🎯 사이버 위협 인텔리전스 보고서

보고일자: 2025년 4월 7일
출처: The Readable, Wired, Google Cloud, Reuters, NSA 외
분석주체: 오픈소스 기반 인텔리전스(OSINT)

1. 북한의 의료분야 대상 해킹 시도 및 한국 정부 대응

요약:
최근 북한 해킹 그룹이 한국의 병원 정보 시스템을 집중적으로 공격함에 따라, 국가정보원(NIS)이 병원 전산망 보안을 위한 새로운 가이드라인을 발표함.

세부내용:

• 북한은 2025년을 ‘보건 혁명의 해’로 지정하며 바이오 및 의료 인프라를 주요 사이버 타깃으로 삼고 있음.
• 이메일 피싱, 랜섬웨어, 의료기술 탈취 등 복합적인 공격 방식 사용.
• 한국 외에도 미국, 호주 등지 병원에서도 환자 데이터 유출 및 의료 시스템 마비 사례 발생.

정부 대응:

• 국정원, 교육부, 복지부와 병원 관계자 협업해 ‘병원 정보시스템 보안 가이드라인’ 배포.
• 병원 IT 시스템 6대 영역별 보안모델 표준화 및 실무 적용 방안 포함.
• 실무자 대상 현장 설명회 및 세미나 진행 중.

시사점:

• 북한의 공격 방향성이 민간의료 분야로 확장되었음을 보여주며, 사회기반 시스템에 대한 국가 차원의 방어체계 필요.
• 의료기관은 고도화된 APT 위협에 맞춰 지속적 훈련 및 백업, 보안 솔루션 점검 필요.

2. 북한 IT 노동자, 유럽 시장까지 확산

요약:
Google Threat Intelligence Group(GTIG)에 따르면, 북한의 IT 노동자들이 미국을 넘어 유럽으로 활동영역을 확장하고 있음.

세부내용:

• 북한 해커는 유럽 방산업체 및 정부기관 구직 시도하며 위장 신원 최소 12개 사용.
• 허위 추천서 및 채용 담당자와의 장기적 관계 형성을 통해 취업 시도.
• 민감 분야 침투 시도는 북한 정찰총국 등과 연계 가능성 높음.

시사점:

• 위장 구직자 식별 위한 글로벌 신원 인증 절차 강화 필요.
• 구직자 배경조사 및 코드 리뷰, 커뮤니케이션 분석 등 정밀 평가 필요.

3. 美 NSA, ‘Fast Flux’ 기법 경고

요약:
NSA는 공격자들이 도메인의 IP를 짧은 시간 안에 빠르게 교체하는 ‘Fast Flux’ 기법을 경고함.

기법 특징:

• 악성 행위를 은폐하고 추적 회피에 탁월.
• 대규모 피싱, DDoS, 스팸 캠페인 등에 자주 활용됨.
• 탐지 및 차단이 매우 어려워 보안 체계 교란 가능성 높음.

NSA 권고:

• 방어기관 및 방산업체는 Protective DNS(PDNS) 등 탐지 솔루션 도입 필요.
• PDNS는 NSA에서 무료 제공.

시사점:

• 공공·민간 DNS 시스템 고도화 필요.
• DNS 쿼리 이상 탐지 기반 위협 인텔리전스 연동 권장.

4. 中 해커, Ivanti VPN 취약점 악용한 정찰 활동

요약:
Google Cloud는 중국 해킹 조직 UNC5221이 Ivanti Connect Secure VPN의 심각한 취약점(CVE-2025-22457)을 활용해 원격 코드 실행을 시도한 사실을 공개함.

세부내용:

• 버퍼 오버플로우 취약점을 이용해 악성코드 TRAILBLAZE(드로퍼)와 BRUSHFIRE(백도어) 배포.
• Ivanti Integrity Checker 조작 시도 및 장기적 은폐 전략 수행.
• 취약점은 2025년 2월 11일 패치 배포 완료.

시사점:

• 경계 시스템(Edge Appliance)의 최신 보안 패치 적용 필수.
• 장기 거점화에 대비한 포렌식 점검 체계 정립 필요.

5. 인디애나대 교수, 중국 연구자금 미신고로 연방 수사

요약:
미국 인디애나대학 소속 유명 사이버보안 교수 XiaoFeng Wang이 중국으로부터 받은 연구자금을 미신고한 혐의로 FBI 수사 중.

세부내용:

• 2017–2018년 중국 정부 연구비 수령 사실을 미국 연구 지원서에 미기재.
• FBI 및 국토안보부가 자택 수색 후, 대학 측이 해고 조치.
• 유사 사건들은 과거 ‘China Initiative’ 프로그램의 연장선으로 보임.

시사점:

• 국제 공동 연구 시 자금 출처와 연구 협력 투명성 확보가 필수.
• 국내 연구기관 또한 외국 자금 및 공동 연구에 대한 내부 규정 재정비 필요.

6. 美 법무부 고위관료, 해킹 및 불법 소프트웨어 배포 전력 논란

요약:
DOJ(미국 법무부)의 사이버 정책 고문 Christopher Stanley가 과거 해킹 및 불법 콘텐츠 배포에 연루된 사실이 드러나 논란.

세부내용:

• 과거 해킹 사이트 운영, 게임 치트 및 전자책 등 무단 배포.
• DOJ는 보안 클리어런스 유지 중이며, 장관은 신임 유지 입장.
• 사이버 보안업계에서는 고위 공직자의 과거 이력 문제 제기.

시사점:

• 고위 보안 관련직 인사의 과거 기록 검증 강화 필요.
• 윤리적 정합성 및 보안 자격 검토 기준 명문화 필요.

🔐 종합 시사점

• 북한은 사이버 작전을 단순 정보수집이 아닌 사회 기반 서비스(보건, 교육, 에너지 등) 마비 전략으로 전환 중.
• 국가 차원의 의료, 방산, IT 채용 분야 보안 체계 강화 시급.
• 중·러·북 연계 APT 공격은 점점 은폐성 및 지속성이 강화되고 있어, 공격 탐지 → 위협 인텔리전스 연계 → 즉각 대응 체계 확보가 핵심.

美CISA 인력 감축, 국가 안보에 위험한 선택

* CISA Cuts: A Dangerous Gamble in a Dangerous World (darkreading.com)

요약
미국 국토안보부 산하 CISA의 대규모 인력 감축(130명 이상 해고) 은 국가 사이버 방어 역량을 약화시킬 위험 우려. CISA는 중요 인프라 보호, 선거 보안 강화, 랜섬웨어 대응 등 사이버 및 물리적 리스크 관리의 핵심 역할을 수행해 왔으며, 인공지능(AI) 기반 공격 증가 및 국가 지원 해킹 위협 속에서 더욱 강화되어야 할 기관이나, 이번 감축으로 인해 정부의 위기 대응 능력이 저하되고, 민간 기업과의 협력이 약화될 우려 제기됨

1. 개요

미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)이 최근 대규모 인력 감축을 단행하면서 미국의 국가 안보와 사이버 방어 능력에 대한 우려가 커지고 있다. 이번 조치로 CISA 직원 130명을 포함해 총 400명 이상의 DHS 직원이 해고되었다. 특히 해당 인력은 비핵심 임무(non-mission critical) 담당자로 분류된 시험 채용 기간 중인 인력들로 알려졌지만, 전문가들은 이러한 인력 감축이 미국의 국가 안보와 사이버 방어 체계에 심각한 영향을 미칠 수 있다고 경고하고 있다.

2. CISA의 주요 역할

CISA는 2018년 설립 이후 미국 정부의 핵심 기관으로서 다음과 같은 임무를 수행해 왔다:

• 중요 인프라 보호: 에너지망, 교통 시스템, 제조 시설, 헬스케어 및 금융 서비스 등 필수 시스템을 보호
• 공공 경고 시스템 운영: Known Exploited Vulnerabilities (KEV) 카탈로그 및 Secure by Design 이니셔티브 운영
• 랜섬웨어 대응: 'Stop Ransomware' 캠페인 진행
• 선거 보안 강화: 대선 기간 동안 외부 간섭 방지 및 선거 시스템 보호

이 외에도 CISA는 자연재해, 공급망 교란, 지정학적 불안정 상황에 대응하여 국가 위기 관리 역량을 강화하는 역할을 수행해왔다.

3. 인력 감축의 영향

최근의 인력 감축 조치는 다음과 같은 문제를 초래할 우려가 있다:

• 사이버 방어 역량 저하: 인공지능(AI) 기반 공격, 국가 지원 해킹 등 고도화된 위협에 대한 방어 역량이 약화될 수 있음
• 인프라 보호 취약성 증가: CISA의 인력 감소는 병원, 발전소, 교통 시스템 등 국가 핵심 인프라에 대한 사이버 공격 위험을 높일 수 있음
• 공공-민간 협력 약화: 민간 기업 및 기관과의 정보 공유 및 대응 체계가 약화되어 신속한 대응이 어려워질 우려
• 전문 인력 손실: 사이버 보안 전문가 감소로 인해 기관의 장기적 대응 계획이 취약해질 수 있음

4. 제언 및 시사점

CISA의 인력 감축은 미국의 사이버 방어 및 국가 안보에 심각한 위험 요소로 작용할 가능성이 크다. 이를 보완하기 위한 전략적 대응이 시급하다.

• 인력 충원 및 역량 강화: 고도화된 사이버 위협에 대응하기 위해 CISA의 인력 충원 및 훈련 강화가 필요함
• 기술 현대화: CISA의 방어 체계 강화를 위해 최신 도구와 기술의 도입이 필수적임
• 국제 공조 강화: 사이버 위협이 글로벌화됨에 따라 미국과 우방국 간 정보 공유 및 협력 체계를 더욱 공고히 할 필요가 있음

5. 결론

CISA 인력 감축은 미국의 국가 안보에 심각한 영향을 미칠 수 있는 위험한 선택으로 평가된다. CISA의 역할을 재조명하고 강화하는 방향으로 정책적 전환이 요구된다. 향후 미국 정부가 CISA에 대한 지속적인 투자를 통해 보다 강력한 사이버 방어 체계를 구축하는 방향으로 나아가 한다.

* https://darkreading.com/cyberattacks-data-breaches/cisa-cuts-dangerous-gamble-dangerous-world

- 국내외 대학생ㆍ대학원생 대상 안보침해 행위 대응 관련 논문 공모전 실시

- 국정원 “공모전 통해 안보분야 신진 연구자 발굴 및 청년층 안보 관심 제고 기대”

국가정보원은 오늘 3월 10일부터 국내외 대학생ㆍ대학원생을 대상으로 ‘2025년도 국가안보 논문 공모전‘을 시작한다.

국정원이 처음으로 주최ㆍ주관하는 ’국가안보 논문 공모전‘은 안보 분야 연구 전문인력 발굴과 청년층의 안보에 대한 관심 증대를 위해 기획됐다.

이번 공모전은 주제에 제한이 없으며, SNSㆍ공모전 검색 포털과 함께 해외 체류 중인 유학생도 참여할 수 있게 각국 우리 대사관 홈페이지에도 게재된다.

4월 1일~5월 31일까지 참가 신청을 받고 6월 1일~8월 15일까지 논문을 접수, 9월 말에 수상자를 발표한다.

우수 논문에 대해서는 대상 1편과 최우수상 3편, 우수상 6편 등 총 10편을 시상한다. 대상에는 국가정보원장상 및 소정의 상금이 수여된다.

자세한 공모전 내용은 논문 공모전 홈페이지(www.국가안보공모전.com)에서 확인할 수 있다.

※ 첨부 : ‘2025년도 국가안보 논문 공모전’ 포스터

■ 참가신청 : 2025. 04. 01. ~ 2025. 05. 31.

■ 논문접수 : 2025. 06. 01. ~ 2025. 08. 15.

[요약]

자동차 보안 연구자들은 Kia 차량의 다양한 취약점을 발견했습니다. 이를 통해 공격자는 차량의 위치, 잠금/해제, 시동 제어 등 주요 기능을 원격으로 조작할 수 있었습니다. 또한 사용자의 개인 정보도 취득할 수 있었습니다. 연구진은 이번 취약점을 실제로 증명하는 도구를 개발했지만, 공개하지 않았습니다. 해외에서 일어난 기아자동차 해킹 사례를 정리한 내용입니다.

원본 게시글을 읽고 싶으신 분은 해당 링크를 참조해주시길 바랍니다. https://samcurry.net/hacking-kia

[상세 내용]

취약점 발견 과정

• 2년 전 연구진은 다양한 자동차 제조사의 보안 취약점을 발견했습니다.
• 이번에는 Kia 차량에 초점을 맞추어 새로운 취약점을 탐색했습니다.
• Kia의 고객 포털 웹사이트(owners.kia.com)와 모바일 앱(Kia Connect)을 분석했습니다.

웹사이트와 모바일 앱의 차이

• 웹사이트는 사용자 명령을 프록시를 통해 api.owners.kia.com 백엔드로 전달했습니다.
• 모바일 앱은 이 API에 직접 접근했습니다.
• 연구진은 Sid(세션 토큰)와 Vinkey(VIN 식별자) 등의 중요 정보를 확인할 수 있었습니다.

Kia 딜러 웹사이트 취약점 발견

• 새로 구매한 차량을 Kia 계정에 등록하는 과정에서 생성되는 토큰 기반 URL을 분석했습니다.
• kiaconnect.kdealer.com 도메인에서 Kia 딜러가 생성한 일회성 접근 토큰(VIN Key)을 발견했습니다.
• 이 토큰을 악용하면 차량 등록 및 제어가 가능할 것으로 판단했습니다.

취약점 시연 및 공개

• 연구진은 발견한 취약점을 실제로 증명하는 도구를 개발했습니다.
• 하지만 이 도구는 공개하지 않았습니다.
• Kia는 이 취약점을 신속히 해결했으며, 실제 악용된 사례는 없었습니다.

해킹에 영향을 받은 차량 리스트 

차량 원격 잠금/

잠금 해제

원격 시동/정지

원격 경적/

라이트리모트 카메라