* CISA Cuts: A Dangerous Gamble in a Dangerous World (darkreading.com)
요약 미국 국토안보부 산하 CISA의 대규모 인력 감축(130명 이상 해고) 은 국가 사이버 방어 역량을 약화시킬 위험 우려. CISA는 중요 인프라 보호, 선거 보안 강화, 랜섬웨어 대응 등 사이버 및 물리적 리스크 관리의 핵심 역할을 수행해 왔으며, 인공지능(AI) 기반 공격 증가 및 국가 지원 해킹 위협 속에서 더욱 강화되어야 할 기관이나, 이번 감축으로 인해 정부의 위기 대응 능력이 저하되고, 민간 기업과의 협력이 약화될 우려 제기됨
1. 개요
미국 국토안보부(DHS) 산하 사이버보안 및 인프라 보안국(CISA)이 최근 대규모 인력 감축을 단행하면서 미국의 국가 안보와 사이버 방어 능력에 대한 우려가 커지고 있다. 이번 조치로 CISA 직원 130명을 포함해 총 400명 이상의 DHS 직원이 해고되었다. 특히 해당 인력은 비핵심 임무(non-mission critical) 담당자로 분류된 시험 채용 기간 중인 인력들로 알려졌지만, 전문가들은 이러한 인력 감축이 미국의 국가 안보와 사이버 방어 체계에 심각한 영향을 미칠 수 있다고 경고하고 있다.
2. CISA의 주요 역할
CISA는 2018년 설립 이후 미국 정부의 핵심 기관으로서 다음과 같은 임무를 수행해 왔다:
중요 인프라 보호: 에너지망, 교통 시스템, 제조 시설, 헬스케어 및 금융 서비스 등 필수 시스템을 보호
공공 경고 시스템 운영: Known Exploited Vulnerabilities (KEV) 카탈로그 및 Secure by Design 이니셔티브 운영
랜섬웨어 대응: 'Stop Ransomware' 캠페인 진행
선거 보안 강화: 대선 기간 동안 외부 간섭 방지 및 선거 시스템 보호
이 외에도 CISA는 자연재해, 공급망 교란, 지정학적 불안정 상황에 대응하여 국가 위기 관리 역량을 강화하는 역할을 수행해왔다.
3. 인력 감축의 영향
최근의 인력 감축 조치는 다음과 같은 문제를 초래할 우려가 있다:
사이버 방어 역량 저하: 인공지능(AI) 기반 공격, 국가 지원 해킹 등 고도화된 위협에 대한 방어 역량이 약화될 수 있음
인프라 보호 취약성 증가: CISA의 인력 감소는 병원, 발전소, 교통 시스템 등 국가 핵심 인프라에 대한 사이버 공격 위험을 높일 수 있음
공공-민간 협력 약화: 민간 기업 및 기관과의 정보 공유 및 대응 체계가 약화되어 신속한 대응이 어려워질 우려
전문 인력 손실: 사이버 보안 전문가 감소로 인해 기관의 장기적 대응 계획이 취약해질 수 있음
4. 제언 및 시사점
CISA의 인력 감축은 미국의 사이버 방어 및 국가 안보에 심각한 위험 요소로 작용할 가능성이 크다. 이를 보완하기 위한 전략적 대응이 시급하다.
인력 충원 및 역량 강화: 고도화된 사이버 위협에 대응하기 위해 CISA의 인력 충원 및 훈련 강화가 필요함
기술 현대화: CISA의 방어 체계 강화를 위해 최신 도구와 기술의 도입이 필수적임
국제 공조 강화: 사이버 위협이 글로벌화됨에 따라 미국과 우방국 간 정보 공유 및 협력 체계를 더욱 공고히 할 필요가 있음
5. 결론
CISA 인력 감축은 미국의 국가 안보에 심각한 영향을 미칠 수 있는 위험한 선택으로 평가된다. CISA의 역할을 재조명하고 강화하는 방향으로 정책적 전환이 요구된다. 향후 미국 정부가 CISA에 대한 지속적인 투자를 통해 보다 강력한 사이버 방어 체계를 구축하는 방향으로 나아가 한다.
오픈AI가 북한의 계정을 삭제했는데, 이는 해당 국가들이 챗GPT를 이용해 여론 조작 및 사기 행위를 저질렀기 때문이다.
북한은 허위 이력서를 만들어 해외 취업 사기를 시도했다.
오픈AI는 자사 기술의 악용을 방지하고 권위주의 정권의 부당한 행위를 막기 위해 AI 기반 조사 기능을 활용하고 있다고 밝혔다.
북한 연계 사이버 위협 – AI 활용 위장취업 전략 분석
출처: OpenAI 내부 보고서 (2025년 2월) 작성일: 2025년 2월 11일
이미지 출처 : S2W https://s2w.inc/ko/news/detail/336
1. 개요
최근 OpenAI는 인공지능(AI) 모델을 악용한 북한 연계 위장취업(Deceptive Employment Scheme) 활동을 탐지하고 차단하는 조치를 시행했다. 해당 활동은 북한 IT 인력이 미국 및 서방 기업에 위장 취업하여 불법적으로 외화를 조달하는 방식과 일치하며, Microsoft 및 Google이 앞서 발표한 북한 IT 위장취업 작전과 유사한 패턴을 보인다.
이 조직은 VPN, 원격 접속 도구(AnyDesk), VoIP 전화망을 활용하여 미국 내에서 활동하는 것처럼 위장하며, LinkedIn 등 구인·구직 플랫폼을 활용해 신분을 속이고 취업 과정을 조작하는 것으로 확인됐다.
2. 주요 위협 요소 및 분석
(1) 공격자 행위
다수의 계정을 활용하여 서방 기업 취업을 위한 문서(이력서, 자기소개서 등)를 생성.
가상의 지원자 프로필을 작성하여 채용 과정을 조작.
허위 추천인을 만들어 기업의 신원 확인 절차를 우회.
AI 모델을 활용하여 기술 면접에서 신뢰할 수 있는 응답을 생성.
채용 이후 회사 시스템에 원격 접속하여 보안 위협을 초래.
AI를 활용하여 사이버 방어 회피 전략(비디오 회피, 접근 국가 위장 등) 생성.
(2) 공격 기법
구분공격 방식세부 내용
1단계
신원 위조
- 가짜 이력서, 온라인 프로필 생성 - AI 활용하여 맞춤형 채용 서류 작성
2단계
추천인 위장
- 허위 추천인 설정 및 추천서 생성 - 실제 직원과 연결된 것처럼 보이도록 AI 활용
3단계
채용 프로세스 조작
- AI로 면접 질문에 대한 응답 자동 생성 - 신원 확인 과정에서 조작된 서류 제출
4단계
업무 수행 위장
- 채용 후 AI를 이용하여 업무 수행 - 보안 정책을 우회하기 위한 전략 설계
5단계
기업 내부 침투
- 회사 시스템 원격 접속 및 기업 내부 데이터 접근 - 북한 정권을 위한 정보 탈취 및 자금 유입
3. 활용된 기술 및 전술(TTPs)
AI 기반 문서 생성: 맞춤형 이력서, 자기소개서, 추천서 자동 생성
AI 기반 면접 응답: 기술적·행동적 질문에 신뢰성 높은 응답 자동 생성
소셜 엔지니어링: LinkedIn 등 SNS에서 실제 기업 관계자를 속여 추천 유도
보안 정책 우회: 원격 접속 시도, VPN 활용, 접속 국가 위장
기업 보안 침투: 내부 시스템 접근 후 보안 위협 조성
4. 파급 효과 및 위협 평가
(1) 국가 안보 및 산업 영향
서방 IT·방산·금융 기업의 보안 위협 증가
북한 IT 인력의 취업 성공 시, 기업 내부 시스템 침투 및 정보 탈취 가능성 증가
미국 및 우방국 내 주요 기술·보안 인프라 위협
북한의 불법 외화 조달 활동 지속
북한 IT 노동자들은 연간 최대 30만 달러를 벌어들이며, 조직적으로 3백만 달러 이상 송금 가능
미 국무부가 북한 IT 노동자 관련 정보 제공 시 최대 500만 달러 포상금 지급
(2) 기존 탐지 시스템 회피 가능성
AI 기술을 활용한 채용 문서 생성 및 면접 응답으로 기존의 신원 확인 시스템을 효과적으로 우회
VPN 및 원격 접속 도구 활용으로 IP 기반 보안 모니터링 우회
기존 보안 솔루션으로 탐지 어려운 소셜 엔지니어링 기법 활용 증가
5. 대응 방안 및 권고 사항
(1) 보안 기관 및 기업 대상 권고
✅ AI 기반 신원 확인 기술 도입:
AI 및 머신러닝을 활용한 신규 채용자 신원 검증 프로세스 강화
의심 계정 및 활동 패턴 탐지 알고리즘 도입
✅ 기업 내부 보안 교육 강화:
IT·방산·금융 부문 대상 사이버 보안 교육 및 위협 인텔리전스 공유 확대
채용 프로세스에서 가짜 추천인 및 허위 정보 판별 시스템 구축
✅ 사이버 방어 체계 강화:
VPN 및 원격 접속 도구 사용 모니터링 강화
북한 IT 인력의 취업 시도를 사전 차단하기 위한 국제 공조 강화
6. 결론
이번 OpenAI 보고서를 통해 북한 연계 사이버 위협 그룹이 AI를 활용하여 위장 취업을 시도하고 있음이 확인됨.
AI 기반 이력서·추천서 위조, 면접 조작, 업무 수행 위장, 기업 내부 침투 전략이 조직적으로 운영됨.
북한 IT 노동자들의 활동이 서방 IT, 방산, 금융 분야로 확대되고 있으며, 연간 수백만 달러의 외화 조달이 이루어지고 있음.
미 국무부 및 법무부는 북한 IT 노동자 고용 차단을 위한 국제 공조 및 포상금 지급 제도 시행 중.
따라서 한국 정부 및 방산·IT 기업들은 채용 보안 프로세스를 강화하고, AI 기반 위장취업 탐지 기술을 도입하는 것이 필수적이다.
원문
February 2025
Disrupting malicious uses of our models: an update
February 2025
Deceptive Employment Scheme
Our mission is to ensure that artificial general intelligence benefits all of humanity. We advance this mission by deploying our innovations to build AI tools that help people solve really hard problems.
As we laid out in our Economic Blueprint in January, we believe that making sure AI benefits the most people possible means enabling AI through common-sense rules aimed at protecting people from actual harms, and building democratic AI. This includes preventing use of AI tools by authoritarian regimes to amass power and control their citizens, or to threaten or coerce other states; as well as activities such as child exploitation, covert influence operations (IOs), scams, spam, and malicious cyber activity. The AI-powered investigative capabilities that flow from OpenAI’s innovations provide valuable tools to help protect democratic AI against the measures of adversarial authoritarian regimes.
It has now been a year since OpenAI became the first AI research lab to publish reports on our disruptions in an effort to support broader efforts by U.S. and allied governments, industry partners, and other stakeholders, to prevent abuse by adversaries and other malicious actors. This latest report outlines some of the trends and features of our AI-powered work, together with case studies that highlight the types of threats we’ve disrupted.
Threat actors using AI and other technologies to support deceptive hiring attempts
Actor
We banned a number of accounts that were potentially used to facilitate a deceptive employment scheme. The activity we observed is consistent with the tactics, techniques and procedures (TTPs) Microsoft and Google attributed to an IT worker scheme potentially Disrupting malicious uses of our models: an update February 2025 10 connected to North Korea. While we cannot determine the locations or nationalities of the actors, the activity we disrupted shared characteristics publicly reported in relation to North Korean state efforts to funnel income through deceptive hiring schemes, where individuals fraudulently obtain positions at Western companies to support the regime’s financial network.
Behavior
The various accounts used our models to generate content seemingly targeting each step of the recruitment process with different deceptive practices, all designed to be mutually supporting (see “Completions”, below).
The actors used virtual private networks (VPNs), remote access tools such as AnyDesk, and voice over IP (VOIP) phones largely appearing to be located in the United States. While our visibility into the ways these actors distributed their content is limited, we identified content posted to LinkedIn.
Completions
One main set of content generated by these actors consisted of personal documentation for the fictitious “job applicants”, such as resumés, online job profiles and cover letters. These resumés and profiles were frequently tailored to a specific job listing to increase the chances of appearing as a well qualified candidate. A second set consisted of creating “support”
personas which were used to provide reference checks for the “job applicants” and refer them for employment opportunities.
In parallel, the operators crafted social media posts to recruit real people to support their schemes. These included, for example, individuals willing to receive and host laptops from their home or lend their identities to the scheme to enable the applicants to pass background checks.
Disrupting malicious uses of our models: an update February 2025 11 Finally, the “job applicant” personas appear to have used our models in interviews to generate plausible responses to technical and behavioral questions. However, we did not observe them using our speech-to-speech tools.
After appearing to gain employment they used our models to perform job-related tasks like writing code, troubleshooting and messaging with coworkers. They also used our models to devise cover stories to explain unusual behaviors such as avoiding video calls, accessing corporate systems from unauthorized countries or working irregular hours.
Example of content this actor used our models to generate before then posting to a social networking site, with
the apparent aim of recruiting U.S. citizens into unknowingly supporting their scheme. Disrupting malicious uses of our models: an update February 2025 12Impact Given our visibility into only a small portion of this overall set of activity, assessing its impact would require inputs from multiple stakeholders.
OpenAI's policies strictly prohibit use of output from our tools for fraud or scams. Through our investigation into deceptive employment schemes, we identified and banned dozens of accounts. We have shared insights about the fraudulent networks we disrupted with industry peers and relevant authorities, enhancing our collective ability to detect, prevent, and respond to such threats while advancing our shared safety.
“2009년 이후 히든 코브라 행위자들은 기술 역량을 이용해 다양한 공격 대상에게 피해를 입혔다. 상업 기관의 보고서에서는 이 활동을 라자루스 그룹(Lazarus Group)과 평화의 수호자(Guardians of Peace)라는 명칭으로 언급했다.
국토안보부와 연방수사국은 히든 코브라 행위자들이 북한 정부의 군사적․전략적 목표를 진전시키기 위해 사이버 작전을 계속 수행할 것이라고 평가한다.”
□ 하의원이 18일 ‘해킹피해 예방을 위한 북한 등 해킹수법 정보공개법’을 발의했다. 北해킹정보공개법은 국가정보원법을 개정한 것으로 북한 등의 해킹범죄 수법과 예방대책 등의 정보를 국회와 국민에 의무적으로 공개토록 하는 내용을 담고 있다.
□이 법은 2015년 제정된 미국 「사이버안보 정보공유법」의 실제 적용 사례에서 모티브를 얻었다. 미국은 법 제정 이후 정부부처 간 합동경보를 발령하거나 보고서를 작성하는 형식으로 해킹범죄 수법과 예방조치를 적시에 국민들에게 공개하고 있다.
□최근 미 법무부가 전 세계 은행을 대상으로 1조4천여억원을 탈취한 혐의로 북한 해커 3명을 기소한 해킹범죄 역시 지난 2017년 6월 범죄 배후와 수법이 공개된 바 있다. 당시 미 국토안보부는 FBI와 공동으로 경보를 발령하고 북한의 해킹 조직 히든코브라를 배후로 지목했다. 북한이 슬로베니아 가상화폐거래소와 세계 각국 은행을 대상으로 해킹범죄를 감행하고 한 달 가량 된 시점이었다. 또 같은 수법으로 인한 피해가 발생하지 않도록 범죄에 사용된 IP주소와 악성코드 분석 보고서를 공개하기도 했다. [참조 1]
□ 미국은 이 경보 보고서에서 해킹 조직이 북한 정부의 군사, 전략적 목표 진전을 위해 작전을 계속 수행할 것이라고 평가하고 지속적인 추적에 나섰다. 그 결과 2017년 12월에는 호주, 캐나다, 뉴질랜드, 영국과 함께 해당 해킹범죄의 배후 국가로 북한을 공식 지목, 규탄했다.
□ 지난 16일 국가정보원도 국회 정보위원회에서 우리나라 공공부문에 대한 북한 등의 해킹공격이 하루 158만건에 달하며 이는 전년 대비 32% 증가한 수치라고 보고했다. 이미 셀트리온 등 국내 제약회사와 업비트 등 암호화폐 거래소에 대한 해킹공격이 북한의 소행으로 확인되기도 했다. 하지만 원은 외부세력의 구체적인 해킹수법 공개를 거부하고 특히 화이자 공격 등 북한의 명백한 해킹 사실에 대해서는 사실관계조차 확인해주지 않고 있다.
□ 하의원은 “해킹피해 예방을 위해서는 해킹수법과 방지대책 등을 적시에 공개하는 것이 최선”인데도 “우리나라 사이버 안보를 총괄하는 국정원은 그 책임을 회피하고 북한 해킹 관련 정보를 숨기는 데만 급급하다”고 지적했다. 이어 “북한 등 외부세력의 해킹정보가 낱낱이 공개된다면 범죄피해를 예방하고 국민의 안전과 재산을 지키는데 큰 도움이 될 것”이라며 법안 발의 배경을 설명했다.
Palo Alto Networks 위협 인텔리전스 팀의 분석가들은 도커 허브에 있는 2040개 이상의 컨테이너가 최소 2년 동안 Cryptojacking 공격을 통해 일반 이용자들이 2000만 번 이상 감염된 도커 이미지를 다운로드된 것으로 밝혀냈다.
토커 허브는 컨테이너 공유 플랫폼 중 가장 큰 커뮤티티로 기업이나 개인이 도커에 대한 이미지를 공유할 수 있고, 개발자들은 해당 도커허브를 통해 오픈소스 프로젝트를 배포할 수 있다.
Palo Alto Networks 위협 인텔리전스 팀의 일원인 에이비브 사슨은 Docker Hub에서 크립토재킹 작전에 관련된 30개의 악의적인 이미지를 발견하였고 분석가들은 그들이 10개의 다른 계정에서 왔다는 것을 발견했다.그들 중 몇몇은 자신의 목적을 분명히 나타내는 계정을 가지고 있는 반면, 다른 몇몇은 "프록시"나 "ggcloud" 또는 "docker"와 같이 특정하기 어려운 정보를 가진 계정도 있었다.
비 공식적으로 배포되는 도커 컨테이너에 내에서 비트코인채굴과 DDoS 공격에 활용되는 악성코드가 포함되어 배포가 되고 있다는 사례와 발표가 나왔다. 이 같이 사이버 범죄자들이 수익을 내는 방법은 다양하게 있는데. 가장 쉬운 방법은 Cryptojacking으로 다른 사람의 컴퓨터를 불법으로 사용하여 암호화폐를 채굴하는 것이다.
도커를 활용하고 이용할 수 있는 커뮤니티인 도커 허브에 30개의 악성 이미지가 발견되었으며 Palo Alto Networks의 연구팀에 리포트에 의해 발견되었다.
클라우드는 다음과 같은 두 가지 주요 이유로 인해 크립토재킹 공격에 인기가 있다.
클라우드는 각 대상에 대해 많은 인스턴스(예: 많은 CPU, 많은 컨테이너, 많은 가상 머신)로 구성되며, 이는 대규모 마이닝 수익으로 이어질 수 있다.
클라우드는 모니터링하기 어렵다. 공격자들은 오랫동안 탐지되지 않고 달릴 수 있으며, 어떠한 탐지 메커니즘도 마련되지 않은 채 사용자가 부풀려진 클라우드 사용 법안을 찾아내어 무언가가 잘못되었음을 깨달을 때까지 달릴 수 있다.
현대 클라우드 기술은 컨테이너에 주로 기반을 두고 있으며, 일부 환경에서는 도커 허브가 기본 컨테이너 레지스트리다.공격자들은 그것을 이용하여 손상된 클라우드 서비스에 채굴을 할 수 있다.
위에서 언급된 정보로 인해 도커허브에서 악의적인 행위를 하는 케이스를 파악하였고. 해당 연굴르 통해 2천만명이상이 다운로드한 도커 이미지 안에서 악의적인 행위를 하는 이미지들을 발견하였다.
채굴자들은 채굴 풀을 사용해서 채굴 효율을 향상시키는데, 해당 사례의 공격자들도 동일하였다.
수입금을 추정한 결과 미화 20만 달러 상당의 가상화폐가 채굴된것으로 추정된다.
공격자들이 채굴할때 가장 많이 사용하고 인기 있는 암호화폐는 프라잇코인이며 그중 가장 많이 활용되는 암호화폐는 모네로이다. 공격자들은 다음과 같은 이유로 모네로를 선호한다.
모네로는 최대의 익명성을 제공한다.다른 동전과 달리 모네로 전환이 숨겨져 있는 것이 특징이다.이 익명성은 사이버 범죄자들에게 유용하다. 왜냐하면 그것은 사이버 범죄자들의 활동이 숨겨져 있다는 것을 의미하기 때문이다.따라서, 그들의 교환이 발각되어도 금지되지 않을 것이고 그들이 그들의 자금을 추적하려는 시도를 피하는 것에 용이하다.
모네로 채굴 알고리즘은 채굴을 위해 ASIC나 GPU가 필요한 다른 많은 암호와는 달리 CPU 채굴을 선호한다.이것은 모든 컴퓨터가 CPU를 가지고 있기 때문에 편리하다.따라서 채굴자들은 어떤 기계에서도 효과적으로 달릴 수 있다.이러한 특징은 컨테이너에 더욱 적합하며, 이 중 대다수가 GPU 없이 작동한다.
모네로는 인기 있는 코인으로 거래량이하루에 1억 달러 정도여서 거래소를 통하지 않아도 공격자들이 쉽게 코인을 사고 팔 수 있다.
아래 그림은 도커허브에서 발견된 암호재킹 이미지의 암호화폐 분포를 보여준다.
\
켄테이너 레지스트리에서 사용자는 이미지를 업그레이드하고 그 과정에서 새로운 태그를 레지스트리에 업로드 할 수 있다. 태그는 동일한 이미지를 서로 다른 버전을 참조하는 방법으로 쓰인다.
"다수의 운영 체제(OS)와 CPU 아키텍처를 포함하는 광범위한 잠재적 피해자에 맞추기 위해 이러한 태그를 추가하는 것 같다." -Aviv Sasson
해당 사례의 이미지 태그를 검사해보니 CPU 아키텍처와 운영체제에 따라 일부 이미지에 서로 다른 태그가 있다는것을 알 수 있었다. 공격자는 다수의 운영체와 CUP 아키택처를 광범위하게 공격을 시도하기 위해 이러한 태그를 추가한 것으로 추정된다.
특정 이미지의 모든 태그에서 공통적으로 나타난것은 지갑 주소와 마이닝 풀 자격증 뿐이다. 이러한 특정 정보는 공격자들의 캠페인을 분류할 수 있었으며, 악의적인 계정인 azurenql 을 발견 할 수 있었다.
클라우드는 공격자들에게 다양한 기회를 제공한다. 해당 연구에서는 암호화된 페이로드를 감지하는 스캐너를 사용하였으며, 지갑 주솔르 이전 공격과 연관시켜 확인된 이미지가 악의적인 아닌지를 확인했으며, 이러한 작업을 통해 악의적인 이미지를 파악하고 발견할 수 있었다.
도커 관련 위협으로부터 방어
도커 컨테이너를 남용하는 위협의 발견은 개발 팀들에게 도커가 공공 인터넷에 노출되는 것을 피하도록 상기시켜야 한다.개발 팀은 잠재적인 보안 위험과 위협을 방지하기 위해 공식 도커 이미지만 사용하는 것도 고려해야 한다.
컨테이너 보안을 위한 정보 및 TIP:
타사 소프트웨어의 사용을 최소화하고 검증 가능한 소프트웨어를 사용하여 컨테이너 환경에 악성 소프트웨어가 도입되지 않도록 해야한다.
저장소의 이미지를 검색하여 잘못된 구성을 확인하고 해당 이미지에 취약성이 있는지 확인해야한다.
컨테이너에 대한 정적 분석을 제공하는 Clair와 같은 도구를 사용하여 취약성 공격을 방지해야한다.
컨테이너 중심 OS에 컨테이너를 호스트하여 공격 표면을 줄인다.
또한, 클라우드 보안 솔루션을 사용하여 Docker 컨테이너를 보호할 수 있다.
관련 영상. 보안프로젝트의 조정원 대표님
이전부터 많은 도커 이미지 삽입되어 있기 때문에, 도커 허브에서 다운로드 받을 때 공식적인 이미지를 다운로드 받기 바랍니다.
1. wannacry 추적에 대한 일부 정보 공개 Google, KasperskyLab, Intezer, Symantec 합동 조사팀에서 일부 내용 공개 이 중 나사로 그룹 Lazarus 이름 확인 나사로 그룹은 이전부터 사이버 공격을 수행한 그룹 wannacry 에서 사용하는 코드 중 특정 소스 코드에서의 동일한 패턴 확인 하지만 결정적 증거는 확인하지 못함 사용자를 특정지을 수 있는 이름이나 개인 정보, 국가 등에 대한 정보가 없음
Flashpoint 의 Jon Condra 와 John Costello 연구 결과 발표 https://www.flashpoint-intel.com/…/linguistic-analysis-wan…/ wannacry 가 28개 언어로 번역되서 공격 중인 것을 확인 각 해당 언어 모두 수집 후 경고문에 대한 분석 수행 현지화 공격에 대한 각기 언어를 수집 후 언어의 내용과 정확도, 스타일 등을 분석 사람이 직접 작성한 것과 번역기를 이용한 것 등으로 추적할 수 있다고 판단 분석 결과 중국어와 영어만 사람이 직접 작성, 그 외 언어는 구글 번역기 사용 다시 중국어와 영어 문구 분석 결과 아시아 지역을 의심
해당 분석 결과는 랜섬웨어 경고문을 대상으로 함
wannacry 의 소스 코드는 이번 분석에서 제외했기에 신뢰 및 억측을 삼가해 줄 것을 당부
3. Amazon 서버에 US 군 기밀 정보 노출 http://gizmodo.com/top-defense-contractor-left-sensitive-pe… UPguard 사이버 위험 분석가 Chris Vickery 발표 미국 NGA National Geospatial-Intelligence Agency 국립 지리 정보국 핵심 정보와 연계된 미군 프로젝트 6만여건의 캐시 파일의 존재 확인 문서 용량 28GB / 관련 직원의 SSH키 / Top Secret 정부 계약자 관련 파일 6개 등 해당 문서는 보안 접근 등이 필요 없는 상태에서 노출
회사를 파산 시키고 18억에 해결되었습니다. 해킹에 의한 나쁜 선례로 남을것 같아 안타깝습니다.
나야나의 운영진의 책임의식이 대단합니다. 보통사람이라면 모든것을 포기하고 돈챙기고 잠수타는데
나야나 ceo의 책임의식을 보여주는 자료입니다.
인터넷나야나 대표이사 황칠홍입니다.
우선 이번 사태로 인해 충격과 피해를 보신 모든 분들께 진심으로 사과 드립니다.
죄송합니다.
6월 10일 새벽1시 해커의 공격으로 인해 저희 회사의 모든 임직원이 멘붕에 가까운 어려움을 격다보니 대처가 미흡했습니다.
또한, 저희가 해결하려고 여러모로 분주하게 알아보고는 있으니 시간적인 한계와 저의 능력 부족으로 인해 여기까지 왔습니다.
해커와의 요구는 50억이었으나 협상을 통해 18억까지 진행된 상태입니다.
그러나 18억 원이라는 큰돈이 저에게는 없습니다. 현재 제가 백방으로 알아본 현금자산은 4억 원입니다.
저는 협상을 하면서 4억 원 이상을 제시할 수 없는 상황이었으며 어쩔 도리가 없어 4억을 제시한 상태입니다.
또한 한국인터넷진흥원과 사이버 수사대에서도 다각도로 복호화하는 방법에 대해 알아보고 있는 것으로 알고 있습니다.
저희 또한 국내외 여러 채널을 통해 복구할 수 있는 방법에 대해 알아보고는 있으나 시간적인 한 방법을 찾지 못하고 있습니다.
제가 해커에게 제시한 협상시간은 오늘 12시입니다. 왜냐하면 금일 24시가 되면 해커는 협상금액을 2배로 올리기로 했기 때문입니다.
12시까지 협상이 된다면 비트코인 환전과 송금 등을 하여 복구에 최선을 다 할 것입니다.
또한 제가 할 수 있는 금액인 4억을 제외하고 저희 회사의 모든 지분을 인수하는 조건으로 몇몇 업체에 제안을 하여 얼마까지 가능한지에 대한 법인지분매각도 함께 알아보았습니다.
어려운 상황이라 매각 또한 쉽지 않아 오늘까지 시간이 걸렸으며 8억까지는 가능하다는 답변은 오전9시30분에 받았습니다.
저는 12시까지의 협상시간이 지나면 저의 모든 융통 자산인 4억과 인수를 희망하는 업체의 금액 8억 원 총 12억 원으로 다시 해커와 협상을 진행 할 것입니다.
이 협상이 채결된다면 자료는 복구될 확률은 좀더 높아질 것이라 생각합니
다.
피해를 보신 고객님께서 모두 힘드시겠지만 12시까지의 협상과 그 후 협상을 좀더 기다려 주셨으면 좋겠습니다.
자료복구만이 1차적인 해결이라 판단한 저의 선택이 맞는지는 모르겠으나 저는 이것이 저의 최선의 선택이라 생각합니다.
다시 한번 피해를 입으신 모든 고객님들께 죄송하다는 말씀 드립니다.
또한 피해가 없는 고객님들의 서버는 2차 피해가 없도록 저희와 사이버수사대, 한국인터넷진흥원 등 모든 분들과 협조하여 조치를 취하고 있습니다.
감사합니다.
--------------------------------------------------------------
어제 저녁 마지막으로 해커와 접촉한 내용입니다.
안녕하세요 인터넷나야나 CEO 입니다.
이제 저는 파산합니다.
20년 동안 열심히 해온 모든 것들이 내일 12시면 사라질 것이라 예상되네요.
당신이 얼마에 만족하실지는 모르겠으나
없는 돈을 만들 수도 없고
당장 돈을 급하게 구한 나의 모든 돈이
한화4억 원(123bit)이니
당신과 더 좋은 협상을 할 수도 없습니다.
나도 당신이 원하는 550bit가 있었으면 좋겠다.
그 돈이 있다면 나는
나를 믿고 나에게 서비스를 맡겨준
많은 사람들의 자료라도 살릴 수 있을 텐데
이제는 뉴스와 각종 언론에 노출되어
회사를 사겠다는 사람도 없고
더 이상 구할 수 있는 돈도 없다.
누가 이런 회사사정을 알면서 나에게 돈을 빌려주겠는가?
이젠 당신이 한화4억 원(123bit)로 승인을 한다고 해도 나는 더 이상 회사를 살리지 못할
것이다.
왜냐하면
복구된다고 해도 고객의 소송이나 항의를 감당 할 수 없기 때문이다.
당신은 어떻게 되든 나의 좌절을 보게 될 것이다.
그럼에도 불구하고
나는 당신에게 부탁한다.
나의 좌절은 지켜보더라도
나의 소중한 고객의 자료만은 복구 할 수 있게 도와줘라.
한화4억 원(123bit)를 주겠다.
만약 복구를 할 수 있게 된다면
나는 좌절하겠지만
나의 고객은 다른 좋은 회사에서 다시 일어설수 있을 것이다.
당신이 정말 해커라면 이 정도는 해줘야 한다고 생각한다.
나는 나의 모든 것을 잃는다 해도
제발 부탁한다.
나의 고객들을 살수 있게 도와줘라.
내가 가진 모든 것이 한화4억 원(123bit)이다.
안타깝습니다.
이번 사건을 통해 더이상 클라우드도 안전지대가 아니며 호스팅 서버가 타겟을 잡는 악의적인 해커들이 많이 나올 것 같아 걱정
2. 해지라는 이름의 IoT botnet 발견 kasperskylab 발표 IoT botnet 발견 Mirai botnet 과 같은 공격형 멀웨어 다른 botnet 과 다른 점은 멀웨어가 설치된 IoT 기기를 보호 외부 공격 형태나 정보수집 등의 행위가 발견되지 않음 하지만 이후 공격이 가능할 수 있으니 충분한 주의가 필요
CheckPoint Malware Research 발표 MacOS X 의 모든 버전에 영향을 미침 VirusTotal 에 대한 탐지가 전혀 없음 애플에서 발급된 전자 서명 Mc 멀웨어 발견 DOK 라는 이름의 멀웨어 발견 MacOS 사용자 대상으로 하는 최초의 대규모 멀웨어
4. 기존 포트를 사용하는 앱에 대한 모의해킹 테스트 미국 미시건 대학교 발표 구글 플레이 스토어에 등록된 앱을 대상으로 보안 테스트 진행 기존에 알려진 포트를 그대로 이용하는 앱에 대해 모의해킹 테스트를 진행 구글 플레이 스토어 앱에 임의로 악성코드 삽입 후, 동일 네트워크에 있고 동일 앱을 사용하는 다른 기기에 대한 공격 및 접속은 쉽다는 것을 입증
5. 2010년 이후 판매된 인텔 서버용 제품의 칩셋에 대한 원격 접속 취약점 발견 Embedi 연구팀에서 발표 인텔에서 제공하는 AMT 기능에서 원격 관리 부분에 취약점 발견 CVE-2017-5689 일종의 권한상승의 버그를 이용한 취약점 전원이 끊긴 PC, 랩탑 등에도 공격 성공
6. SS7 설계 결함을 악용해서 은행 계좌의 강제 유출 가능성 경고 SS7 Signaling System 7 이란 1980년대 텔코 telcos 라는 곳에서 만듬 AT&T, 버라이즌 등 세계 800여곳 텔레콤 사업자들이 사용 중 텍스트, 로밍, 기타 서비스의 상호 연결 및 데이터 교환을 지원 금융권 대상, 2팩터 인증(OTP 등)에 사용 2014년부터 꾸준히 문제점 지적 및 관련 공격 영상 발표
7. MS 윈도우 멀웨어 스캐너에서 RCE 취약점 발견 Google Project Zero 보안연구원 Tavis Ormandy 발표 CVE-2017-0290 PoC 관련 정보 https://bugs.chromium.org/p/project-zero/issues/detail… MS 에서 제공해주는 백신 프로그램 내 취약점이 있기 때문에 파급력은 더 클 수 있음 위험 소프트웨어 Windows Defender Windows Intune Endpoint Protection Microsoft Security Essentials Microsoft System Center Endpoint Protection Microsoft Forefront Security for SharePoint Microsoft Endpoint Protection Microsoft Forefront Endpoint Protection
11. 중국 OnePlus 의 4가지 취약점 공개 17년 1월 HCL Technologies 에서 Aleph Research 발표 해당 문제점은 90일 기업 책임 기간 및 추가 14일 포함 해결하지 못했기에 모두 공개 중국 스마트폰 기기 제조업체 OnePlus 에서 제작된 모든 스마트폰 최신버전 OxygenOS 4.1.3 글로벌 버전 및 그 이하 버전 HydrogenOS 3.0 이하 only China
CVE-2016-10370 HTTP를 통한 OnePlus OTA 업데이트 해커가 MitM 공격을 수행함으로써 악성코드가 담긴 파일을 업데이트 할 수 있게 유도할 수 있음
14. samba 에서 7년 동안 사용된 코드에서 취약점 발견 CVE-2017-7494 2010.03.01. 에 릴리즈 된, Samba 3.5.0 이상 모든 samba 버전이 취약점 대상 NAS 에서도 samba 를 이용하고 있기에 업데이트 및 패치는 필수 해당 취약점을 이용해서 랜섬웨어 워너크라이 wannacry 에서 사용하는 이터널블루 eternalblue 에서도 악용 가능성 높음
15. 전혀 새로운 안드로이드 공격 기법 발견 조지아 공대 보안연구팀 발표 안드로이드 모든 버전(7.1.2 이하)에서 작동하는 새로운 공격 기법 발견 'Cloak & Dagger' 라는 이름의 새로운 공격 연구팀 자체에서 확인된 공격 시나리오 고급 클릭 재킹 공격 Advanced clickjacking attack 무제한 키 스트로크 녹음 Unconstrained keystroke recording 은밀한 피싱 공격 Stealthy phishing attack 신 모드 앱의 자동 설치 Silent installation of a God-mode app (with all permissions enabled) 자동 전화 잠금 해제 및 임의 조치 Silent phone unlocking and arbitrary actions (while keeping the screen off)
