• ZDNet USA
  • ZDNet China
  • ZDNet Japan
  • English
  • 지디넷 웨비나
뉴스
  • 최신뉴스
  • 방송/통신
  • 컴퓨팅
  • 홈&모바일
  • 인터넷
  • 반도체/디스플레이
  • 카테크
  • 헬스케어
  • 게임
  • 중기&스타트업
  • 유통
  • 금융
  • 과학
  • 디지털경제
  • 취업/HR/교육
  • 생활/문화
  • 인사•부음
  • 글로벌뉴스
  • AI의 눈
반도체
인공지능
AI의 눈
IT'sight
칼럼•연재
포토•영상

ZDNet 검색 페이지

'라자루스'통합검색 결과 입니다. (6건)

  • 태그
    • 제목
    • 제목 + 내용
    • 작성자
    • 태그
  • 기간
    • 3개월
    • 1년
    • 1년 이전

AI 날개 단 '블랙 해커'…고도화된 해킹 생태계

지능화된 인공지능(AI)이 일상의 모든 영역을 파고드는 대전환의 시대, 기술의 화려한 도약만큼이나 시급한 과제는 바로 그 이면에 자리한 '디지털 신뢰'를 단단히 구축하는 일입니다. 지디넷코리아는 "AI 기술이 서 말이라도 보안으로 꿰어야 보배"라는 슬로건 아래, 약 두 달간 '2026 디지털 트러스트' 연중 기획 연재 및 캠페인을 진행합니다. 해킹·딥페이크·가짜뉴스·랜섬웨어 등 진화하는 보안 위협 속에서 단순한 기술 편익을 넘어 '안전한 AI 생태계'를 조성하기 위한 공론의 장을 마련하고, 기술과 보안이 공존하는 지속 가능한 디지털 미래의 이정표를 제시하고자 합니다. [편집자주] 2025년은 우리나라의 디지털 트러스트가 완전히 무너진 한 해였다. 기업 내부 데이터는 물론 정부, 국민의 민감한 정보까지 '블랙 해커'의 손에 넘어갔다. 올해 다시 디지털 트러스트를 재건하기 위해서는 튼튼한 방어 체계를 구축하는 것은 물론 공격자들, 즉 블랙 해커의 동향을 파악하는 것도 못지 않게 중요하다. 안전한 사이버 환경을 위협하는 공격자들은 다양한 형태로 존재한다. 데이터를 탈취·암호화하고 금전을 뜯어내는 랜섬웨어(Ransomware) 공격, 북한·중국·러시아 등 국가 배후 세력의 지능형 지속 공격(APT) 세력이 대표적이다. 이들 외에도 개별적으로 조직을 공격하고 데이터를 탈취해 암거래하는 세력까지 포함하면 호시탐탐 수많은 블랙 해커 조직들이 우리 사이버 환경을 위협하고 있다. 심지어 이들의 공격은 AI를 본격적으로 악용하기 시작하면서 양적·질적으로 고도화했다. 악성코드, 익스플로잇(취약점 공격) 등 공격에 활용되는 도구를 가져다 팔기도 하고, 아예 공격 자체를 서비스화해 돈을 버는 산업화된 생태계를 만들어내기도 했다. 블랙 해커를 전부 다 검거하면 가볍게 해결되는 문제라고 생각할 수 있지만, 여간 쉬운 일이 아니다. 추적을 피하기 위해 공격 시 흔적을 깔끔하게 지우는 것은 물론, 이들은 특수한 경로로만 접근해야 하는 다크웹 환경에서 활동하고 있어 검거에 어려움을 가중시킨다. 랜섬웨어 4배 폭증…AI 악용으로 공격 속도도 빨라져 랜섬웨어 공격자들은 기업·기관의 데이터를 사용하지 못하게 암호화·탈취하고 이를 풀어주는 대가로 피해 기업·기관에 금전을 요구한다. 심지어 다크웹 유출 전용 사이트(DLS)에 타이머를 띄워 놓고 임의로 협상 기한까지 설정해 놓는다. 이 시간 내로 돈을 보내지 않으면 탈취한 데이터를 모두 공개해버리겠다는 협박인 셈이다. 지난해 랜섬웨어 공격 조직은 공격 자체를 서비스화해 서비스형 랜섬웨어(RaaS) 형태로 수익을 챙기고 있으며, 협박을 통한 금전 확보 외에도 탈취한 데이터를 다크웹에서 판매하는 식으로 추가 수익을 올리고 있다. 지난달 글로벌 네트워크 보안 기업 포티넷이 발표한 '2026 글로벌 위협 동향 보고서'에 따르면 블록체인 기술 발달로 암호화폐를 통해 랜섬웨어 조직들이 자산을 현금화하려는 시도가 포착됐다. 최근에는 협박이 잘 통하지 않자, 랜섬웨어 공격 목표를 데이터 탈취로 방향을 틀었다. 실제로 4일 글로벌 보안 기업 카스퍼스키가 발표한 '랜섬웨어 동향 보고서'에 따르면 랜섬웨어 공격자들이 공격을 산업화하고 침투 과정을 자동화하며, 단순한 시스템 암호화보다 민감 정보 탈취 및 유출에 집중하고 있다는 분석이 나온 바 있다. 심지어 이런 공격은 AI의 발달과 맞물려 양적·질적으로 고도화됐다. 포티넷에 따르면 랜섬웨어 공격을 당한 전 세계 기업은 2024년 약 1600개 기업에서 지난해 7831개 기업으로 389%나 폭증했다. 평균 5.4일 걸리던 공격도 AI를 악용하기 시작하면서 공격이 자동화됨에 따라 공격 속도 역시 24시간 이내나 즉시 이뤄지는 수준으로 빨라졌다. 한국에서도 예스24, SGI서울보증, 여러 자산운용사 등 많은 기업들이 랜섬웨어에 홍역을 앓았다. 5일 랜섬웨어 추적 사이트 '랜섬웨어닷라이브'에 따르면 랜섬웨어 공격자들이 DLS에 피해자를 등록한 것을 기준으로 집계한 지난해 국내 랜섬웨어 피해 기업 수는 47곳으로, 2024년 22곳 대비 2배 이상 늘었다. 올해에도 공격이 계속되며 올해 6월 초까지만 해도 21곳이 공격을 받았다. 특히 이같은 조사 결과를 DLS 업로드를 기준으로 하기 때문에, 공격자가 특정되지 않은 교원그룹 랜섬웨어 등을 포함하면 실제 공격 건수는 이보다 많을 가능성이 크다. 랜섬웨어닷라이브에 따르면 지난해 가장 많이 한국을 공격한 랜섬웨어 조직은 러시아계 '킬린(Qilin)'으로, 지난해 한 해 동안에만 30곳이 넘는 한국 기업들을 공격했다. 이어 SGI서울보증, 인하대, 화천기계 등 국내 기업·기관을 대상으로 랜섬웨어 피해를 입힌 '건라(Gunra)'도 두 번째로 많은 피해를 입혔다. 킬린은 올해에도 5곳의 한국 기업을 공격한 것으로 집계됐으며, 건라 역시 올해 국제약품의 데이터를 탈취해 DLS에 데이터를 업로드했다. 김기문 한국인터넷진흥원(KISA) 랜섬웨어대응팀장은 "국내 랜섬웨어 침해사고 신고 건수는 2025년 기준 전년 대비 40.5% 늘어난 것으로 나타났으며, 올해 1분기에도 전년 동기 대비 123% 늘었다"며 "최근 랜섬웨어는 단순 암호화에 그치지 않고 암호화, 데이터유출, 디도스(분산 서비스 거부·DDoS) 공격, 집적협박과 함께, 취약점이 존재하는 정상적으로 인증받은 드라이버를 강제 설치해 관리자 권한을 획득하는 공격이 이뤄지고 있다. 또한 윈도우 내부에 이미 존재하는 정상적인 도구들만을 활용해 공격을 수행하는 방식, 즉 LotL 전략 등 탐지 우회와 인프라 무력화에 초점이 맞춰져 있다"고 진단했다. 김 팀장은 이어 "최근 록빗(LockBit), 킬린, 드래곤포스(Dragonforce) 등 랜섬웨어 범죄 조직들은 연합을 구성하고 혼합된 전술을 사용해 랜섬웨어 공급망 구조로 진화하고 있다"며 "이를 통해 랜섬웨어 조직이 검거되더라도 공격을 지속할 수 있는 회복 탄력성을 갖출 것으로 예상된다. 각 범죄조직 간 우수한 기법을 상호 학습 및 공유·결합해 랜섬웨어를 더 견고하게 제작할 가능성이 높다"고 경고했다. 그는 "갈수록 진화하는 지능형 랜섬웨어에 대응하기 위해서는 시그니처 기반이 아닌 행위 기반의 탐지가 필수"라며 "반드시 물리적 오프라인 백업 체계를 갖추고, 주기적인 복구 훈련을 통해 방어 중심이 아닌 회복 중심으로 설계 변경을 고려해야 한다"고 강조했다. "북한 지능형 지속 공격 계속된다"…AI로 공격 가속화 북한, 중국 등 국가와 연계된 공격자들은 한국 정부나 기업 내부에 오랜 기간 숨어 있다가 데이터를 지속적으로 탈취한다. 이들은 AI 플랫폼을 활용해 공격을 자동화하는 데다가 탐지 솔루션을 회피하고 오랜 기간 내부 시스템에 침투할 수 있는 역량을 키워 왔다. 이에 따라 공격은 점점 더 은밀하고 장기화되는 추세다. 공격을 위해 합법적인 소프트웨어나 도구를 활용하거나 신뢰할 수 있는 플랫폼을 악용하는 방식도 서슴치 않는다. 게다가 한국은 지정학적으로 북한, 중국, 러시아 등 국가 배후 해킹 세력과 밀접해 있으며, IT 산업이 빠르게 발전해 공격자들이 탈취하기에 유의미한 데이터가 많다는 특징이 있다. 글로벌 보안 기업 트렌드AI가 발표한 '2025 APT 보고서'에 따르면 APT 세력들은 AI를 탑재해 공격을 가속화하고 대응시간을 단축하며 위험 수위를 높이고 있는 것으로 나타났다. 보고서는 "APT 공격 그룹들은 더욱 스마트하고 효율적으로 진화하고 있으며, 높은 정밀도로 활동하고 표적 시스템 내에서 가능한 한 오랫동안 탐지를 피하며 활동한다"며 "지정학적·경제적 목표를 추구하는 지속적이고 반자율적인 실체로 진화했으며, 공격자들이 AI를 지원 도구로 실험하는 단계에서 침입 수명주기 전반에 걸쳐 통합하는 단계로 진화하면서 위협 환경이 크게 변화했다"고 진단했다. 이에 따라 "공격 캠페인들은 점점 더 은밀하고 장기화되었으며, 일반 네트워크 활동에 혼합되는 한편 AI의 지원에 따라 횡적 이동, 표적 결정, 권한 상승을 가속화하고 있다"며 "동시에 많은 APT 공격자들이 합법적 도구, 클라우드 서비스, 신뢰할 수 있는 플랫폼을 악용하는 방식을 선호하는 추세가 강해지고 있으며, 이 접근법은 AI 기반 회피 기술과 자연스럽게 결합된다. 그 결과 중요 산업 및 지역 허브에 대한 공격이 급격히 증가하고, 초기 접근부터 실제 피해까지의 공격 윈도우가 더욱 좁아지고 있다"고 분석했다. 한국은 APT 공격자들의 집중 공세를 받는 국가 중 하나다. 지난해 8월 미국 해킹 잡지 '프랙(phrack)'이 발표한 'APT Down: The North Korea Files' 보고서에 따르면 북한 혹은 중국의 지원을 받는 APT 세력이 한국과 대만 정부의 내부 시스템에 대한 지속적인 공격이 이어진 것으로 나타났다. 보고서에 따르면 이 공격 세력은 통일부·해양수산부 계정으로 국내 공무원 업무시스템인 온나라시스템에 침투한 것으로 알려졌다. 행정안전부도 이같은 침해사실을 공식 시인한 바 있다. 온나라시스템 외에도 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 및 피싱 시도를 한 사실이 드러났다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 지니언스시큐리티센터(GSC) 센터장을 맡고 있는 문종현 지니언스 이사는 "보안상의 이유로 최근 두드러지는 APT 공격 세력에 대한 내용을 자세히 공개할 수는 없지만, 대표적인 북한 배후 APT 그룹인 라자루스, 김수키, APT37 등 공격 세력의 한국 대상 공격은 계속되고 있다"며 "특히 최근에는 APT 공격자들이 AI를 당연하게 사용하고 있다고 봐도 될 정도로 활용도가 뛰어나다. 악성 스크립트를 짜거나, 다크웹에 웹사이트를 만드는 것에 효과적으로 AI가 작용하기 때문에 공격자들도 AI를 모두 사용하고 있는 중"이라고 밝혔다. 문 이사는 이어 "APT 그룹들은 과거에는 방산기술, 2017년경에는 암호화폐, 러시아·우크라이나 전쟁 때에는 드론 등 사회적으로 꼭 필요하다고 보이는 기술을 탈취하는 데 주력하는 경향이 있다"며 "최근에는 AI 기술이 사회적으로 큰 파장을 불러오고 있는 만큼 AI 모델을 개발하는 기업이나 연구원을 대상으로 공격이 집중될 가능성이 크고, 실제 공격이 이뤄지고 있을 것으로 보인다. 이를 통해 AI를 무제한으로 활용하고 무기화하면서 APT 공격에 더 적극적으로 AI를 악용하려 시도할 것"이라고 경고했다. 헐값에 탈취 데이터 거래하는 불법 해킹 조직 블랙 해커로 불리는 랜섬웨어 조직, APT 세력들의 핵심 목표는 '내부 데이터 탈취'다. 민감한 데이터를 탈취해 협박·금전갈취를 하느냐, 첩보로 활용하느냐의 차이다. 결국 불법적인 도구나 기법을 활용해 내부 시스템에 침투하고, 데이터를 빼가는 것은 동일하다. 이같은 조직에 속해 있는 해커들은 사실 '회사원'으로 보는 것이 타당하다. 프랙 보고서에서 발표한 내용을 보면, 실제 APT 그룹은 공휴일에 공격을 쉬거나 정해진 시간에 공격이 멈추는 등 마치 회사원처럼 정해진 근무 시간이 있는 것으로 파악된다. 랜섬웨어 조직들 역시 누군가는 해킹 도구를 개발하고, 누군가는 기업을 협박하며 누군가는 실제 익스플로잇을 실행하는 등 철저히 분업화돼 있다. 블랙 해커들은 수익이 필요하다. 익명을 요구한 레드팀 보안 관계자는 "해커들은 불법적인 공간에서 불법으로 데이터를 사고 팔며 수익을 올린다. 이렇게 확보한 금액을 조직을 운영하거나 더 나은 해킹 도구를 개발하는 데 사용한다"며 "불법적인 공격 행위를 하기 때문에 수익 확보를 위해 어떤 불법 행위도 서슴지 않는다는 특징도 있다. 이에 불법 해킹 포럼이나 다크웹 내에 채널을 개설하고 이곳을 통해 데이터, 공격 도구, 계정 정보, 권한 등을 판매하는 것을 어렵지 않게 발견할 수 있다"고 설명했다. '브리치포럼스(Breachforums)', '다크포럼스(Darkforums)' 등 불법 해킹 포럼이 대표적이다. 김영표 포티넷코리아 정보보호최고책임자(CISO, 이사)는 지난달 28일 기자 간담회를 통해 "암호화폐를 통해 자산을 현금화하려는 시도가 이어진다. 불법 해킹 포럼 등 다크넷 마켓에서는 비트코인, 이더리움 등 가상자산 주소를 이용해 탈취한 데이터나 인포스틸러, 익스플로잇 도구, 취약점, 관리자 권한 등을 거래한다"며 "랜섬웨어, 멀웨어(악성코드) 등 서비스가 다른 공격 요소와 결합돼 단순 서비스 주기 이상의 산업화된 생태계가 형성됐다"고 밝힌 바 있다. 랜섬웨어 조직과 APT 그룹 외에도 이같은 다크웹 공간에서 활동하는 개별적인 해커들도 적지 않다. 한국 환경부 소스코드를 탈취했던 과거 브리치포럼스 운영자 '인텔브로커(IntelBroker)' 등이 대표적이다. 한국도 최근 피해를 입었다. 올해 초 다크포럼스에 '애슐리우드2022(AshleyWood2022)'라는 닉네임의 해커가 충북대를 비롯한 병원, 대학, 성형외과 웹페이지 등 소규모 웹사이트 약 20곳에서 탈취한 개인정보를 판매하는 게시글을 올린 정황을 지디넷코리아가 보도한 바 있다. 이런 공간은 익명으로 데이터를 거래할 수 있기 때문에 랜섬웨어 조직이나 APT 그룹도 탈취한 데이터를 손쉽게 판매한다. 더 나은 공격 도구나 침투에 활용할 수 있는 계정정보를 구매하는 것도 가능하다. 심지어 거래되는 가격도 헐값인 경우가 많다. 브리치포럼스의 경우 암호화폐를 통한 거래도 가능하지만 포럼 내에서 거래되는 화폐 단위인 '크레딧'을 통해 데이터를 사고 파는 것이 가능하다. 2024년 기준 30크레딧에 8유로(한화 약 1만4337원) 정도인데, 데이터를 1크레딧, 3크레딧 수준에서 판매하는 것도 발견된다. 전 세계 민감할 수 있는 데이터들이 헐값에 블랙 해커들 사이에서 판매되고 있는 것이다. 다크웹 특성상 공격 세력 '일망타진' 어렵다…"국제 공조 확대 필요" 공격자들을 모조리 찾아내 검거하는 것은 사실상 불가능하다. 철저한 익명화와 더불어 추적이 어려운 인터넷 환경인 다크웹에서 점조직 형태로 주로 활동하기 때문이다. 다크웹은 접속 허가가 필요한 네트워크나 특정 소프트웨어로만 접속할 수 있는 또 다른 인터넷 환경이다. 일반적으로 사용자가 인터넷에 접속할 때, 구글이나 네이버 등 브라우저를 통해 인터넷에 접속하게 된다. 이는 '표면 웹(Surface Web)'으로 누구나 접속 가능한 공간이다. 웬만한 웹 페이지는 브라우저를 통해 접근할 수 있다. 그러나 인터넷 환경은 더 거대하다. 보안업계에서는 표면 웹은 '빙산의 일각'에 비유해 설명한다. 말 그대로 표면 위에 떠 있는 웹 환경일 뿐, 수면 아래 더 거대한 인터넷이 있다는 것이다. 이를 '딥웹(Deep Web)'이라고 하는데, 네이버나 구글처럼 일반적인 브라우저를 통해 검색되지 않는 인터넷 공간을 말한다. 이에 특수 브라우저로 접근하거나 접속 허가가 필요한 네트워크 환경에 구현된다. 웹페이지를 찾아다니는 웹 크롤러에 의해 걸리지 않아 브라우저 검색을 통해 찾을 수 없다. 회사 내부망 등 일반적으로 접근할 수 없는 네트워크 환경이나, 개인 클라우드 공간, 이메일을 주고받는 웹 환경도 딥웹에 포함된다. 다크웹은 딥웹보다 더 깊은 공간에 구현된 웹 환경이다. 오직 특수 브라우저를 통해서만 접근이 가능하며, 철저한 익명화를 특징으로 한다. 이에 불법 해킹 포럼이나 탈취 데이터 거래 환경이 다크웹상에서 조성되고 있는 것이다. 다만 다크웹이 100% 불법은 아니다. 익명화가 필요한 사람이나 콘텐츠가 필요한 경우 다크웹을 활용할 수 있다. 하지만 마약, 불법 데이터 거래, 무기 거래, 음란물 서비스 등 익명화로 추적이 어렵다는 특징을 악용해 불법적인 행위가 벌어지고 있는 곳임은 분명하다. 이용준 극동대 해킹보안학과 교수는 "실제 사이버 범죄자를 검거하는 과정은 가상자산 지갑 추적뿐 아니라 공격자가 운영하는 서버나 패널을 압수해 내부 계정, 피해자 목록, 접속기록을 확보하는 방식, 호스팅 업체·도메인 등록기관·거래소와 협력해 운영 흔적을 추적하는 방식 등 여러 방식이 수사에 활용된다"며 "이에 사이버 위협 행위자는 익명화 도구와 다크웹을 활용하기 때문에 단순 추적만으로는 검거가 어렵다"고 설명했다. 이 교수는 이어 "랜섬웨어나 APT 조직은 피해자는 한 국가에 두고, 서버는 다른 국가에 두며, 자금은 또 다른 국가의 거래소나 믹서를 거치는 방식으로 활동하기 때문에 한 국가의 수사권만으로는 한계가 분명하다"며 "국가 간 정보 공유, 증거보전 절차, 가상자산 추적 협력, 신속한 서버 압수와 도메인 차단 등 수사 전주기 체계가 강화돼야 한다"고 강조했다.

2026.06.09 14:27김기찬 기자

업비트 445억 규모 해킹, 북한 라자루스 소행?

디지털자산(가상자산) 거래소 업비트에서 발생한 445억원 규모 가상자산 해킹 사건의 배후로 북한 정찰총국 산하 해킹조직 라자루스가 지목되고 있다. 28일 업계에 따르면, 정부 당국은 업비트의 이번 해킹 사건 배후로 라자루스를 지목하고, 점검에 나섰다. 라자루스 해커조직은 2019년 업비트에 보관된 580억원 규모 이더리움 탈취 사건에도 가담했다고 알려졌다. 이번 해킹 사고는 핫월렛(인터넷과 연결된 개인 지갑)에서 발생했다. 금융감독원과 금융보안원은 업비트를 현장 점검하고 있으며, 한국인터넷진흥원(KISA)도 인력 지원을 위해 점검에 나선 것으로 알려졌다. 업비트 측은 어제(27일) 새벽 솔라나 네트워크 기반 자산에서 비정상 출금 정황이 발생함에 따라 입출금 서비스를 중단하고 긴급 보안 점검에 착수했다. 피해 규모는 당초 약 540억원 상당으로 집계됐으나, 추후 445억원로 정정했다. 업비트 운영사인 두나무는 이번 비정상 출금으로 인해 발생한 손실은 전액 회사 자산으로 보전하며 회원 자산에는 어떠한 피해도 없다고 강조했다. 아울러 비정상 출금 행위와 관련해 확인 가능한 정보가 있을 경우 고객센터 제보를 요청하며 대응을 이어간다는 방침이다.

2025.11.28 12:13이도원 기자

北 해킹 조직 산하 그룹, AI로 공격한다…블루노로프 포착

인공지능(AI)의 발달로 인공지능 기반의 악성코드 등 사이버 공격이 가속화되고 있다는 분석이 나왔다. 심지어 북한 해킹 세력으로 알려진 그룹도 AI를 활용해 공격 저변을 넓혀나가고 있다. 글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)는 GReAT(글로벌 연구 분석팀)이 해킹 그룹인 블루노로프(BlueNoroff)의 최신 APT(지속 공격) 활동을 5일 공개했다. 보고서에 따르면 생성형 AI의 도입으로 블루노로프는 악성코드 개발 속도를 크게 높이고 공격 기법을 정교화할 수 있었던 것으로 확인됐다. 공격자들은 새로운 프로그래밍 언어를 도입하고 탐지 및 분석을 어렵게 만드는 기능을 추가하는 등 공격을 고도화했다. 이를 통해 공격의 규모와 복잡성을 동시에 확장하기도 했다. 블루노로프의 활동은 'GhostCall'과 'GhostHire'라는 두 가지 고도화된 표적형 공격으로, 지난 2025년 4월부터 인도, 터키, 호주 및 유럽·아시아의 여러 국가에 걸쳐 Web3 및 암호화폐 관련 기관을 대상으로 진행되고 있다. 특히 블루노로프는 북한 추정 해킹 세력으로 알려진 라자루스(Lazarus) 그룹의 하위 조직으로 확인됐다. 글로벌 암호화폐 산업을 겨냥한 금전적 탈취를 목적으로 하는 공격 기법을 사용한다. 새롭게 포착된 'GhostCall'과 'GhostHire' 공격은 블록체인 개발자와 임원진을 침해하기 위해 새로운 침투 기법과 맞춤형 악성코드를 사용하며, 윈도우 및 macOS 시스템을 주요 공격 대상으로 삼고 통합 명령제어 인프라를 통해 관리되고 있다. 카스퍼스키의 오마르 아민 GReAT 선임 보안 연구원은 “이전 캠페인과 비교할 때, 위협 행위자의 공격 전략은 단순한 암호화폐 탈취나 브라우저 자격 증명 탈취를 넘어섰다. 생성형 AI의 활용으로 공격 준비 과정이 단축되고, 더 정교한 표적화가 가능해졌다. 공격자는 수집된 데이터와 AI의 분석 역량을 결합해 공격의 범위를 지속적으로 확대하고 있다”라고 경고했다.

2025.11.05 18:33김기찬 기자

포티넷 부사장 "한국 보안 미흡···공격 더 많아질 것"

한국 정보보호 수준은 1~2년 뒤를 생각하면 충분하지 않아요. 당장은 괜찮지만요. 미국 사이버 보안 회사로서 관찰하니 공격자가 한국에서 목표 삼을 만한 대상을 정찰하는 모습이 보여요. 1~2년 뒤 공격 경로가 정교해질 것 같습니다. 데릭 맨키 포티넷 부사장은 지난달 27일 서울 잠실동 롯데호텔월드에서 지디넷코리아와 만나 이같이 밝혔다. 맨키 부사장은 포티넷 북아시아 지역 연례 행사에 참석하기 위해 한국을 찾았다. 그는 “한국이 해야 할 일은 인공지능(AI)을 활용해 사이버 공격을 방어하는 일”이라며 “다른 조직도 보안을 탐지하고 대응하려고 AI에 투자하고 있다”고 말했다. 그러면서 “이미 많은 공격자가 한국에서 AI를 무기로 사이버 범죄를 저지른다”며 “AI라는 도구 덕에 외국인도 상당히 교묘하게 한국어로 공격하는 걸 봤다”고 전했다. 포티넷에 따르면 올해 들어 4월까지 공격자가 한국에서 사이버 공격을 시도한 건수는 8억8100만건이다. 맨키 부사장은 “세계 평균보다 많은 건수”라며 “모두 성공한 것은 아니라는 게 다행”이라고 분석했다. 그는 “한국에서 사이버 위협 판도가 여느 때보다 빠르게 변하고 있다”며 “과거에는 한글과컴퓨터가 개발한 한컴오피스 'hwp' 파일을 미끼로 내세운 공격이 많았다”고 들려줬다. 또 “hwp를 활용한 공격은 마이크로소프트(MS) 워드(word) 프로그램을 주로 쓰는 사기업보다 한컴오피스를 애용하는 정부 집단에서 활발하게 일어났다”며 “정부 관료가 업무 문서라고 생각해 hwp 파일을 내려받아 열면 공격 당했다”고 설명했다. 이어 “북한 해커 집단 라자루스가 hwp를 무기로 시스템에 접근해서 가상자산을 탈취해 수익을 얻었다”며 “시스템에 들어가기 위한 발판으로 hwp를 쓰기도 했다”고 덧붙였다. 맨키 부사장은 포티넷에서 바이러스 분석가로 출발했다. 개발자를 거쳐 위협 탐지 전문가로 일하고 있다. 공격자가 네트워크에 어떻게 침투하는지, 어떤 새로운 공격 기법을 썼는지, 무슨 기술을 개발해 보호해야 하는지 알아본다. 맨키 부사장은 2004년 9월부터 포티넷에서 일하고 있다. 입사하기 앞서 대학에서 프로그래밍을 가르쳤다. 그는 “막연히 네트워킹이나 소프트웨어(SW) 엔지니어가 되고 싶다고 생각했을 뿐 포티넷 들어오기 전에는 스스로 사이버 보안에 관심 있는지 몰랐다”며 “친구 권유로 포티넷에 지원해 흥미로운 기회를 얻었다”고 귀띔했다. 마지막으로 “많은 사람이 내가 포티넷에 합류하기 전 대학교에서 강의했다는 사실을 모른다”며 “이전 경력을 물어본 인터뷰 질문자는 유혜진 지디넷코리아 기자가 처음”이라고 웃었다.

2025.06.03 17:03유혜진 기자

카스퍼스키 "SKT 해킹, 이렇게 하면 막을 수 있었다"

러시아 정보보호 기업 카스퍼스키는 14일 기자간담회를 열고 "SK텔레콤(SKT) 같은 대형 해킹 사고는 발생하기 전 다크웹(Dark web)에서 징조가 나타난다"고 밝혔다. 다크웹은 인터넷을 쓰지만, 접속하려면 특정 프로그램을 사용해야 하는 웹을 가리킨다. 이날 아드리안 히아 카스퍼스키 아시아·태평양지역 사장은 서울 여의도 페어몬트호텔에서 열린 기자간담회에서 “SK텔레콤 사태를 포함해 최근 몇 달 동안 심각한 침해 사고가 한국은 물론이고 일본과 싱가포르에서도 나타났다”며 “카스퍼스키가 날마다 새롭게 찾은 바이러스는 2023년 40만개에서 2024년 47만개로 20% 늘었다”고 말했다. 그는 “이렇게 급증하는 이유는 북한 라자루스 같은 사이버 범죄 집단이 인공지능(AI)을 기반으로 수준 높은 공격을 하기 때문”이라며 “방화벽 하나로 막다가 '위험하다'니까 2개, 3개, 10개로 막는 데만 급급해서이기도 하다”고 지적했다. 카스퍼스키는 고객에게 “왼쪽으로 가라”고 조언한다. 더 앞으로 가서 예방하라는 뜻이다. 히아 사장은 “SK텔레콤처럼 심각한 사고가 터지기 앞서 다크웹을 살펴보면 징조를 미리 알아챌 수 있다”며 “해커를 겨냥한 스파이 역할을 하면 된다”고 조언했다. 그러면서 “카스퍼스키는 사이버 범죄 조직 동향을 알아둔다”며 “라자루스가 요새 무엇을 하는지 끊임없이 추적한다”고 설명했다. 또 “요즘 라자루스는 공격 형태를 바꿨다”며 “고객 환경을 바로 뚫고 들어가려 시도하기보다 공급망에 덫을 놓고 침투한다”고 전했다. 이어 “해커는 새롭게 공격하기 전에 모여서 채팅하고 제안을 주고받는다”며 “이런 침해 징조를 다크웹에서 찾으려고 한다”고 덧붙였다. 이효은 카스퍼스키 한국지사장은 “카스퍼스키에 다크웹을 집중해 살펴보는 '디지털 발자국 전문가'라는 직무가 있다”며 “해킹 징조를 알아보기도 하지만, 해커가 이후 '무엇을 털었다'거나 '현상금 얼마 걸었다'고 자랑하는지도 알 수 있다”고 강조했다. 카스퍼스키는 믿음직한 사이버 보안 기업이 되고자 '글로벌 투명성 이니셔티브(Global Transparency Initiative)'를 추진한다. 서울과 일본 도쿄, 이탈리아 로마, 스위스 취리히, 말레이시아 쿠알라룸푸르 등 세계 13개 도시에서 투명성센터를 운영한다. 고객과 협력사가 카스퍼스키 제품의 소스 코드, 위협 탐지 기술, 업데이트 시스템 등을 직접 검토할 수 있다. 이 지사장은 “러시아에 본사를 뒀다는 지정학적 문제 때문에 미국 같은 외국으로부터 억울하게 왜곡되는 경우가 종종 있다”며 “오해와 편견을 미리 불식시키려고 투명성센터 13곳을 운영한다”고 밝혔다. 그는 “관심있는 누구나 카스퍼스키 소프트웨어 소스 코드를 볼 수 있다”며 “이렇게 자신있고 당당하게 개방한 보안 회사는 세계에 카스퍼스키밖에 없다”고 강조했다. 히아 사장도 “뒷문(Backdoor)이 전혀 없다는 사실을 보여주려고 투명성센터를 세웠다”고 첨언했다. 백도어는 정상적인 보호·인증 절차를 우회해 정보통신망에 접근할 수 있도록 설치되는 프로그램이나 기술적 장치를 의미한다. 카스퍼스키는 러시아 업체라는 점을 오히려 강점으로 내세우기도 했다. 히아 사장은 “카스퍼스키는 세계 모든 지역에서 활동하는 유일한 정보보호 기업”이라며 “러시아와 중국과 북한까지 포함하는 회사는 카스퍼스키밖에 없다”고 소개했다. 그물을 넓게 칠 수 있어 경쟁사보다 탐지 역량이 뛰어나다는 입장이다. 카스퍼스키는 국제형사경찰기구(ICPO·인터폴) 및 각국 법 집행 기관과도 손잡았다. 히아 사장은 “카스퍼스키는 현지 위협에 대응하고 예상하고자 그 지역 인력에 투자한다”며 “삼성과 SK 등도 고객이라 북한 위협을 막고 중요한 자산을 관리하기 위해 한국 정부와도 협력한다”고 언급했다. 히아 사장은 “고객으로부터 '카스퍼스키는 AI를 어떻게 활용하느냐'는 질문을 받곤 한다”며 “14년 전부터 머신러닝 기술로 매일 47만개 넘는 바이러스를 발견·분석·차단한다, 이는 사람이 감당하기 힘든 숫자”라고 부연했다. 카스퍼스키는 1997년 설립 이래 6개 대륙 200개국에 30개 지사를 뒀다. 22만개사 4억명 고객의 10억개 기기를 지켰다. 이 가운데 아시아 33개국에 협력·총판사가 3천개 이상. 한국 협력사는 200개사 넘는다. 카스퍼스키는 엔드포인트 보호를 비롯해 클라우드 보안, 운영기술(OT) 보안, 위협 인텔리전스(Threat Intelligence) 등을 제공한다. 사이버 위협 인텔리전스(CTI), 인공지능(AI), 글로벌 리서치·분석팀(GReAT), 위협 분석, 운영기술(OT) 보안 센터도 운영한다. 지난해 카스퍼스키는 1년 전보다 11% 늘어난 8억2천200만 달러(약 1조1천823억) 매출을 달성했다. 역대 최고 실적이다. 이날 기자간담회는 카스퍼스키 연례 보안 설명회 '사이버 인사이트'를 앞두고 진행됐다. 카스퍼스키는 15일 서울 여의도 콘래드호텔에서 열리는 이 행사에 100개 고객사, 온라인에서도 1천500개사가 참여한다고 내다봤다.

2025.05.14 17:48유혜진 기자

北 해킹 조직 라자루스, 신종 악성코드 '쿠키플러스'로 핵심 산업 겨냥

북한과 연계된 해킹 조직 라자루스가 새로운 악성코드 '쿠키플러스'를 이용해 핵 및 방위 산업을 표적으로 한 사이버 공격을 감행했다는 조사 결과가 나왔다. 23일 카스퍼스키에 따르면 라자루스는 지속적인 공격 캠페인 '오퍼레이션 드림잡'의 일환으로 쿠키플러스를 배포했다. 이 캠페인은 지난 2019년 암호화폐 기업을 겨냥해 시작됐으며 최근에는 핵, 방위, IT 등 중요 산업까지 공격 대상이 확대됐다. 이번 공격은 유명 항공우주 및 방위 기업의 IT 직책 기술 평가로 위장한 손상된 압축 파일을 통해 이뤄졌다. 특히 라자루스는 이러한 악성 파일을 링크드인 등 구직 플랫폼을 통해 전파하며 표적의 감염을 시도했다. 쿠키플러스는 오픈 소스 '노트패드++' 플러그인인 '컴페어플러스'로 위장돼 있었다. 해당 악성코드는 시스템 정보를 수집하고 실행 일정을 조정하며 특정 시간 대기를 유지하는 등 다양한 기능을 수행해 탐지 회피와 지속적인 시스템 침투를 가능하게 했다. 라자루스의 캠페인은 지난해 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 기업들을 공격 대상으로 삼으며 범위를 더욱 넓혔다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업을 대상으로 한 정교한 공격이 포착됐다. 류소준 카스퍼스키 글로벌 연구 분석팀 책임은 "오퍼레이션 드림잡은 민감한 시스템 정보를 수집해 개인정보 도용이나 스파이 활동에 악용될 수 있어 큰 위험을 동반한다"며 "이 악성코드는 행동을 지연시켜 탐지를 피하고 장기간 시스템에 잔류할 수 있다"고 경고했다. 이효은 카스퍼스키 한국 지사장은 "라자루스는 글로벌 사이버 보안에 큰 위협으로 자리 잡았다"며 "조직들은 위협 정보를 적극 활용하고 고급 보안 솔루션을 통해 이들의 전술을 앞서야 한다"고 강조했다.

2025.01.23 08:22조이환 기자

  Prev 1 Next  

지금 뜨는 기사

이시각 헤드라인

[ZD브리핑] 최태원 회장이 밝히는 美 나스닥 ADR 상장 이후 청사진은

오픈AI "GPT-5.6 솔 울트라, 50년 수학 난제 1시간 만에 증명"

디나미스 원, 서브컬처 해답은 '오가닉 아트'…"창작의 중심은 사람"

美, 프론티어 AI에 안보 고삐…"韓도 위험평가 체계 갖춰야"

ZDNet Power Center

Connect with us

ZDNET Korea is operated by Money Today Group under license from Ziff Davis. Global family site >>    CNET.com | ZDNet.com
  • 회사소개
  • 광고문의
  • DB마케팅문의
  • 제휴문의
  • 개인정보취급방침
  • 이용약관
  • 청소년 보호정책
  • 회사명 : (주)메가뉴스
  • 제호 : 지디넷코리아
  • 등록번호 : 서울아00665
  • 등록연월일 : 2008년 9월 23일
  • 사업자 등록번호 : 220-8-44355
  • 주호 : 서울시 마포구 양화로111 지은빌딩 3층
  • 대표전화 : (02)330-0100
  • 발행인 : 김경묵
  • 편집인 : 김태진
  • 개인정보관리 책임자·청소년보호책입자 : 김익현
  • COPYRIGHT © ZDNETKOREA ALL RIGHTS RESERVED.