검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'APT 공격'통합검색 결과 입니다. (3건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

"프랙발 해킹, 자산식별·ASM 미비가 원인"

미국 해킹 잡지 '프랙(Phrack)'에서 중국 혹은 북한 세력으로 추정되는 공격자가 지속적으로 한국 정부와 기업을 공격한 사실이 최근 밝혀졌다. 또 올해들어 금융권, 이동통신사도 해킹 공격에 속수무책으로 당했다. 이런 해킹은 국내 기관 및 기업들이 자산식별, 공격 표면 관리(ASM) 활동이 미비해 생했다는 전문가 진단이 나왔다. 보안에 지속적인 투자를 해온 기업도 해킹 공격을 방어하기 쉽지 않은 만큼 기업이 해킹 공격을 당했을 때, 과도한 지적이나 망신주기보다는 해킹 현장에서 취득한 정보들을 공유해 집단적으로 대응할 수 있도록 해야 한다는 제언도 제기됐다. 김휘강 고려대 정보보호대학원 교수는 6일 개최된 '2025 한국사이버안보학회 학술대회'에서 기조연설에 나서 프랙에서 제기된 한국 정부의 APT(지능형 지속 공격) 공격에 대한 상세한 분석과 시사점을 제시했다. 앞서 프랙은 중국 혹은 북한의 지원을 받는 것으로 추정되는 공격 세력이 한국 정부와 기업을 대상으로 APT 공격을 이어왔다는 내용을 중심으로 한 'APT Down: The North Korea Files'라는 보고서를 발표한 바 있다. 김 교수는 "APT Down 보고서가 큰 충격을 준 만큼 이를 국내 CTI(사이버 위협 인텔리전스) 역량 강화 필요 계기로 삼아야 한다"며 "최근 침해사고 유형을 보면 비인가된 자산 식별 실패, 방치된 채로 운영되는 정보자산을 통해 초기 침투가 이뤄졌다. 공격 표면 상에 SSL VPN, Salesforce 등 알려진 취약점을 갖는 자산들이 노출돼 침투를 허용하는 경우가 많았던 만큼 최근 잇단 해킹 사태는 자산식별, ASM 활동 미비에 원인이 있다"고 분석했다. 자산 식별과 ASM 활동이 미흡하면서 취약점 식별 및 제거 활동에 실패했고 공격자의 침투를 허용하는 경우가 많았다는 것이다. 그는 "APT 내용에 따르면 해커가 정부 내부망까지 침투했던 상황으로 심각성은 역대 최고 수준이라 할 수 있다"며 "약 2년에 걸친 장기간 공격이었던 점, 시스템·네트워크 레벨의 해킹 외에도 국내 유명 포털 및 메신저 서비스 계정들에 대한 피싱 시도 등 전방위적 공격이 이뤄졌던 점으로 보아 그 심각성은 더 커진다"고 우려했다. 김 교수는 이어 "해커는 시스템 침투를 통해 다양한 크리덴셜(인증서, 비밀번호 등)을 확보해둔 상태로, 보다 위협적인 공격 시나리오로 손쉽게 확장될 수 있다"고 경고했다. 그럼에도 김 교수는 해킹 사건 발생 시 신고 및 정보공유 회피 가능성이 있는 만큼 이를 예방하기 위해 해킹 사건이 벌어지면 과도한 지적, 엄벌을 따지기보다 적극적인 정보 공유를 통해 사태를 해결하는 것이 우선이라고 밝혔다. 그는 "해킹당한 사실을 공개하고 피해를 예방할 수 있도록 해킹 현장(crime scene)에서 취득한 아티팩트들을 공유해 협업하고 집단적 대응이 촉진될 수 있도록 해야 한다"며 "우리나라 보안 향상을 위한 인식 제고가 필요하고, 보안 수준 향상을 위해 협업체계의 점검이 필요한 시점이다. 고도화된 탐지기술 확보 및 국가지원 해킹그룹들에 대한 사이버위협정보 확보에 투자해야 한다"고 강조했다. 김 교수는 구체적으로 보안강화에 지속적인 투자를 많이 해온 기업도 방어가 쉽지 않은 만큼 자산 식별, 지속적이고 정기적인 ASM, CTI를 함께 적용해 능동적으로 대응해야 한다고 주문했다.

2025.11.06 17:13김기찬

행안부, '北 추정 세력' 온나라시스템 해킹 정황 시인…"보안 조치 완료"

북한의 해커 조직 '김수키(Kimsuky)'로 추정되는 세력이 정부가 공무원 업무시스템인 '온나라시스템'에 대한 공격을 시도한 것으로 알려진 가운데 정부가 이를 공식 확인하고, 공무원 인증서 650명분이 유출된 사실을 발표했다. 이용석 행정안전부 디지털정부혁신실장은 17일 정부세종청사에서 열린 브리핑에서 '온나라 시스템'과 공무원 인증을 위해 사용 중인 행정전자서명(GPKI)이 해킹된 대해 "외부에서 접근한 정황을 확인하고 추가 보안 조치를 완료했다"고 발표했다. 앞서 지난 8월 8일 프렉은 40주년 기념호를 발간하며 'APT Down: The North Korea Files' 보고서를 발표했다. 이 보고서에는 '김수키(Kimsuky)'로 추정되는 세력이 한국과 대만 정부의 내부 시스템을 해킹했다고 주장했다. 또 통일부·해양수산부 계정으로 온나라시스템에 접속한 기록과 함께 행정안전부의 행정전자서명(GPKI) 검증 로그 약 2800건이 포함됐다고 주장한 바 있다. 뿐만 아니라 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 시도와 피싱 기록도 포함됐다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 이처럼 북한의 지원을 받는 외부 해커가 우리 정부에 대한 지속적이고 지능적인 전방위적 공격을 이어온 것이다. 정부도 이를 확인하고 유출 사실을 시인한 만큼 추가적인 대책이 요구된다. 온나라시스템은 공무원이 보고서 작성, 결재, 회의자료 관리 등 모든 행정업무를 처리하는 정부 표준 전산망이다. 즉, 일반 기업의 '인트라넷'처럼 내부 결재·지시 체계가 이뤄지는 핵심 시스템으로, 외부 침입 시 내부 문서가 노출될 우려가 나온다. 이 실장은 "국가정보원(국정원)이 7월 중순 외부 인터넷 PC를 통해 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 파악했고, 행안부도 같은 시점에 통보받아 즉시 조치에 들어갔다"고 밝혔다. G-VPN은 공무원이 외부에서 정부 내부망에 접속할 때 사용하는 일종의 보안 통로이며, GPKI는 공무원 신원을 확인하기 위한 전자 서명 시스템이다. 해킹된 공무원들의 공인인증서 파일은 약 650명분으로 파악됐다. 이 실장은 "650명 중 12명은 GPKI 키와 비밀번호가 함께 포함된 사례였으며, 대부분은 유효기간이 이미 만료된 과거 인증서였다"라며 "다만 3명은 유효기간이 남아 있어 지난 8월 13일 폐기 조치됐다"고 덧붙였다. 이 실장은 "온나라시스템의 로그인 정보를 재사용하지 못하도록 하는 차단 조치를 7월 28일 모든 중앙부처와 지자체에 적용했다"라며 "지난 8월 4일 정부원격근무시스템(G-VPN) 접속 시 행정전자서명(GPKI) 인증뿐 아니라 전화인증(ARS)을 반드시 병행하도록 보안을 강화했다"고 덧붙였다. 또 사용자 부주의로 인한 행정전자서명 인증서 유출 경위에 대해 "조사 중이라 명확하게 말씀드리기 어렵다"면서도 "일반적으로 GPKI 인증서를 외부 PC에서 사용하는 경우, 악성코드에 감염되거나 비밀번호가 탈취될 수 있는 위험성이 있어 보완적으로 취약한 부분이 있다"고 해명했다. 한편 이 실장은 "현재 국정원이 관계기관과 함게 유출 경위와 피해 영향을 조사 중이며, 개선사항이 나오면 즉시 보완할 것"이라며 "최근 피싱, 악성코드, 보안 취약점 등 다양한 사이버 위협을 면밀히 점검 중이며, 같은 사고가 재발하지 않도록 예방에 최선을 다하겠다"고 말했다.

2025.10.17 14:32김기찬

카스퍼스키 "APT 그룹, 아태 지역 국가 기밀 노린다”

APT(지능형 지속 위협) 그룹이 여전히 사이버 첩보 활동의 일환으로 아시아태평양 지역 국가 기밀 및 외교 문서 등을 타깃으로 한 공격에 나서고 있다. 28일 사이버 보안 기업 카스퍼스키(지사장 이효은)에 따르면 카스퍼스키 GReAT(글로벌 리서치 및 분석팀) 누신 샤밥 수석 보안 연구원은 이날 아시아태평양 지역 정부의 국가 기밀, 군사 정보 등 다양한 고급 데이터를 끈질기게 노리는 주요 사이버 첩보 그룹들을 공개했다. 그는 “아시아태평양 지역은 긴장된 지정학적 상황으로 인해 항상 사이버 첩보 활동의 중심지였다. 여기에 빠른 디지털 및 경제 발전이 더해져 복잡한 위협 환경이 조성되고 있으며, 이는 고위급 기관 및 기업뿐만 아니라 주요 인프라 시설을 겨냥하는 다양한 위협 행위자들에 의해 형성되고 있다”고 설명했다. 실제로 지난해부터 SideWinder, Spring Dragon 등 그룹들이 현재까지도 공격을 이어오고 있는 것으로 확인됐다. SideWinde APT 그룹은 정교한 공격 플랫폼과 스피어피싱을 통해 아시아 태평양 지역에서 정부, 군사, 외교 기관을 겨냥한 공격을 이어오고 있다. 이에 '아시아태평양 지역에서 가장 공격적인 위협'으로 꼽히고 있다. 앞서 2024년 3월 카스퍼스키 GReAT 전문가들은 이 그룹이 남아시아 전역의 원자력 발전소 및 에너지 시설에 대한 공격에 집중하고 있다는 사실을 밝혔낸 바 있다. SideWinder는 탐지를 피하기 위해 도구를 빠르게 적응시키며 지속적인 위협으로 남아 있다. 원자력 기반시설을 겨냥할 때는 규제 또는 시설 운영 관련된 것처럼 보이는 매우 정교한 스피어피싱 이메일을 사용하는 것으로 알려졌다. Spring Dragon의 경우 베트남, 대만, 필리핀에 관심을 가지며, 스피어피싱, 익스플로잇, 워터링 홀 공격(Watering Hole Attack)을 통해 피해자의 시스템에 주로 침투한다. 2023년 카스퍼스키 GReAT 전문가들이 발견한 Tetris Phantom이라는 APT 그룹은 2024년부터는 BoostPlug와 DeviceCync(ShadowPad, PhantomNet, Ghost RAT을 감염시키는 도구)라는 두 개의 공격 도구를 추가했다. 국내에서도 위협이 감지된다. 올해 초 카스퍼스키 GReAT 전문가들은 한국 내 조직을 겨냥한 'Operation SyncHole'이라는 라자루스의 새로운 캠페인을 포착했다. 이 작전은 워터링 홀 공격과 제3자 소프트웨어의 취약점 악용을 결합한 것으로, 조사 중에 인노릭스 에이전트(Innorix Agent) 소프트웨어에서 제로데이 취약점도 발견됐다. 최소 6곳 이상의 한국 주요 기업이 타깃이었으며, 실제 피해 기업 수는 더 많을 수 있다는 게 카스퍼스키 측의 분석이다. 카스퍼스키 이효은 한국지사장은 “단순히 금전적 이익만을 목적으로 하는 일반적인 사이버 범죄와 달리, 핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 지니고 있다”며 “아태지역의 공격 양상을 볼 때, 이는 단순한 데이터 탈취가 아니라 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도다. 따라서 한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계를 고도화하고, 위협 인텔리전스 자원을 심층적으로 통합하며, 끊임없이 진화하는 공격 기법에 대응하기 위해 동적 방어를 도입함으로써 보안의 최후 방어선을 지켜야 한다”고 말했다.

2025.08.28 17:24김기찬