2주차 기술 [ESRC 보안동향보고서]

https://www.estsecurity.com/enterprise/security-info/report

이스트시큐리티 기업 | 보안동향보고서

 

AI를 사용한 사이버 공격이 공격자들 사이에서 적극적으로 사용되고 있다. 앤스로픽은 북한이 자사 AI모델인 클로드를 사용해 위장 신분을 생성하고 해외 기업에 위장취업을 한 뒤 외화를 벌여들이는 목적으로 사용되었다는 것을 밝혔다. 그와 동시에 김수키의 공격 또한 지속되고 있었다. 9월에는 한국 주재 외국 대사관을 타겟으로 이메일 피싱, 악성 첨부파일, 문서 위장 등의 방식을 사용했다. 이런 북한의 위협에 한미일 3국이 공동성명을 진행하기도 하였다. 그리고 최근 한국을 대상으로 하는 동시다발적 사이버 공격의 배후가 북한이 아닐 수도 있다는 분석이 제기 되었다. 한국의 통신사 해킹(SKT)사고가 알려지기 전인 4월 14일. 중국 연계 APT그룹이 아반티 VPN 취약점으로 한국을 포함한 다수의 국가에 침투했다는 정보와, 아반티 SSL VPN과 SSL_read 후킹, 파일리스 백도어 등등 기존 중국계 침투 전술과 유사하다는 점이 이번 통신사 해킹사고의 배후가 북한이 아닌 중국일 수도 있다는 분석에 힘을 실어 준다. 이와 같은 해킹피해가 확산되고 있는 가운데, 개인정보보호위원회 또한 개인정보 유출 피해 확산에 대응하기 위한 개인정보 배상 책임 제도를 개편하고 재논의 중이다.

 

올해에는 Gen:Variant.Symmi.49795가 1위를 기록하고, Adware.Generic,3184910이 그 뒤를 이어 2위를 차지했다. 가상화폐 채굴 악성코드들이 순위권으로 들어오기도 했다.

악성코드 유형별 비율

카테고리별 악성코드 전월 비교

 

8월의 악성코드 유포지 및 경유지 URL 통계의 결과는 다음과 같다.

지난 7월에 비해서는 10.3% 감소한 수치를 가지고 있다.

 

최신 보안 동향에는 '북 해킹 조직의 언론사 위장 스피어 피싱 공격 주의' 가 있다.국내 언론사를 사칭한 공격자가 피해자로 부터 칼럼 요청 메일을 보낸 후 피해자가 원고를 제출하면 회신 메일에 악성코드가 첨부되어 발송되는 방식이다.

이메일 본문에는 탐지 회피를 위한 대용량 첨부파일 링크와 함계 Chrome 브라우저 아이콘으로 위장한 LNK파일이 존재한다.해당 파일을 실행하면 내부에 존재하는 파워셀 코드가 작동하면서 Base64로 인코딩된 데이터를 \TEMP\ 폴더에 7hweuyd.ps1 파일로 저장 후 실행된다. 실행된 파일은 공격자 서버에서 미끼파일인 PDF파일을 다운받아 저장된다.

그와 동시에 파일 내부의 코드를 일부 추출하여 \AppDAta\ 폴더에 chrome.ps1 파일로 저장된다. 지속성을 위한 스케불러도 등록한다.

스케줄러 등록이 끝나면 공격자 서버에서 onf.txt 라는 파일을 다운로드 한뒤, \AppDAta\ 폴더에 system_first.ps1 파일로 저장, 실행된다. 분석당시에는 txt 파일이 다운되지 않아 최종 페이로드의 분석까지 진행되지 못했으나 RAT 계열의 악성코드일 가능성이 높다. 

 

---

 

최근들어서는 개인정보 탈취와 관련된 시도들이 많이 보이고 있는 것 같다. 주관적인 의견이고, 분석일 뿐이지만, 점점 더 일반인들에게도 이런 접근이 잦아들고 있는 것이 제일 큰 문제점인 것 같다. 과거 보다는 개개인의 개인정보 가치가 높아져서 그런건지... 정확한 이유가 알고싶어진다. 마침 서론 주제도 AI 이길래 GPT씨 한테 물어보았다.

 

내 생각에는 요즘 개개인을 타깃으로하는 개인정보탈취가 많이 시도되고 있는 것 같아.

개인정보의 가치가 전보다 더 높아져서 일까? 난 AI발전이 깊은 연관이 있다고 생각해

 

맞아, 네 생각이 상당히 현실적이고 타당해. 최근 개인을 직접 노리는 피싱·스미싱·계정탈취 같은 공격이 증가한 건 단순히 공격자들이 더 교묘해져서가 아니라, 사회 전체의 구조적 변화(데이터 가치·AI 활용) 때문이야. 크게 나눠보면 이런 이유들이 있어:

---

1️⃣ 개인정보의 가치 상승

• 과거에는 신용카드 정보나 주민등록번호처럼 금전화가 바로 가능한 정보가 핵심이었지만,
• 지금은 구매·검색·위치·건강 데이터 같은 행동 패턴까지 금전적·전략적 가치가 커졌어.
• 기업·해커·사이버 범죄자 모두가 이런 데이터를 활용해 정밀 광고·사기·맞춤형 공격을 할 수 있기 때문에, 예전보다 수요가 훨씬 높아진 상태야.

---

2️⃣ AI 발전이 공격 효율을 극대화

• 공격 자동화: 과거엔 수작업으로 하던 피싱메일, 보이스피싱이 이제는 생성형 AI로 대량·정교하게 제작 가능.
• 정교한 개인화: AI가 공개된 SNS나 유출된 데이터를 분석해서, 개인별로 **취향·관심사·관계망에 맞춘 공격(스피어피싱)**을 할 수 있음.
• 딥페이크·음성합성: 가족·직장 상사를 사칭해 신뢰를 높이는 사회공학적 공격이 쉬워졌음.

---

3️⃣ 디지털 환경이 개인 중심으로 이동

• 과거엔 기업·기관을 직접 공격해 대규모 유출을 노렸다면,
• 지금은 클라우드·SNS·모바일 결제 같은 개인 단위 계정이 중요해져서, 오히려 개인 계정 하나가 기업의 보안망을 무너뜨리는 출입구가 되기도 해.
• 해커 입장에서 ROI(투자 대비 수익)가 더 좋아진 셈.

---

4️⃣ 결과

→ 개인정보 탈취 = 현금화 + 공격 기반 데이터 + AI 학습자료
→ 공격자는 더 정교한 맞춤형 공격 가능
→ 피해자는 “나 정도의 정보가 왜 필요하지?”라고 생각하지만, 실제로는 공격 준비 단계의 ‘원유’ 같은 역할을 하고 있음

---

원하면, 내가 “AI 발전이 개인정보 탈취 공격에 미친 영향” 같은 주제로 짧은 보고서 형식(개요·분석·예방책)으로 정리해줄까?

 

개인 계정 하나가 기업의 보안망을 무너뜨린다고?

 

정말 그래 — 개인 계정 하나가 기업 보안망을 무너뜨릴 수 있어. 아래에 어떻게(공격 경로) 가능한지, 어떤 징후가 보이는지, 그리고 개인·조직 차원에서 무슨 대응을 하면 좋은지 간단하고 실전적으로 정리할게.

어떻게 개인 계정이 기업을 무너뜨리나

1. 자격증명 재사용 → 권한 상승
   • 개인이 업무용 계정과 비슷한(또는 같은) 비밀번호를 쓰면, 외부 유출된 비밀번호로 기업 내부 서비스에 로그인 가능.
   • 일단 하나 접근하면 내부 정보로 다른 시스템 접근 토큰·자격증명을 훔쳐 더 높은 권한으로 이동(lateral movement)함.
2. 피싱 → 세션/토큰 탈취 또는 MFA 우회
   • 피싱 페이지로 SSO 로그인 정보를 훔치거나, OAuth 동의창을 속여서 앱 권한(메일/드라이브 읽기 등) 을 획득.
   • MFA를 SMS·푸시로만 설정해두면 SIM 스왑이나 푸시 피로 공격(계속 푸시 보내서 승인하게 만드는)으로 우회 가능.
3. 홈PC/개인기기 침해 → 원격 접속 경유
   • 재택·외근 중 사용하는 개인 기기가 감염되면 VPN/원격 데스크톱 자격증명을 가로채서 기업 네트워크로 들어옴.
4. 타사(벤더) 계정 침해 → 공급망 침투
   • 외주 개발자, 협력사 포털 계정이 뚫리면 그 연결고리를 통해 내부 시스템에 접근 가능. (개인 계정이 곧 출입구)
5. 이메일 규칙·포워딩 설정 변경 → 정보 유출 / 입증 불가 거래
   • 공격자가 개인 이메일 계정을 조작해 내부 승인 메일을 외부로 전달하거나 위조 거래를 시도함.

발견하기 쉬운 징후(탐지 포인트)

• 평소와 다른 시간대/지역에서의 로그인(불가피한 출장 제외).
• 단기간 다수 MFA 승인 시도(푸시 폭주).
• 알 수 없는 OAuth 앱이 기업 권한을 요청하거나 이미 승인된 앱.
• 메일 포워딩 규칙이 갑자기 생김.
• 내부 계정의 권한(관리자 권한)이 예기치 않게 변경됨.
• EDR/안티바이러스에서 개인 기기에서의 의심스러운 프로세스 탐지.

개인이 당장 할 수 있는 실전 방어

• 비밀번호 재사용 금지, 길고 랜덤한 비밀번호 + 비밀번호관리자 사용.
• 피싱 의심 메일 의심: 링크 클릭 전 항상 도메인 확인, 로그인 창은 SSO 포털로 직접 접속해 로그인.
• MFA는 FIDO2/하드웨어 키 우선(가능하면 SMS는 사용하지 않기).
• 개인기기(노트북/휴대폰)에 백신 설치·최신 패치 적용, 공용 와이파이 사용 시 주의.
• OAuth 권한 요청할 때 권한 범위(읽기/쓰기 등) 꼼꼼히 확인.
• 회사 계정과 개인 계정은 철저히 분리.

조직(기업)이 도입해야 할 핵심 대책

• SSO + 조건부 접근 정책(Conditional Access): 기기 상태, 위치, 위험 점수에 따라 접근 제한.
• 피싱 저항성 MFA(FIDO2 등) 우선화.
• 로그·이상행동 분석(UEBA): 불규칙한 로그인·이동 패턴 실시간 탐지.
• EDR/MDM: 개인 기기로부터 오는 접속은 장비 준수(패치·암호화 등) 조건을 만족해야 허용.
• 최소 권한 원칙(Lowest Privilege): 계정에 불필요한 권한 부여 금지.
• 벤더·서드파티 접근 통제: 최소 권한, 정기적 권한 검토, 별도 네트워크 분리.
• 메일 보안(이메일 인증/SPF-DKIM-DMARC, 외부 이메일 표시) 및 자동화된 포워딩 감지.
• 교육과 모의훈련: 정기적 피싱 모의 훈련으로 사람 약점 보강.

요약 (한 줄)

개인 계정 하나가 뚫리면 그 계정이 ‘출입문’이 되어 내부 토큰·세션·연결된 앱을 통해 기업 전체로 확산될 수 있으므로, 개인의 보안습관과 조직의 접근 통제·탐지 체계가 모두 중요하다.

더 자세히 — 예시 공격 시나리오(타임라인), 탐지 룰(로그 기반 SIEM 룰 예시), 그리고 개인용/조직용 체크리스트 형태로 정리해줄까? 원하는 포맷 알려줘.