내용을 그대로 떠 저장한 파일)중에는 김수키가 구글 브라우드 크롬에 접속한 사이트들이 타임라인별로 정리된 html, 사용 중인 것으로 보이는 김수키의 데스크톱 화면 캡처 등이 포함됐다. 기자가 김수키가 접근한 URL 중 일부에 직접 접속했는데, 주로 해킹 관련 사이트, 침투를 위한 VPN 서비스 등이었다. 특히 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 시도와 피싱 기록도 포함됐다. 보고서에 따르면 김수키가 방첩사령부를 대상으로 시도한 피싱 공격 로그가 확인됐다. 동일한 로그에는 대검찰청을 비롯해 다음, 카카오, 네이버 등 포털 사이트에 대한 기록도 있는 것으로 파악된다. 김수키는 DCC에 접근하기 위해 피해자가 신뢰하는 도메인과 유사한 이름을 사용해 HTTPS 기반의 피싱 웹사이트를 노출한 것으로 분석된다. 방첩사령부에 피싱 사이트 링크를 보내고 로그인 정보를 입력하도록 유도한 것이다. 피해자가 로그인 정보를 입력한 이후에는 로그인 오류를 반환하는 페이지로 리디렉션(사용자가 요청한 URL에서 다른 URL로 자동 이동시키는 것) 시키는 공격 방식을 택했다. 피해자가 피싱 사이트에 계정 정보를 입력한 것을 인식하기 어렵게 하기 위함이다. 또 로그인 오류를 반환한 페이지 역시 방첩사령부 URL과 유사해 피해자가 피싱인지 인식하기 어렵게 했다. 외교부에는 이메일 플랫폼에 접근한 것으로 확인됐다. 디도시크릿츠가 공개한 파일 중에는 한국 외교부 이메일 플랫폼의 복사본이 포함됐으며, 비교적 최근에 유출된 것으로 확인된다. 이 외에도 외부에서 접근이 불가능한 '온나라' 등 정부 내부망 포털 접속 로그도 발견돼 정부 내부망에 접속할 수 있었던 것으로 확인됐다. 구체적으로 대한민국 정부 행정망 접속용 프로그램을 변형한 모듈이 발견된 것인데, 내부 네트워크로 접속이 가능했으며, 정상 '온나라' 트래픽과 혼합돼 탐지도 어렵게 만들었다. 이와관련, 온나라 관계자는 "이건과 관련해서는 조치가 이미 끝났다"고 밝혔다. 또 보고서는 '김수키는 중국인?'이라는 질문을 던지며 이번 공격 주체가 온전히 북한 소행이 아닐 수 있다는 내용도 담았다. 김수키가 구글 번역을 사용해 한국어를 간체 중국어로 번역한 점, 우리나라 단오같은 중국 공휴일인 '드래곤 보트 페스티벌(Dragon Boat Festival, 5월 31일~6월2일)에는 일을 하지 않은 점 등을 들며 중국과도 관련이 있어 보인다고 짚었다. 하지만 보고서 저자는 공격자의 크롬 설정은 한국 시간에 맞춰져 있었다고 설명했다. 또 한국어를 일부 이해할 수 있어 공격이 김수키와 연계된 것인지 중국계 운영자인지 명확히 파악하기 어려운 상황이다. 보고서 저자는 "김수키는 한국 정부, 군, 언론, 외교 기관 등을 상대로 지속적이고 장기적인 사이버 첩보 활동을 수행하고 있다"며 "공격은 정교하게 설계돼 있고, 보안 탐지를 회피하기 위해 지속적으로 인프라와 악성코드를 갱신하고 있어 주의가 필요하다"고 경고했다. 또 "재발 방지를 위해 스피어 피싱 및 소셜 엔지니어링 기법에 대한 정기 교육, 다단계 인증, Powershell 사용 제한 등의 조치가 필요하다"면서 "사후에도 보고서에 명시된 악성 IP나 도메인을 즉시 차단하고, 포렌식 조사와 더불어 침해지표를 구내외 정보 공유 플랫폼과 연계하는 등의 대응이 필요하다"고 당부했다.

2025.08.10 16:46김기찬

韓 향한 사이버공격 '빈번'…10건 중 8건은 北 소행

최근 우리나라를 대상으로 한 사이버공격이 빈번해진 가운데 10건 중 8건이 북한의 소행인 것으로 파악됐다. 22일 로그프레소가 아홉 번째 발간한 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 리포트에 따르면 국가정보원은 지난해 우리나라 공공기관을 대상으로 한 사이버공격이 일평균 162만 건 정도 발생한 것으로 파악했다. 이 중 80% 정도를 북한발 해킹으로 분류했다. 로그프레소는 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석해 실제 북한의 소행인지 이번에 분석했다. 현재 북한은 아시아 태평양 네트워크 정보센터(APNIC, Asia-Pacific Network Information Centre)에서 공식적으로 할당받은 IP 대역과 러시아 및 중국 통신사가 제공하는 IP 대역을 사용 중이다. 북한에서도 인터넷을 이용하고 있으나 극히 제한적인 사용자만 외부 인터넷에 접속할 수 있다. 로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접적으로 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인할 수 있었다. 또 로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석했다. 해당 정보를 근간으로 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다. 과거에는 악성코드를 분석해 공격 그룹을 조사했으며 C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했다. 그러나 최근 들어 공격자들이 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다. 장상근 로그프레소 연구소장은 "사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다"며 "사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것"이라고 말했다. 이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례도 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안솔루션의 한계를 개선하기 위한 방안을 함께 소개했다. 로그프레소 관계자는 "근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response) 도입을 추천한다"며 "보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 'MTTR(Mean Time To Respond)'을 줄이는 것이 핵심"이라고 설명했다.

2024.10.22 16:07장유미

"김수키와 수법 비슷"...시스코, 북한 해커그룹 추가 정황 포착

북한 해커그룹이 새로운 해킹 프로그램으로 사이버 공격을 진행한 정황이 포착됐다. 해당 수법은 코드네임 '김수키'라는 기존 북한 해커그룹과 비슷한 것으로 전해졌다. 22일 미국 시스코 탈로스는 북한 해커그룹 'UAT-5394'가 '문피크(MoonPeak)'라는 새 해킹 프로그램 사용한 것을 포착했다고 밝혔다. 현재 사이버 공격 대상은 알려지지 않았다. 문피크는 원격 접근 트로이목마(RAT)로 이뤄진 해킹 프로그램이다. 해커는 이 프로그램으로 컴퓨터나 시스템에 들어가 정보를 탈취하거나 원격 제어를 할 수 있다. 문피크는 기존 악성 프로그램 제노RAT 변종판인 것으로 확인됐다. 시스코 탈로스는 해커 그룹이 강력한 해킹 프로그램 개발을 위해 문피크에 새 인프라를 적용했다고 분석했다. 해커들은 합법적인 클라우드 서버 사용을 멈추고 자체 서버 C2를 구축했다. 그동안 다수 해커는 제노RAT 등을 이용할 때 드롭박스나 구글드라이브 같은 일반적인 클라우드 서비스를 사용했다. C2 서버는 해킹에 필요한 악성 파일을 제공한다. 해커들은 이 서버를 통해 새 해킹 도구와 응용프로그램을 만들 수 있다. 이에 탈로스는 문피크에서 나온 새 악성 프로그램들이 더 복잡해지고 분석하기 어려워졌다고 밝혔다. 해킹에 대응할 수 있는 새 방안이 필요하다고 봤다. 시스코 탈로스 관계자는 "UAT-5394는 기존 해커그룹 김수키처럼 피싱을 통한 악성 소프트웨어 배포, RAT 활용, C2 서버를 통한 명령 전달 및 데이터 탈취 수법을 활용한다"며 "UAT-5394가 실제 김수키 또는 그 하위 그룹이거나 북한 사이버 기구 내에서 김수키 해킹 도구를 차용한 새 해킹 그룹일 수 있다"고 유추했다. 이어 "해킹그룹은 새로운 인프라를 통해 문피크 공격성을 꾸준히 높이고 있다"며 "해킹 분석을 방해하기 위한 추가적인 난독화 기술과 비인가 연결 방지를 위한 통신 메커니즘을 업그레이드했다"고 평가했다.

2024.08.22 09:46김미정

"구글이 보낸 메일이 아니네?"…교묘해진 北 해킹에 美 정부 사이버보안 '경고'

북한 해커들의 움직임이 갈수록 지능화되고 교묘해지고 있는 가운데 구글, 하버드대 등의 메일 주소를 사칭한 '이메일 피싱'이 최근 활발히 진행되고 있어 주의가 요구된다. 4일 업계에 따르면 미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 지난 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목의 공동 입장문을 내놨다. 이 입장문에는 북한 해커조직 '김수키(Kimsuky, APT43)'가 지난해부터 최근까지 시도해 온 공격 사례와 방식을 분석한 내용이 포함됐다. DMARC란 '도메인 기반 메시지 인증·보고·규정 준수(Domain-based Message Authentication, Reporting and Conformance)'의 줄임말로, 현재 전 세계에서 가장 보편적으로 쓰이는 이메일 도메인 보안 수단이다. 입장문에 따르면 김수키는 DMARC 인증의 취약점을 파악한 후 세계적으로 저명한 도메인들을 사칭에 활용했다. 구글, 하버드 대학이 대표적으로, 이들의 주소를 이용해 가짜 설문 조사, 행사 개최 이메일을 발송했다. 이를 통해 답변과 정보를 수집하거나 악성 코드가 포함된 첨부파일을 전송했다. 지난해 말부터 올 초까지 미국 정부, 국제기구 관계자들에겐 '미국의 대북 정책 컨퍼런스'라는 제목으로 이메일을 보내기도 했다. 직접 참석하면 교통비·숙박비를 지원하고 강연료 500달러를 제공한다는 내용이 포함됐으나, 모두 가짜였다. 첨부 파일을 여는 순간 악성 코드가 깔렸고 북한 해커들은 정보를 탈취했다. 3개 기관은 "북한은 세계 각국의 외교 전략과 경제 정책은 물론 학계의 연구 동향, 기업 간 통신과 주요 기업인의 사문서에 이르기까지 광범위하게 정보를 수집한 것으로 보인다"며 "단순히 도메인을 사칭하는 것을 넘어 언론인과 학자, 동아시아 문제 전문가 등 개인을 위장한 사례도 있어 주의를 요한다"고 밝혔다. 미국 국무부는 권고문을 통해 "미국 정부는 북한의 사이버 해킹 조직들의 지속적인 정보 수집 시도를 관찰해 왔다"며 "유엔 안보리 제재를 받은 북한의 군사정보 조직 정찰총국이 이런 활동의 주 책임 부서로 파악된다"고 말했다. 이번에 언급된 김수키는 에메랄드 슬릿(Emerald Sleet), APT43, 벨벳 천리마, 블랙 반시 등의 이름으로도 알려진 북한의 대표적인 사이버 해킹 조직이다. 지난 2023년 6월 한국 정부 대북제재 명단에도 별도로 등록된 악명 높은 조직으로, 한국수력원자력과 한국항공우주산업 등 공공기관에 해킹을 자행해왔다. 업계에선 북한의 목표가 한국이나 미국을 포함한 관련 국가의 최신 정보에 지속적으로 접근해 북한 정권 안보에 영향을 미칠 수 있는 정치적·군사적·경제적 조치를 방해하는 것이라고 봤다. 업계 관계자는 "북한은 스피어피싱(특정 목표의 정보를 캐내기 위한 피싱) 공격을 통해 표적에 접근한 뒤 외교 정책, 전략 등 북한의 이익이 걸린 다양한 정보 수집을 시도하고 있는 것으로 보인다"고 말했다. 3개 기관은 이메일 메시지가 해당 조직의 도메인에서 정상적으로 전송됐는지 여부를 인증하는 보안 프로토콜 DMARC의 정책적 강화를 권고했다. 개리 프레아스 구글 클라우드 맨디언트 수석 애널리스트는 "북한 정부와 해킹 조직의 사이버 공격 사례들을 분석해본 결과 미국과 동맹국들의 핵 무기 확산, 관련 규제 등에 대한 동향을 사전 수집하려는 의도가 있음을 파악했다"며 "DMARC 정책을 안전하게 갖춰 놓으면 피싱 등을 효과적으로 방지하는 데 큰 도움이 된다"고 밝혔다. 네일 쿠마란 지메일 그룹 제품 매니저는 "DMARC와 같은 표준은 이메일 발신자뿐만 아니라 수신자에게도 메시지의 출처와 진위 여부에 대한 신뢰를 심어주는 데 도움이 된다"며 "최근 수십억 명의 지메일 사용자를 안전하게 보호하기 위해 대량 발신자에게 DMARC 및 기타 주요 보안 및 인증 표준을 구현하도록 요구하기 시작했다"고 설명했다. 3개 기관은 '악의적인 북한 사이버 해킹 징후일 수 있는 위험 신호'로 ▲문장 구조가 어색하거나 문법이 틀린 영어 이메일 ▲이름과 이메일 주소 철자가 미묘하게 이상이 있는 이메일 ▲과거 정상적으로 주고받은 메시지 일부 내용과 텍스트가 포함돼 있는 이메일 등을 주의하라고 권고했다. 미 정보 당국은 "DMARC 정책을 안전하게 갖춰 놓으면 김수키와 같은 악의적 행위자가 공격 대상에게 스피어피싱 메시지를 보낼 때 해당 조직의 정상적 이메일 도메인 도용을 막을 수 있다"며 "DMARC 정책을 업데이트하고 사이버 보안 태세를 강화해야 한다"고 강조했다.

2024.05.04 11:00장유미

오픈AI "北 해킹조직 김수키, LLM 사용 확인...즉시 차단"

오픈AI가 북한의 해킹 조직 김수키가 대규모 사이버 공격에 인공지능(AI) 서비스를 사용한 정황을 확인하고 이를 제재했다고 밝혔다. 14일(현지시간) 실리콘앵글 등 외신에 따르면 마이크로소프트와 오픈AI는 인공지능(AI)관련 보안 리포트를 발표했다. 두 회사는 이번 리포트를 통해 사이버 공격에 AI서비스를 악용한 계정 5개를 차단했다고 밝혔다. 오픈AI는 조사결과 북한, 러시아, 중국 등 국가산하 해킹 조직에서 해당 계정을 사용한 것으로 나타났다고 발표했다. 더불어 재발 방지를 위해 해당 조직에서 사이버 공격에서 LLM을 악용한 방식까지 공개했다. 에메랄드슬릿으로도 알려진 북한의 해킹조직 김수키는 LLM을 이용해 여러 기업 및 사이버 보안 도구를 조사한 것으로 나타났다. 또한 해킹에 필요한 코드를 디버그하가니 스크립트를 생성하고, 피싱 공격에 사용할 수 있는 이메일 등의 콘텐츠 초안을 제작한 정황이 확인됐다. 마이크로소프트와 오픈AI는 김수키에 대해 지난 한해 매우 활발하게 활동한 해킹조직이라며, 스피어 피싱 이메일을 사용해 북한에 대한 전문 지식을 갖춘 저명한 개인으로부터 정보를 수집하고 있다고 설명했다. 이 밖에도 러시아 군사 정보 기관인 GRU 26165와 연계된 프로스트 블리자드와 이슬람혁명수비대(IRGC) 산하의 크림슨샌드스톰 등이 LLM을 악용한 것으로 나타났다. 이들은 주로 피싱 공격용 이메일을 생성하거나 탐지 회피 프로그램 개발 등에 LLM을 사용하는 것으로 나타났다. 마이크로소프트와 오픈AI는 AI 서비스에 대한 모니터링과 해킹 조직 추적을 통해 사이버 공격에 대한 위협을 지속적으로 제한할 것이라고 밝혔다. 오픈AI 측은 “악의적인 국가산하 해킹조직들의 AI 플랫폼 사용을 막기 위해 다각적인 접근 방식을 취하고 있다”며 “해킹 조직에 대한 지속적인 행동 추적을 비롯해 업계 관계자와 끊임 없이 보안 정보를 교류하고 투명성을 확보하려 하고 있다”고 밝혔다. 마이크로소프트 측은 “챗GPT 같은 AI기술을 안전하고 윤리적으로 사용할 수 있도록 지원하는 것이 우리의 목표”라며 “이를 위해 사용자 계정을 보호하고, 외부 침입을 막기 위한 방어자 역량을 강화하는데 전념하고 있다”고 말했다.

2024.02.15 08:54남혁우