Hugh_휴 님의 블로그

뉴스42. 美 CISA 협력업체 직원, 정부 핵심 클라우드 키 깃허브에 공개 노출

Hugh_휴 — Wed, 20 May 2026 22:34:44 +0900

기사 요약:

미국의 사이버 안보를 총괄하는 CISA의 외부 용역 업체 직원이 개인적인 편의를 위해 보안 수칙을 어기고, 공용 깃허브에 정부 클라우드 최고 관리자 자격증명 등 치명적인 민감 정보를 장기간 노출한 중대한 보안 사고가 발생했다.

1. CISA 협력업체 '나이트윙'의 한 관리자가 'Private-CISA'라는 공용 깃허브 저장소에 약 6개월간 AWS GovCloud 최고 관리자 자격증명과 내부 시스템 접근 비밀번호를 평문으로 노출했다.

2. 유출된 데이터에는 악성 백도어 코드를 유포할 수 있는 아티팩토리(Artifactory) 자격증명까지 포함되어 있었으며, 조사 결과 해당 직원은 깃허브의 보안 자동 차단 기능을 고의로 무력화한 뒤 개인 PC와의 단순 파일 동기화 용도로 이를 악용한 것으로 드러났다.

3. CISA는 유출 통보를 받은 뒤 26시간 만에 저장소를 비공개 처리했으나 핵심 인증키가 48시간 동안이나 유효한 상태로 방치되어 초동 대응의 허점을 보였으며, 현재 실제 악용 여부에 대해 내부 조사를 진행하고 있다.

개인 의견:

기사의 국가 최고 수준의 보안을 다루는 기관의 협력업체에서 비밀번호를 평문으로 올리는 초보적인 정보 유출 사고가 발생했다는 부분을 읽으면서 보안에 있어 가장 핵심은 지속적인 관리라는 것을 느꼈다. 얼마나 높은 수준의 보안 체계 및 시스템이 있더라도 취약점이 있는지 지속적으로 관리하는게 필요하다고 느꼈다.

<용어 정리>

ISA: 미국의 사이버 안보 및 핵심 인프라 보안을 총괄하는 국토안보부 산하 국가 기관이다.

AWS GovCloud: 미국 정부 기관의 민감한 데이터와 기밀 업무를 안전하게 처리하기 위해 엄격한 보안 규정을 적용하여 특수 설계된 아마존의 클라우드 환경이다.

평문 (Plaintext): 암호화 처리가 되지 않아 누구나 바로 읽고 내용을 확인할 수 있는 상태의 원본 데이터를 뜻한다.

데브섹옵스 (DevSecOps): 개발(Development), 보안(Security), 운영(Operations)을 결합한 용어로, 소프트웨어 개발의 모든 단계에 보안 검증을 내재화하는 방법론이다.

아티팩토리 (Artifactory): 소프트웨어 개발 시 생성되는 바이너리, 라이브러리 등 다양한 구성 요소와 패키지들을 중앙에서 보관하고 배포하는 저장소 관리 도구이다.

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143740&page=1&kind=4

뉴스41. 유출된 샤이훌루드 악성코드, npm 정보탈취 공격으로 재등장

Hugh_휴 — Wed, 20 May 2026 09:00:44 +0900

기사 요약:

최근 유출된 샤이훌루드 악성코드가 npm 생태계를 겨냥한 새로운 정보탈취 및 디도스(DDoS) 공급망 공격에 악용되었다. 옥스시큐리티가 발견한 악성 패키지 4종은 유명 패키지의 이름을 모방(타이포스쿼팅)하여 개발자의 자격증명, 클라우드 키, 가상화폐 지갑 등을 탈취했으며, 일부는 디도스 공격 기능까지 포함했다.

1. 유출된 샤이훌루드 악성코드가 npm 생태계를 타깃으로 한 정보탈취 공격에 사용된 것이 확인되었다.

2. 옥스시큐리티가 개발자를 속이기 위해 유명 라이브러리 명칭을 오기입한 형태(axios-util, axois-utils 등)를 포함한 악성 패키지 4종을 발견해 신고했다.

3. 해당 패키지들은 샤이훌루드 원본 코드와 거의 같고 난독화가 되어 있지 않아, 기존 공격 그룹(TeamPCP)이 아닌 공개된 코드를 그대로 쓴 모방 공격자로 추정된다.

4. 개발자 정보탈취 및 깃허브 공개 저장소 자동 업로드 기능 외에도, 일부 패키지(axois-utils)에는 감염된 시스템을 디도스 공격에 동원하는 기능까지 결합되었다.

추가 설명:

공격자는 ‘axios’를 잘못 입력한 것처럼 보이는 이름을 사용해 개발자를 속이고 있다.

⇒ 개발자가 라이브러리를 설치할 때 흔히 저지르는 ‘오타(Typo)’를 노려 낚시를 유도하는 공격 방식을 뜻한다. 보안 분야에서는 이를 타이포스쿼팅(Typosquatting).

개발자가 터미널 창에 npm install axiod나 npm install axois처럼 오타가 난 가짜 패키지 이름을 입력하고 엔터를 누르는 순간, 곧바로 악성코드가 다운로드되고 실행될 수 있다.

+이게 가능한 이유

1. 입력하는 순간 바로 실행되는 원리: preinstall 스크립트

단순히 소스코드가 컴퓨터에 저장만 되는 게 아니라, 왜 명령어를 입력하자마자 악성코드가 실행될까?

npm 패키지 설정 파일(package.json)에는 preinstall이나 postinstall이라는 옵션이 있다. 이는 정상적인 패키지들이 "이 라이브러리를 설치하기 전에 컴퓨터에 필요한 환경을 자동으로 먼저 세팅해라"라고 쓸 때 사용하는 기능이다.

공격자들은 이 기능을 악용한다.

공격자가 미리 npm 오픈소스에 axios를 잘못 입력하면 나올 수 있는 것들로 된 이름의 파일을 만들어둔다.(악성 스크립트가 들어있는)
개발자가 npm install axiod를 입력한다.
npm 저장소는 "어? axiod라는 이름의 패키지가 있네?" 하고 다운로드한다.
다운로드가 끝나자마자 패키지 내부의 preinstall 명령어가 개발자의 허락 없이 숨겨진 악성 스크립트(샤이훌루드 등)를 자동으로 실행해 버린다.
그 결과, 눈 깜짝할 사이에 PC에 있는 비밀키나 계정 정보가 해커의 명령제어(C2) 서버로 전송된다.

2. 공격자가 노리는 심리: 타이포스쿼팅 (Typosquatting)

해커들은 무작위로 이름을 짓지 않는다. 키보드 자판의 위치나 사람들이 흔히 하는 실수를 철저히 계산해서 등록한다.

인접한 자판 노리기: 키보드에서 s 바로 옆에 d가 있기 때문에, axios를 치려다 axiod를 입력하는 실수를 노린다.
순서 뒤바꾸기: 타이핑을 빠르게 하다 보면 io를 oi로 쳐서 axois가 되기도 한다.
그럴듯한 접미사 붙이기: 기사에 나온 axois-utils나 axios-util처럼, 정상 패키지 뒤에 ~util, ~helper, ~tempalte(오타 포함) 등을 붙여서 "정식 확장판인가?" 하고 착각하게 만든다.

개인 의견:

이번 기사의 핵심은 공격자가 타이포스쿼팅을 통해 미리 파일을 선점했다는 것이라고 본다. 그렇다면 왜 개발자들은 본인들의 오타를 보고 파일을 다운할 때까지 이상한 점을 못느꼈을까이다. 이번 공격에 대한 피해를 방지하기 위해서는 오픈소스 환경에서 파일을 다운로드 하기 전에 기존에 다운 받기로 한 파일인지 확인하는 것이 필요해 보인다.

<용어 정리>

샤이훌루드 (Shai-Hulud) 개발자 환경을 겨냥해 자격증명, 클라우드 키, 비밀값 등을 훔치도록 설계된 정보탈취형 악성코드다.

npm Node.js 환경에서 자바스크립트 개발자들이 라이브러리와 도구를 공유하고 다운로드할 수 있는 대표적인 오픈소스 패키지 저장소다.

타이포스쿼팅 (Typosquatting) 사용자가 철자를 실수로 잘못 입력하는 점을 노려, 유명한 정상 패키지명과 유사한 이름을 등록해 사용자를 속이는 공격 기법이다. (예: 정상적인 axios 대신 axois나 axios-util 같은 이름을 사용함)

디도스 (DDoS) 수많은 감염된 시스템을 동원해 특정 서버나 네트워크에 과도한 트래픽을 집중시켜 정상적인 서비스를 마비시키는 분산 서비스 거부 공격이다.

공급망 공격 (Supply Chain Attack) 소프트웨어 개발, 배포, 업데이트 등 공급망의 취약한 연결고리를 변조하여 이를 이용하는 하위 사용자들을 한꺼번에 감염시키는 공격 기법이다. 본 기사에서는 오픈소스 저장소인 npm이 공급망의 타깃이 되었다.

CI/CD 지속적 통합(Continuous Integration)과 지속적 배포(Continuous Deployment)의 약자로, 개발자가 작성한 코드를 자동으로 빌드, 테스트하고 서버에 배포하는 소프트웨어 파이프라인 시스템이다.

CI/CD 비밀값

소프트웨어를 자동으로 빌드하고 배포하는 과정(CI/CD 파이프라인)에서 서버나 데이터베이스, 클라우드 서비스에 안전하게 접근하기 위해 사용하는 일종의 '마스터 키(Master Key)'나 '자동 로그인 자격증명'을 의미

자격증명 (Credential) 비밀번호, API 키, 인증 토큰, SSH 키 등 특정 시스템, 인프라, 또는 클라우드 서비스에 접근할 수 있는 권한을 증명하는 보안 정보들을 통칭한다.

타이포스쿼팅(Typosquatting) 사용자가 키보드로 타이핑할 때 발생하는 오타(Typo)를 노려, 정상적인 이름과 아주 유사한 이름을 선점(Squatting, 무단 점유)해 두고 기다리는 공격 기법 자체를 통틀어 부르는 말이다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206787&page=2&total=149197

뉴스 40. 20만 개 워드프레스 사이트 노린 인증 우회 취약점…관리자 계정 탈취 위험

Hugh_휴 — Tue, 19 May 2026 09:00:00 +0900

기사 요약:

20만 개 이상의 웹사이트가 사용하는 워드프레스 플러그인 ‘버스트 스태티스(Burst Statistics)’에서 관리자 권한을 완전히 탈취할 수 있는 치명적인 인증 우회 취약점(CVE-2026-8181)이 발견됐다. 이 취약점은 메인WP 연동 과정에서 인증 실패 처리를 오인하여 발생했으며, 공격자가 관리자 아이디만 알면 비밀번호 없이도 관리자 권한을 가장할 수 있어 심각도가 9.8점(치명적)으로 평가됐다.

1. 개인정보 보호용 워드프레스 통계 분석 플러그인 ‘버스트 스태티스’(사용 중인 사이트 20만 개 이상)에서 관리자 권한 탈취가 가능한 치명적 결함이 드러났다.

2. 해당 취약점은 CVE-2026-8181로 등록되었으며 심각도는 CVSS 9.8점이다. 메인WP 연동 시 애플리케이션 비밀번호 검증 오류로 인해, 올바른 비밀번호 없이 관리자 이름만으로 REST API 요청을 통과할 수 있는 구조적 결함 때문이다.

3. 워드프레스 특성상 관리자 이름은 공개 정보로 노출되기 쉬우며, 공격자가 이를 악용해 계정을 탈취하면 악성코드 삽입, 새 관리자 생성, 방문자 피싱 리디렉션 등 심각한 피해를 유발할 수 있다.

4. 보안 기업 워드펜스가 5월 8일 취약점을 발견해 신고했고, 개발사는 5월 12일 패치 버전(3.4.2)을 신속히 배포했으나 패치 공개 직후 수천 건의 차단 사례가 보고될 만큼 공격이 집중되고 있다.

개인 의견:

심각도가 높은 취약점은 무조건 공격자들의 공격이 정교하거나 위험해서라고 생각했는데, 이번 기사를 읽어보니 시스템 자체의 버그나 오점이 큰 취약점을 만들 수도 있다는 것을 알게 되었다. 또한, 이미 알려진 관리자 계정명을 이용했다는 점에서 비밀번호 뿐만 아니라 아이디, 특히 관리자 아이디의 보안에도 신경을 써야한다는 것을 알 수 있었다. 대응을 하였음에도 불구하고 계속해서 공격시도가 일어나고 있다는 점에서 업데이트의 중요성을 다시금 느낄 수 있었다.\

<용어 정리>

버스트 스태티스 (Burst Statistics): 구글 애널리틱스의 대안으로 사용되는 워드프레스용 경량 웹사이트 통계 분석 플러그인이다. 개인정보 보호를 강조하는 사이트들이 주로 채택했다.
메인WP (MainWP): 복수의 워드프레스 웹사이트를 하나의 중앙 대시보드에서 원격으로 통합 제어하고 업데이트할 수 있도록 돕는 연동 도구이다.
REST API: 웹 서버의 자원을 원격에서 제어하고 데이터를 주고받기 위해 사용하는 표준 소프트웨어 인터페이스이다. 워드프레스 내부 기능을 조작하는 핵심 통로로 쓰인다.
베이직 인증 헤더(HTTP Basic Authentication Header): 웹 브라우저가 웹 서버에 로그인 정보를 보낼 때 사용하는 가장 기본적인 HTTP 인증 방식의 통신 규칙이다. 웹사이트에 로그인할 때 사용하는 ID와 비밀번호를 특정한 형식으로 변환하여 HTTP 요청 메시지의 '머리말(Header)'에 담아 보내는 명세다.
리다이렉션: 사용자를 내가 원래 가려던 페이지가 아닌 다른 페이지로 강제로 이동시키는 기술이다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206751&page=2&total=149174

뉴스39. 폭스콘 북미 공장 사이버공격 확인…랜섬웨어 조직 “8TB 데이터 탈취” 주장

Hugh_휴 — Thu, 14 May 2026 09:09:24 +0900

기사 요약:

세계 최대 전자제품 위탁생산 기업인 폭스콘의 북미 공장이 랜섬웨어 조직 니트로젠으로부터 사이버 공격을 받았으며, 공격자들은 폭스콘 내부망에서 애플, 구글, 엔비디아 등 주요 고객사의 기술 도면을 포함한 8TB 규모의 데이터를 탈취했다고 주장했다. 제조 공급망을 노린 랜섬웨어 공격이 단순 가동 중단을 넘어 고객사 기밀 유출 협박으로 진화하고 있음을 보여주는 사례다.

1. 폭스콘 북미 일부 공장이 5월 12일 사이버 공격을 받았으며, 회사는 보안 체계를 가동해 현재 생산을 정상 복귀시키고 있다.

2. 랜섬웨어 조직 '니트로젠'은 폭스콘 내부망을 침해해 빅테크 고객사(애플, 구글, 인텔 등)의 기술 도면과 기밀이 포함된 8TB 분량의 문서 1,100만 개를 확보했다고 주장했다. 폭스콘은 글로벌 IT 기업들의 핵심 제조 협력사이기 때문에, 이번 공격은 폭스콘 한 회사를 넘어 전 세계 IT 공급망 전체의 기밀 유출 우려로 번질 수 있다.

3. 최근의 공격자들은 공장 중단보다 탈취한 고객사 핵심 기술 자료를 공개하겠다고 협박하는 방식을 주로 사용하고 있다.

개인 의견:

폭스콘이 2020년부터 거의 2년 주기로 전 세계 공장과 계열사에서 랜섬웨어 공격을 받았다는 점에서 공격자들에게 호구 기업으로 인식이 되면 계속해서 공격을 한다는 점을 볼 수 있었다. 어제 교육생들끼리 랜섬웨어 공격에 대해 합의를 할 것인지 아니면 강경하게 대응할 것인지를 두고 토론을 했었는데, 명확한 답은 없지만 합의를 했을 때 발생할 수 있는 소 잃고 외양간 고치기 식의 대응의 사례인 것 같다.

<용어정리>

폭스콘 (Foxconn): 대만에 본사를 둔 세계 최대 규모의 전자제품 위탁생산(EMS) 기업으로, 애플의 아이폰을 비롯한 글로벌 기업들의 주요 제품을 대량 생산한다.
랜섬웨어 (Ransomware): 시스템을 암호화하거나 데이터를 탈취한 뒤, 이를 인질로 삼아 금전을 요구하는 악성 프로그램 및 사이버 범죄 형태다.
니트로젠 (Nitrogen): 2023년 이후 주로 북미와 서유럽의 공급망 기업들을 타깃으로 활동해 온 랜섬웨어 공격 조직이다.
위협 인텔리전스 (Threat Intelligence): 사이버 보안 위협을 분석하고 예측하여 고도화된 공격에 선제적으로 대응할 수 있도록 수집한 데이터와 지식 정보를 의미한다.
공급망 (Supply Chain): 제품의 원재료 조달부터 생산, 유통, 최종 소비자에 이르기까지의 모든 과정을 연결하는 네트워크다. 최근 해커들은 보안이 강한 본사 대신 상대적으로 취약한 협력사(공급망)를 우회 공격하는 방식을 선호한다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206723

뉴스38. 해킹보다 무서운 내부자 보복, 쿠팡은 퇴사자 서명키 악용...미국은 해고 통보 중 정부 데이터베이스 삭제

Hugh_휴 — Wed, 13 May 2026 13:17:31 +0900

기사 요약:

미국 정부 데이터베이스 삭제 사건과 쿠팡의 대규모 개인정보 유출 사태는 모두 내부 권한 관리 실패에서 비롯된 보안 사고다. 미국의 경우 해고 통보 과정에서 접근 권한을 즉시 차단하지 않아 전직 직원이 96개의 DB를 삭제했고, 쿠팡은 퇴사자가 폐기되지 않은 내부 서명키를 악용해 약 3,367만 명의 고객 정보를 유출했다.

1. 미국 정부와 쿠팡 사태 모두 퇴사·해고 시 접근 권한을 제대로 회수하지 않아 발생한 내부자 위협 사건임을 강조했다. 해고 통보를 받는 도중에도 권한이 살아있던 계약업체 직원이 96개의 정부 DB를 삭제하고 민감 파일을 반출했다.

2. 퇴사한 개발자가 장기간 방치된 내부 서명키를 이용해 위조 토큰을 만들었으며, 이를 통해 약 3,367만 명의 고객 정보에 접근했다. 방화벽 중심의 외부 침입 차단 체계는 이미 내부에 있거나 구조를 잘 아는 내부자의 악의적 행동을 막기에 역부족이었다.

3. 해고 대상자의 과거 범죄 이력 확인 실패(미국)와 법정 신고 시한 미준수(쿠팡) 등 인사 및 운영 절차상의 문제를 지적했다. 해고 통보 전 권한 선차단, 서명키 및 API 키의 정기적 교체, 이상 행위 실시간 모니터링 등 세분화된 내부자 위협 대응 정책의 필요성을 강조했다.

개인 의견:

기사 내용을 통해 기술이 아무리 고도화되어도 결국 이를 운영하는 사람이 보안에서 가장 취약한 부분이라는 것을 다시금 느낄 수 있었다. 신뢰를 하던 직원이 되돌아섰을 때, 조직 전체가 무너지지 않게 권한을 최소화할 필요가 있다고 느꼈다.

<용어 정리>

서명키 (Signing Key): 사용자가 정상 로그인했음을 증명하는 토큰을 생성할 때 사용하는 암호화 키다.

인증 토큰 (Token): 시스템 접속 시 정당한 권한을 가진 사용자임을 증명하기 위해 발행되는 디지털 증표다.

내부자 위협: 전·현직 직원이나 협력업체 등 내부 권한을 가진 자에 의해 발생하는 데이터 유출 및 파괴 위협이다.

CISO: 정보보안 부문을 총괄하는 최고정보보호책임자를 의미한다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206677&page=2&total=149102

뉴스37. [긴급] 체크막스 젠킨스 플러그인 해킹… 공급망 공격 또 터졌다

Hugh_휴 — Tue, 12 May 2026 18:49:22 +0900

기사 요약:

글로벌 보안 기업 체크막스의 젠킨스 보안 테스트 플러그인이 해킹되어 악성 코드가 포함된 버전이 공식 마켓플레이스에 등록됐다. 이 공격은 개발 도구와 오픈소스 생태계를 노리는 공급망 공격이 더욱 정교하고 대담해지고 있음을 보여준다.

1. 공격자 그룹 'TeamPCP'가 체크막스의 깃허브 접근 권한을 탈취한 뒤, 악성 코드가 삽입된 젠킨스 AST 플러그인(버전 2026.5.09)을 공식 마켓플레이스에 배포했다.

2. 보안 연구자들에 따르면 공격자는 앞선 '트리비(Trivy)' 공격 당시 확보한 인증정보를 활용해 체크막스 환경에 침투했다. 공격자는 약 한 달간 내부 권한을 유지하며 깃허브, 도커, VS코드 등 다양한 개발 환경에 악성 버전을 배포하여 개발자의 인증 토큰과 클라우드 접근 키 등을 수집하려 시도했다.

3. 체크막스는 해당 사실을 공표하고 신규 안전 버전을 배포하며 설치 기관에 모든 인증정보의 즉시 교체를 권고했다.

개인 의견:

보안 솔루션을 제공하는 기업이 정작 자신들의 비밀키 관리 소홀로 해킹을 당하고 조롱까지 받았다는 내용과 같은 기사들을 종종 접하는 것 같다. 담당자들은 어떻게 본인들의 비밀키 관리를 소홀히 하는 걸까라는 생각이 든다. 하지만, 현업에서 일을 해보지 않았기에 그들만의 애로사항이 있지 않을까라고 생각하기로 했다. 많은 사람들이 쓰는 프로그램에 악성코드를 넣어 배포하게 만드는 것이 집요하다고 느꼈으며, 사용자 입장에서 무결성 검증을 하게 만드는 그들이 나중에 무결성 검증하는 프로그램에 악성코드를 배포해서 이중으로 공격을 유도하면 대응을 어떻게 해야할라는 생각도 해봤다.

<용어 정리>

젠킨스(Jenkins): 지속적 통합 및 배포(CI/CD)를 지원하는 오픈소스 자동화 서버로, 전 세계 많은 개발 조직이 코드 빌드와 테스트에 사용했다.
보안 테스트 플러그인: 젠킨스와 같은 자동화된 소프트웨어 개발 환경(CI/CD 파이프라인)에 추가하여, 개발 중인 코드나 프로그램의 보안 취약점을 자동으로 점검해 주는 확장 도구를 말한다.
CI/CD: 지속적 통합(Continuous Integration)과 지속적 배포(Continuous Deployment)의 약자로, 개발부터 배포까지의 과정을 자동화하는 파이프라인을 의미했다.
CI (Continuous Integration, 지속적 통합): 여러 명의 개발자가 각자 수정한 코드를 하나의 저장소(GitHub 등)에 합칠 때마다, 젠킨스가 자동으로 빌드하고 테스트를 수행하는 과정입니다. 코드가 깨지지 않았는지 실시간으로 확인합니다.
CD (Continuous Delivery/Deployment, 지속적 제공 및 배포): CI를 통과한 깨끗한 코드를 실제 서비스 서버나 테스트 환경에 자동으로 전송(배포)하는 과정입니다.
AST(Application Security Testing): 애플리케이션의 보안 취약점을 찾아내기 위해 수행하는 테스트 도구를 의미했다.
공급망 공격(Supply Chain Attack): 소프트웨어 개발사의 저장소나 배포망을 해킹하여 정상적인 제품에 악성 코드를 심고, 이를 사용하는 고객사들을 한꺼번에 감염시키는 공격 방식이다.
컨테이너 이미지: 애플리케이션을 실행하는 데 필요한 모든 것(코드, 런타임, 라이브러리, 설정 파일 등)을 하나로 압축해 놓은 '불변의 실행 패키지’이다.
TeamPCP: 개발자 생태계를 전문적으로 노리는 것으로 알려진 글로벌 해커 그룹이다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206692

뉴스36. 클로드 AI 등 생성형 AI 도구, 멕시코 상수도 제어시스템 공격에 활용...OT 보안위협 ↑

Hugh_휴 — Mon, 11 May 2026 10:03:56 +0900

기사 요약:

멕시코 몬테레이 지역의 수도 유틸리티 침해 사고에서 공격자가 생성형 AI인 클로드(Claude)와 챗GPT를 정찰 및 공격 도구 개발에 활용하였고, 공격자는 클로드를 이용해 1만 7천 줄에 달하는 파이썬 기반 공격 프레임워크를 단시간에 제작했으며, AI가 스스로 OT(운영기술) 자산을 식별하고 공격 경로를 제안하는 능력을 보였다.

1. 드라고스는 2026년 1월 발생한 멕시코 유틸리티 침해 사고에서 앤트로픽의 클로드와 오픈AI의 챗GPT가 공격에 활용되었다는 분석 결과를 발표했다. 공격자는 클로드를 침투 계획 수립 및 공격 코드 작성의 핵심 도구로 썼으며, GPT 모델은 탈취한 데이터의 구조화와 스페인어 결과물 생성에 활용했다.

2. 클로드는 '백업오신트 v9.0 에이펙스 프레데터'라는 이름의 1만 7천 줄 규모 파이썬 공격 도구를 생성했으며, 여기에는 자격증명 수집 및 권한 상승 등을 위한 49개 모듈이 포함됐다. AI는 공격자의 직접적인 지시 없이도 내부망 정찰을 통해 브이노드(V-node) 산업 게이트웨이와 SCADA 인터페이스를 찾아냈고, 이를 주요 공격 표적으로 분류했다.

3. AI는 식별된 자산의 취약점을 분석해 비밀번호 스프레이 공격을 제안하고 실행을 도왔으나 실패했으며, 공격자는 이후 데이터 탈취로 방향을 전환했다. 이번 사건은 AI가 자율적으로 공격을 수행하는 단계는 아니지만, IT망 침해가 OT망으로 확산되는 시간을 비약적으로 단축시킬 수 있다는 위험성을 경고했다.

개인 의견:

항상 보안 관련 뉴스 기사를 접하게 되면 공격이 성공했다는 기사만 접했었는데, 이번 기사는 실패했다는 내용을 담고 있어 흥미로웠다. 아직 AI가 온전하게 산업시설을 자율적으로 공격해 마비시키는 단계에 도달하는 않았지만, AI가 산업용 게이트웨이의 중요성을 판단하고 공격 경로를 탐색했다는 점에서 AI를 활용한 공격이 진화하고 있음을 느낄 수 있었다.

<용어 정리>

OT (Operational Technology, 운영기술): 제조, 발전, 상수도 등 물리적인 산업 설비를 제어하고 모니터링하는 하드웨어와 소프트웨어 기술을 의미한다.
프레임워크: 복잡한 문제를 해결하기 위해 미리 만들어진 구조와 규칙의 집합이다.
브이노드(vNode): 산업 현장에서 발생하는 다양한 데이터를 수집하여 상위 시스템으로 전달하는 '산업용 자동화 게이트웨이(Industrial Automation Gateway)' 소프트웨어 솔루션이다. 브이노드는 이 모든 기계의 말을 알아듣고, 이를 우리가 흔히 쓰는 인터넷 언어(IT 언어)로 바꿔주는 '만능 통역사' 역할을 한다.
SCADA (Supervisory Control and Data Acquisition, 감시 제어 및 데이터 취득): 원거리에 있는 산업 설비의 상태를 감시하고 제어하며 데이터를 수집하는 통합 시스템을 뜻한다.
IIoT (Industrial Internet of Things, 산업용 사물인터넷): 산업 현장의 각종 기기에 센서를 부착해 실시간으로 데이터를 주고받으며 공정 효율을 높이는 기술을 말한다.
비밀번호 스프레이 (Password Spraying): 흔히 사용되는 몇몇 비밀번호를 대량의 사용자 계정에 하나씩 대입하여 보안이 취약한 계정을 찾아내는 공격 방식이다.
자격증명 (Credential): 시스템에 접근할 수 있는 권한을 증명하기 위한 정보로, 주로 사용자 ID와 비밀번호, 인증 토큰 등을 포함한다.
액티브 디렉터리 (Active Directory): 윈도우 네트워크 환경에서 사용자, 컴퓨터, 그룹 등 모든 자원을 중앙에서 체계적으로 관리하고 권한을 부여하는 시스템이다.

액티브 디렉터리(Active Directory, 이하 AD) 정찰을 한 이유?

공격자가 기업의 내부망에 침투한 뒤, '어디에 무엇이 있고, 누구에게 권한이 있는지'를 파악하기 위해 반드시 거치는 필수적인 과정이다.

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206653

뉴스34. DAEMON Tools 공급망 공격으로 공식 설치 프로그램이 악성코드에 감염되었습니다.

Hugh_휴 — Thu, 7 May 2026 20:10:45 +0900

기사 요약:

전 세계적으로 널리 사용되는 가상 드라이브 소프트웨어인 DAEMON Tools(Windows용)가 공급망 공격을 받았다. 공격자는 개발사의 디지털 서명을 도용해 악성코드가 포함된 설치 프로그램을 공식 홈페이지에서 배포했으며, 감염된 시스템 중 특정 타겟을 선별하여 추가적인 백도어(QUIC RAT 등)를 설치한 고도로 정교한 공격을 감행했다.

1. 카스퍼스키 연구팀은 DAEMON Tools의 공식 설치 프로그램이 악성 페이로드를 유포하고 있음을 발견했는데, 개발사(AVB Disc Soft)의 정상적인 디지털 인증서로 서명되어 있어 일반적인 보안 경계 체계를 우회했다. 이 공격은 약 한 달간 감지되지 않은 채 진행되었다.

2. Windows용 Lite 버전 12.5.0.2421 ~ 12.5.0.2434. 에 영향을 주며, DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe 이러한 파일들을 변조하였다. 시스템 시작 시 악성 바이너리가 실행되어 C2 서버와 통신하며, 추가 페이로드(envchk.exe, cdg.exe)를 다운로드하여 시스템 정보를 수집하고 원격 제어를 시도했다.

3. 전 세계 100여 개국에서 수천 건의 감염 시도가 포착되었으나, 실제 정밀 백도어가 설치된 곳은 12개 호스트에 불과해 표적 공격(Targeted Attack)으로 주 타겟은 러시아, 벨라루스, 태국의 소매, 과학, 정부 및 제조 기관이다. 개발사는 문제를 인지한 후 12시간 이내에 악성 코드가 제거된 버전을 출시했다.

개인 의견:

공식 홈페이지에서 다운로드하고 정상적인 서명까지 확인된 소프트웨어가 공격 도구로 쓰였다는 점에서, 이제는 출처가 확실해도 100% 안전한 소프트웨어는 없다는 사실을 뼈저리게 느꼈으며, 개인이 할 수 있는 최선의 방어는 결국 신속한 업데이트와 백신 검사뿐이라는 점을 느꼈다.

<용어 정리>

공급망 공격 (Supply Chain Attack): 소프트웨어 개발사의 서버나 배포 과정을 해킹하여 정상적인 프로그램에 악성코드를 숨겨 사용자에게 전달하는 공격 방법

디지털 서명 (Digital Signature): 제작자의 신원을 증명하고 소프트웨어가 변조되지 않았음을 보장하여 사용자가 프로그램을 신뢰하게 만드는 검증 도구

페이로드 (Payload): 전송되는 데이터 중 공격자가 시스템에서 실제로 실행하고자 하는 파괴적인 목적을 가진 악성 코드

C2 서버 (Command and Control Server): 감염된 컴퓨터에 공격자가 명령을 내리거나 탈취한 정보를 전송받기 위해 운영하는 원격 제어 서버

백도어 (Backdoor): 시스템 보안을 우회하여 공격자가 언제든 다시 침투할 수 있도록 몰래 설치해 둔 비밀 통로

RAT (Remote Access Trojan): 감염된 대상의 화면을 보거나 파일을 제어하는 등 원격에서 시스템을 장악하는 원격 접속 도구

QUIC 및 HTTP/3: 보안 장비의 탐지를 피하기 위해 사용된 최신 웹 전송 규격으로, 데이터 전송 속도를 높이면서도 분석을 어렵게 만드는 통신 방법

프로세스 주입 (Process Injection): 정상적인 프로그램(메모장 등)의 메모리 영역에 악성 코드를 삽입하여 실행함으로써 보안 프로그램의 감시를 피하는 은닉 방법

뉴스 링크: https://thehackernews.com/2026/05/daemon-tools-supply-chain-attack.html

뉴스35. 구글 앱시트 피싱 공격을 통해 페이스북 계정 3만 개가 해킹당했습니다.

Hugh_휴 — Wed, 6 May 2026 19:33:44 +0900

기사 요약:

베트남의 AccountDumpling 조직이 구글 앱시트의 공식 발송 주소를 이용해 스팸 필터를 우회하는 정교한 피싱 캠페인을 전개하고 있다. 이들은 메타(Meta) 지원팀을 사칭하여 계정 삭제 위협을 가한 뒤, 가짜 랜딩 페이지로 유도해 약 3만 개의 계정 정보와 민감한 개인정보를 탈취했다.

Guardio는 베트남 조직의 AccountDumpling 캠페인을 발견했으며, 현재까지 약 3만 개의 페이스북 계정이 탈취되어 불법 상점에서 판매된 것으로 파악되었습니다.
공격자는 구글 앱시트의 공식 이메일 주소(noreply@appsheet.com)를 사용하여 메타 지원팀 사칭 피싱 메일을 발송함으로써 보안 솔루션의 감시를 피한다.
Netlify, Vercel, 구글 드라이브 등 클라우드 서비스를 활용해 고객센터나 보안 검사 페이지로 위장하고, 신분증 사진이나 2단계 인증 코드까지 수집하는 고도화된 수법을 사용한다.
PDF 메타데이터 분석을 통해 베트남 마케팅 서비스 운영자인 "PHẠM TÀI TÂN"과의 연관성이 드러났으며, 이는 고도로 조직화된 범죄 활동임을 시사한다.
이번 사례는 신뢰받는 플랫폼들이 범죄 자산의 호스팅과 유통에 악용되고 있으며, 탈취된 계정 자체가 암시장의 주요 거래 상품이 되었음을 경고한다.

기사에서 가져옴(https://thehackernews.com/2026/05/30000-facebook-accounts-hacked-via.html)

[첫 번째 이미지: 앱시트를 이용한 피싱 메일 구조]

핵심 포인트: "공식 플랫폼의 신뢰성을 악용한 침투"
설명 내용: 이 이미지는 실제 공격에 사용된 피싱 메일 화면이다. 상단 빨간 박스를 보면 발신자가 noreply@appsheet.com으로 되어 있는데, 이는 구글의 공식 서비스 주소이다. 공격자는 앱시트의 기능을 이용해 발신자 이름만 'Meta Support'로 변조했다. 이를 통해 스팸 필터를 통과하고 사용자를 안심시킨다. 본문에는 '계정이 24시간 내에 삭제된다'는 문구로 심리적 압박을 가해 하단의 '이의 신청(Submit an Appeal)' 버튼을 클릭하도록 유도한다.

[두 번째 이미지: 데이터 탈취 경로의 진화]

핵심 포인트: "추적을 피하기 위한 고도의 은폐 기술"
설명 내용: 탈취한 정보를 공격자에게 전달하는 방식의 변화를 보여준다.
- V1(과거): 사용자의 브라우저에서 직접 텔레그램 API로 정보를 보냈습니다. 이 방식은 소스 코드를 분석하면 텔레그램 봇 주소가 노출되어 추적당하기 쉽다.
- V2(현재): 'Netlify'라는 클라우드 서비스의 서버리스 함수를 중간 다리로 사용한다. 사용자 정보는 먼저 Netlify 서버로 전송된 후, 서버 내부에서 공격자의 텔레그램으로 전달된다. 이로 인해 외부에서는 최종 목적지인 텔레그램 봇의 정보를 알 수 없게 되어 보안 연구원들의 추적을 차단한다.

개인 의견:

많은 사람들이 사용하는 공식 메일 주소로 연락이 온다면 보안에 익숙하지 않은 사람들은 의심 없이 믿을 수밖에 없겠다는 생각이 들었다. 단순히 아이디, 비밀번호가 아니라, 신분증 사진이나 실시간 인증코드까지 요구한다는 점에서 최대한 긁어갈 수 있는 정보를 탈취하려는 공격자들의 의지가 느껴졌다.

<용어 정리>

피싱(Phishing): 타당한 발신인으로 위장하여 이메일이나 메시지를 보냄으로써 개인정보나 금융 정보를 가로채는 공격 수법이다.

구글 앱시트(Google AppSheet): 코딩 없이 비즈니스용 애플리케이션을 만들 수 있도록 지원하는 구글의 노코드(No-code) 플랫폼이다.

Netlify(넷리파이): 웹사이트를 아주 쉽고 빠르게 인터넷에 올릴 수 있게 해주는 클라우드 플랫폼이다.

html2canvas:

원래 용도: - 웹페이지의 특정 부분을 캡처하여 이미지 파일로 만들어주는 도구이다.
공격 시 이용 - 공격자는 사용자가 가짜 페이지에 접속해 있는 동안, 사용자의 브라우저 화면 전체나 특정 설정 화면을 몰래 캡처한다.

랜딩 페이지(Landing Page): 사용자가 링크를 클릭했을 때 처음 도착하게 되는 웹페이지입니다. 이 사건에서는 정보를 빼내기 위한 가짜 페이지를 의미한다.

2단계 인증(2FA): 비밀번호 외에 추가적인 인증 수단(SMS 코드, OTP 등)을 요구하여 보안을 강화하는 절차이다.

클러스터: 비슷한 특징을 가진 공격 요소들을 하나로 묶은 공격 그룹 또는 단위

공격자가 누구인지 바로 알 수 없을 때, 분석가들은 다음과 같은 공통점을 기준으로 공격 인프라를 분류한다.

- 공격 수법 (TTPs): 가짜 PDF를 만들거나 구글 드라이브를 활용하는 방식이 동일함.

- 악성 코드 유사성: 사용된 html2canvas 스크립트의 구조나 변수명이 비슷함.

- 인프라 공유: 동일한 C2 서버(명령 제어 서버)를 사용하거나, 특정 도메인 등록 정보를 공유함.

서버리스 함수(Serverless Function): 개발자가 서버를 직접 관리할 필요 없이, 특정 이벤트가 발생했을 때만 실행되는 코드 조각이다. 기사에서는 텔레그램 봇의 정보를 숨기기 위해 Netlify의 이 기능을 사용했다.

메타데이터(Metadata): 데이터에 관한 데이터로, 파일의 작성자, 생성 날짜, 수정한 소프트웨어 등의 정보를 포함한다.

뉴스33. 아마존의 간편 이메일 서비스 악용하는 피싱 이메일 급증

Hugh_휴 — Tue, 5 May 2026 20:38:08 +0900

기사요약:

최근 공격자들이 아마존의 신뢰도 높은 이메일 서비스인 SES를 악용하여 보안 필터를 우회하는 정교한 피싱 공격을 전개하고 있습니다. 공격자들은 개발자의 실수로 노출된 IAM 액세스 키를 'TruffleHog'와 같은 자동화 도구로 수집하여 권한을 획득하며, 이를 통해 SPF, DKIM, DMARC 등 주요 이메일 인증 프로토콜을 정상적으로 통과하며, 신뢰할 수 있는 인프라를 바탕으로 차단을 회피한다.

1. 신뢰도가 높은 클라우드 기반 이메일 플랫폼인 아마존 SES를 이용해 보안 시스템을 무력화하는 피싱 사례가 늘고 있다. 개발자가 실수로 공개 리포지터리나 S3 버킷 등에 노출한 IAM 액세스 키를 공격자들이 TruffleHog 기반 봇으로 자동 스캔하여 탈취한다.

2. 탈취한 키로 아마존 SES에 접근한 공격자는 이메일 인증(SPF, DKIM, DMARC)을 정상적으로 통과하며, 아마존의 화이트리스트 IP를 사용해 차단을 피한다.

3. 사용자 지정 HTML 템플릿과 조작된 대화 내용을 활용해 실제처럼 보이는 가짜 청구서 등을 발송하며 금융 사기를 유도한다.

4. 피해 방지를 위해 최소 권한 원칙 적용, MFA 활성화, 정기적인 키 교체 및 IP 기반 액세스 제한이 필수적이다.

개인 의견:

실제 사고의 발단이 개발자의 실수로 노출된 액세스 키 하나에서 시작된다는 점을 보았으며, 여러 기사를 읽으며 느낀 점과 마찬가지로 이번 기사에서도 보안의 기본은 기술보다 그것을 어떻게 관리하냐에 있다고 생각하게 되었다.

<용어 정리>

깃허브 리포지터리(GitHub Repository): 소프트웨어의 소스 코드를 저장하고 수정 이력을 관리하는 온라인 저장소이다. 개발자들이 협업을 위해 코드를 올리는 곳이지만, 소스 코드 안에 액세스 키를 직접 적어둔 상태로 공개 설정(Public)을 하면 외부인이 이를 쉽게 확인할 수 있다.

ENV 파일(Environment Variable File): 소프트웨어가 실행될 때 필요한 환경 설정값들을 따로 모아둔 파일이다. 주로 비밀번호나 API 키 같은 민감 정보를 코드와 분리해서 관리하기 위해 사용하지만, 이 파일을 암호화하지 않거나 실수로 서버에 방치할 경우 공격자의 목표가 된다.

도커 이미지(Docker Image): 애플리케이션을 실행하는 데 필요한 프로그램, 라이브러리, 설정 등을 하나로 압축해 놓은 파일이다. 이미지를 생성하는 과정에서 설정 파일이 포함될 수 있으며, 공격자가 이미지를 분석하여 그 내부에 숨겨진 관리자 키나 비밀번호를 찾아낼 위험이 있다.

백업(Backup): 시스템 장애나 데이터 손실에 대비하여 데이터를 복사해 별도로 보관해 둔 결과물이다. 운영 중인 서버보다 보안 관리가 허술한 경우가 많으며, 암호화되지 않은 백업 파일 속에는 과거에 사용했던 설정 값이나 보안 키들이 그대로 남아 있는 경우가 많다.

S3 버킷(Amazon S3 Bucket): 아마존 웹 서비스(AWS)에서 제공하는 클라우드 데이터 저장 공간이다. 파일이나 이미지를 저장하는 용도로 널리 쓰이지만, 접근 권한 설정을 '공개(Public)'로 잘못 지정하면 주소만 알면 누구나 내부의 파일을 열람하고 다운로드할 수 있게 된다.

아마존 SES (Simple Email Service): 개발자가 애플리케이션 내에서 마케팅, 알림, 트랜잭션 이메일을 보낼 수 있도록 지원하는 AWS의 클라우드 기반 이메일 전송 서비스이다.

IAM (Identity and Access Management): AWS 리소스에 대한 사용자의 접근 권한을 안전하게 제어하고 관리하는 서비스이다.

SPF (Sender Policy Framework): 메일 수신 측에서 송신자가 권한이 있는 서버에서 보낸 것인지 확인할 수 있도록 DNS에 송신 서버 정보를 등록하는 인증 방식이다.

DKIM (DomainKeys Identified Mail): 송신자가 이메일에 디지털 서명을 추가하여 메일이 전송 과정에서 변조되지 않았음을 증명하는 기술이다.

DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF와 DKIM의 인증 결과를 바탕으로, 인증에 실패한 메일을 어떻게 처리할지(수용, 격리, 거부) 결정하는 정책이다.

TruffleHog: 깃허브(GitHub) 리포지터리나 파일 시스템 등에 실수로 포함된 비밀 키, 토큰, 비밀번호와 같은 민감 정보를 검색하고 찾아내는 오픈소스 보안 도구이다.

뉴스 링크: https://www.boannews.com/media/view.asp?idx=143477&page=1&kind=1