JD Tech Now

진짜 문제는 우리가 그만큼 준비가 안 돼 있다는 사실입니다

2025년 5월 보안 업계에서 다시 한 번 **‘공급망 공격’**이 화두에 올랐습니다.
“라자루스, 한국 SW 공급망 완벽하게 이해하며 공격 벌여”라는 제목의 기사가 많은 보안 전문가들의 관심을 끌었지만, 실제 내용을 들여다보면 크게 새로울 것은 없었습니다.

북한 연계 해킹 조직인 라자루스(Lazarus) 그룹은 이미 수년 전부터 한국의 소프트웨어 공급망을 공격 대상으로 삼아 지속적인 위협 활동을 전개해 왔습니다. 특히, 국내 소프트웨어 개발사나 솔루션 유통업체를 침투 거점으로 삼아, 2차 감염 형태로 고객사 내부망을 노리는 방식이 반복되고 있습니다.

그럼에도 불구하고, 우리는 여전히 공급망 보안 체계에 대한 근본적인 개선 없이 “탐지 위주”의 대응에 머물고 있는 상황입니다.

탐지는 하고 있다, 하지만 대응은?

공격을 탐지하는 기술은 날로 발전하고 있습니다. EDR, XDR, NDR 같은 다양한 솔루션이 존재하지만, 탐지 이후의 대응 프로세스는 여전히 인적 자원에 의존하고 수작업에 가까운 경우가 많습니다.

이러한 한계를 극복하기 위해, 보안 기업 트렌드마이크로는 이번 기사에서 자사 솔루션 ‘비전 원(Vision One)’을 소개하며 SOAR 기반의 자동화 대응 체계 도입 필요성을 강조합니다.

비전 원은 다양한 보안 영역(엔드포인트, 이메일, 서버, 클라우드)에서 탐지된 위협 데이터를 연계 분석하고, 사전 정의된 플레이북에 따라 자동으로 대응 절차를 수행할 수 있도록 설계된 플랫폼입니다.

하지만 이 역시 단순한 기술 도입으로 해결될 문제가 아니라는 점에서 주의가 필요합니다.

진짜 위협은 외부가 아니라 내부에 있다

라자루스가 한국의 공급망을 완벽히 이해하고 있다면, 그건 단순히 그들의 기술력이 뛰어나서가 아니라, 한국의 공급망 구조와 보안 현실이 너무나도 잘 보이기 때문입니다.

• 여전히 보안 조직이 없는 중소 소프트웨어 기업
• 여전히 정적 분석에 의존한 형식적인 보안 점검
• 여전히 SBOM과 VEX를 모르는 담당자들
• 그리고 여전히 유효하지 않은 인증서가 붙은 인스톨러가 아무 경고 없이 배포되는 현실

이런 환경에서는 아무리 XDR이나 SOAR 같은 최신 기술을 도입하더라도 **“공격자가 공격을 포기할 이유가 없는 환경”**이 계속 유지됩니다.

결론 – 완벽하게 이해한 건 라자루스가 아니라, 우리 시스템이 너무 단순했을 뿐

기사 제목처럼 라자루스가 우리 공급망을 완벽하게 이해하고 있다면,
그건 우리가 복잡한 방어 구조를 갖추지 못했기 때문입니다.
공격자가 전략을 바꿀 필요 없이 몇 년 전 방법 그대로 계속 성공하고 있는 현실, 그것이 진짜 위협입니다.

지금 우리가 해야 할 일은 다음과 같습니다:

1. SBOM을 통한 공급망 구성요소 가시화
2. VEX 기반으로 위협의 영향도 판단 체계 마련
3. 정적 + 반정적 분석을 결합한 보안 점검 체계 구축
4. 탐지 이후 자동화된 대응 플레이북 운영

공급망 공격은 멀리 있지 않습니다.
당신이 지금 설치하려는 소프트웨어 인스톨러 안에, 이미 시작된 전쟁의 단서가 숨어 있을지도 모릅니다.

최근 보안 업계에서는 인공지능(AI)을 악용한 해킹 수법이 급증하고 있습니다. 

특히, 생성형 AI 기술을 활용한 딥페이크 피싱과 같은 공격은 기업과 개인 모두에게 심각한 위협이 되고 있습니다. 

이러한 사이버 공격은 단순한 기술적 침해를 넘어 사회적 신뢰를 무너뜨릴 수 있는 잠재력을 지니고 있습니다.

AI 해킹의 실태와 사례

1. 딥페이크를 이용한 금융 사기

2024년 1월, 홍콩의 한 금융회사에서는 딥페이크 기술을 활용한 사기 사건이 발생했습니다. 

사기범들은 CFO와 동료 직원들의 얼굴과 목소리를 정교하게 합성하여 화상 회의를 진행했고, 이를 통해 직원으로 하여금 342억 원 상당의 금액을 송금하게 만들었습니다.

이 사건은 딥페이크 기술이 실제 금융 사기에 어떻게 활용될 수 있는지를 보여주는 대표적인 사례입니다.

2. 푸틴 대통령의 가짜 방송

같은 해, 러시아에서는 푸틴 대통령이 계엄령을 선포하는 가짜 방송이 송출되는 사건이 발생했습니다. 

해커들은 생성형 AI를 이용해 푸틴 대통령의 얼굴과 목소리를 합성한 영상을 제작하고, 이를 TV 채널을 해킹하여 방영했습니다. 

이 사건은 딥페이크 기술이 국가 안보에도 위협이 될 수 있음을 시사합니다.

3. AI 기반 피싱 도구 'FraudGPT'

최근 다크웹에서는 'FraudGPT'라는 AI 기반 피싱 도구가 등장했습니다. 

이 도구는 기업 임직원을 사칭하여 송금을 유도하는 BEC(Business Email Compromise) 공격을 자동화할 수 있도록 설계되었습니다. 

이러한 도구의 등장은 AI 기술이 사이버 범죄에 어떻게 악용될 수 있는지를 보여줍니다.

AI 해킹에 대한 방어 전략

1. 체계적인 보안 정책 수립

AI 시스템의 중요도와 데이터 민감성, 예상되는 위협 수준 등을 고려하여 적절한 보안 목표를 설정하고, 이를 바탕으로 보안 정책을 개발해야 합니다. 또한, 인공지능 기술의 빠른 발전에 대응하기 위해 보안 정책은 지속적으로 검토하고 업데이트해야 합니다.

2. 안전한 다운로드 경로 이용

AI 모델과 데이터를 다운로드할 때는 신뢰할 수 있는 공식 경로를 이용해야 합니다. 출처가 불분명한 웹사이트나 공유 폴더에서 데이터를 다운로드하면 악성코드 감염 위험이 높아질 수 있으므로 주의해야 합니다.

3. 딥페이크 탐지 도구 활용

딥페이크 기술을 이용한 사이버 범죄를 예방하기 위해 딥페이크 탐지 도구를 적극적으로 활용해야 합니다. 이러한 도구는 딥페이크 영상이나 음성을 탐지하고 차단할 수 있는 기능을 제공합니다.

4. AI 기반 보안 솔루션 도입

기존 보안 시스템만으로는 지능화된 사이버 공격에 대응하기 어렵습니다. 따라서, AI 기반의 보안 솔루션을 도입하여 실시간 위협 탐지, 자동 대응, 이상 징후 분석 등 다양한 기능을 활용해야 합니다.

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

2023년 6월, 사이버 범죄 조직인 클롭(Clop) 랜섬웨어 그룹은 MOVEit 파일 전송 소프트웨어의 취약점을 악용하여 다수의 기업과 기관을 공격했습니다.

이들은 SQL 인젝션을 통해 악성 파일을 업로드하고, 이를 실행하여 데이터를 암호화하거나 탈취했습니다.

이러한 공격에 대응하기 위해서는 소프트웨어의 최신 보안 패치 적용, 웹 애플리케이션 방화벽 도입, 파일 업로드 제한 및 검사, 로그 모니터링, 네트워크 세그멘테이션 등의 기술적 방안이 필요합니다.

클롭(Clop) 랜섬웨어 그룹은 2019년부터 활동을 시작한 사이버 범죄 조직으로, 주로 대규모 기업과 기관을 대상으로 랜섬웨어 공격을 수행해 왔습니다. 이들은 단순한 데이터 암호화에 그치지 않고, 탈취한 데이터를 공개하겠다고 협박하여 피해자에게 이중의 압박을 가하는 것으로 알려져 있습니다.

이번 공격에서 클롭 그룹은 MOVEit 파일 전송 소프트웨어의 SQL 인젝션 취약점을 악용했습니다.

SQL 인젝션은 웹 애플리케이션의 입력값을 통해 악의적인 SQL 코드를 주입함으로써 데이터베이스를 조작하거나 민감한 정보를 탈취하는 공격 기법입니다.​

공격 과정은 다음과 같습니다:​

1. 취약점 탐색: 클롭 그룹은 MOVEit 소프트웨어의 특정 버전에 존재하는 SQL 인젝션 취약점을 식별했습니다.​
2. 악성 파일 업로드: 이 취약점을 통해 human2.aspx라는 이름의 악성 ASPX 파일을 서버에 업로드했습니다. 이 파일은 원격에서 공격자가 명령을 실행할 수 있도록 설계되었습니다.​
3. 원격 코드 실행: 업로드된 악성 파일을 통해 서버에서 명령을 실행하여 데이터를 암호화하거나 탈취했습니다.

이 공격으로 인해 다수의 기업과 기관이 데이터 유출 및 서비스 중단과 같은 심각한 피해를 입었습니다.

특히, 민감한 정보가 외부로 유출되어 기업의 신뢰도 하락과 금전적 손실을 초래했습니다.

공격이 발생한 후, 피해 기업들은 다음과 같은 대응 조치를 취했습니다:​

1. 긴급 패치 적용: MOVEit 소프트웨어의 제조사는 즉각적으로 취약점을 수정한 보안 패치를 배포하였으며, 기업들은 이를 신속하게 적용했습니다.​
2. 시스템 점검 및 복구: 침해된 시스템을 격리하고, 백업 데이터를 활용하여 시스템을 복구했습니다.​
3. 보안 강화: 향후 유사한 공격을 방지하기 위해 웹 애플리케이션 방화벽을 도입하고, 파일 업로드에 대한 보안 정책을 강화했습니다.

예방을 위한 기술적 방안:

이러한 공격을 예방하기 위해서는 다음과 같은 기술적 조치가 필요합니다:​

1. 정기적인 보안 패치 적용: 소프트웨어와 시스템의 최신 보안 패치를 주기적으로 적용하여 알려진 취약점을 제거해야 합니다.​
2. 웹 애플리케이션 방화벽(WAF) 도입: SQL 인젝션과 같은 웹 공격을 탐지하고 차단할 수 있는 WAF를 구축하여 공격을 사전에 방지해야 합니다.​
3. 파일 업로드 보안 강화: 서버에 업로드되는 파일의 유형과 크기를 제한하고, 업로드된 파일에 대한 정밀 검사를 수행하여 악성 파일의 실행을 방지해야 합니다.​
4. 실시간 로그 모니터링: 서버 로그를 실시간으로 모니터링하고, 비정상적인 접근이나 파일 업로드 시도를 탐지하여 신속하게 대응할 수 있도록 해야 합니다.​
5. 네트워크 세그멘테이션: 중요 시스템과 일반 시스템을 분리하여 공격 발생 시 피해 범위를 최소화해야 합니다.

바이든 행정부는 최근 발표한 사이버보안 행정명령을 통해 미국 정부에 제품과 서비스를 판매하는 회사들에게 강화된 보안 요구 사항을 부과하고 있습니다.

이 명령은 특히 개발 프로세스의 보안을 입증할 것을 요구하며, 이를 통해 연방 정부는 보다 안전한 디지털 환경을 구축하고자 합니다.

미국 사이버 트러스트 마크(US Cyber Trust Mark) 프로그램의 도입은 이러한 목표를 달성하기 위한 주요 조치 중 하나입니다.

이 프로그램을 통해 기업들은 공인된 실험실에서 규정 준수 테스트를 거쳐 미국 국가표준기술원(NIST)의 사이버보안 기준에 따라 제품을 테스트하고, 성공적으로 인증을 획득한 제품에는 사이버 트러스트 마크 라벨을 부착할 수 있습니다.

이 라벨은 소비자들이 제품의 사이버보안 수준을 쉽게 확인할 수 있게 해, 신뢰성 있는 선택을 가능하게 합니다.

2027년부터는 미국 정부가 인터넷이 연결된 모든 기기를 구매할 때, 이 사이버 트러스트 마크 라벨이 부착된 제품만을 구매할 수 있도록 이 명령은 규정하고 있습니다.

이는 사이버보안을 중시하는 정부의 의지를 반영하는 동시에, 기업들에게 보다 엄격한 보안 표준을 준수하도록 독려하는 조치입니다.

이번 행정 명령은 또한 최근 몇 년 간 연방 기관과 기업들이 경험한 사이버 공격의 증가에 따른 대응으로, 특히 랜섬웨어 공격과 같은 중대한 사이버 위협에 대처하기 위한 것입니다.

예를 들어, Change Healthcare, Colonial Pipeline 운영사 및 Ascension 건강관리 시스템은 최근 랜섬웨어 공격의 피해자가 되었습니다.

또한, 마이크로소프트는 2023년에 중국 해커들이 미국 정부 공무원의 이메일 계정을 침해한 사건을 보고한 바 있습니다. 이러한 사건들은 정부와 기업들로 하여금 보안 강화의 필요성을 절실히 느끼게 했습니다.

그러나 차기 트럼프 행정부에서 이 행정 명령을 계속 유지할지는 아직 확실치 않습니다.

바이든 행정부의 사이버보안 관리자들은 트럼프 행정부의 후임자들과 아직 만날 계획을 세우지 않았으며, 이에 대한 논의는 새로운 팀이 구성되는 대로 진행될 것으로 보입니다.

미국 정부는 최근 발표한 사이버 보안 행정 명령을 통해 국가의 사이버 방어를 강화하고 혁신을 촉진하기 위한 새로운 조치를 도입했습니다. 이 행정 명령은 중대한 사이버 위협에 대응하고, 연방 정부와 민간 부문에서 사용되는 소프트웨어의 안전성을 강화하는 데 중점을 두고 있습니다.

특히, 중국과 같은 적대 국가로부터의 지속적인 사이버 위협에 맞서기 위한 조치들이 포함되어 있습니다.

주요 내용은 다음과 같습니다:

1. 사이버 보안 혁신 촉진: 미국은 소프트웨어 공급업체들이 안전한 소프트웨어 개발 관행을 증명하도록 요구하며, 이를 검증하여 민간 부문의 안전한 소프트웨어 선택을 지원할 계획입니다.
2. 사이버 보안 위협 대응 강화: 국가표준기술원(NIST)은 안전하고 신뢰할 수 있는 소프트웨어 업데이트 방법에 대한 지침을 개발할 예정입니다.
3. AI 기반 사이버 보안 도구 연구: 연방 정부는 AI를 활용하여 소프트웨어 취약성을 검색하고 위협을 탐지하는 등의 사이버 방어 도구 개발에 착수할 예정입니다.
4. 최소 사이버 보안 기준 설정: 연방 정부와 협력하는 기업들에 대한 최소 사이버 보안 기준을 설정하여, 사이버 위협에 대한 방어력을 강화합니다.

이 행정 명령은 또한 최근 Salt Typhoon과 Beyond Trust 사건을 포함한 일련의 사이버 공격에 대한 대응으로 제정되었습니다.

이 조치들을 통해 미국은 자국의 사이버 보안을 강화하고, 민간 부문과의 협력을 통해 보다 안전한 디지털 환경을 조성하려 합니다.