검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'북한해킹'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

韓 금융권 노리는 北·中·러 해커, AI 기술로 '암호화폐' 노린다

최근 북한 배후 위협그룹의 암호화폐 탈취 사건이 밝혀진 가운데 우리나라 금융권을 타깃으로 한 공격이 점차 늘어나고 있어 기업들의 보안 강화를 요구하는 목소리가 높아지고 있다. 26일 S2W가 발표한 '4차 금융 보안 보고서'에 따르면 북한, 중국, 러시아 등 국가를 배후로 둔 APT(Advanced Persistent Threat) 그룹이 금융기관과 조직을 상대로 사이버 공격을 강화하고 있는 것으로 나타났다. 특히 북한 배후 APT 그룹의 암호화폐 탈취 시도를 포착해 분석한 결과, 북한 배후 APT 그룹 라자루스(Lazarus)와 안다리엘(Andariel)의 프로파일링이 포함돼 주목된다. 이들은 경찰청 국가수사본부가 지난 2019년 국내의 한 암호화폐 거래소에서 발생한 580억원 규모의 암호화폐 해킹 사건의 배후로 지목한 바 있다. 또 이미 잘 알려진 라자루스, 안다리엘 외에도 S2W가 최초 명명한 puNK-003 그룹이 탈세 제보 자료로 위장한 악성 코드를 만든 것으로 나타났다. S2W는 해당 악성코드 분석을 통해 또 다른 북한 배후의 공격 그룹인 코니(KONNI) 그룹과의 연관성을 제시했다. S2W는 "이처럼 다양해지는 공격 패턴에 대응하기 위해 AI와 지식그래프 기술을 결합했다"며 "방대한 다크웹 및 히든채널의 빅데이터를 체계적으로 분석하고 금융권이 직면한 사이버 위협에 맞는 명확한 정보를 적시에 제공하고 있다"고 설명했다. S2W는 보고서를 통해 APT 그룹의 해킹 시도를 대비하고 금융권 보안을 강화하기 위한 세 가지 주요 대응 방안을 제시했다. 먼저 북한과 러시아 등 APT 그룹의 글로벌 위협 활동을 지속적으로 모니터링하고 이들의 공격 패턴을 분석해 사전에 대비해야 한다. 또 다크웹과 숨겨진 채널에서 민감한 데이터가 유출되거나 거래되는 사례가 증가하고 있는 만큼, 이를 탐지할 수 있는 모니터링 체계를 구축해야 한다. 더불어 최근 부각되는 AI 및 거대언어모델(LLM) 기술 악용 사례에 대비해 데이터 중독 공격과 허위 정보 생성 등의 위협을 차단할 수 있는 보안 통제 체계도 마련해야 한다. S2W 금융보안 TF 김재기 센터장은 "이번 4차 보고서 분석 결과 국가 배후 해킹조직이 금융권을 타깃으로 한 사례도 확인했으며 다크웹, LLM 등을 적극 활용해 공격 방식이 더욱 빠르고 다양하게 변화하고 있는 것을 알 수 있었다"며 "이번 보고서를 통해 금융권 기업이 다각적인 접근을 통해 점차 고도화되는 사이버 위협에 효과적으로 대응할 수 있도록 인사이트를 얻을 수 있을 것"이라고 밝혔다.

2024.11.26 16:55장유미

北에 털린 법원 전산망, 개인정보 유출 피해 1만8000명…향후 규모 더 커질 듯

북한 해킹 조직이 우리나라 법원 전산망을 침투해 최소 1TB(테라바이트)가 넘는 자료를 빼간 것으로 드러나면서 공공부문의 보안수준에 대한 문제가 수면 위로 떠올랐다. 이 해킹으로 개인정보 유출 피해자 수는 현재 1만8천 명에 달하는데, 아직 유출 자료에 대한 파악이 완전히 이뤄지지 않았다는 점에서 향후 피해규모가 더 커질 것이란 분석이 나온다. 24일 국민의힘 주진우 의원실이 대법원 법원행정처로부터 받은 자료에 따르면 사법부 전산망 해킹 사건으로 현재까지 유출이 확인된 문건에 기재된 개인은 총 1만7천998명으로 나타났다. 앞서 라자루스는 2021년 1월 7일 이전부터 2023년 2월 9일까지 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1천14GB(기가바이트) 규모의 자료를 빼돌린 것으로 알려졌다. 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 해킹 사실이 보도되자 12월 초 경찰청·국정원·검찰청이 합동조사에 착수했다. 그 사이 서버에 남아있던 유출자료들이 지워졌다. 정부가 유출 내용을 확인한 것은 전체 피해의 약 0.5%(5천171개)에 불과하다. 일단 대법원 법원행정처는 정보 유출 피해자 4천830명을 특정해 지난 5월 유출 사실에 대해 개별 통보했다. 유출이 확인된 문서는 모두 회생 사건 관련 자료다. 이후 대법원은 유출과 관련된 개인들 중 1만3천177명에게도 개별 통지를 시행했다. 연락처를 알 수 없는 4천821명에게는 홈페이지 게시 방식으로 통지를 마친 것으로 파악됐다. 현재까지 내용이 확인된 정보 유출 규모는 4.7GB 분량의 문서에 불과한 것으로 전해졌다. 나머지 약 1천 GB 분량의 유출 자료에 대해서는 피해규모 등에 대한 파악이 끝나지 않아 실제 피해는 더 클 것으로 관측된다. 대법원은 '보안강화 종합대책 방안'을 마련해 추가적인 해킹을 예방하고 향후 재발 방지에 나선다는 방침이다. 주요 대책은 ▲전산정보관리국을 사법정보화실로 확대 개편 ▲USB 사용관리 방안의 전국 법원 시행 ▲보안 전문가 공개 채용 ▲정보보호조직 강화 등이다. 하지만 법원의 정보보호 업무를 담당하는 법원행정처 사법정보화실 정보보호담당관실 내 전담 인력은 올해 8월 기준 9명으로, 2020년 1월 기준 6명에서 고작 3명 증가했다. 특히 라자루스 논란이 커지기 전인 올해 1월에는 6명으로 4년 전과 동일했다. 국회 법제사법위원회 소속 박준태 국민의힘 의원은 "법원이 다수의 국민 개인정보를 다루는 만큼 신속히 유출 내역을 파악해 2차 범죄로 악용되는 것을 막아야 한다"고 지적했다.

2024.10.24 15:14장유미

"구글이 보낸 메일이 아니네?"…교묘해진 北 해킹에 美 정부 사이버보안 '경고'

북한 해커들의 움직임이 갈수록 지능화되고 교묘해지고 있는 가운데 구글, 하버드대 등의 메일 주소를 사칭한 '이메일 피싱'이 최근 활발히 진행되고 있어 주의가 요구된다. 4일 업계에 따르면 미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 지난 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목의 공동 입장문을 내놨다. 이 입장문에는 북한 해커조직 '김수키(Kimsuky, APT43)'가 지난해부터 최근까지 시도해 온 공격 사례와 방식을 분석한 내용이 포함됐다. DMARC란 '도메인 기반 메시지 인증·보고·규정 준수(Domain-based Message Authentication, Reporting and Conformance)'의 줄임말로, 현재 전 세계에서 가장 보편적으로 쓰이는 이메일 도메인 보안 수단이다. 입장문에 따르면 김수키는 DMARC 인증의 취약점을 파악한 후 세계적으로 저명한 도메인들을 사칭에 활용했다. 구글, 하버드 대학이 대표적으로, 이들의 주소를 이용해 가짜 설문 조사, 행사 개최 이메일을 발송했다. 이를 통해 답변과 정보를 수집하거나 악성 코드가 포함된 첨부파일을 전송했다. 지난해 말부터 올 초까지 미국 정부, 국제기구 관계자들에겐 '미국의 대북 정책 컨퍼런스'라는 제목으로 이메일을 보내기도 했다. 직접 참석하면 교통비·숙박비를 지원하고 강연료 500달러를 제공한다는 내용이 포함됐으나, 모두 가짜였다. 첨부 파일을 여는 순간 악성 코드가 깔렸고 북한 해커들은 정보를 탈취했다. 3개 기관은 "북한은 세계 각국의 외교 전략과 경제 정책은 물론 학계의 연구 동향, 기업 간 통신과 주요 기업인의 사문서에 이르기까지 광범위하게 정보를 수집한 것으로 보인다"며 "단순히 도메인을 사칭하는 것을 넘어 언론인과 학자, 동아시아 문제 전문가 등 개인을 위장한 사례도 있어 주의를 요한다"고 밝혔다. 미국 국무부는 권고문을 통해 "미국 정부는 북한의 사이버 해킹 조직들의 지속적인 정보 수집 시도를 관찰해 왔다"며 "유엔 안보리 제재를 받은 북한의 군사정보 조직 정찰총국이 이런 활동의 주 책임 부서로 파악된다"고 말했다. 이번에 언급된 김수키는 에메랄드 슬릿(Emerald Sleet), APT43, 벨벳 천리마, 블랙 반시 등의 이름으로도 알려진 북한의 대표적인 사이버 해킹 조직이다. 지난 2023년 6월 한국 정부 대북제재 명단에도 별도로 등록된 악명 높은 조직으로, 한국수력원자력과 한국항공우주산업 등 공공기관에 해킹을 자행해왔다. 업계에선 북한의 목표가 한국이나 미국을 포함한 관련 국가의 최신 정보에 지속적으로 접근해 북한 정권 안보에 영향을 미칠 수 있는 정치적·군사적·경제적 조치를 방해하는 것이라고 봤다. 업계 관계자는 "북한은 스피어피싱(특정 목표의 정보를 캐내기 위한 피싱) 공격을 통해 표적에 접근한 뒤 외교 정책, 전략 등 북한의 이익이 걸린 다양한 정보 수집을 시도하고 있는 것으로 보인다"고 말했다. 3개 기관은 이메일 메시지가 해당 조직의 도메인에서 정상적으로 전송됐는지 여부를 인증하는 보안 프로토콜 DMARC의 정책적 강화를 권고했다. 개리 프레아스 구글 클라우드 맨디언트 수석 애널리스트는 "북한 정부와 해킹 조직의 사이버 공격 사례들을 분석해본 결과 미국과 동맹국들의 핵 무기 확산, 관련 규제 등에 대한 동향을 사전 수집하려는 의도가 있음을 파악했다"며 "DMARC 정책을 안전하게 갖춰 놓으면 피싱 등을 효과적으로 방지하는 데 큰 도움이 된다"고 밝혔다. 네일 쿠마란 지메일 그룹 제품 매니저는 "DMARC와 같은 표준은 이메일 발신자뿐만 아니라 수신자에게도 메시지의 출처와 진위 여부에 대한 신뢰를 심어주는 데 도움이 된다"며 "최근 수십억 명의 지메일 사용자를 안전하게 보호하기 위해 대량 발신자에게 DMARC 및 기타 주요 보안 및 인증 표준을 구현하도록 요구하기 시작했다"고 설명했다. 3개 기관은 '악의적인 북한 사이버 해킹 징후일 수 있는 위험 신호'로 ▲문장 구조가 어색하거나 문법이 틀린 영어 이메일 ▲이름과 이메일 주소 철자가 미묘하게 이상이 있는 이메일 ▲과거 정상적으로 주고받은 메시지 일부 내용과 텍스트가 포함돼 있는 이메일 등을 주의하라고 권고했다. 미 정보 당국은 "DMARC 정책을 안전하게 갖춰 놓으면 김수키와 같은 악의적 행위자가 공격 대상에게 스피어피싱 메시지를 보낼 때 해당 조직의 정상적 이메일 도메인 도용을 막을 수 있다"며 "DMARC 정책을 업데이트하고 사이버 보안 태세를 강화해야 한다"고 강조했다.

2024.05.04 11:00장유미