• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'다크웹'통합검색 결과 입니다. (26건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

AI 날개 단 '블랙 해커'…고도화된 해킹 생태계

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 2025년은 우리나라의 디지털 트러스트가 완전히 무너진 한 해였다. 기업 내부 데이터는 물론 정부, 국민의 민감한 정보까지 '블랙 해커'의 손에 넘어갔다. 올해 다시 디지털 트러스트를 재건하기 위해서는 튼튼한 방어 체계를 구축하는 것은 물론 공격자들, 즉 블랙 해커의 동향을 파악하는 것도 못지 않게 중요하다. 안전한 사이버 환경을 위협하는 공격자들은 다양한 형태로 존재한다. 데이터를 탈취·암호화하고 금전을 뜯어내는 랜섬웨어(Ransomware) 공격, 북한·중국·러시아 등 국가 배후 세력의 지능형 지속 공격(APT) 세력이 대표적이다. 이들 외에도 개별적으로 조직을 공격하고 데이터를 탈취해 암거래하는 세력까지 포함하면 호시탐탐 수많은 블랙 해커 조직들이 우리 사이버 환경을 위협하고 있다. 심지어 이들의 공격은 AI를 본격적으로 악용하기 시작하면서 양적·질적으로 고도화했다. 악성코드, 익스플로잇(취약점 공격) 등 공격에 활용되는 도구를 가져다 팔기도 하고, 아예 공격 자체를 서비스화해 돈을 버는 산업화된 생태계를 만들어내기도 했다. 블랙 해커를 전부 다 검거하면 가볍게 해결되는 문제라고 생각할 수 있지만, 여간 쉬운 일이 아니다. 추적을 피하기 위해 공격 시 흔적을 깔끔하게 지우는 것은 물론, 이들은 특수한 경로로만 접근해야 하는 다크웹 환경에서 활동하고 있어 검거에 어려움을 가중시킨다. 랜섬웨어 4배 폭증…AI 악용으로 공격 속도도 빨라져 랜섬웨어 공격자들은 기업·기관의 데이터를 사용하지 못하게 암호화·탈취하고 이를 풀어주는 대가로 피해 기업·기관에 금전을 요구한다. 심지어 다크웹 유출 전용 사이트(DLS)에 타이머를 띄워 놓고 임의로 협상 기한까지 설정해 놓는다. 이 시간 내로 돈을 보내지 않으면 탈취한 데이터를 모두 공개해버리겠다는 협박인 셈이다. 지난해 랜섬웨어 공격 조직은 공격 자체를 서비스화해 서비스형 랜섬웨어(RaaS) 형태로 수익을 챙기고 있으며, 협박을 통한 금전 확보 외에도 탈취한 데이터를 다크웹에서 판매하는 식으로 추가 수익을 올리고 있다. 지난달 글로벌 네트워크 보안 기업 포티넷이 발표한 '2026 글로벌 위협 동향 보고서'에 따르면 블록체인 기술 발달로 암호화폐를 통해 랜섬웨어 조직들이 자산을 현금화하려는 시도가 포착됐다. 최근에는 협박이 잘 통하지 않자, 랜섬웨어 공격 목표를 데이터 탈취로 방향을 틀었다. 실제로 4일 글로벌 보안 기업 카스퍼스키가 발표한 '랜섬웨어 동향 보고서'에 따르면 랜섬웨어 공격자들이 공격을 산업화하고 침투 과정을 자동화하며, 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하고 있다는 분석이 나온 바 있다. 심지어 이런 공격은 AI의 발달과 맞물려 양적·질적으로 고도화됐다. 포티넷에 따르면 랜섬웨어 공격을 당한 전 세계 기업은 2024년 약 1600개 기업에서 지난해 7831개 기업으로 389%나 폭증했다. 평균 5.4일 걸리던 공격도 AI를 악용하기 시작하면서 공격이 자동화됨에 따라 공격 속도 역시 24시간 이내나 즉시 이뤄지는 수준으로 빨라졌다. 한국에서도 예스24, SGI서울보증, 여러 자산운용사 등 많은 기업들이 랜섬웨어에 홍역을 앓았다. 5일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 랜섬웨어 공격자들이 DLS에 피해자를 등록한 것을 기준으로 집계한 지난해 국내 랜섬웨어 피해 기업 수는 47곳으로, 2024년 22곳 대비 2배 이상 늘었다. 올해에도 공격이 계속되며 올해 6월 초까지만 해도 21곳이 공격을 받았다. 특히 이같은 조사 결과를 DLS 업로드를 기준으로 하기 때문에, 공격자가 특정되지 않은 교원그룹 랜섬웨어 등을 포함하면 실제 공격 건수는 이보다 많을 가능성이 크다. 랜섬웨어닷라이브에 따르면 지난해 가장 많이 한국을 공격한 랜섬웨어 조직은 러시아계 '킬린(Qilin)'으로, 지난해 한 해 동안에만 30곳이 넘는 한국 기업들을 공격했다. 이어 SGI서울보증, 인하대, 화천기계 등 국내 기업·기관을 대상으로 랜섬웨어 피해를 입힌 '건라(Gunra)'도 두 번째로 많은 피해를 입혔다. 킬린은 올해에도 5곳의 한국 기업을 공격한 것으로 집계됐으며, 건라 역시 올해 국제약품의 데이터를 탈취해 DLS에 데이터를 업로드했다. 김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "국내 랜섬웨어 침해사고 신고 건수는 2025년 기준 전년 대비 40.5% 늘어난 것으로 나타났으며, 올해 1분기에도 전년 동기 대비 123% 늘었다"며 "최근 랜섬웨어는 단순 암호화에 그치지 않고 암호화, 데이터유출, 디도스(분산 서비스 거부·DDoS) 공격, 집적협박과 함께, 취약점이 존재하는 정상적으로 인증받은 드라이버를 강제 설치해 관리자 권한을 획득하는 공격이 이뤄지고 있다. 또한 윈도우 내부에 이미 존재하는 정상적인 도구들만을 활용해 공격을 수행하는 방식, 즉 LotL 전략 등 탐지 우회와 인프라 무력화에 초점이 맞춰져 있다"고 진단했다. 김 팀장은 이어 "최근 록빗(LockBit), 킬린, 드래곤포스(Dragonforce) 등 랜섬웨어 범죄 조직들은 연합을 구성하고 혼합된 전술을 사용해 랜섬웨어 공급망 구조로 진화하고 있다"며 "이를 통해 랜섬웨어 조직이 검거되더라도 공격을 지속할 수 있는 회복 탄력성을 갖출 것으로 예상된다. 각 범죄조직 간 우수한 기법을 상호 학습 및 공유·결합해 랜섬웨어를 더 견고하게 제작할 가능성이 높다"고 경고했다. 그는 "갈수록 진화하는 지능형 랜섬웨어에 대응하기 위해서는 시그니처 기반이 아닌 행위 기반의 탐지가 필수"라며 "반드시 물리적 오프라인 백업 체계를 갖추고, 주기적인 복구 훈련을 통해 방어 중심이 아닌 회복 중심으로 설계 변경을 고려해야 한다"고 강조했다. "북한 지능형 지속 공격 계속된다"…AI로 공격 가속화 북한, 중국 등 국가와 연계된 공격자들은 한국 정부나 기업 내부에 오랜 기간 숨어 있다가 데이터를 지속적으로 탈취한다. 이들은 AI 플랫폼을 활용해 공격을 자동화하는 데다가 탐지 솔루션을 회피하고 오랜 기간 내부 시스템에 침투할 수 있는 역량을 키워 왔다. 이에 따라 공격은 점점 더 은밀하고 장기화되는 추세다. 공격을 위해 합법적인 소프트웨어나 도구를 활용하거나 신뢰할 수 있는 플랫폼을 악용하는 방식도 서슴치 않는다. 게다가 한국은 지정학적으로 북한, 중국, 러시아 등 국가 배후 해킹 세력과 밀접해 있으며, IT 산업이 빠르게 발전해 공격자들이 탈취하기에 유의미한 데이터가 많다는 특징이 있다. 글로벌 보안 기업 트렌드AI가 발표한 '2025 APT 보고서'에 따르면 APT 세력들은 AI를 탑재해 공격을 가속화하고 대응시간을 단축하며 위험 수위를 높이고 있는 것으로 나타났다. 보고서는 "APT 공격 그룹들은 더욱 스마트하고 효율적으로 진화하고 있으며, 높은 정밀도로 활동하고 표적 시스템 내에서 가능한 한 오랫동안 탐지를 피하며 활동한다"며 "지정학적·경제적 목표를 추구하는 지속적이고 반자율적인 실체로 진화했으며, 공격자들이 AI를 지원 도구로 실험하는 단계에서 침입 수명주기 전반에 걸쳐 통합하는 단계로 진화하면서 위협 환경이 크게 변화했다"고 진단했다. 이에 따라 "공격 캠페인들은 점점 더 은밀하고 장기화되었으며, 일반 네트워크 활동에 혼합되는 한편 AI의 지원에 따라 횡적 이동, 표적 결정, 권한 상승을 가속화하고 있다"며 "동시에 많은 APT 공격자들이 합법적 도구, 클라우드 서비스, 신뢰할 수 있는 플랫폼을 악용하는 방식을 선호하는 추세가 강해지고 있으며, 이 접근법은 AI 기반 회피 기술과 자연스럽게 결합된다. 그 결과 중요 산업 및 지역 허브에 대한 공격이 급격히 증가하고, 초기 접근부터 실제 피해까지의 공격 윈도우가 더욱 좁아지고 있다"고 분석했다. 한국은 APT 공격자들의 집중 공세를 받는 국가 중 하나다. 지난해 8월 미국 해킹 잡지 '프랙(phrack)'이 발표한 'APT Down: The North Korea Files' 보고서에 따르면 북한 혹은 중국의 지원을 받는 APT 세력이 한국과 대만 정부의 내부 시스템에 대한 지속적인 공격이 이어진 것으로 나타났다. 보고서에 따르면 이 공격 세력은 통일부·해양수산부 계정으로 국내 공무원 업무시스템인 온나라시스템에 침투한 것으로 알려졌다. 행정안전부도 이같은 침해사실을 공식 시인한 바 있다. 온나라시스템 외에도 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 및 피싱 시도를 한 사실이 드러났다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 지니언스시큐리티센터(GSC) 센터장을 맡고 있는 문종현 지니언스 이사는 "보안상의 이유로 최근 두드러지는 APT 공격 세력에 대한 내용을 자세히 공개할 수는 없지만, 대표적인 북한 배후 APT 그룹인 라자루스, 김수키, APT37 등 공격 세력의 한국 대상 공격은 계속되고 있다"며 "특히 최근에는 APT 공격자들이 AI를 당연하게 사용하고 있다고 봐도 될 정도로 활용도가 뛰어나다. 악성 스크립트를 짜거나, 다크웹에 웹사이트를 만드는 것에 효과적으로 AI가 작용하기 때문에 공격자들도 AI를 모두 사용하고 있는 중"이라고 밝혔다. 문 이사는 이어 "APT 그룹들은 과거에는 방산기술, 2017년경에는 암호화폐, 러시아·우크라이나 전쟁 때에는 드론 등 사회적으로 꼭 필요하다고 보이는 기술을 탈취하는 데 주력하는 경향이 있다"며 "최근에는 AI 기술이 사회적으로 큰 파장을 불러오고 있는 만큼 AI 모델을 개발하는 기업이나 연구원을 대상으로 공격이 집중될 가능성이 크고, 실제 공격이 이뤄지고 있을 것으로 보인다. 이를 통해 AI를 무제한으로 활용하고 무기화하면서 APT 공격에 더 적극적으로 AI를 악용하려 시도할 것"이라고 경고했다. 헐값에 탈취 데이터 거래하는 불법 해킹 조직 블랙 해커로 불리는 랜섬웨어 조직, APT 세력들의 핵심 목표는 '내부 데이터 탈취'다. 민감한 데이터를 탈취해 협박·금전갈취를 하느냐, 첩보로 활용하느냐의 차이다. 결국 불법적인 도구나 기법을 활용해 내부 시스템에 침투하고, 데이터를 빼가는 것은 동일하다. 이같은 조직에 속해 있는 해커들은 사실 '회사원'으로 보는 것이 타당하다. 프랙 보고서에서 발표한 내용을 보면, 실제 APT 그룹은 공휴일에 공격을 쉬거나 정해진 시간에 공격이 멈추는 등 마치 회사원처럼 정해진 근무 시간이 있는 것으로 파악된다. 랜섬웨어 조직들 역시 누군가는 해킹 도구를 개발하고, 누군가는 기업을 협박하며 누군가는 실제 익스플로잇을 실행하는 등 철저히 분업화돼 있다. 블랙 해커들은 수익이 필요하다. 익명을 요구한 레드팀 보안 관계자는 "해커들은 불법적인 공간에서 불법으로 데이터를 사고 팔며 수익을 올린다. 이렇게 확보한 금액을 조직을 운영하거나 더 나은 해킹 도구를 개발하는 데 사용한다"며 "불법적인 공격 행위를 하기 때문에 수익 확보를 위해 어떤 불법 행위도 서슴지 않는다는 특징도 있다. 이에 불법 해킹 포럼이나 다크웹 내에 채널을 개설하고 이곳을 통해 데이터, 공격 도구, 계정 정보, 권한 등을 판매하는 것을 어렵지 않게 발견할 수 있다"고 설명했다. '브리치포럼스(Breachforums)', '다크포럼스(Darkforums)' 등 불법 해킹 포럼이 대표적이다. 김영표 포티넷코리아 정보보호최고책임자(CISO, 이사)는 지난달 28일 기자 간담회를 통해 "암호화폐를 통해 자산을 현금화하려는 시도가 이어진다. 불법 해킹 포럼 등 다크넷 마켓에서는 비트코인, 이더리움 등 가상자산 주소를 이용해 탈취한 데이터나 인포스틸러, 익스플로잇 도구, 취약점, 관리자 권한 등을 거래한다"며 "랜섬웨어, 멀웨어(악성코드) 등 서비스가 다른 공격 요소와 결합돼 단순 서비스 주기 이상의 산업화된 생태계가 형성됐다"고 밝힌 바 있다. 랜섬웨어 조직과 APT 그룹 외에도 이같은 다크웹 공간에서 활동하는 개별적인 해커들도 적지 않다. 한국 환경부 소스코드를 탈취했던 과거 브리치포럼스 운영자 '인텔브로커(IntelBroker)' 등이 대표적이다. 한국도 최근 피해를 입었다. 올해 초 다크포럼스에 '애슐리우드2022(AshleyWood2022)'라는 닉네임의 해커가 충북대를 비롯한 병원, 대학, 성형외과 웹페이지 등 소규모 웹사이트 약 20곳에서 탈취한 개인정보를 판매하는 게시글을 올린 정황을 지디넷코리아가 보도한 바 있다. 이런 공간은 익명으로 데이터를 거래할 수 있기 때문에 랜섬웨어 조직이나 APT 그룹도 탈취한 데이터를 손쉽게 판매한다. 더 나은 공격 도구나 침투에 활용할 수 있는 계정정보를 구매하는 것도 가능하다. 심지어 거래되는 가격도 헐값인 경우가 많다. 브리치포럼스의 경우 암호화폐를 통한 거래도 가능하지만 포럼 내에서 거래되는 화폐 단위인 '크레딧'을 통해 데이터를 사고 파는 것이 가능하다. 2024년 기준 30크레딧에 8유로(한화 약 1만4337원) 정도인데, 데이터를 1크레딧, 3크레딧 수준에서 판매하는 것도 발견된다. 전 세계 민감할 수 있는 데이터들이 헐값에 블랙 해커들 사이에서 판매되고 있는 것이다. 다크웹 특성상 공격 세력 '일망타진' 어렵다…"국제 공조 확대 필요" 공격자들을 모조리 찾아내 검거하는 것은 사실상 불가능하다. 철저한 익명화와 더불어 추적이 어려운 인터넷 환경인 다크웹에서 점조직 형태로 주로 활동하기 때문이다. 다크웹은 접속 허가가 필요한 네트워크나 특정 소프트웨어로만 접속할 수 있는 또 다른 인터넷 환경이다. 일반적으로 사용자가 인터넷에 접속할 때, 구글이나 네이버 등 브라우저를 통해 인터넷에 접속하게 된다. 이는 '표면 웹(Surface Web)'으로 누구나 접속 가능한 공간이다. 웬만한 웹 페이지는 브라우저를 통해 접근할 수 있다. 그러나 인터넷 환경은 더 거대하다. 보안업계에서는 표면 웹은 '빙산의 일각'에 비유해 설명한다. 말 그대로 표면 위에 떠 있는 웹 환경일 뿐, 수면 아래 더 거대한 인터넷이 있다는 것이다. 이를 '딥웹(Deep Web)'이라고 하는데, 네이버나 구글처럼 일반적인 브라우저를 통해 검색되지 않는 인터넷 공간을 말한다. 이에 특수 브라우저로 접근하거나 접속 허가가 필요한 네트워크 환경에 구현된다. 웹페이지를 찾아다니는 웹 크롤러에 의해 걸리지 않아 브라우저 검색을 통해 찾을 수 없다. 회사 내부망 등 일반적으로 접근할 수 없는 네트워크 환경이나, 개인 클라우드 공간, 이메일을 주고받는 웹 환경도 딥웹에 포함된다. 다크웹은 딥웹보다 더 깊은 공간에 구현된 웹 환경이다. 오직 특수 브라우저를 통해서만 접근이 가능하며, 철저한 익명화를 특징으로 한다. 이에 불법 해킹 포럼이나 탈취 데이터 거래 환경이 다크웹상에서 조성되고 있는 것이다. 다만 다크웹이 100% 불법은 아니다. 익명화가 필요한 사람이나 콘텐츠가 필요한 경우 다크웹을 활용할 수 있다. 하지만 마약, 불법 데이터 거래, 무기 거래, 음란물 서비스 등 익명화로 추적이 어렵다는 특징을 악용해 불법적인 행위가 벌어지고 있는 곳임은 분명하다. 이용준 극동대 해킹보안학과 교수는 "실제 사이버 범죄자를 검거하는 과정은 가상자산 지갑 추적뿐 아니라 공격자가 운영하는 서버나 패널을 압수해 내부 계정, 피해자 목록, 접속기록을 확보하는 방식, 호스팅 업체·도메인 등록기관·거래소와 협력해 운영 흔적을 추적하는 방식 등 여러 방식이 수사에 활용된다"며 "이에 사이버 위협 행위자는 익명화 도구와 다크웹을 활용하기 때문에 단순 추적만으로는 검거가 어렵다"고 설명했다. 이 교수는 이어 "랜섬웨어나 APT 조직은 피해자는 한 국가에 두고, 서버는 다른 국가에 두며, 자금은 또 다른 국가의 거래소나 믹서를 거치는 방식으로 활동하기 때문에 한 국가의 수사권만으로는 한계가 분명하다"며 "국가 간 정보 공유, 증거보전 절차, 가상자산 추적 협력, 신속한 서버 압수와 도메인 차단 등 수사 전주기 체계가 강화돼야 한다"고 강조했다.

2026.06.09 14:27김기찬 기자

고려제강, 랜섬웨어 피해…해커 "128GB 내부 데이터 탈취"

철강 기업 고려제강이 랜섬웨어(Ransomware) 피해를 입었다. 공격자는 128GB 규모의 고려제강 내부 데이터를 탈취했다고 주장하고 있다. 랜섬웨어 범죄 조직 '인크랜섬(incransom)'은 지난 23일 오후 9시경 자신들의 다크웹 유출 전용 사이트(DLS) 피해 기업 리스트에 고려제강을 등록했다. 이어 고려제강 내부 데이터로 보이는 사진 21장을 캡처해 샘플 데이터로 공개했다. 랜섬웨어는 기업의 내부 데이터를 빼돌리거나 암호화하고, 이를 인질로 금전 등을 요구하는 공격 수법이다. 일부 랜섬웨어 조직은 공격에 성공했다는 것을 증명하기 위해 탈취된 데이터의 일부를 샘플로 게시하기도 한다. 인크랜섬이 업로드한 샘플 파일에는 아연, 구리 등 원자재의 월말 소비량, 보빈 재고표 등 내부 자료서부터 해외 법인 직원으로 보이는 인물의 사진과 공정 사진, 심지어 직원의 코로나19 백신 접종 기록까지 포함돼 있었다. 일부 샘플 파일 중에는 직원 이름으로 저장된 사진 리스트에는 대부분 해외 직원의 이름으로 저장돼 있는 것으로 보아, 해외 법인을 통한 공격이 이뤄졌을 가능성도 배제할 수 없다. 인크랜섬은 "고려 제강 내부 데이터 128GB 규모, 11만8019개의 파일이 든 2만2024폴더를 탈취했다"며 "기술·제조 제품 정보, 기술 공정 및 테스트 제어, 제품 조립 계획, 재료 사양, 직원 개인정보, 재무지표 등이 포함돼 있다"고 주장했다. 랜섬웨어 추적 사이트 등에 따르면 인크랜섬은 지난 2023년 처음 식별된 랜섬웨어 범죄 조직으로, 23일까지 총 727곳의 기업을 공격한 것으로 확인됐다. 이들은 지난해 하반기에도 국내 한 방송 및 통신 장비 제조업체를 공격하기도 했다. 올해에만 124곳의 전 세계 기업을 공격해 가장 많은 공격 시도를 한 랜섬웨어 조직 중 4위를 기록해 활발히 공격을 시도하는 범죄 조직이다. 고려제강 관계자는 랜섬웨어 대응 관련 질문에 "회사도 랜섬웨어 공격을 확인했다"며 "현재 자세히 파악하고 있다"고 밝혔다.

2026.03.24 16:10김기찬 기자

정부, 다크웹·가상자산 추적 연계 마약수사 시스템 개발 추진

정부가 다크웹 및 가상자산 거래추적 연계 마약수사 통합시스템 개발에 나선다. 다크웹과 가상자산을 이용한 마약 유통 범죄에 대응하기 위해서다. 올해부터 2028년까지 3년간 137억을 투입하며, 올해는 약 37억원(과기정통부+경찰청)을 우선 지원한다. 과학기술정보통신부(과기정통부)와 경찰청은 이 시스템 개발을 위한 연구개발 사업을 추진할 계획이라고 4일 밝혔다. 다크웹은 접속을 위해 특정 프로그램을 사용해야 하는 웹으로, 일반적인 방법으로 접속자나 서버를 확인할 수 없는 것이 특징이다. 이번 '다크웹 및 가상자산 거래추적 연계 마약수사 통합시스템 개발' 사업은 다크웹과 가상자산의 익명성을 악용한 온라인 마약 유통 범죄에 대응하기 위한 첨단기술 기반 통합시스템을 개발하는 데 목표를 두고 있다. 이를 통해 아래와 같은 기술을 개발한다 ▲다크웹 비익명화 기술개발: 기존에는 추적이 어려웠던 익명 네트워크내의 데이터 흐름을 분석, 익명성 뒤에 숨은 불법 게시물 작성자나 유포자의 실제 접속 정보를 식별할 수 있는 기술을 개발한다. ▲불법 마약 범죄수익 가상자산 추적 기술개발: 가상자산 거래를 수집 및 분석, 마약 거래에 사용하는 불법 자금의 흐름 및 거래 패턴을 파악하는기술을 개발한다. ▲마약 광고 모니터링 기술개발: 다크웹과 소셜네트워크서비스 등에서 유통되는 마약 광고를 자동으로 수집하고, 이를 식별 및 분석할 수 있는 기술을 개발한다. 마약 광고에 사용하는 은어와 표현 패턴, 위장 광고 형태를 인공지능 기반으로 탐지하고, 광고 확산 경로를 분석한다. ▲마약수사 통합시스템 개발: 위 3개 기술을 통해 수집한 정보를 통합 관리하고, 연계 분석할 수 있는 시스템을 개발한다. 이를 통해 주요 식별자와 거래 정보를 바탕으로 마약 범죄 조직의 구조 및 활동을 분석한다. 올해 신규과제다. 선정 공모는 다음달 3일까지 진행한다. 선정 절차 및 평가 방법 등 자세한 내용은 과기정통부와 경찰청, 과학치안진흥센터 홈페이지에서 확인할 수 있다. 과기정통부 오대현 미래전략기술정책관은 “다크웹, 텔레그램 등 익명 환경과 가상자산을 결합한 신종 마약 범죄에 대응하기 위해서는 첨단 분석 기술 확보가 필수”라며 “과학기술을 통해 새로운 유형의 범죄에 대응할 수 있는 기반을 지속적으로 강화하겠다"고 밝혔다.

2026.02.04 16:10방은주 기자

[단독] 충북대 등 소규모 웹사이트 17곳 '연쇄 해킹'

충북대를 비롯한 17곳의 국내 소규모 웹사이트가 연쇄적으로 해킹 공격에 당해 개인정보가 탈취됐다. 공격자는 다크웹에서 해당 개인정보를 판매하고 있다. 5일 본지 취재를 종합하면 그동안 잘 알려지지 않은 '애슐리우드2022(AshleyWood2022)'라는 닉네임의 해커는 불법 해킹 포럼인 '다크포럼스(Darkforums)'에 지난해 12월말부터 이달 초까지 한국 웹사이트 관련 데이터베이스를 판매한다는 게시글을 업로드했다. 다크포럼스는 해커들이 탈취한 개인정보나 익스플로잇(취약점 공격 도구) 등을 판매하는 '암시장'이다. 해커는 지난해 12월 23일부터 올해들어 5일 현재까지 총 17곳에 달하는 웹사이트에서 개인정보를 탈취했다고 주장하며, 해당 웹사이트 내 저장된 개인정보로 보이는 소스코드 대시보드를 샘플로 게시했다. 구체적으로 ▲충북대 ▲삼성○○○○ ▲초콜렛그루부 ▲더원플랫폼(세이즈) ▲나무생각 ▲아미월드 ▲금강대 기숙사 ▲오피스파인드 ▲티아라의원 ▲베스트원정대 ▲제주 서귀포시 육아종합지원센터 ▲소프트웨어타운 ▲탑스퀘어 외 현재 접속이 불가능한 웹사이트 4곳 등이다. 대부분 소규모 쇼핑몰이거나 정보제공 웹사이트로, 약 2주간 보안이 취약한 곳을 공격에 데이터베이스를 입수한 것으로 추정된다. 유형별로 보면 ▲쇼핑몰(6곳) ▲학원(1곳) ▲대학(2곳) ▲병원(1곳) ▲오피스(1곳) ▲아르바이트 정보제공 웹사이트(1곳) ▲웹사이트 관리자 (1곳) ▲접속불가(4곳) 등이다. 모의해킹 관련 보안 전문가는 "단기간에 여러 웹사이트가 공격받은 유형은 CVE나 공통 취약점이 있는 경우가 많다"며 "자동화 도구를 통해 취약점이 통하는 웹사이트에서 개인정보를 탈취해 판매하고 있는 경우로 보인다"고 분석했다. 최근에 업로드된 피해 웹사이트는 충북대로, 해커는 2019년경 충북대의 내부 공지사항이나 게시판 데이터로 보이는 내용을 샘플로 업로드했다. 게시글 등록일, 작성자 이름, 암호화된 비밀번호, 작성자 IP 주소, 이메일 주소 등 정보가 담긴 내용이었다. 김태성 충북대 정보보호경영학과 교수는 "해당 데이터는 충북대 수의과대학 홈페이지 공지사항에 공개적으로 게시돼 있는 게시글과 제목, 작성자, 내용 정보에 불과하다"며 "수의대에 따르면 홈페이지에 회원정보나 개인정보 등을 취급하지 않고 있기 때문에 게시글 외에 별다른 민감정보가 유출되지는 않았다"고 밝혔다. 다른 웹사이트의 경우는 거주지 주소, 휴대전화 번호 등 일부 민감한 개인정보도 포함된 것으로 확인됐다. 피해 웹사이트 중 일부 기업도 "비밀번호는 암호화돼 유출되지 않았으며, 유출된 개인정보는 주소와 휴대전화번호"라며 "현재 관련 사항에 대해 내부 점검 및 대응 조치가 진행 중이며, 관계 기관과의 협조 역시 이루어지고 있다"고 밝혔다. 이용준 극동대 해킹보안학과 교수는 "해커가 업로드한 내용은 소규모 쇼핑몰, 정보제공 웹사이트가 대부분이며 영남, 서울 지역에 피해가 집중된 점으로 보아 웹 호스팅 서비스를 이용하는 것으로 예상된다"며 "웹호스팅 환경이 해킹받아 동일한 서버에 있는 웹사이트의 데이터베이스 탈취가 쉬웠을 수 있다"고 설명했다. 이 교수는 "이같은 소규모 웹사이트 운영자도 웹호스팅 보안 서비스를 가입할 필요가 있다"며 "직접 대응이 어려운 경우 한국인터넷진흥원 중소기업 침해사고 피해지원 서비스에 지원을 요청할 필요가 있다"고 강조했다. 그는 "일부 공공기관이나 대학의 경우 국가정보원, 교육부 등의 정보보안 법규정에 따른 별도 보안 강화 대책이 필요하다"며 "근본적으로 다크웹을 통한 한국 웹사이트 데이터베이스 거래와 관련해 해외 공조 수사를 통해 공격 원점을 검거하려는 노력이 강화돼야 한다"고 당부했다.

2026.01.05 17:42김기찬 기자

랜섬웨어그룹 건라 "인하대 해킹...학점·사진등 업로드"

인하대가 랜섬웨어 공격을 당했다. 공격자는 650기가바이트(GB) 규모의 인하대 내부 데이터를 탈취했다고 주장하며, 다크웹을 통한 판매까지 서슴지 않고 있는 상황이다. 30일 랜섬웨어 그룹 '건라(Gunra)'는 자신의 다크웹 사이트에 인하대를 피해자 목록에 업로드하며, 650GB의 주요 데이터를 탈취했다고 주장했다. 이어 건라는 랜섬웨어 공격 성공을 증명하기 위해 20개의 샘플 데이터를 공개했다. 해당 데이터에는 학생들의 이름, 학점, 이메일 등 개인정보 리스트를 업로드했다. 또 인하대의 백업 파일로 보이는 항목도 탈취한 흔적이 확인됐다. 심지어 '우리는 사진 또한 갖고 있다'는 파일을 업로드했는데, 해당 파일에는 한 학생의 증명사진이 표시되고 있었다. '개인정보만 탈취한 건 아냐'라는 이름의 파일에는 인하대 등록금, 동창회 관련 내부 파일로 보이는 데이터를 업로드했다. 건라는 인하대 데이터를 탈취해 일부 샘플을 공개하며 협박을 하고 있는 것은 물론, 자신의 다크웹 사이트에 탈취 데이터를 판매하고 있다. 건라는 "우리는 (공개한 것보다)더 많은 개인정보 데이터베이스를 갖고 있다"며 "만약 당신이 이 데이터를 구매하고 싶다면, 우리에게 연락하라"고 밝힌 상태다. 앞서 인하대는 지난 28일 건라의 이같은 랜섬웨어 공격으로 홈페이지가 14시간가량 먹통이 된 바 있다. 현재는 정상 운영 중이다. 한편 건라는 올해 처음 식별된 랜섬웨어 조직으로 SGI서울보증을 공격한 조직으로 이름을 알렸다. SGI서울보증뿐 아니라, 삼화콘덴서그룹, 화천기계, 미래서해에너지 등 기업을 공격한 바 있다. 국내 제조업체, 금융사, 교육기관까지 공격을 감행하고 있는 공격 그룹인 셈이다. 인하대는 이번 공격과 관련, 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고 절차를 마친 상태로 알려졌다.

2025.12.30 10:40김기찬 기자

연말연시 노린 '쇼핑 계정 탈취' 급증…"기본 보안 수칙 지켜야"

네트워크 보안 기업 포티넷(최고경영자 켄 지)이 연말연시를 앞두고 157만건 이상의 탈취된 데이터가 다크웹을 통해 유통되고 있다고 경고했다. 이런 데이터가 인증을 우회해 사기, 계정 악용 등의 피해를 낳을 수 있는 만큼 각별한 주의가 필요한 상황이다. 포티넷은 이같은 내용을 골자로 한 '2025년 연휴 시즌 사이버 위협 보고서'를 발간했다고 24일 밝혔다. 보고서에 따르면 최근 3개월간 전자상거래 플랫폼과 연관된 '스틸러 로그' 데이턴 157만건 이상이 다크웹을 중심으로 유통된 것으로 분석됐다. 스틸러로그는 공격자가 악성코드 감염 등을 통해 사용자의 데이터를 탈취한 데이터 세트를 말한다. 사용자 ID, 비밀번호 등 계정정보를 비롯해 로그인 쿠키, 세션 토큰, 자동완성 정보 등 계정 접근에 필요한 데이터가 포함돼 있다. 이 데이터들이 공격자의 손에 넘어가게 되면, 계정 탈취서부터 사기, 피싱, 자격증명 스터핑, 세션 하이재킹(가로채기) 등 다양한 공격에 악용될 우려가 나온다. 특히 로그인 상태가 유지된 활성 세션 쿠키가 보함된 경우 공격자는 비밀번호나 2단계 인증(2FA) 없이 계정에 접근할 수 있기 때문에 기존 로그인 보안 체계를 완전히 무력화시킬 수 있다. 계정이 탈취되면 공격자가 어떻게 악용하느냐에 따라 사기성 거래에 직접 사용하는 등 금전적 피해도 우려된다. 특히 연말연시 쇼핑 시즌이 다가오고 있는 만큼 전자 상거래 플랫폼이 활성화되면 활성화될수록 이같은 공격에 취약하다. 다크웹에서는 연말연시 쇼핑 성수기에 접어든 만큼 공격자들이 탈취 데이터를 할인해 판매하는 등 위협은 더욱 고도화되고 있다. 다크웹에서 정보가 활발하게 거래되면 거래될수록 공격은 더욱 많아질 수밖에 없고 피해는 커질 가능성이 크다. 포티넷은 한 번 침해된 계정 정보가 단발성 공격에 그치지 않고 지속적으로 악용될 수 있다는 점에서, 연말 연시 기간 전자상거래 생태계 전반에서 보안에 주의를 기울여야 한다고 경고했다. 구체적으로 ▲피싱 사이트 방지를 위한 웹사이트 주소 꼼꼼히 확인하기 ▲이메일이나 문자 메시지에 포함된 링크 클릭하지 않기 ▲다단계 인증(MFA) 활성화 ▲사기 피해 보호 기능이 있는 결제 수단 이용 ▲공용 와이파이 환경에서 온라인 결제 금지 등 기본적인 보안 수칙을 지켜야 피해를 예방할 수 있다고 당부했다. 전자상거래 플랫폼을 운영하는 기업 역시 플랫폼과 플러그인을 최신 상태로 유지하고, 사기 탐지 체계를 강화해야 한다고 주문했다.

2025.12.24 16:31김기찬 기자

'범죄자를 뽑습니다'…고수익 노린 다크웹 구인 2배 늘었다

사이버 범죄의 진원지로 지목되고 있는 다크웹에서도 구인에 열을 올리고 있는 것으로 나타났다. '빠른 채용, 고수익'이라는 장점에 혹해 많은 청년 인재와 고급 인재들이 다크웹 취업 시장에 뛰어들고 사이버 범죄에 가담하고 있다는 분석이다. 글로벌 사이버 보안 기업 카스퍼스키는 이같은 내용을 골자로 한 '다크웹 구직시장 분석 보고서'를 발표했다고 12일 밝혔다. 보고서에 따르면 지난해 1분기 기준 다크웹 포럼에 게시된 이력서 및 구인 글 수는 전년 동기 대비 두 배 늘어난 것으로 나타났다. 이 수치는 올해 1분기에도 동일한 수준을 유지했다. 전체적으로 올해에는 이력서가 55%, 구인 공고가 45%의 비중을 차지해, 글로벌 해고 증가와 젊은 층의 대거 유입이 다크웹 구인 시장을 키우는 원인으로 지목되고 있다. 보고서는 지원자 연령 분포에서 평균 연령은 24세로 나타났고, 10대 지원자의 비중도 명확하게 늘었다고 지적했다. 다크웹 구인 공고는 대부분 사이버 범죄 또는 기타 불법 활동과 관련돼 있다. 구체적으로 ▲공격 도구 제작 개발자(17%) ▲네트워크 취약점 탐색 침투테스터(12%) ▲불법 자금 세탁 담당자(11%) ▲결제 정보 탈취 및 수입화를 위한 카드 사기범(6%) ▲피해자를 피싱·악성 다운로드 유도자(5%) 등의 불법 직무를 채용하는 것으로 나타났다. 다만 일부 합법적인 직무도 존재한다. 그러나 구직자의 69%는 희망 직무를 명시하지 않아 프로그래밍부터 사기 행위, 고난도 사이버 작전까지 유급 기회를 수용한다는 의사를 공개적으로 드러냈다. 짧은 시간에 고수익을 낼 수 있다는 점에 혹해 젊은 층의 인재들이 다크웹 시장에 발을 들이는 것으로 나타났다. 카스퍼스키에 따르면 침투 테스터는 월 4천달러, 공격 도구 개발자는 월 2천달러를 버는 것으로 나타났다. 사기 관련 역할은 팀 수익의 일정 비율을 받는 구조로, 자금세탁자는 평균 20%의 비율을 수익으로 받는 구조였다. 카드 사기범과 악성 트래픽 유도자는 각각 전체 수익의 약 30%와 50%를 벌어 들였다. 그러나 다크웹 취업은 단기 수익보다 돌이킬 수 없는 법적·사회적 피해를 야기한다는 점을 명확히 인식해야 한다. 이에 카스퍼스키는 청소년 해커가 올바른 방향으로 기술을 활용할 수 있도록 돕는 특별 프로젝트 등을 운영하고 있다. 카스퍼스키의 알렉산드라 페도시모바 디지털 풋프린트 애널리스트는 “그림자 취업 시장은 더 이상 주변산업이 아니다. 해고 근로자, 미성년자, 심지어 고급 인재까지 빨아들이는 영역으로 확대되고 있다”며 “많은 이들이 '기술만 있으면 빠르게 채용된다'는 점 때문에 다크웹과 합법 취업 시장을 비슷하다고 생각하지만, 그 이면에는 형사 처벌이라는 현실이 있다는 사실을 깨닫지 못하고 있다”고 말했다. 카스퍼스키 이효은 한국지사장은 “다크웹 구직 시장은 이미 주변부를 벗어나 해고 근로자, 청소년, 심지어 고급 인력까지 끌어들이고 있다”며 '빠른 채용, 면접 부담 없음'이라는 겉모습만 보고 접근하는 이들이 많지만, 그 대부분은 불법 사이버 범죄 활동과 연계되어 있으며, 결국 법적 처벌로 이어질 수밖에 없다. 특히 청소년을 포함한 일반 대중은 다크웹 구직의 심각한 위험성을 반드시 인지해야 하며, 기업 또한 모니터링과 교육을 강화해 공동의 사이버 보안 방어선을 구축해야 한다”고 강조했다.

2025.12.12 18:13김기찬 기자

국회 과방위·정무위, '쿠팡 해킹 사태' 따져 묻는다

국회 과학기술정보방송통신위원회와 정무위원회가 최근 개인정보 3천370만건이 유출된 쿠팡에 대해 긴급 현안질의를 진행한다. 1일 국회에 따르면 과방위는 2일 오전 10시 전체회의를 열고 쿠팡 임원진과 유관 기관을 불러 개인정보 유출 사고 경위를 물을 전망이다. 이 회의에는 과학기술정보통신부, 한국인터넷진흥원(KISA), 박대준 쿠팡 대표, 쿠팡 최고정보보호책임자(CISO) 등이 참석할 예정이다. 3일 오후 2시 정무위도 전체회의를 열고 유관기관 및 쿠팡 관계자들을 불러 현안질의를 한다. 정무위는 개인정보보호위원회, 국무조정실, 금융위원회, 금융감독원, 공정거래위원회 등과 쿠팡 관계자들을 대상으로 질의를 실시한다. 쿠팡은 지난달 18일 약 4천500개 계정의 개인정보가 무단으로 유출된 사실을 인지하고 조사를 진행한 결과, 3천370만개 개인정보가 노출된 것을 확인했다고 같은달 29일 공지했다. 이번 개인정보 유출 사고로 노출된 정보는 이름, 이메일 주소, 배송지 주소록(입력한 이름·전화번호·주소), 일부 주문 정보다. 결제 정보, 신용카드 번호, 로그인 정보는 포함되지 않았다고 쿠팡 측은 주장했다. 회사 측에서 진행한 조사에 따르면 올해 6월 24일부터 해외 서버를 통해 무단으로 개인정보 접근이 발생했다. 쿠팡은 사고를 인지한 즉시 경찰청, KISA, 개인정보보호위원회 등 관련기관에 해당 사실을 신고했다. 이번 사태와 관련해 정부는 지난달 30일 긴급 대책회의를 열었다. 정부는 해킹 피해 확산을 방지하기 위해 민관합동조사단을 가동하고 쿠팡의 안전 조치 의무 위반 여부에 대한 조사에 나섰다. 또 개인정보가 인터넷상에서 유출될 가능성을 열어두고 3개월 간 다크웹(특수 경로로만 접근 가능한 웹사이트)을 포함한 '인터넷상 개인정보 유노출 및 불법유통 모니터링 강화기간'을 운영하기로 했다. 윤한홍 국회 정무위원장실 관계자와 야당 간사인 강민국 국민의힘 의원실 관계자는 “쿠팡 관련 정무위 날짜는 오는 3일 오후 2시로 확정됐다”고 말했다.

2025.12.01 16:32박서린 기자

연말 해외 직구 시즌, 다크웹서 도난 카드 거래 폭증…피해 주의보

광군제와 블랙프라이데이 등 연말 글로벌 쇼핑 시즌을 앞두고 다크웹에서 유출된 신용카드 및 체크카드 정보가 급증하고 있어 소비자의 각별한 주의가 요구된다. 노드VPN은 최근 조사 결과를 토대로 카드 도난 피해가 장기화될 가능성을 경고하며 다크웹 모니터링과 킬 스위치 등 실질적인 개인정보 보호 방안을 제시했다. 노드VPN은 위협 노출 관리 플랫폼 '노드스텔라(NordStellar)'를 통해 수집한 5만705건의 도난 결제카드 데이터를 분석한 결과 전 세계 대부분 국가에서 카드 거래 가격이 상승했다고 밝혔다. 특히 뉴질랜드(444%), 아르헨티나(368%), 폴란드(221%) 등의 급등이 두드러졌으며 한국 또한 2023년 2.66달러에서 올해 7.15달러로 약 168% 상승했다. 이는 글로벌 평균(약 8달러)에 근접한 수준으로 2년간 상승폭 기준 전 세계 12번째로 높았다. 노드VPN은 이러한 결과가 한국 내 카드 도난 위험이 빠르게 증가하고 있음을 보여준다고 분석했다. 미국은 전체 도난 카드의 60% 이상을 차지하며 여전히 최대 피해국으로 꼽혔고 싱가포르(11%), 스페인(10%)이 뒤를 이었다. 카드 한 장당 거래 가격은 일본이 약 23달러로 가장 비쌌으며 카자흐스탄·괌·모잠비크는 16달러 수준이었다. 콩고공화국과 바베이도스, 조지아는 1달러 수준으로 가장 낮았다. 다크웹의 거래 구조는 기본적으로 수요와 공급에 따라 형성된다. 공급이 적고 금융 보안 수준이 높은 국가의 카드일수록 가격이 비싸게 형성되며 법 집행 강도나 카드사의 사기 탐지 능력도 영향을 미친다. 노드VPN은 카드의 약 87%가 유효기간이 12개월 이상 남아 있어 재판매 및 현금화가 쉽고 이로 인해 피해가 장기화될 가능성이 높다고 지적했다. 카드 도난 범죄는 대체로 '카딩(Carding)'이라 불리는 조직적 절차를 따른다. ▲카드 정보와 개인정보를 탈취하는 '하베스터(Harvester)' ▲작동 여부를 자동화 도구로 검증하는 '밸리데이터(Validator)' ▲검증된 카드를 기프트 코드나 암호화폐, 현금 등으로 전환하는 '캐시아우터(Cash-Outer)'로 구성된다. 특히 밸리데이터 단계에서 대량 검증이 이뤄져 피해가 확산된다. 이처럼 다크웹 기반의 신종 금융 범죄가 늘어나자 노드VPN은 자사 서비스에 다양한 보안 수단을 도입해 이용자 보호를 강화하고 있다. 대표적으로 '다크웹 모니터링(Dark Web Monitoring)' 기능은 인터넷의 비공개 영역인 다크웹에서 개인 정보가 유출돼 거래되는지를 실시간으로 탐지한다. 다크웹은 일반 브라우저로는 접근할 수 없고 토르(Tor) 같은 특수 브라우저를 통해서만 접속할 수 있는 익명성이 높은 공간이다. 초기에는 표현의 자유와 개인정보 보호를 위한 네트워크로 개발됐지만 해킹된 계정 정보나 신용카드 번호, 주민등록번호 같은 민감한 데이터가 불법적으로 거래되는 장소로 악용되기도 한다. 노드VPN의 다크웹 모니터링 기능은 사용자의 이메일, 비밀번호, 카드번호 등 주요 정보가 유출된 적이 있는지를 자동으로 감시하고, 이상 징후가 감지되면 즉시 알림을 제공한다. 이를 통해 사용자는 조기에 비밀번호를 변경하거나 카드 재발급 등의 대응을 취할 수 있다. 또한 노드VPN은 VPN 연결이 갑자기 끊겼을 때 개인 정보가 노출되는 위험을 차단하기 위한 '킬 스위치(Kill Switch)' 기능을 제공한다. VPN은 사용자의 인터넷 연결을 암호화해 데이터를 안전하게 보호하지만, 예기치 못한 네트워크 끊김이 발생하면 실제 IP 주소가 노출될 수 있다. 노드VPN의 킬 스위치는 이를 원천적으로 차단하기 위해 VPN 연결이 끊어지면 인터넷 연결 자체를 즉시 중단한다. 킬 스위치는 두 가지 형태로 제공된다. 첫째, '인터넷 킬 스위치'는 모든 인터넷 연결을 차단해 완전한 보호를 제공하며, 둘째 '앱 킬 스위치'는 특정 앱에만 적용돼 암호화폐 거래소나 온라인 뱅킹 등 민감한 서비스의 정보 유출을 방지한다. 이를 통해 이용자는 불안정한 네트워크 환경에서도 데이터를 안전하게 보호할 수 있다. 편의성 측면에서도 노드VPN은 사용자 친화적이다. 앱을 실행하면 전 세계 서버 위치가 지도에 표시되며, 원하는 국가를 클릭하면 자동으로 VPN 연결이 설정된다. 기본적인 암호화와 보안 정책이 동시에 적용돼 사용자는 별도의 설정 없이 안전한 인터넷 환경을 바로 이용할 수 있다. 한 계정으로 최대 6대의 기기를 동시에 연결할 수 있어, PC, 노트북, 스마트폰, 태블릿 등 다양한 기기에서 동일한 수준의 보안을 유지할 수 있는 것도 장점이다. 노드VPN은 이러한 기술적 기능 외에도 사용자가 스스로 보안을 강화할 수 있도록 실질적인 수칙을 제안했다. ▲카드 명세서와 결제 내역을 정기적으로 점검하고 ▲실시간 결제 알림을 활성화하며 ▲브라우저에 비밀번호나 결제정보를 저장하지 말고 ▲강력한 비밀번호와 다단계 인증(MFA)을 설정할 것을 권장했다. 노드VPN 사이버보안 전문가 아드리아누스 바르멘호벤은 "도난 카드 데이터는 여전히 저렴하게 거래되고 있어 초급 범죄자도 쉽게 접근할 수 있다"며 "특히 블랙프라이데이와 광군절처럼 대규모 쇼핑 이벤트가 집중되는 시즌에는 공격자들이 더욱 활발히 움직이는 만큼, 보안 습관을 생활화하는 것이 가장 중요하다"고 강조했다. 이어 그는 "VPN은 단순히 IP를 숨기는 도구가 아니라, 온라인 쇼핑과 금융 거래, 원격 근무 등 일상 속에서 개인정보를 보호하는 첫 번째 방어선"이라며 "이용자 스스로가 위험 인식 수준을 높이고, 보안 기능을 적극적으로 활용해야 피해를 예방할 수 있다"고 덧붙였다.

2025.11.09 09:21남혁우 기자

다크웹 유출 피해액 평균 67억 원…중소기업 70%가 해커의 주요 표적

급증하는 보안 사고에 대비해 기업 핵심 데이터의 다크웹 유출 여부를 실시간으로 알려주는 감시 시스템이 등장했다. 프로톤은 2일 자사 공식 홈페이지를 통해 '데이터 유출 관측소(Data Breach Observatory)'를 공개했다고 밝혔다. 이번 서비스는 다크웹에서 거래되는 실제 유출 데이터를 기반으로 기업 정보 노출 현황을 실시간 파악할 수 있는 플랫폼이다. 전 세계적으로 기업의 데이터 유출은 매년 급증하고 있다. 해커들은 이메일, 비밀번호, 주소, 신분증 정보 등 다양한 개인정보를 탈취해 다크웹에서 거래하거나, 이를 이용해 금전적 이익을 노린다. 그러나 대부분의 유출 사건은 외부에 알려지지 않아 피해 규모를 정확히 파악하기 어렵다. 이로 인해 많은 기업이 자신들이 직면한 보안 위험을 과소평가하고 있다는 지적이 나온다. 프로톤은 이런 문제를 해결하기 위해, 해커들이 실제로 유출 데이터를 주고받는 다크웹의 정보원을 직접 분석했다. 이를 통해 자가 신고나 공공 데이터베이스에 의존하지 않고, 실제 거래되고 있는 데이터만을 수집·검증해 공개한다. 프로톤 측은 "신고 기반 통계로는 현실을 반영하기 어렵다"며 "다크웹에서 활동하는 공격자의 움직임을 직접 추적해 보안 위협을 실시간으로 시각화한 것이 핵심"이라고 설명했다. 이 관측소는 산업군, 기업 규모, 국가, 데이터 유형 등 다양한 기준으로 검색할 수 있으며, 특정 기업이 어느 시점에 어떤 종류의 데이터를 얼마나 유출했는지 확인할 수 있다. 2025년 데이터 유출 현황: 유통·기술·미디어 업계 집중 피해 프로톤이 올해 수집한 데이터를 분석한 결과, 다크웹에서 확인된 유출 건수는 총 794건으로 집계됐다. 이를 통해 3억 건이 넘는 데이터가 외부로 유출된 것으로 나타났다. 산업별로는 유통 업계가 전체의 25.3%로 가장 많은 피해를 입었고, 이어 기술(15%), 미디어·엔터테인먼트(10.7%) 업종이 뒤를 이었다. 프로톤은 "유통 기업은 결제 정보와 고객 데이터를 대량으로 보유하고 있어 금전적 가치가 높기 때문에 해커들의 주요 공격 대상이 된다"고 분석했다. 기업 규모별로는 직원 수 249명 이하의 중소기업이 전체 유출의 70.5%를 차지했다. 250~999명 규모의 중견기업은 13.5%, 1천 명 이상 대기업은 15.9%로 나타났다. 프로톤은 "대기업보다 보안 인력이 적고 예산이 한정된 중소기업은 해커 입장에서 '쉬운 목표'로 분류된다"며 "한 번의 침입만으로도 심각한 피해가 발생할 수 있다"고 경고했다. 프로톤의 데이터 유출 관측소 분석에 따르면, 가장 자주 노출되는 정보는 이름과 이메일이었다. 전체 유출의 90%에서 이름과 이메일이 함께 포함돼 있었으며, 72%에서는 전화번호나 주소 등 연락처 정보가 포함됐다. 비밀번호는 49%의 사례에서 함께 노출됐으며, 정부 발급 신분증, 건강 정보, 재무 정보 등 민감한 개인정보가 포함된 경우도 전체의 34%에 달했다. 프로톤은 "이메일과 이름만으로도 해커는 손쉽게 피싱 공격이나 스피어 피싱을 시도할 수 있다"며 "유출된 정보 대부분이 사이버 공격의 '1차 재료'로 악용된다"고 설명했다. 기업당 평균 피해액 67억 원…보안 인식이 생존 좌우 프로톤은 이번 관측소의 필요성을 강조하며, 많은 기업이 실제 유출 피해를 인식하지 못하고 있다고 지적했다. 법적 신고 의무가 없는 경우, 기업은 평판 손상을 우려해 유출 사실을 공개하지 않는 경우도 적지 않다. 이런 상황에서 '데이터 유출 관측소'는 실제 다크웹 활동을 기반으로 한 현실적 지표를 제공한다. 자발적 신고가 아닌 실제 거래 데이터를 분석함으로써, 업계·국가·규모별 피해 양상을 보다 객관적으로 보여준다. 프로톤 관계자는 "많은 기업이 '우리 회사는 해킹당하지 않았다'고 생각하지만, 실제로 다크웹에는 이미 해당 기업의 이메일 계정이나 고객 데이터가 유통되고 있을 수 있다"며 "이 서비스를 통해 기업은 스스로 노출 현황을 직접 확인하고 대응 전략을 세울 수 있다"고 말했다. 프로톤은 데이터 유출의 경제적 피해가 심각한 수준이라고 경고했다. 보고서에 따르면, 전 세계 기업이 데이터 유출로 입는 평균 피해액은 488만 달러(약 69억 원)에 달한다. 중소기업의 경우 수억 원 규모의 피해만으로도 도산 위기에 몰리는 사례가 잦다. 프로톤은 보안 강화를 위한 기본 원칙으로 ▲전사적으로 2단계 인증(2FA) 도입 ▲강력한 비밀번호 정책 수립 및 주기적 변경 ▲임직원 대상 피싱 대응 교육 강화 ▲정기적 시스템 점검 및 침투 테스트 수행 등을 제시했다. 또한 프로톤은 중소기업을 위한 무료 보안 가이드와 맞춤형 보안 도구를 함께 제공하고 있다. 이를 통해 기업 규모와 상관없이 실질적인 보안 역량을 강화할 수 있도록 지원한다는 방침이다. 프로톤은 이번 '데이터 유출 관측소'를 단순한 통계 도구가 아니라, 보안 인식을 바꾸는 새로운 기준점으로 보고 있다. 프로톤 관계자는 "지금까지 보안은 사건이 발생한 후에야 논의됐다면, 이제는 데이터를 통해 '현재'의 위험을 확인하고 대비할 수 있는 시대"라며 "관측소는 사이버 보안의 투명성을 높이는 첫 걸음이 될 것"이라고 말했다.

2025.11.02 08:50남혁우 기자

英 어린이집 랜섬웨어로 공격한 범인 잡고 보니

지난 9월 말 영국 런던 내 어린이집을 운영하는 업체 '키도 인터내셔널'을 랜섬웨어로 공격했던 용의자가 덜미를 잡혔다. 범인은 10대 청소년 두 명이었다. 영국 런던광역경찰청은 8일(현지시간) "어린이집 체인을 공격해 1천 명 이상의 어린이 개인정보를 유출한 랜섬웨어 사건과 관련해 10대 용의자 2명을 체포했다"고 밝혔다. 영국과 미국, 인도, 중국 등에서 어린이집을 운영하는 키도 인터내셔널은 지난 9월 25일 '래디언트 그룹'이라 자칭하는 해커 조직의 공격을 받았고 1천 명이 넘는 어린이들의 사진과 주소, 학부모 정보 등이 유출됐다고 밝힌 바 있다. '래디언트 그룹'은 어린이들의 사진과 주소, 학부모 정보 등 일부 자료를 다크웹 유출 사이트에 게시하는 한편 학부모들에게 협박 전화를 걸어 돈을 요구했다. 그러나 돈을 받으려는 시도가 좌절되자 지난 2일 관련 파일을 삭제했다. 영국 경찰은 허트퍼드셔주 비숍스 스토트퍼드에 거주하는 17세 청소년 2명을 협박 및 컴퓨터 오용 혐의로 자택에서 긴급 체포했다. 키도 인터내셔널은 유출된 데이터가 어린이집들이 학부모와 정보를 공유하는 데 사용하는 소프트웨어 서비스 '패믈리'에 저장돼 있었다고 밝혔다. 안데르스 라우스텐 패믈리 최고경영자(CEO)는 "패믈리의 보안이나 인프라 침해는 전혀 없었으며 다른 고객은 영향을 받지 않았다"고 해명했다. 영국에서는 올해 M&S, 코옵, 해러즈 등 주요 기업과 런던 교통공사 시스템 침해 사건에 연루된 10대 용의자들이 잇따라 체포되는 등 청소년의 대규모 사이버 공격 가담이 증가 추세를 보이고 있다. 윌 라인 런던광역경찰청 경제·사이버범죄 책임자는 "이번 체포는 수사의 중요한 진전"이라며 "책임자들을 반드시 법정에 세우기 위해 파트너 기관들과 협력을 계속할 것"이라고 강조했다.

2025.10.09 10:54권봉석 기자

'정보 뒷거래' 추적한다…오아시스시큐리티, 다크웹 CTI 서비스 출시

국내 주요 기관 및 기업에 대한 해킹, 랜섬웨어 등 사이버 공격이 빈번해지고 있는 가운데 다크웹을 통한 유출 데이터 불법 거래도 성행하고 있다. 이에 기업과 기관은 단순 침해 탐지를 넘어 은닉된 인프라까지 직접 추적해야 하는 상황에 직면하고 있다. 이런 가운데 오아시스시큐리티(대표 김근용)가 랜섬웨어 협상 사이트와 다크웹 포럼 등 데이터 수집 및 분석까지 결합해 기존 보안 체계에서 확인하기 어려운 다크웹 위협 정보를 종합적으로 제공하는 서비스를 출시해 주목된다. 오아시스시큐리티는 지난 22일 다크웹 위협 탐지와 분석에 특화된 사이버 위협 정보(CTI) 서비스인 'ARTHUR'를 출시했다고 26일 밝혔다. ARTHUR는100여 종 이상의 다크웹 히든 서비스 스캔 정보를 비롯해 랜섬웨어 협상 사이트와 다크웹 포럼 등에서 불법적으로 거래되고 있는 데이터에 대한 분석 정보를 제공하고 있다. 구체적으로 ▲다크웹 히든 서비스(onion)의 서버IP 정보 ▲웹 서비스 트롤링 외에도 SSH, SMTP 등 100여개 네트워크 서비스 스캔 결과 ▲랜섬웨어 유출 사이트, 다크웹 불법 포럼, 다크웹 내 텔레그램 주소 및 데이터 검색 정보 ▲다크웹 위협 분석 보고서 ▲사용자 정의 키워드 등록 및 실시간 알림 기능 등의 서비스를 제공하고 있다. 실제 이런 데이터를 제공하기 위해 오아시스 시큐리티는 자체 기술력을 통해 랜섬웨어 해킹 그룹 운영 사이트, 금융 거래 사이트, 신용카드 판매 사이트, 위조지폐 판매 사이트, 해킹 포럼 사이트, 비트코인 믹서(Bitcoin Mixer) 사이트, 암살·청부 사이트 등 주요 다크웹 인프라의 Public IP 정보를 직접 확보한 것으로 전해졌다. 김근용 오아시스 시큐리티 대표는 “ARTHUR는 다크웹 히든 서비스의 Public IP를 직접적으로 식별할 수 있다는 점에서 기존 다크웹 CTI 서비스와 차별화된다”며 “다크웹 기반 불법 인프라와 위협 데이터를 추적·분석함으로써 국내외 고객이 실질적 위협에 대응할 수 있도록 지원할 것”이라고 말했다.

2025.09.26 19:02김기찬 기자

"랜섬웨어 잡는 K-보안의 힘"…S2W, 인터폴과 3년 동행 연장

국제 랜섬웨어 조직 검거를 지원해온 S2W가 인터폴과의 핵심 공조를 3년 더 이어간다. 사이버 범죄 조직 추적에 결정적 역할을 한 다크웹 분석 기술을 지속적으로 제공하게 된 것이다. S2W는 회사의 인공지능(AI) 보안 플랫폼 '퀘이사' 공급 재계약 소식을 3일 발표했다. 이번 계약으로 양측의 협력 관계는 6년째에 접어든다. '퀘이사'는 AI 기반의 사이버 위협 인텔리전스(CTI) 솔루션이다. 내부 시스템만으로 감지하기 힘든 외부 위협을 모니터링하고 대응해 조직의 정보 보호 역량을 크게 향상시킨다. 공격표면관리(ASM)와 디지털위험보호(DRP), 위협인텔리전스(TI) 등의 기능을 통합 제공해 효율적인 보안 관리를 돕는다. 이 플랫폼은 인터폴뿐 아니라 일본, 싱가포르, 대만 등 여러 우방국 공공기관 및 국내외 유수 대기업에 공급돼 왔다. 이를 통해 공공과 민간을 아우르는 사이버 안보 플랫폼으로서 세계적 수준의 제품성을 인정받았다. S2W는 지난 2020년부터 인터폴 사이버범죄국과 정보 공유를 통해 긴밀한 수사 공조를 펼쳐왔다. 특히 '클롭', '콘티' 등 악명 높은 국제 랜섬웨어 조직을 검거하는 데 결정적인 다크웹 인텔리전스를 제공하며 역량을 증명했다. 최근에는 제33회 파리 올림픽 기간 인터폴 합동수사팀(JTF)에 올림픽 관련 위협 분석 정보를 지원한 공로를 인정받아 공식 감사 서한을 받기도 했다. 또 '인터폴 글로벌 사이버범죄 컨퍼런스(IGCC)' 등 주요 국제 행사에 3년 연속 참여하며 국제 치안 증진을 위한 연대를 모색하고 있다. 서상덕 S2W 대표는 "이번에 체결된 인터폴과의 장기 재계약은 실질적인 치안 성과를 창출하는 우리의 차별화된 안보 AI 기술력에 대한 두터운 고객 신뢰의 방증"이라며 "향후에도 인터폴을 비롯한 글로벌 공공부문과의 협력 접점을 지속적으로 확대해 나가며 국제사회 안보 강화에 기여할 수 있는 기술 혁신을 이어나갈 것"이라고 말했다.

2025.09.03 17:07조이환 기자

웰컴금융그룹 계열사 랜섬웨어 피해…해커 "전체 데이터 무효화" 주장

웰컴금융그룹 계열사인 대부업체 웰릭스에프앤아이대부가 최근 랜섬웨어 공격을 당한 것으로 알려졌다. 19일 보안업계에 따르면 랜섬웨어 공격 집단 '킬린(Qilin)'은 지난 17일 자신들의 다크웹 블로그에 1테라바이트(TB) 규모의 데이터를 탈취했다고 주장했다. 이에 기자가 보안전문가를 통해 킬린 다크웹에 접근해 유출된 파일을 확인했다. 킬린은 탈취한 파일이 139만1천개에 달한다며, 실제 내부 문서로 보이는 10장의 샘플 파일 사진을 공개했다. 해당 사진들은 ▲투자 검토 중인 회사에 대한 기밀유지협약서 ▲대출약정 조건 변경 품의서 ▲채권내역서 등 내부 문서인 것으로 확인됐다. 이런 데이터를 샘플로 올린 킬린은 웰컴금융그룹에 대한 간단한 소개와 함께 "웰컴금융그룹은 중요한 정보를 보호하는 데 있어 매우 무책임하다"며 "그 결과 회사의 모든 내부 데이터가 대중에게 공개됐다"고 밝혔다. 이어 "웰컴금융그룹은 고객 이름, 생년월일, 자택·사무실 주소, 계좌, 이메일 등 모든 고객의 전체 데이터베이스를 유출당했다"면서 "현재는 해당 데이터들이 무효화됐으며, 웰컴금융그룹에 데이터들이 불리하게 사용될 것"이라고 경고했다. 앞서 웰컴금융그룹은 8월 초 이같은 공격 사실을 알고 한국인터넷진흥원(KISA) 개인정보침해 신고센터에 피해 신고를 했으며 금융당국에도 공격 사실을 알린 것으로 전해졌다. 랜섬웨어는 컴퓨터나 서버에 바이러스를 침투시켜 내부 파일을 감염시킨 뒤 암호화하고, 협상 기한인 '데드라인'을 걸어놓고 금전을 요구하며 협박하는 해킹 수법이다. 랜섬웨어 그룹 킬린은 지난 4월에도 SK그룹 미국 법인인 SK아메리카스 뉴욕 오피스에 대한 데이터 탈취를 주장하는 등 활발히 활동하고 있는 서비스형 랜섬웨어(RaaS) 조직이다. 이날 기준 올해에만 441건에 달하는 공격을 시도한 것으로 확인됐다. 2022년 10월 다크웹에서 활동을 시작해 중국의 자동차 부품 대기업 옌펑(Yenfeng) 등 기업에 공격을 시도한 것으로 알려져 있다. 마이크로소프트에 따르면 북한 해킹 조직 문스톤 슬릿(Moonstone Sleet)도 최근 킬린 랜섬웨어를 사용하는 것으로 전해져 국내 기업에 대한 공격 우려를 더하고 있다.

2025.08.19 10:49김기찬 기자

FBI 이메일 계정이 40달러…다크웹서 국제 법집행기관 계정까지 팔린다

FBI를 비롯한 전 세계 법집행기관의 이메일 계정이 다크웹에서 단돈 40달러에 거래되고 있는 것으로 드러났다. 이는 단순한 계정 유출을 넘어 정부와 경찰의 공식 계정이 범죄 도구로 악용될 수 있다는 우려를 낳으며 심각한 보안 위협으로 부상하고 있다. 보안전문기업 어브노멀 AI는 17일 사이버 범죄자들이 미국, 영국, 인도, 브라질, 독일 등 주요 국가의 법집행기관 및 정부 이메일 계정 접근 권한을 지하 포럼에서 판매하고 있다고 밝혔다. 이 계정들은 단순한 유령 계정이 아니라 실제 사용 중인 정식 기관 계정으로, 탈취된 기관의 신뢰성이 그대로 범죄 수행에 활용될 수 있다는 점에서 충격을 주고 있다. 어브노멀 AI에 따르면 판매되는 이메일 계정은 송수신 권한까지 포함해 전면적 접근이 가능하다. 이를 통해 공격자는 공식 법집행 기관에서 보낸 것처럼 위장한 피싱 메일, 악성 링크, 첨부파일 등을 대량 발송할 수 있다. 더 큰 문제는 이런 계정들이 단순한 이메일 발송을 넘어 긴급 데이터 요청(EDR)이나 허위 소환장 발송에 악용될 수 있다는 점이다. 미국 내 통신사와 글로벌 IT 기업들은 긴급 상황을 이유로 한 법집행기관 요청을 우선 처리하는 경우가 많아 이 제도를 악용하면 특정인의 위치 정보, 통신 내역, 이메일 기록 등 민감 데이터가 그대로 유출될 위험이 있다. 이 같은 위협은 특정 국가에 국한되지 않는다. 미국을 비롯해 영국, 인도, 브라질, 독일 등 여러 국가의 법집행기관 및 정부 계정이 거래 대상으로 올라오며 글로벌 보안 위협으로 확산되고 있다. 일부 계정은 소셜미디어 플랫폼의 법집행 포털 같은 제한된 기능에도 접근할 수 있어 잠재적 피해 범위는 훨씬 넓다. 탈취 방식은 특별한 신기술이 아니라 이미 잘 알려진 공격 기법들이었다. 과거 유출된 비밀번호 조합을 무차별 대입하는 크리덴셜 스터핑, 브라우저·이메일 클라이언트에 저장된 로그인 정보를 빼내는 인포스틸러 악성코드, 그리고 정부 직원들을 대상으로 한 표적형 피싱 및 소셜 엔지니어링 등이 주요 수단이었다. 어브노멀 AI는 "과거에는 계정 자체가 단순 거래 대상이었지만, 이제는 실질적 범죄 수단으로 활용될 수 있는 구체적 방식까지 제시하며 팔리고 있다"며 이를 '기관적 신뢰(institutional trust)의 상품화'라고 정의했다. 정부 도메인 자체가 가진 신뢰성이 사이버 범죄자들에게 하나의 상품이 되고 있는 셈이다. 어브노멀 AI 연구원은 "활성화된 기관 계정을 보유한다는 것은 단순히 설득력 있는 이메일을 보내는 것을 넘어 공무용으로 설계된 시스템과 포털에 접근할 수 있는 권한을 획득한다는 의미"라며 "이러한 도구가 위협 행위자의 손에 들어가면 악용 가능성이 매우 높은 만큼 침해를 조기에 탐지하고 차단하는 것이 시급하다"고 강조했다.

2025.08.17 13:20남혁우 기자

SFA, 랜섬웨어 당했다…회사 중요 정보 '수두룩'

예스24 등 국내 업체를 겨냥한 랜섬웨어 공격이 빈번해지고 있는 가운데 코스닥 상장사인 중견기업 SFA도 랜섬웨어 공격을 당했다. 2.3테라바이트(TB) 규모의 내부 자료들이 언더그라운드(underground)라는 랜섬웨어 그룹 다크웹 사이트에 공개됐다. 16일 본지 취재를 종합하면 언더그라운드는 자신들의 다크웹 사이트에 이날 오전 4시경 2.3TB 규모의 SFA의 내부 정보를 공개하며 SFA엔지니어링을 피해자로 등록했다. 해당 정보들은 9개 시스템에서 약 100만개 정보가 유출된 것으로 추정된다. SFA는 스마트팩토리 솔루션 장비 제작을 핵심으로 하는 물류시스템 업체다. 지난 2020년 스마트팩토리 사업 강화를 위해 새로운 브랜드아이덴티티(BI·Business Identity)인 '네오(NEO)'를 선보인 바 있다. 이번에 유출된 자료들을 보면 언더그라운드 다크웹 사이트에 김영민 SFA 대표를 비롯해 이해원 사업기획팀 수석 등 직원이 보유하고 있던 것으로 보이는 자료가 업로드됐다. 회사 정보 A부터 Z까지 털렸다…'스카다' 침투 가능성도 이번 랜섬웨어 공격과 관련해 한 보안전문가는 "NAS(네트워크 결합 스토리지) 시스템에 대한 공격 시도가 있었던 것으로 추정된다"고 밝혔다. 특히 공정 관련 소스코드 및 데이터들이 유출된 사실이 확인됐다. 구체적으로 컴퓨터 이용 설계(CAD·Computer Aided Design) 등 제품의 설계 도면을 컴퓨터 작업을 통해 생성한 파일이 대거 유출됐다. SFA가 스마트팩토리 솔루션 사업을 영위하고 있는 만큼, 스마트팩토리 장비에 대한 설계도면 등 회사의 핵심 자산이 유출된 것이다. CAD, 소스코드 등 데이터들이 다크웹에 올라와 있는 만큼 보안업계 전문가는 작업공정 제어 시스템인 스카다(SCADA) 시스템에 대한 침투 가능성도 있다고 예상했다. 한 보안업계 관계자는 "NAS에 대한 해킹으로 스카다 시스템과 관련한 정보를 해커가 취득했을 가능성이 높고, 스카다 관련으로 추가적인 공격이 우려된다"며 "스카다 시스템에 대한 해킹이 위험한 이유는 공장을 멈추게 하는 등 직접적인 피해를 공격자가 입힐 수 있기 때문"이라고 말했다. 그는 이어 "이란의 핵 농축 시설인 나탄즈 핵 시설의 원심분리기 1000여기를 파괴해서 이란의 핵 프로그램을 연기시켰던 '스턱스넷' 악성코드 무기 등도 스카다 시스템 해킹과 관련이 있다"면서 "SFA도 핵융합 시스템 구축 사업 등에 참여하고 있는 만큼 추가 위험이 있다"고 우려했다. SFA가 미래 성장동력으로 사업을 확장하고 있는 NEO 브랜드와 관련된 정보들도 언더그라운드 다크웹 사이트에 유포됐다. SFA 네오의 C# 언어로 구성된 소스코드가 업로드돼 있고, SFA 솔루션의 사용방법, 버전 등 정보도 랜섬웨어 그룹의 손에 들어갔다. 머신러닝에 사용된 데이터셋와 넘파이(시스템 내에서 읽어낼 수 있는 형태로 저장한 데이터) 파일들도 대거 발견됐다. 웹으로 진행한 프로젝트 파일(php)도 포함돼 있다. 뿐만 아니라 ▲재무자료 ▲사업계획서 ▲직원 인사기록카드 ▲생산 관련 문서 ▲수주 및 매출현황 ▲자금계획 등 회사의 다양한 중요 정보가 대규모로 포함돼 있다. 직원들의 주민등록등본이나 가족관계증명서 등 개인정보도 적지 않게 포함돼 있다. 언더그라운드의 SFA엔지니어링 설명에 따르면 협력사와 진행한 프로젝트 문서도 포함돼 있다. 심지어 이런 정보들이 암호화된 것이 아니여서 해당 다크웹 사이트에 접속하기만 하면 누구나 손쉽게 열어보고 확인할 수 있는 상태로 공개돼 있다. 이에, 기업 핵심 정보가 외부로 유출되고, 해당 정보들을 악용한 피싱 등 2차 피해까지도 우려되는 상황이다. SFA를 상대로 공격을 감행한 언더그라운드 랜섬웨어 그룹은 지난해 5월에도 국내 중견기업 '경창산업'을 대상으로도 공격을 시도한 바 있다. 당시 경창산업의 대외비 문서 등 1.8TB 규모의 내부 문서를 자신들의 다크웹 사이트에 공개한 바 있다. 지난해 말에도 반도체용 인쇄회로기판 개발 및 제조 전문 업체 '심텍'을 공격했다고 주장한 바 있는 등 언더그라운드는 해외는 물론 국내 기업을 상대로도 적극적으로 랜섬웨어 공격 시도를 하고 있는 공격 그룹으로 알려졌다. 언더그라운드가 주로 남기는 랜섬노트(랜섬웨어 공격 후 감염된 시스템에 남겨지는 메시지 파일)를 보면 "3일 이내에 연락이 없거나 합의하지 않는 경우, 모든 데이터는 누구도 차단할 수 없는 사이트에 게시된다"며 "우리를 믿어도 된다. 원한다면 일부 파일을 무료로 복원할 준비도 돼 있다"고 피해 기업을 회유·협박하고 있다. SFA 측은 "정보팀과 피해 사실을 확인 중"이라고 밝혔다.

2025.08.16 18:31김기찬 기자

해커 "SGI서울보증 13.2TB 탈취" 주장…다크웹 들어가보니

13.2테라바이트(TB) 규모의 SGI서울보증 데이터를 탈취했다는 랜섬웨어 그룹의 주장이 나왔다. 하지만 랜섬웨어 그룹의 자체 다크웹에 데이터들이 세부적으로 공개되지 않아 실제로 데이터가 유출됐는지는 확인이 어려운 상황이 됐다. 5일 본지 취재를 종합하면 랜섬웨어 그룹 '건라'(Gunra)는 자신들의 다크웹에 SGI서울보증을 새로운 피해자로 등록하며, 13.2TB에 달하는 SGI서울보증의 오라클 데이터베이스를 탈취했다고 주장했다. 랜섬웨어 공격 그룹들은 통상적으로 데이터를 탈취한 뒤 암호화하고, 이를 인질로 피해 기업이나 기관에 금전을 요구한다. 만약 협상에 응하지 않을 경우 다크웹이나 불법 포럼 등을 통해 해당 데이터를 유출하거나 판매하기도 한다. 심지어 협상을 진행하는 도중에 데이터를 다크웹에서 판매하고 추가 수익을 올리는 경우도 있다. 기자가 직접 건라 다크웹에 접근해 확인한 결과 실제로 건라 다크웹에 업로드돼 있는 다른 피해자들의 경우 유출된 모든 데이터가 함께 게시돼 확인할 수 있었는데, 유독 SGI서울보증의 게시글만 유출된 데이터가 업로드되지 않아 확인이 불가능했다. 건라 측은 "방대한 (SGI서울보증의)데이터를 보유하고 있지만, 이를 분석할 인력이 충분하지 않다"며 "원한다면 이 데이터베이스를 함께 분석하자"는 글을 올려 데이터를 공개하지 않은 배경에 대해 인력 부족을 꼽았다. 보안업계 관계자는 "일부 랜섬웨어 그룹의 경우 탈취한 데이터의 샘플을 올려 해킹 성공을 인증하고 데이터 판매 및 협박에 이를 활용하는 경우들이 있다"면서도 "건라의 피해 기업 리스트를 보면 유출된 데이터들은 샘플이 아닌 모든 데이터가 공개되고 있는 만큼 '당신들의 데이터를 이만큼이나 확보했으니 빠르게 협상에 응해라'하는 협박일 가능성이 높다"고 설명했다. 이번 건과 관련, SGI서울보증 측은 "현재까지 고객정보를 포함한 대용량 내부 정보가 유출된 정황은 확인된 바가 없다"며 "SGI서울보증은 고객정보 등 민감정보 유출이 확인 될 경우 관계법령 및 정보보호 매뉴얼 등에 따라 관계 기관과 투명하게 정보를 공유하고 필요한 대응조치를 신속히 수행할 예정이며, 민감정보 유출로 정보주체의 손해가 발생할 경우 이를 전액 보상할 방침"이라고 밝혔다. 보안업계 관계자는 "SGI서울보증 측 입장대로 내부 데이터 유출이 없었는데 랜섬웨어 그룹이 허위 주장을 펴고 있는지, 건라의 인력적 한계로 아직 데이터가 공개되지 않고 있는 것인지는 더 두고봐야 알 것 같다"고 말했다.

2025.08.05 20:47김기찬 기자

다크웹에 잡코리아·알바몬 개인정보가?...회사 "사실무근"

다크웹에서 15만 건에 달하는 잡코리아·알바몬 이용자 개인정보가 판매되고 있다는 의혹이 제기되자 회사 측은 내부 조사 결과 사실이 아니라며 의혹을 전면 부인했다. 9일 플랫폼업계에 따르면 최근 잡코리아·알바몬 이용자 개인정보로 추정되는 데이터가 다크웹을 통해 판매되고 있다는 소식이 나왔다. 해커는 ▲이름 ▲전화번호 ▲이메일 ▲생년월일 주소 등 주요 개인정보를 포함해 약 15만 건의 데이터를 확보했다고 주장했다. 게시글에는 일부 계정 정보가 담긴 예시 파일이 함께 첨부된 것으로 알려졌다. 잡코리아와 알바몬은 이같은 의혹에 대해 사실무근이라는 입장이다. 잡코리아 관계자는 “해당 사안에 대해 내부적으로 조사한 결과 15만 건에 달하는 개인정보는 유출되지 않은 것으로 확인됐다”며 “해커가 근거없는 주장을 한 것으로 보고 있다”고 말했다. 이어 “지난 5월 개인정보 유출 사고 이후 추가적인 피해 사례는 없는 것으로 확인했다”면서 “보안도 계속해서 강화하고 있다”고 덧붙였다. 앞서 알바몬은 지난 5월 해킹 공격으로 임시저장 이력서 2만2천 여건상의 정보 유출 정황을 확인해 개인정보보호위원회에 자진신고한 바 있다. 이로 인해 알바몬은 개인정보 유출 피해자에 10만원 상당의 보상을 지급하기도 했다.

2025.07.09 17:19박서린 기자

"탈탈 털린 비번, 당장 바꿔라"…구글·애플·페북 등 데이터 유출에 전 세계 '패닉'

최근 전 세계에서 해킹으로 몸살을 앓고 있는 가운데 구글, 애플, 페이스북, 텔레그램 등 주요 플랫폼에서도 160억 건에 달하는 사용자 로그인 정보가 유출된 정황이 확인돼 이용자들의 주의가 요구된다. 대규모로 로그인 정보가 유출된 만큼 즉각 비밀번호를 변경해야 한다는 전문가들의 경고도 나왔다. 22일 사이버 보안 전문 매체 사이버뉴스에 따르면 지난 1월부터 대형 유출 데이터셋을 조사한 결과 30개에 달하는 사례가 확인됐다. 여기엔 각각 수천만 건에서 최대 35억 건 이상의 기록이 담겨 있었는데, 이를 합치면 모두 160억 건에 달했다. 이 데이터에는 구글, 애플, 페이스북을 포함한 글로벌 주요 플랫폼 사용자들의 로그인, 비밀번호 등이 포함된 것으로 파악됐다. 유출된 160억 건의 정보는 전체 지구 인구의 약 2배에 달하는 규모로, 사용자 1인당 1개 이상의 계정 정보가 유출됐을 가능성이 높다. 미국 매체 CBS는 "이용자들이 2개 이상의 계정 정보를 털렸을 가능성이 있다"고 추정했다. 사이버뉴스 측은 "유출된 정보 중 일부는 중복이 있을 수 있다"면서도 "실제로 얼마나 많은 사람이 정보 유출을 당했는지 정확히 말하기는 불가능하다"고 말했다. 이번 유출은 특정 기업 한 곳을 겨냥한 단일 해킹 사건이 아닌 수년에 걸쳐 여러 해킹 사고를 통해 누적된 정보가 집약된 것으로 분석됐다. 또 정보 탈취 악성코드 '인포스틸러'에 의해 수집된 것으로 추정됐다. 특히 이번에는 소셜미디어, 가상사설망(VPN), 개발자 포털, 주요 공급업체의 사용자 계정 등에서 이전에 유출된 적 없는 새로운 로그인 정보가 털린 것으로 알려졌다. 심지어 이들 중 상당수는 다크웹(특수 경로로만 접근 가능한 웹사이트)에서 이미 거래되고 있는 것으로 알려졌다. 전문가들은 기업과 개인 모두 비밀번호 관리 솔루션과 다크웹 모니터링 툴을 도입할 것을 권장했다. 또 최근처럼 유출 사고가 잦아지는 상황에선 비밀번호를 변경하고 여러 웹사이트에서 동일하거나 유사한 로그인 정보를 반복 사용하는 것을 피해야 한다고 조언했다. 더불어 기억하기 어려운 경우 비밀번호 관리도구나 패스키를 활용하고 전화·이메일·USB 등 복수 인증 절차를 추가하는 '멀티팩터 인증(MFA)'도 적용할 필요가 있다고 강조했다. 보안 솔루션 업체 키퍼 시큐리티를 이끌고 있는 대런 구치오네 최고경영자(CEO)는 포브스와의 인터뷰를 통해 "이번 사건은 예상치 못한 방식으로 민감한 정보가 노출될 수 있음을 상기시키는 경고"라며 "특히 설정 오류가 있는 클라우드 환경은 해커들에게 쉽게 노출될 수 있다"고 강조했다.

2025.06.22 21:34장유미 기자

카스퍼스키 "SKT 해킹, 이렇게 하면 막을 수 있었다"

러시아 정보보호 기업 카스퍼스키는 14일 기자간담회를 열고 "SK텔레콤(SKT) 같은 대형 해킹 사고는 발생하기 전 다크웹(Dark web)에서 징조가 나타난다"고 밝혔다. 다크웹은 인터넷을 쓰지만, 접속하려면 특정 프로그램을 사용해야 하는 웹을 가리킨다. 이날 아드리안 히아 카스퍼스키 아시아·태평양지역 사장은 서울 여의도 페어몬트호텔에서 열린 기자간담회에서 “SK텔레콤 사태를 포함해 최근 몇 달 동안 심각한 침해 사고가 한국은 물론이고 일본과 싱가포르에서도 나타났다”며 “카스퍼스키가 날마다 새롭게 찾은 바이러스는 2023년 40만개에서 2024년 47만개로 20% 늘었다”고 말했다. 그는 “이렇게 급증하는 이유는 북한 라자루스 같은 사이버 범죄 집단이 인공지능(AI)을 기반으로 수준 높은 공격을 하기 때문”이라며 “방화벽 하나로 막다가 '위험하다'니까 2개, 3개, 10개로 막는 데만 급급해서이기도 하다”고 지적했다. 카스퍼스키는 고객에게 “왼쪽으로 가라”고 조언한다. 더 앞으로 가서 예방하라는 뜻이다. 히아 사장은 “SK텔레콤처럼 심각한 사고가 터지기 앞서 다크웹을 살펴보면 징조를 미리 알아챌 수 있다”며 “해커를 겨냥한 스파이 역할을 하면 된다”고 조언했다. 그러면서 “카스퍼스키는 사이버 범죄 조직 동향을 알아둔다”며 “라자루스가 요새 무엇을 하는지 끊임없이 추적한다”고 설명했다. 또 “요즘 라자루스는 공격 형태를 바꿨다”며 “고객 환경을 바로 뚫고 들어가려 시도하기보다 공급망에 덫을 놓고 침투한다”고 전했다. 이어 “해커는 새롭게 공격하기 전에 모여서 채팅하고 제안을 주고받는다”며 “이런 침해 징조를 다크웹에서 찾으려고 한다”고 덧붙였다. 이효은 카스퍼스키 한국지사장은 “카스퍼스키에 다크웹을 집중해 살펴보는 '디지털 발자국 전문가'라는 직무가 있다”며 “해킹 징조를 알아보기도 하지만, 해커가 이후 '무엇을 털었다'거나 '현상금 얼마 걸었다'고 자랑하는지도 알 수 있다”고 강조했다. 카스퍼스키는 믿음직한 사이버 보안 기업이 되고자 '글로벌 투명성 이니셔티브(Global Transparency Initiative)'를 추진한다. 서울과 일본 도쿄, 이탈리아 로마, 스위스 취리히, 말레이시아 쿠알라룸푸르 등 세계 13개 도시에서 투명성센터를 운영한다. 고객과 협력사가 카스퍼스키 제품의 소스 코드, 위협 탐지 기술, 업데이트 시스템 등을 직접 검토할 수 있다. 이 지사장은 “러시아에 본사를 뒀다는 지정학적 문제 때문에 미국 같은 외국으로부터 억울하게 왜곡되는 경우가 종종 있다”며 “오해와 편견을 미리 불식시키려고 투명성센터 13곳을 운영한다”고 밝혔다. 그는 “관심있는 누구나 카스퍼스키 소프트웨어 소스 코드를 볼 수 있다”며 “이렇게 자신있고 당당하게 개방한 보안 회사는 세계에 카스퍼스키밖에 없다”고 강조했다. 히아 사장도 “뒷문(Backdoor)이 전혀 없다는 사실을 보여주려고 투명성센터를 세웠다”고 첨언했다. 백도어는 정상적인 보호·인증 절차를 우회해 정보통신망에 접근할 수 있도록 설치되는 프로그램이나 기술적 장치를 의미한다. 카스퍼스키는 러시아 업체라는 점을 오히려 강점으로 내세우기도 했다. 히아 사장은 “카스퍼스키는 세계 모든 지역에서 활동하는 유일한 정보보호 기업”이라며 “러시아와 중국과 북한까지 포함하는 회사는 카스퍼스키밖에 없다”고 소개했다. 그물을 넓게 칠 수 있어 경쟁사보다 탐지 역량이 뛰어나다는 입장이다. 카스퍼스키는 국제형사경찰기구(ICPO·인터폴) 및 각국 법 집행 기관과도 손잡았다. 히아 사장은 “카스퍼스키는 현지 위협에 대응하고 예상하고자 그 지역 인력에 투자한다”며 “삼성과 SK 등도 고객이라 북한 위협을 막고 중요한 자산을 관리하기 위해 한국 정부와도 협력한다”고 언급했다. 히아 사장은 “고객으로부터 '카스퍼스키는 AI를 어떻게 활용하느냐'는 질문을 받곤 한다”며 “14년 전부터 머신러닝 기술로 매일 47만개 넘는 바이러스를 발견·분석·차단한다, 이는 사람이 감당하기 힘든 숫자”라고 부연했다. 카스퍼스키는 1997년 설립 이래 6개 대륙 200개국에 30개 지사를 뒀다. 22만개사 4억명 고객의 10억개 기기를 지켰다. 이 가운데 아시아 33개국에 협력·총판사가 3천개 이상. 한국 협력사는 200개사 넘는다. 카스퍼스키는 엔드포인트 보호를 비롯해 클라우드 보안, 운영기술(OT) 보안, 위협 인텔리전스(Threat Intelligence) 등을 제공한다. 사이버 위협 인텔리전스(CTI), 인공지능(AI), 글로벌 리서치·분석팀(GReAT), 위협 분석, 운영기술(OT) 보안 센터도 운영한다. 지난해 카스퍼스키는 1년 전보다 11% 늘어난 8억2천200만 달러(약 1조1천823억) 매출을 달성했다. 역대 최고 실적이다. 이날 기자간담회는 카스퍼스키 연례 보안 설명회 '사이버 인사이트'를 앞두고 진행됐다. 카스퍼스키는 15일 서울 여의도 콘래드호텔에서 열리는 이 행사에 100개 고객사, 온라인에서도 1천500개사가 참여한다고 내다봤다.

2025.05.14 17:48유혜진 기자

  Prev 1 2 Next  

지금 뜨는 기사

이시각 헤드라인

'언제하냐'가 빠진 삼성·SK 반도체 팹 3200조 투자

"로봇말 대신 자동차"...사람 형태 아닌 문제 해결이 피지컬 AI 본질

삼성 파운드리, AI 시대 '넥서스' 선언…"2나노·HBM4로 생태계 주도"

보조금 배제 피한 테슬라, 기다렸다는 듯 가격 인상

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.