🎯 사이버 위협 인텔리전스 보고서

보고일자: 2025년 4월 7일
출처: The Readable, Wired, Google Cloud, Reuters, NSA 외
분석주체: 오픈소스 기반 인텔리전스(OSINT)

1. 북한의 의료분야 대상 해킹 시도 및 한국 정부 대응

요약:
최근 북한 해킹 그룹이 한국의 병원 정보 시스템을 집중적으로 공격함에 따라, 국가정보원(NIS)이 병원 전산망 보안을 위한 새로운 가이드라인을 발표함.

세부내용:

• 북한은 2025년을 ‘보건 혁명의 해’로 지정하며 바이오 및 의료 인프라를 주요 사이버 타깃으로 삼고 있음.
• 이메일 피싱, 랜섬웨어, 의료기술 탈취 등 복합적인 공격 방식 사용.
• 한국 외에도 미국, 호주 등지 병원에서도 환자 데이터 유출 및 의료 시스템 마비 사례 발생.

정부 대응:

• 국정원, 교육부, 복지부와 병원 관계자 협업해 ‘병원 정보시스템 보안 가이드라인’ 배포.
• 병원 IT 시스템 6대 영역별 보안모델 표준화 및 실무 적용 방안 포함.
• 실무자 대상 현장 설명회 및 세미나 진행 중.

시사점:

• 북한의 공격 방향성이 민간의료 분야로 확장되었음을 보여주며, 사회기반 시스템에 대한 국가 차원의 방어체계 필요.
• 의료기관은 고도화된 APT 위협에 맞춰 지속적 훈련 및 백업, 보안 솔루션 점검 필요.

2. 북한 IT 노동자, 유럽 시장까지 확산

요약:
Google Threat Intelligence Group(GTIG)에 따르면, 북한의 IT 노동자들이 미국을 넘어 유럽으로 활동영역을 확장하고 있음.

세부내용:

• 북한 해커는 유럽 방산업체 및 정부기관 구직 시도하며 위장 신원 최소 12개 사용.
• 허위 추천서 및 채용 담당자와의 장기적 관계 형성을 통해 취업 시도.
• 민감 분야 침투 시도는 북한 정찰총국 등과 연계 가능성 높음.

시사점:

• 위장 구직자 식별 위한 글로벌 신원 인증 절차 강화 필요.
• 구직자 배경조사 및 코드 리뷰, 커뮤니케이션 분석 등 정밀 평가 필요.

3. 美 NSA, ‘Fast Flux’ 기법 경고

요약:
NSA는 공격자들이 도메인의 IP를 짧은 시간 안에 빠르게 교체하는 ‘Fast Flux’ 기법을 경고함.

기법 특징:

• 악성 행위를 은폐하고 추적 회피에 탁월.
• 대규모 피싱, DDoS, 스팸 캠페인 등에 자주 활용됨.
• 탐지 및 차단이 매우 어려워 보안 체계 교란 가능성 높음.

NSA 권고:

• 방어기관 및 방산업체는 Protective DNS(PDNS) 등 탐지 솔루션 도입 필요.
• PDNS는 NSA에서 무료 제공.

시사점:

• 공공·민간 DNS 시스템 고도화 필요.
• DNS 쿼리 이상 탐지 기반 위협 인텔리전스 연동 권장.

4. 中 해커, Ivanti VPN 취약점 악용한 정찰 활동

요약:
Google Cloud는 중국 해킹 조직 UNC5221이 Ivanti Connect Secure VPN의 심각한 취약점(CVE-2025-22457)을 활용해 원격 코드 실행을 시도한 사실을 공개함.

세부내용:

• 버퍼 오버플로우 취약점을 이용해 악성코드 TRAILBLAZE(드로퍼)와 BRUSHFIRE(백도어) 배포.
• Ivanti Integrity Checker 조작 시도 및 장기적 은폐 전략 수행.
• 취약점은 2025년 2월 11일 패치 배포 완료.

시사점:

• 경계 시스템(Edge Appliance)의 최신 보안 패치 적용 필수.
• 장기 거점화에 대비한 포렌식 점검 체계 정립 필요.

5. 인디애나대 교수, 중국 연구자금 미신고로 연방 수사

요약:
미국 인디애나대학 소속 유명 사이버보안 교수 XiaoFeng Wang이 중국으로부터 받은 연구자금을 미신고한 혐의로 FBI 수사 중.

세부내용:

• 2017–2018년 중국 정부 연구비 수령 사실을 미국 연구 지원서에 미기재.
• FBI 및 국토안보부가 자택 수색 후, 대학 측이 해고 조치.
• 유사 사건들은 과거 ‘China Initiative’ 프로그램의 연장선으로 보임.

시사점:

• 국제 공동 연구 시 자금 출처와 연구 협력 투명성 확보가 필수.
• 국내 연구기관 또한 외국 자금 및 공동 연구에 대한 내부 규정 재정비 필요.

6. 美 법무부 고위관료, 해킹 및 불법 소프트웨어 배포 전력 논란

요약:
DOJ(미국 법무부)의 사이버 정책 고문 Christopher Stanley가 과거 해킹 및 불법 콘텐츠 배포에 연루된 사실이 드러나 논란.

세부내용:

• 과거 해킹 사이트 운영, 게임 치트 및 전자책 등 무단 배포.
• DOJ는 보안 클리어런스 유지 중이며, 장관은 신임 유지 입장.
• 사이버 보안업계에서는 고위 공직자의 과거 이력 문제 제기.

시사점:

• 고위 보안 관련직 인사의 과거 기록 검증 강화 필요.
• 윤리적 정합성 및 보안 자격 검토 기준 명문화 필요.

🔐 종합 시사점

• 북한은 사이버 작전을 단순 정보수집이 아닌 사회 기반 서비스(보건, 교육, 에너지 등) 마비 전략으로 전환 중.
• 국가 차원의 의료, 방산, IT 채용 분야 보안 체계 강화 시급.
• 중·러·북 연계 APT 공격은 점점 은폐성 및 지속성이 강화되고 있어, 공격 탐지 → 위협 인텔리전스 연계 → 즉각 대응 체계 확보가 핵심.

美CISA 인력 감축, 국가 안보에 위험한 선택

* CISA Cuts: A Dangerous Gamble in a Dangerous World (darkreading.com)

요약
미국 국토안보부 산하 CISA의 대규모 인력 감축(130명 이상 해고) 은 국가 사이버 방어 역량을 약화시킬 위험 우려. CISA는 중요 인프라 보호, 선거 보안 강화, 랜섬웨어 대응 등 사이버 및 물리적 리스크 관리의 핵심 역할을 수행해 왔으며, 인공지능(AI) 기반 공격 증가 및 국가 지원 해킹 위협 속에서 더욱 강화되어야 할 기관이나, 이번 감축으로 인해 정부의 위기 대응 능력이 저하되고, 민간 기업과의 협력이 약화될 우려 제기됨

1. 개요

미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)이 최근 대규모 인력 감축을 단행하면서 미국의 국가 안보와 사이버 방어 능력에 대한 우려가 커지고 있다. 이번 조치로 CISA 직원 130명을 포함해 총 400명 이상의 DHS 직원이 해고되었다. 특히 해당 인력은 비핵심 임무(non-mission critical) 담당자로 분류된 시험 채용 기간 중인 인력들로 알려졌지만, 전문가들은 이러한 인력 감축이 미국의 국가 안보와 사이버 방어 체계에 심각한 영향을 미칠 수 있다고 경고하고 있다.

2. CISA의 주요 역할

CISA는 2018년 설립 이후 미국 정부의 핵심 기관으로서 다음과 같은 임무를 수행해 왔다:

• 중요 인프라 보호: 에너지망, 교통 시스템, 제조 시설, 헬스케어 및 금융 서비스 등 필수 시스템을 보호
• 공공 경고 시스템 운영: Known Exploited Vulnerabilities (KEV) 카탈로그 및 Secure by Design 이니셔티브 운영
• 랜섬웨어 대응: 'Stop Ransomware' 캠페인 진행
• 선거 보안 강화: 대선 기간 동안 외부 간섭 방지 및 선거 시스템 보호

이 외에도 CISA는 자연재해, 공급망 교란, 지정학적 불안정 상황에 대응하여 국가 위기 관리 역량을 강화하는 역할을 수행해왔다.

3. 인력 감축의 영향

최근의 인력 감축 조치는 다음과 같은 문제를 초래할 우려가 있다:

• 사이버 방어 역량 저하: 인공지능(AI) 기반 공격, 국가 지원 해킹 등 고도화된 위협에 대한 방어 역량이 약화될 수 있음
• 인프라 보호 취약성 증가: CISA의 인력 감소는 병원, 발전소, 교통 시스템 등 국가 핵심 인프라에 대한 사이버 공격 위험을 높일 수 있음
• 공공-민간 협력 약화: 민간 기업 및 기관과의 정보 공유 및 대응 체계가 약화되어 신속한 대응이 어려워질 우려
• 전문 인력 손실: 사이버 보안 전문가 감소로 인해 기관의 장기적 대응 계획이 취약해질 수 있음

4. 제언 및 시사점

CISA의 인력 감축은 미국의 사이버 방어 및 국가 안보에 심각한 위험 요소로 작용할 가능성이 크다. 이를 보완하기 위한 전략적 대응이 시급하다.

• 인력 충원 및 역량 강화: 고도화된 사이버 위협에 대응하기 위해 CISA의 인력 충원 및 훈련 강화가 필요함
• 기술 현대화: CISA의 방어 체계 강화를 위해 최신 도구와 기술의 도입이 필수적임
• 국제 공조 강화: 사이버 위협이 글로벌화됨에 따라 미국과 우방국 간 정보 공유 및 협력 체계를 더욱 공고히 할 필요가 있음

5. 결론

CISA 인력 감축은 미국의 국가 안보에 심각한 영향을 미칠 수 있는 위험한 선택으로 평가된다. CISA의 역할을 재조명하고 강화하는 방향으로 정책적 전환이 요구된다. 향후 미국 정부가 CISA에 대한 지속적인 투자를 통해 보다 강력한 사이버 방어 체계를 구축하는 방향으로 나아가 한다.

* https://darkreading.com/cyberattacks-data-breaches/cisa-cuts-dangerous-gamble-dangerous-world

경찰공무원 경력경쟁채용시험 각 분야 중,

외국어 및 안보수사외국어의 경우 22년도부터 자격요건이 변경되오니 준비생들은 참고하시기 바랍니다.

출처 - '경찰청 인터넷 원서접수' 웹사이트 공지사항 참조

대당 1천여만원 무인기 10대 동원 사우디 석유시설 공격해 피해

軍, 무인기 대응 국지방공레이더·레이저무기·신형대공포 개발

예멘 반군 무인기 공격받은 사우디 석유시설단지(리야드 로이터=연합뉴스) 사우디아라비아 아브카이크에 있는 사우디 국영석유회사 아람코의 석유 탈황·정제 시설 단지에서 14일(현지시간) 예멘 반군의 무인기 공격으로 화재가 발생, 연기가 치솟고 있다.

(서울=연합뉴스) 김귀근 기자 = 군 당국은 사우디아라비아 국영기업의 석유 시설이 무인기(드론) 공격으로 큰 피해를 보자 관련 동향에 촉각을 세우고 있다.

적이 유사시 드론을 이용해 국가 핵심시설을 공격하고, 평시에도 각종 테러 수단으로 동원할 가능성이 이번 사우디아라비아를 겨냥한 '테러'에서 입증됐기 때문이다.

더욱이 각종 무인기와 무인공격기를 생산 배치하고 있는 북한을 마주하고 있는 처지여서 가볍게 넘길 사안이 아니라고 군 관계자들은 입을 모은다.

사우디 국영석유회사 아람코의 최대 석유 탈황·정제 시설인 아브카이크 단지와 인근 쿠라이스 유전이 지난 14일(현지시간) 새벽 무인기 공격으로 불이 나 가동이 중단됐다. 이들 시설은 하루 처리량이 700만 배럴로 사우디 전체 산유량의 70%에 달한다. 

예멘 반군은 무인기 10대로 아브카이크 단지와 쿠라이스 유전을 공격했다고 주장했다. 미국은 이란을 배후로 의심하지만, 아직 공격의 주체가 누구인지는 정확히 구별되지 않고 있다.

이번 드론 공격에서 눈여겨볼 대목은 무인기 10대가 공격에 동원됐다는 것이다.

무인기에 3∼4㎏가량의 폭탄을 탑재해 원하는 목표를 타격하면 인명 살상 뿐 아니라 핵심시설에도 피해를 줄 수 있다. 이런 무게의 방사성 물질이나 생화학물질을 탑재한다면 인명 피해규모는 상당할 것이라고 군 관계자들은 전했다.

이번에 사우디 석유 시설을 공격한 무인기에 대당 3㎏의 폭탄이 실렸다고 가정하고 10대가 동시에 '벌떼' 공격을 가할 경우 30㎏의 폭탄이 투하되는 것과 같다.

군의 한 관계자는 "우리 군에서 일반적으로 사용하는 1.25파운드급 C-4 폭약의 48개의 위력에 해당하는 수준"이라고 설명했다.

이와 관련, 국방부와 합참은 2014년 파주와 백령도, 삼척에서 추락한 북한 소형 무인기 3대를 복원해 실제 비행 시험을 한 바 있다.

국방과학연구소(ADD) 주도로 이들 무인기를 고쳐 날려보면서 여러 기능을 확인한 결과, 탑재된 엔진과 정보수집용 카메라 작동 기능은 모두 1980년대에 제작된 수준으로 조잡한 것으로 드러났다.

특히 3∼4㎏ 무게의 폭탄을 달 수 없는 것으로 나타났다. 이들 무인기는 400∼900ｇ 정도의 수류탄 1개를 매달 수 있는 수준으로 확인됐다.

그러나 군 수뇌부는 북한이 3∼4㎏ 정도의 폭탄을 무인기에 매달아 남측 주요 핵심시설에 부딪혀 폭발시킬 가능성이 크다면서 대응책 마련에 착수한 바 있다.

또 값싼 무인기를 공격 수단으로 이용해 국가 핵심시설의 기능을 마비시킬 수 있다는 것도 이번에 확인됐다.

사우디 측은 이번 공격으로 일부 시설의 가동 중단이 불가피하고, 이로 인해 하루 570만 배럴 규모의 원유 생산에 영향이 있을 것으로 예상했다. 이는 사우디 하루 산유량의 절반이자, 전 세계 산유량의 5%에 해당한다.

전투기나 미사일 등이 아닌 저렴한 비용의 조악한 수준의 무인기로도 한 나라의 핵심시설에 심각한 타격을 가할 수 있다는 것을 보여준 셈이다.

군사 전문가들은 앞으로 테러조직이나 테러 단체의 '무인기 모방 테러' 가능성을 우려하고 있다. 

예멘 반군의 공격용 무인기 삼마드-1

[알마시라 방송]

자신들의 소행이라고 주장하는 예멘 반군의 무인기 '삼마드-1'는 대당 수백만 원에서 1천여만원 안팎이면 제작이 가능할 것으로 전문가들은 추정한다.

예멘 반군은 작년 7월과 지난 5월에도 사우디 국영 석유기업 아람코 정유 시설을 공격한 바 있다. 지난 1월에도 드론으로 예멘군 퍼레이드를 공격해 고위 장교를 포함해 6명을 사망케 했다. 저비용의 드론을 무인 자폭기로 이용했다.

예멘 반군의 '삼마드-1'은 전·후방 날개 길이 1m 안팎으로 추정된다. 군의 한 관계자는 "삼마드-1과 같은 성능의 무인기를 제작하는 데 2천만원은 넘지 않을 것으로 추산한다"고 말했다.

군 당국은 이번 사우디 드론 공격 피해를 계기로 기존에 수립한 무인기 탐지 및 추적, 공격 등 대책을 점검하는 것으로 알려졌다.

무인기 방어시스템 구축사업을 해온 육군 수도방위사령부는 지난 4월께 이스라엘에서 수입해 성능평가와 운용시험을 마친 '드론 테러' 방어용 탐지레이더 9대를 전력화했다.

SSR로 불리는 이 레이더는 청와대와 국회, 공항, 군사 시설 등 수도권의 핵심시설 방어용으로 드론과 무인기를 탐지해 주파수를 무력화시키는 시스템인 것으로 알려졌다.

군은 소형비행체의 거리와 방향만을 탐지하는 현용 2차원 방식이 아닌 비행체의 고도까지 탐지해내는 3차원 레이더인 국지방공레이더도 개발 중이다.

육군의 저고도 탐지레이더(TPS-830K)는 소형비행체 탐지 능력이 떨어지고, 공군의 저고도 감시용 레이더(갭필러) 또한 산세가 험준하고 접경지역이 넓어 감시하는 데 한계가 있기 때문이다.

지금까지 남측 지역에서 발견됐던 북한 무인기는 동체 길이가 1.43∼1.83m 이하이고, 날개폭도 1.92∼2.45m로 소형이었다. 날개 길이가 3m가 넘고, 고도 2∼3㎞ 상공을 비행하는 무인기는 현재 한국군의 레이더로는 사실상 포착하기 어렵다.

여기에다 소형 무인기를 격추할 수 있는 신형 대공포와 레이저 대공무기도 개발 중이다.

신형 대공포는 20㎜ 벌컨포를 개량해 개발할 것으로 알려졌다. 벌컨포는 사거리 3㎞로 1분당 1천500발 이상을 발사할 수 있는 대공화기이다. 군은 벌컨포의 사거리와 분당 발사하는 포탄량을 각각 늘리는 방향으로 개량할 것으로 보인다.

소형 무인기를 탐지·추적하고 정밀타격이 가능한 레이저 대공무기는 현재 핵심기술 개발을 위한 선행기술 연구가 진행되고 있다. ADD는 광섬유 레이저 대공무기 시제 개발업체를 선정하고 관련 연구를 진행하고 있다.

선진국은 무인기를 요격하기 위해 광섬유 레이저를 이용하고 있다. 미국의 아담은 10㎾, 아테나는 30㎾, 이스라엘의 아이언빔은 20㎾, 독일의 'HEL 이펙터'는 20∼30㎾ 출력의 광섬유 레이저를 각각 사용한다. 이들은 모두 1∼2㎞의 저고도로 침투하는 무인기 요격용이다.

사우디 최대 석유시설 피폭…"값싼 드론 공격에도 무방비 취약" / 연합뉴스

유튜브로 보기

threek@yna.co.kr 

<저작권자(c) 연합뉴스, 무단 전재-재배포 금지> 2019/09/16 11:20 송고

15일, 미국 백악관은 전날 발생한 러시아의 사이버 공격에 대응하기 위해 행정명령을 내렸다고 발표했다.

해당 행정명령에는 암호화폐를 통한 제재를 확대하는 내용이 포함됐다.

행정명령의 대상은 ‘미국의 제재를 피해 디지털 화폐나 물리적 자산으로 기만적이고

구조화된 거래를 추진하는 모든 사람’ 기술

비트코인(BTC), 이더리움(ETH) 등의 총 28개 암호화폐 주소가 제재 리스트에 추가되었습니다.

home.treasury.gov/news/press-releases/jy0126

www.coindesk.com/us-government-sanctions-crypto-addresses-linked-to-russian-election-fraud-scheme

- <해·강안과학화경계사업> 감사결과, 215대의 모든 CCTV에 긴급 조치

- 영상 등 군사정보가 軍 서버로만 가야 하는데 중국 쪽 서버로 넘어가도록 설정된 것

- ▲원격 접속이 가능하도록 인터넷망이 열려 있었고,

 ▲저장 경로 변경해서 다른 PC에 기밀 빼돌릴 수 있는 보안취약점도 추가 발견…‘국가정보보안지침 위반’

□ 그 밖에도

▲저장 경로를 임의로 변경해 영상 정보를 PC 등 다른 장치에 저장할 수 있는 점,

▲ 원격으로 접속 가능하도록 인터넷망(ftp, telnet 등)이 열려 있어 외부자가 시스템에 쉽게 침입할 수 있는 점 등 심각한 보안취약점도 추가로 보고됐다. 모두 군사 기밀을 통째로 넘겨줄 수 있는 <국가정보보안기본지침> 위반 사례다.

해 강안 경계 시스템 취약점 점검 결과 및 관련 자료 하태경의원실 보도자료

[첨부 1] 「해ᆞ강안 경계시스템」 취약점 점검 결과(군사안보지원사령부)

[첨부 2]  해 ･ 강안 경계 과학화 사업 감사결과 ( 국방부 감사관실 , 11.19)

[붙임 1]<해･강안 경계 과학화 사업 감사결과> (국방부 최종보고서)

국가정보원에서 검찰간 효율적 협업과 대응을 통해 우리나라의 핵심 기술유출차단과 산업 보안 활동을 강화하기로 밝혔다.

국가정보원은 국내 기술 유출 수법이 고도화되고 지능화되는 것에 대응하고자 검찰과의 협업을 강화해 나가기로 했다.

국정원이 지난 2015년부터 2020년까지 적발한 해외 기술유출 사건은 모두 130건에 달한다. 

국가정보원 산하 산업기밀보호센터와 수원지검간 두 차례 간담회와 논의가 이루어 졌으며 국정원 산업기밀보호센터 및 방산방첩 관계자들과 수원지검 방위사업, 산업 기술범죄형사부장 등 수사 담당 검사 6명이 참석하였다.

국정원 산업 기밀보호센터는 2일 원 청사에서 검찰의 첨단산업보호 중점청인 수원지방검찰청과 산업기술범죄와 방위산업 침해에 대한 대응 역량을 높이기 위한 논의를 진행했다. 

산업기술 보호 간담회에서 경쟁국의 기술유출 위협 상황과 이에 맞선 원의 공조 및 대응활동등과 같은 성과를 발표했으며, 수원지검은 국정원 이첩사건에 대한 수사절차와 검찰의 기술유출 범죄 처리통계 등에 대해 소개했다. 

양 기관은 국가연구개발 예산 투입과 풍력발전 핵심기술 및 차세대 연료전지 기술, 디스플레이 기술 해외 유출 등 최근 원과 검 간 공조수사 사례등을 공유했다. 아울러 사건 초기 단게부터 정보교류와 국외 범죄에 대한 증거 수집 방안을 발굴할 필요가 있다는것에 동의했다. 

원과 검은 이날 개최된 '방산기술 보호 간담회'에서 방위산업 침해 트렌드와 주요 성과사례를 공유하고 국가안보의 핵심인 방위산업 보호에 대한 공조 방안을 논의 했다. 

원 관계자는 "기술유출 트랜드가 해킹 등 수법이 지능화,고도화되며 원과 검 간의 효율적인 대응과 협업이 더욱 강조됬다." 면서 이번 간담회 개최 배경에 대해 설명했다. 

그러면서 "그동안 산업기술 방위산업 범죄 분야에서 공조관계를 유지해온 대검은 물론 사법처리의 최일선에 있는 수원지검과도 수시 업무협의를 통해 기술유출과 차단과 산업보안 활동을 더욱 강화해 나가겠다"고 밝혔다.

국가정보원 111 콜센터 (산업기밀보호센터)

• 국가 핵심기술 등 산업기술 유출 및 국가R&D·방산기술·전략물자 유출, 경제질서 교란행위 24시간 신고·상담
• 국가핵심기술 등 산업기술 보유기관 대상 기술보호 체계 구축 지원
• 국가핵심기술 보유 기관 대상 교육·컨설팅 요청 접수

www.nis.go.kr/

www.ultari.go.kr/portal/psi/totalCounsel.do

www.tradesecret.or.kr/main.do

www.is-portal.net/