커뮤니티 빌런 18+

빌런 TOP 20

일간 l 주간 l 월간

[컴퓨터] 애플, 120Hz 주사율 지원 Mini LED 5K 모니터 출시 [투자포럼] [인트로] 투자 전 무엇을 보시나요? 전 차트를 봅니다. [일상/생활] 간만에 소고기로 배를 채웠네요. [모바일] 메모리 가격 폭등으로 iPhone 18 Pro 가격 인상 가능성, 그러나 애플의 ‘자체 칩 전략’이 이를 상쇄할 수도 있다 [게임] 소니 “PS5 메모리 물량, 2026년 분량 선점” [유머게시판] 중국의 9층 침대 [B컷] [B컷] 마이크론 Crucial DDR5-6400 CL32 PRO Overclocking 메모리 대원씨티에스 32GB 패키지 [컴퓨터] 서린씨앤아이, 공기 흐름과 확장성 모두 갖춘 프렉탈디자인 ‘에포크’ 시리즈 출시 [쇼핑] 탑텐, 충청권 최대 규모 청주수곡점 오픈 [컴퓨터] 마이크로소프트, 윈도우 11 파일 탐색기 검색 RAM 사용량 감소 업데이트 예정 [레트로] 소니코리아, 조작이 간편한 블루투스 턴테이블 ‘PS-LX5BT’ 출시 [기술] 로보틱스 윈 S 현장 체험, 기자가 직접 입고 공원 한바퀴 돌아보니 [컴퓨터] 엘가토, 크리에이터용 오디오 솔루션 ‘웨이브 XLR MK.2’ 및 ‘XLR 도크 MK.2’ 출시 [출석/가입] 출석!! [기타 주변기기] [프로그램 추천] Mouse without borders (투컴을 마우스 하나와 키보드 하나로 사용하는 프로그램) [유머] 최다 천만영화 출연 배우에 들어가는 매력쩌는 배우 [전자부품] TSMC, 2nm 가격 대폭 인상 전망 — 소비자 비용 부담 커질 듯 [해외여행] 태국 완전정복! 치앙마이(1) 출발에서 도착까지 [컴퓨터] 이엠텍, 지포스 RTX 5070 시리즈 이상 구매 고객 대상 연말 게이밍 혜택 이벤트 진행 [일상/생활] 마라탕 탕후루 두쫀쿠 등

[이벤트] ASRock 라데온 그래픽카드 ‘포토리뷰’ 이벤트 [이슈/논란] 용산 물고기주택 횟집 논란 [모바일] 애플 정품 충전기 사용한 아이폰 17 프로 맥스 USB-C 충전 속도 측정 [반도체] TSMC, 2026년까지 3나노 생산 능력 한계 도달 [PC/가전핫딜] 조텍 5060ti amp 8gb [이슈/논란] 이투데이 김서형 기자, 국방부 말꼬리 질문 논란 [일상/생활] 이사 중간 보?고..ㅠㅠ [컴퓨터] SK하이닉스, 2029~2031 차세대 메모리 로드맵 공개 [컴퓨터] AMD, AM4 플랫폼 공식 부활 확인 [게임/SW핫딜] [스팀] 무료게임 - Billie's Wheelie [모바일] NHN, 한게임 바둑&오목 대국실 리뉴얼 OBT [컴퓨터] 인텔 Core Ultra 5 245KF, 170달러까지 하락 [시피유/메인보드] 안녕... 애들아.. T T [축구] 감독들이 말하는 손흥민 [일상/생활] 대장님은 과연 샤워를 하셨을지?

[조텍탁탁몰] 🔥 조텍×빌런 오픈 이벤트! RTX5090 포함 총 1,000만원 경품 쏜다!🔥 [컴퓨터] [MONTECH] 가격과 성능을 모두 잡은 CENTURY II GOLD 시리즈 해외리뷰 함께보기 [일상/생활] 이벤트 참여용 멀티 계정이 생각 이상으로 많다는 증거... 다나와 래플에서 사건 터짐! [일상/생활] 비가 내리기 시작 하네요. [주제토론] 여러분의 첫 휴대폰은 뭐였나요? [질문/토론] 빌런사이트 수익구조는 어떻게 이루어지는지 궁금 [기타핫딜] 라멘 3인분 세트 9,900원 (무료배송) [일상/생활] 로또 당첨... [리뷰] [인텔 코어 Ultra 7 프로세서 265K 체험단] 오버클럭? '뽑기·전압·열' 계산은 그만, Extreme Tuning 실전기 [산업] 가민, 디센트 S1 다이버 통신 부표 출시 [컴퓨터] AMD 9950X3D2 CPU 벤치마크 결과 유출 [컴퓨터] 엑시노스 2600, 긱벤치 테스트서 스냅드래곤 8 엘리트 Gen 5에 근접 [이벤트] 빌런 신규 가입자를 위한 특별한 이벤트 [리뷰] 휴대성과 성능, 라이젠 AI로 완성! LG 그램 15Z80T 노트북 [써보니] [DIY/튜닝] 킥보드 브랜드 때문에 내 입맛껏 수리한 일지 [모바일] 삼성전자, 독자 GPU 개발 성공...AI 생태계 확장 [모바일] SpaceX, ‘스타링크 전용 스마트폰’ 직접 만든다? [보안] 마에스트로포렌식, AI 기반 디지털 포렌식 솔루션 ‘마에스트로 위즈덤’ 공공기관 공급 확대 [이슈/논란] 터져버린 공무원의 난이도.jpg [구매/체험] 린백 의자 AS 후기

전체 l 공지 l 이벤트 l 특집/기획 l 뉴스/정보 l 커뮤니티 l 질문/토론 l 빌런포럼 l 장터/핫딜 l 브랜드로그

[보안] 카스퍼스키, 검색 엔진 최적화(SEO) 공격 확산 속 웹사이트 보안 점검 권고

카스퍼스키, 검색 엔진 최적화(SEO) 공격 확산 속 웹웹사이트에 숨겨진 링크를 삽입함으로써, 음란물이나 도박과 같은 불법 콘텐츠로 연결, 기업 평판을 심각하게 훼손 카스퍼스키(www.kaspersky.co.kr, 지사장 이효은)는 오늘, 웹사이트 운영자들에게 주요 위협이 되고 있는 검색 엔진 최적화(SEO) 스팸과 정상 웹사이트에 삽입된 숨겨진 링크에 대해 경고했다. SEO는 키워드 최적화, 고품질 콘텐츠 제작, 신뢰도 높은 백링크 구축과 같은 전략을 통해 검색 엔진 결과에서 웹사이트의 가시성을 높이는 활동이다. 그러나 악의적 행위자들은 이 과정을 악용해 평판이 좋은 웹사이트에 숨겨진 링크를 삽입함으로써, 음란물이나 도박과 같은 불법 콘텐츠로 연결되게 하여, 기업의 평판을 심각하게 훼손할 수 있다. 피해를 입은 웹사이트는 검색 순위 급락, 방문자 신뢰 하락, 불법 콘텐츠와 연결될 경우 발생할 수 있는 법적 책임 등 심각한 결과에 직면할 수 있다. 공격자의 목적은 특정 웹사이트의 신뢰도를 떨어뜨리거나, 특정 포털로 트래픽을 유도하는 데 있다. 공격자들은 침해된 관리자 계정, 기능 확장을 위해 설계되었으나 업데이트되지 않은 웹사이트 콘텐츠 관리 시스템 확장 프로그램, 또는 서버 취약점을 악용해 웹사이트에 숨겨진 링크를 삽입한다. 이를 통해 사이트의 HTML 코드를 직접 수정하거나 악성 스크립트를 삽입할 수 있다. 보안 솔루션은 이러한 웹사이트를 금지된 사이트로 분류하고 트래픽을 차단할 수 있다. 트래픽이 높은 인기 블로그와 포럼은 공격자가 통제하는 사이트의 검색 순위를 높이는 데 가치가 높기 때문에 주요 표적이 된다. 트래픽이 적은 웹사이트 또한 보안 수준이 상대적으로 취약한 경우가 많아 공격자들이 이러한 링크를 삽입하기 쉽다. 이 경우 트래픽 감소나 검색 엔진의 제재가 발생하기 전까지 침해 사실을 인지하지 못할 수 있다. 카스퍼스키 안나 라르키나 웹 콘텐츠 및 개인정보 분석 전문가는 “카스퍼스키의 분류 엔진은 음란물 및 도박 사이트로 연결되는 숨겨진 링크를 지속적으로 탐지하고 있다. SEO 스팸은 기업의 디지털 신뢰도와 재무적 안정성을 조용히 훼손할 수 있는 심각한 위협이다. 이러한 숨겨진 링크는 웹사이트의 신뢰도를 악용해 불법 사이트의 순위를 높일 뿐 아니라, 검색 엔진과 보안 솔루션으로부터 강력한 제재를 유발할 수 있으며, 온라인 가시성에 의존하는 기업에 치명적인 타격을 줄 수 있다. 진화하는 이러한 공격에 선제적으로 대응하기 위해서는 웹사이트 관리자 패널과 콘텐츠 관리 시스템에 대한 적극적인 방어가 필수적이다”라고 말했다. 카스퍼스키 이효은 한국지사장은 “많은 기업이 온라인을 통해 사업을 확장하고 있는 한국에서는 SEO 스팸과 숨겨진 링크의 위협을 결코 과소평가해서는 안 된다. 공격자들은 웹사이트 취약점을 악용해 악성 링크를 삽입하며, 이는 기업의 평판을 훼손할 뿐 아니라 법적인 위험으로 이어질 수 있다. 웹사이트 관리자는 정기적인 코드 검토, 시스템 업데이트, 전문 보안 도구 활용 등을 통해 방어 체계를 강화해야 하며, 이를 통해 이러한 공격을 효과적으로 차단하고 기업의 사이버 보안을 강화해야 한다”라고 말했다. 카스퍼스키는 웹사이트 소스 코드에 대한 정기적인 점검을 통해 의심스러운 요소를 확인할 것을 권고하며, Google Search Console이나 OpenLinkProfiler와 같은 신뢰할 수 있는 도구를 활용할 것을 제안했다. 또한 기업은 콘텐츠 관리 시스템 플랫폼과 플러그인을 최신 상태로 유지하고, 이중 인증을 적용한 강력한 비밀번호를 사용해야 하며, IP 주소 기반으로 관리자 패널 접근을 제한해야 한다. 웹 애플리케이션 방화벽을 배포하고 정기적인 백업을 유지하는 것 역시 무단 변경을 예방하고 복구하는 데 필수적이다.사이트 보안 점검 권고

대장 2026.03.16

[보안] 카스퍼스키, 아태지역 게이밍 계정 사이버 위협 증가 경고

카스퍼스키 Digital Footprint Intelligence(DFI) 팀 보고서에 따르면 2024년 한 해 동안 전 세계적으로 1,100만 개 이상의 게임 계정 자격 증명이 유출됐으며, 이 중 약 570만 개의 Steam 계정이 인포스틸러 악성코드에 의해 해킹됐다. 에픽게임즈 스토어, 배틀넷, 유비소프트 커넥트, GOG, EA 앱 등 다른 글로벌 플랫폼에서도 620만 개 이상의 계정이 유출됐다. 아태지역 국가별 Steam 계정 유출 상위 3개국은 태국(약 16만 3천 건), 필리핀(9만 3천 건), 베트남(8만 8천 건)이며, 중국·스리랑카·싱가포르는 각각 1만 9천 건, 1만 1천 건, 4천 건으로 상대적으로 낮았다. 카스퍼스키는 아태지역이 전 세계 게이머의 절반 이상을 차지하며, 빠른 디지털 도입과 높은 모바일 보급률, 젊은층 중심 수요로 인해 데이터 탈취형 공격의 주요 표적이 되고 있다고 분석했다. 폴리나 트레티아크 DFI 분석가는 “수년 전 탈취된 인증 정보도 다크웹에서 재유출돼 피해가 누적될 수 있다”며, “비밀번호 재사용을 피하고 정기적으로 변경해야 한다”고 조언했다. 이효은 한국지사장은 “게임 플러그인이나 도구로 위장한 멀웨어가 BYOD 환경에서 기업 네트워크로 침투할 수 있다”며, 현지화된 모니터링과 방어 체계 구축의 필요성을 강조했다. 또한 카스퍼스키는 기업 내부 이메일이 게임·엔터테인먼트 계정에 사용될 경우 인포스틸러를 통한 2차 침투 위험이 커진다고 경고했다. 크랙 게임·치트 프로그램·비공식 모드 등으로 위장한 인포스틸러는 계정 비밀번호, 암호화폐 지갑, 신용카드 정보, 브라우저 쿠키를 탈취해 다크웹에서 거래된다. 개인은 감염 시 즉시 전체 보안 검사를 실행하고 멀웨어를 삭제한 뒤 비밀번호를 변경해야 하며, 기업은 다크웹 마켓 모니터링과 카스퍼스키 DFI 같은 솔루션을 통해 침해 계정을 조기 탐지하는 것이 필요하다.

대장 2025.08.13

[보안] 카스퍼스키, 인터폴과 국제 사이버 범죄 작전 ‘Operation Secure’ 협력

카스퍼스키가 인터폴과 협력해 인포스틸러 기반 사이버 범죄에 대응하는 국제 작전 ‘Operation Secure’에 참여했다. 작전은 2025년 1월부터 4월까지 26개국 법집행기관 및 민간 파트너들과 함께 진행됐으며, 인포스틸러 악성코드를 활용한 사이버 범죄자를 겨냥해 약 2만 건 이상의 악성 IP 및 도메인을 폐쇄하고, 30명 이상의 용의자를 체포했다. 인포스틸러는 사용자 계정 정보, 금융 데이터, 쿠키 등을 탈취해 로그 파일 형태로 저장한 뒤 다크웹에서 유통되는 악성코드다. Kaspersky Digital Footprint Intelligence에 따르면 최근 1년간 약 2,600만 대의 Windows 기기가 인포스틸러에 감염됐으며, 14건 중 1건은 신용카드 정보까지 유출된 것으로 분석됐다. 카스퍼스키는 인포스틸러 C&C 서버 정보와 악성 인프라 데이터를 공유하며 핵심적인 역할을 수행했다. 전체적으로 70종 이상의 인포스틸러 변종과 관련된 26,000개의 IP 및 도메인이 조사됐으며, 40개 이상의 서버가 압수됐다. 작전 결과, 21만 6천여 명의 피해자 및 잠재 피해자에게 경고가 전달돼 비밀번호 변경, 계정 차단 등 선제 대응이 이뤄졌다. 국가별 주요 사례도 확인됐다. 스리랑카와 나우루에서는 총 14명이 체포됐고, 베트남 경찰은 18명을 체포하며 관련 장비를 압수했다. 홍콩에서는 117개의 C&C 서버가 확인됐으며, 피싱 및 소셜 미디어 사기 등에 활용된 것으로 밝혀졌다. 인터폴 사이버범죄국 국장은 “악성 인프라 차단과 피해 방지를 위한 정보 공유가 핵심”이라고 강조했다. 카스퍼스키는 “사이버 위협은 국경이 없으며, 공동 대응이 절실하다”며 민관 협력의 중요성을 언급했다. 카스퍼스키는 다크웹 모니터링을 지속 강화하고 있으며, 침해 계정 식별 및 대응 방안도 병행 제공하고 있다. 유출이 의심되는 사용자는 신속히 비밀번호를 변경하고, 2단계 인증을 설정하며, 의심 계정의 활동을 주기적으로 점검할 것을 권장한다. 기업은 고객 및 임직원 계정 유출 가능성에 대비해 다크웹 선제 모니터링 체계를 도입해야 한다.

대장 2025.07.25

[보안] 카스퍼스키, Conti 기반 진화형 랜섬웨어 ‘Gunra’ 분석 결과 발표

카스퍼스키가 국내 기관 공격에 사용된 것으로 추정되는 신종 랜섬웨어 ‘Gunra’에 대한 기술 분석 결과를 발표했다. 2025년 4월부터 활동이 확인된 Gunra는 유출된 Conti 소스코드를 기반으로 제작된 고도화된 위협으로, 보건의료, 보험, IT 인프라 등 고가치 산업을 주요 표적으로 삼고 있다. 위협 어트리뷰션 분석 결과, 전체 코드의 약 25%가 Conti와 구조적으로 유사하며, 다중 스레드 암호화, 서비스 종료 루틴, 네트워크 공유 탐색 로직 등 핵심 기능이 그대로 계승됐다. 암호화 방식은 ChaCha20 대칭키와 RSA-2048 비대칭키를 조합해 피해자가 복호화 키 없이는 데이터를 복원할 수 없도록 설계됐으며, 모든 암호화 파일의 헤더에는 ‘GRNC’ 식별자가 삽입된다. 암호화 대상은 문서, DB, 가상머신 이미지 등 기업 자산이며, 시스템 파일은 의도적으로 제외해 협상 가능성을 열어둔 구조다. 감염 이후 각 폴더에는 ‘R3ADM3.txt’라는 랜섬노트가 생성되며, Tor 기반 협상 사이트 접속을 유도하고 협상 실패 시 다크웹 블로그에 정보를 공개하겠다는 협박이 동반된다. Gunra 운영자는 실제로 다크웹에 피해 기업 목록을 게재하고 있으며, 아메리칸 호스피탈 두바이의 40TB 이상 환자 정보 유출 사례가 게시된 바 있다. 감염 경로는 피싱 이메일, 취약한 VPN 소프트웨어 및 노출된 RDP 등 세 가지가 주요하게 사용되며, 각각의 경로는 자동화된 도구를 통해 지속적으로 활용되고 있다. 카스퍼스키는 HEUR:Trojan-Ransom.Win32.Gunra.gen 등 시그니처 기반으로 Gunra를 탐지하고 있으며, 관련 IOC 및 Yara 룰을 위협 인텔리전스 포털을 통해 제공하고 있다. 대응 방안으로는 RDP 포트 제한과 다단계 인증, 백업 체계 구축, EDR·NDR 기반 Yara 룰 적용, IOC 기반 로그 모니터링이 제시됐다. 카스퍼스키는 Gunra를 단순한 변종이 아닌 RaaS 시장 내 정교화된 진화 사례로 평가하며, 향후 대형 기관 및 기간 산업을 대상으로 한 고도화된 공격이 이어질 가능성을 경고했다.

대장 2025.07.22

[보안] 카스퍼스키, 앱스토어와 구글플레이서 스파크키티 악성코드 발견

카스퍼스키가 안드로이드 및 iOS 기반 스마트폰을 노리는 신규 트로이 스파이 악성코드 ‘스파크키티(SparkKitty)’를 발견했다. 스파크키티는 사용자 기기에서 사진과 기기 정보를 공격자에게 전송하는 정보 탈취형 악성코드로, 앱스토어, 구글플레이, 사기 웹사이트를 통해 암호화폐·도박·틱톡 등 인기 앱으로 위장한 채 유포된 것이 특징이다. 분석에 따르면 스파크키티는 과거 애플 앱스토어 보안 우회 악성코드로 확인된 ‘스파크캣(SparkCat)’과 동일한 공격 조직에 의해 배포된 것으로 추정된다. 스파크캣은 OCR 기능을 이용해 갤러리 내 스크린샷에서 암호화폐 지갑 복구 문구 등을 추출한 바 있다. iOS에서는 암호화폐 앱 ‘币coin’과 트로이화된 틱톡 앱이 위장 수단으로 사용됐다. 공격자는 App Store 모방 피싱 페이지를 통해 틱톡 설치를 유도했으며, 해당 앱에는 사진 탈취 외에도 프로필 화면에 암호화폐 전용 가짜 쇼핑몰 링크가 삽입되어 있었다. 해당 유포 경로에는 기업용 개발자 도구를 악용한 정식 설치 방식이 사용됐다. 안드로이드 환경에서는 구글 플레이와 외부 웹사이트를 통해 악성 앱이 동시에 배포됐다. 대표 사례로 메신저 기능과 암호화폐 거래 기능을 포함한 ‘SOEX’ 앱은 구글 플레이에서 1만 건 이상 다운로드되었으며, APK 파일 형태로도 SNS와 유튜브 링크를 통해 유포됐다. 해당 앱들은 사용자에게 정상 앱처럼 작동하는 동시에, 기기 내 저장된 사진을 외부 서버로 전송하는 행위를 수행한다. 공격자는 전송된 이미지에서 복구 문구 또는 계정 정보 등 민감 데이터를 수집하려는 시도를 병행한다. 회사는 공격의 주요 대상이 동남아시아와 중국 사용자이며, 공격자가 디지털 자산 탈취를 주요 목적으로 삼고 있는 정황이 다수 확인됐다고 밝혔다. 감염된 앱들이 암호화폐 관련 기능을 중심으로 구성되어 있으며, 결제 방식 또한 암호화폐 기반으로 한정되어 있다는 점이 특징이다. 카스퍼스키 이효은 한국지사장은 신뢰받는 앱 스토어조차 악성코드의 유포 통로가 될 수 있는 환경에서, 사용자는 반드시 신뢰 가능한 보안 솔루션을 사용하는 동시에 앱 설치 시 출처 확인, 과도한 권한 요청 여부 검토 등 보안 인식을 높여야 한다고 강조했다. 카스퍼스키는 Kaspersky Premium과 같은 보안 솔루션을 통해 글로벌 사용자 보호 역량을 강화하고 있으며, 향후에도 위협 정보 공유와 분석 체계를 강화해 대응할 계획이다.

대장 2025.07.22

[보안] 25년 1분기 카스퍼스키 시큐리티 보고서 공개

글로벌 사이버 보안 기업 카스퍼스키가 2025년 1분기 보안 보고서를 인용해, 1월부터 3월까지 국내에서 탐지된 인터넷 기반 사이버 공격이 3,063,343건에 달했다고 발표했다. 웹 기반 위협에 노출된 사용자 비율은 13.7%로 집계됐다. 카스퍼스키는 클라우드 위협 인텔리전스 인프라 ‘Kaspersky Security Network(KSN)’를 통해 수백만 명의 자발적 참가자로부터 수집된 보안 데이터를 분석한다. KSN은 전문가 분석과 빅데이터, 머신러닝 기술을 기반으로 고도화된 위협과 미확인 악성코드를 탐지하는 역할을 한다. 이 인프라는 개인 및 기업용 보안 솔루션에 통합되어 다계층 보안 접근 방식의 핵심을 이룬다. 웹 브라우저를 통해 전파되는 공격은 악성 프로그램 유포의 주요 수단으로, 브라우저 및 플러그인 취약점을 악용하거나 소셜 엔지니어링 기법이 활용된다. 사용자 개입 없이 감염이 이루어지는 자동 실행 방식이 대표적이며, 특히 디스크에 흔적을 남기지 않는 파일리스 악성코드는 탐지와 대응이 어렵다. 이러한 위협은 Windows 레지스트리나 WMI 구독을 이용해 시스템 내 지속성을 유지한다. 카스퍼스키는 이러한 위협을 방어하기 위해 행동 기반 탐지 기술과 익스플로잇 예방 기능을 적용하고 있다. 행동 기반 탐지는 머신러닝과 행동 휴리스틱을 통해 악성 활동을 감지하고, 익스플로잇 예방 기능은 소프트웨어 취약점을 악용한 악성코드 실행을 실시간으로 차단한다. 소셜 엔지니어링 방식도 여전히 주요 공격 수단이다. 공격자는 사용자가 자발적으로 악성 파일을 다운로드하고 실행하도록 유도하는 전략을 활용하며, 일상 속 행동을 노리는 공격 방식으로 발전하고 있다. 악성코드를 난독화하여 정적 분석과 에뮬레이션을 회피하려는 시도가 늘고 있어, 정교한 탐지 기술과 실시간 대응 체계가 요구된다. 동일 기간 동안 탐지된 로컬 위협은 1,835,168건이며, 국내 사용자 중 21.5%가 로컬 기반 감염에 노출된 것으로 나타났다. 웜과 파일 바이러스가 주된 원인으로, 감염 경로는 USB 드라이브나 CD/DVD 등 오프라인 매체가 다수를 차지했다. 이에 대응하기 위해서는 안티바이러스 솔루션, 방화벽, 루트킷 방지 기능, 이동식 장치 제어 등의 보안 기능이 필수적이다. 국내에서 호스팅된 서버에서 발생한 보안 인시던트는 1,595,680건으로 전 세계 19위에 해당한다. 이는 카스퍼스키 웹안티바이러스 기능을 통해 탐지된 위협 요소의 위치 데이터를 기반으로 분석된 결과다. 보안 보고서 전문은 카스퍼스키의 보안 정보 플랫폼인 SecureList.com에서 확인할 수 있다.

대장 2025.05.08

[기술] 카스퍼스키, 라자루스의 한국 대상 공급망 사이버 공격 포착

카스퍼스키가 북한 해킹 조직 라자루스가 한국 내 주요 산업을 겨냥해 수행한 공급망 사이버 공격 정황을 포착하고, 관련 취약점과 악성코드 분석 결과를 발표했다. 공격에는 국내에서 널리 사용되는 보안 파일 전송 소프트웨어인 이노릭스 에이전트의 제로데이 취약점이 활용됐다. 해당 취약점은 카스퍼스키에 의해 사전에 탐지되어 한국인터넷진흥원(KrCERT)과 공급사에 보고되었고, 이후 패치가 배포됐다. 이번 공격은 워터링 홀 기법과 서드파티 소프트웨어 취약점 악용을 결합한 형태로, 카스퍼스키는 이 캠페인을 오퍼레이션 싱크홀(Operation SyncHole)로 명명했다. 대상은 소프트웨어, IT, 금융, 반도체, 통신 등 최소 6개 이상의 국내 조직으로 파악됐다. 라자루스는 이노릭스 에이전트 9.2.18.496 버전의 원데이 취약점을 통해 시스템에 침투했으며, 이후 ThreatNeedle과 LPEClient 같은 대표 악성코드를 배포했다. 아가멤논 다운로더가 초기 감염 경로로 사용됐으며, 악성코드는 메모리 상에서 합법적인 프로세스를 통해 실행됐다. 또한 공격에는 한국산 보안 소프트웨어인 CrossEX의 하위 프로세스를 이용한 추가 감염 사례도 발견됐다. CrossEX와 관련된 취약점은 한국인터넷진흥원이 공식 권고문을 통해 존재를 인정했고, 조사 기간 중 패치가 완료됐다. 카스퍼스키는 공격자가 활용하기 전 단계에서 임의 파일 다운로드 제로데이 취약점을 선제적으로 탐지했으며, 해당 취약점은 KVE-2025-0014 식별자로 등록되었다. 카스퍼스키 이효은 한국지사장은 고도화된 공격은 단순한 취약점 패치만으로는 대응이 어렵다며, 지속적인 보안 상태 점검과 정보 공유를 통한 민관 협력이 필수라고 강조했다. 이고르 쿠즈네초프 GReAT 디렉터는 지역 특화 소프트웨어와 구형 시스템의 서드파티 도구들이 공격에 취약한 구조라며, 공격 표면을 줄이기 위한 구조적 개선이 필요하다고 지적했다. 카스퍼스키는 관련 악성코드 분석과 위협 인텔리전스를 지속 추적 중이며, 한국 내 반복되는 공급망 공격에 대한 대응을 강화해 나갈 방침이다.

대장 2025.04.24