[파이낸셜뉴스]  악성코드 감염으로 모두투어 고객 정보가 유출된 사실이 드러났다. 모두투어 측은 12일 공식 홈페이지를 통해 한글 이름, 생년월일, 성별, 핸드폰번호 등 고객 정보가 유출된 사실을 알렸다. 악성코드로 인해 회원 정보와 비회원으로 예약 시 입력된 정보 일부가 유출됐다는 것. 이는 개인정보보호위원회도 인지한 상태다. 공지에 따르면 악성코드 삽입 시점은 올해 6월이다. 유출 범위는 정보 주체에 따라 상이하다. 모두투어 측은 유출 사실 인지 후 악성코드를 즉시 삭제했다고 했다. 이어 "외부에서 접속된 IP를 차단했으며 홈페이지 취약점 점검과 보완 조치를 완료한 상태"라며 "침입방지시스템, 웹방화벽, 웹쉘 탐지시스템 등 보안장비 수준을 높였다"고 밝혔다. 모두투어는 "2차 피해 우려가 있다는 점을 인정한다"며 "사용자들은 암호 변경을 적극 권장한다"고 당부했다. 피해 사실은 모두투어 고객은 홈페이지 내 '개인정보 유출 여부 확인 서비스'에서 확인할 수 있다. 피해 접수 담당 부서 및 정보보호 고객 응대팀이 관련 상담을 진행 중이다. gaa1003@fnnews.com 안가을 기자

라온시큐어는 생성형 인공지능(AI)을 활용해 악성 코드를 이해하기 쉬운 언어로 바꿔주는 ‘대규모 언어 모델(LLM) 기반의 바이너리 코드 시각화 장치 및 방법’에 대한 특허를 등록했다고 22일 밝혔다. 라온시큐어 AI연구센터는 생성형 AI를 활용해 보안 기술을 고도화 하는 연구개발을 진행해 왔다. 그 일환으로 바이너리 코드(이진법 기반 암호) 등 저수준의 언어를 사용자가 이해하기 쉬운 고수준 언어로 변환하는 ‘역공학 기술’에 생성형 AI를 접목했으며, 대량의 데이터를 LLM을 통해 쉬운 언어로 변환할 수 있는 기술을 발명했다. 침입 데이터나 악성코드를 분석하기 위해서는 해석 난이도가 높은 어셈블리어 등 많은 지식과 다양한 툴 사용법을 아는 인력이 필요하며 이러한 기술을 습득하는 데에는 많은 시간이 소요된다. 라온시큐어가 이번에 특허를 취득한 ‘LLM 기반의 바이너리 코드 시각화 장치 및 방법’은 난독화된 저수준의 언어를 개발 언어 등 고수준의 언어로 변환해주며, 이를 다시 자연어로 변환하는 것도 가능해 비전문가도 악성코드를 쉽게 이해할 수 있게 해준다. 특히 입력하는 데이터 양의 제한 없이 고수준 언어로 변환할 수 있다. 라온시큐어는 이번에 발명한 기술을 솔루션 또는 서비스형 소프트웨어(SaaS) 형태로 제공하거나 기존 보안 시스템과 연계해 활용할 수 있도록 제공할 계획이다. 이를 통해 악성코드 분석 전문 인력을 빠른 시간 안에 다수 채용하기 어려운 기업들도 더 쉽고 빠르게 침입 데이터나 악성코드를 분석해 정보보호 업무를 효율적으로 수행할 수 있다. 앞서 지난 6월 라온시큐어는 자체 개발 중인 '동형암호 기반의 AI 안면인식 기술'로 과학기술정보통신부와 한국인터넷진흥원(KISA)에서 공고한 '2024년 AI 보안시제품 개발 지원사업에 선정된 바 있다. 이 밖에도 라온시큐어 AI연구센터는 AI를 활용한 딥페이크 탐지, AI 생성 콘텐츠 판별, 스미싱·피싱 탐지 등의 연구 개발 프로젝트들을 수행하며 AI를 접목한 보안·인증 고도화에 적극적으로 나서고 있다. 박현우 라온시큐어 AI연구센터장은 “생성형 AI는 기존 업무를 효율화 해주는 기술이며 라온시큐어는 보안 분야 리더인만큼 방대한 관련 지식을 갖고 있어 LLM에 보안 지식을 학습 시키는 데 탁월하다”며 “이러한 역량을 활용해 악성코드 분석 효율을 높여주는 기술을 발명해 특허를 취득했으며, 앞으로도 AI와 같은 첨단 기술을 적극적으로 활용해 국가와 기업의 정보 자산을 더 효과적으로 지키겠다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스]  중앙선거관리위원회 소속 직원의 컴퓨터가 악성코드에 감염, 선관위 관련 정보 등이 유출됐던 것으로 알려졌다. 지난해 10월 8일, 직원 PC 감염..인지 못해 2일 KBS '뉴스9' 보도에 따르면 해당 직원의 컴퓨터가 공격을 받은 건 지난해 10월 8일 무렵이다. 업무용 이메일과 휴대전화 번호는 물론 선관위 내부망 일부 주소, 이곳에 접속할 수 있는 정보 등이 유출된 것. 하지만 해당 직원도 선관위도 이 같은 사실을 모르고 있었다. 선관위는 KBS 측에 "직원의 PC가 악성코드에 감염됐다가 지난해 10월 9일 낮 12시쯤 백신이 삭제한 걸로 파악됐다"고 밝혔다. 악성코드가 삭제됐더라도 추가적인 보안 조치가 필요하다는 게 전문가들의 조언. 선관위는 보안 소프트웨어가 악성코드를 탐지하지 못한 이유를 찾고 있다고 밝혔다. 해커 공격받은 공공기관 PC 3천대 넘어 공공기관을 상대로 한 해킹 공격은 이번이 처음이 아니다. KBS 측이 다크웹 분석 업체에 의뢰한 결과 최근 3년 동안 해커의 공격을 받은 공공기관 PC는 3000대 넘는 것으로 알려졌다. 유출된 기관은 교육기관이 가장 많았다. 서울시 교육청 390여대, 경상남도 교육청 260여대, 인천시 교육청 180여대 순이었다. 심지어 서울시청과 경찰청, 법원, 검찰 PC까지 확인됐다. 특히 공공기관 내부망 주소까지 노출, 해커들이 내부망까지 접근할 수 있는 PC도 120대나 됐다. 이를 방지하기 위해서는 이메일 계정과 비밀번호를 주기적으로 바꾸고, 출처가 불분명한 파일 등을 PC에 설치할 때 특별히 주의해야 한다. gaa1003@fnnews.com 안가을 기자

안랩이 최근 불법 온라인 도박 정보를 위장해 악성코드를 유포하는 사례를 발견하고 사용자 주의를 당부한다고 7일 밝혔다. 공격자는 먼저 ‘percent.xlsm'이라는 이름의 바로가기 파일(.lnk)을 유포했다. 유포에는 불법 온라인 도박 확률 분석 내용과 함께 불법 도박 사이트를 홍보하는 이메일 등을 이용했을 것으로 추정된다. 사용자가 무심코 해당 파일을 실행하면 불법 도박 배팅 방법이 적힌 엑셀 파일의 본문이 나타나며 동시에 악성코드가 설치된다. 악성코드에 감염되면 공격자는 감염 PC에서 키로깅 및 사용자 정보 탈취를 시도할 수 있다. 또한 공격자 명령에 따라 추가 악성코드 다운로드 등 다양한 악성 행위를 수행할 수 있다. 현재 안랩 V3는 해당 악성코드를 진단 및 차단하고 있다. 악성코드로 인한 피해 예방을 위해서는 △출처가 불분명한 파일 다운로드/실행 금지 △오피스 소프트웨어(SW), 운영체제(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 △백신 최신버전 유지 및 실시간 감시 기능 실행 등 기본 보안수칙을 지켜야 한다. 안랩 분석팀 김예은 주임연구원은 “공격자는 도박, 음란물 등 사용자가 호기심을 가질만한 소재를 공격에 적극적으로 활용하고 있다“며 “특히 휴식을 즐길 수 있는 연휴를 앞두고 유사한 방식이 증가할 것으로 예상되기 때문에 출처를 알 수 없는 파일은 다운로드하거나 실행하지 않는 등 기본 보안수칙을 지켜야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스] 올해 초 법원 전산망이 악성코드에 감염됐던 사실이 뒤늦게 드러났다. 1일 법조계에 따르면 대법원 법원행정처는 전날 입장문을 내고 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 밝혔다. 법원 내 PC는 기본적으로 내부망만 접속할 수 있다. 다만 일부 가상화 PC는 별도 절차를 거치면 외부망 접근이 가능하다. 법원행정처는 "인터넷 가상화는 내부시스템과 분리된 인터넷 사용을 위한 시스템으로 인터넷을 사용하기 때문에 외부 사이트와 다량의 통신이 있을 수 있다"며 "가상화 PC에 외산 클라우드로 연결되는 통신 흐름을 확인했지만 외부 사이트와 다량의 통신을 하는 인터넷 특성상 데이터의 세부사항 특정이 불가하며 소송서류 등 유출 여부를 확인할 수 없다"고 설명했다. 아울러 "악성코드가 탐지된 장비는 자료가 임시로 저장된 후 삭제되는 서버"라고 밝혔다. 일각에서 북한 해킹 그룹으로 알려진 '라자루스'의 해킹 공격으로 소송서류와 재판기록 등 전자정보가 유출됐다는 의혹이 제기되기도 했지만, 법원행정처는 "라자루스로 단정할 수 없다"고 했다. jisseo@fnnews.com 서민지 기자

[파이낸셜뉴스] 올해 초 사법부 전산망이 악성코드에 감염됐던 것으로 뒤늦게 확인됐다. 대법원 법원행정처는 법원에서 사용하는 PC가 악성코드에 감염된 것을 올해 초 확인했다고 30일 밝혔다. 법원행정처는 "올해 초 보안일일점검 중 악성코드가 감염된 것을 탐지했고 악성코드 탐지 대응 분석 과정에서 특정 인터넷 가상화 PC에서 데이터 흐름이 있었음을 확인했다"고 했다. 법원 내 PC는 내부망만 접속할 수 있고 일부 가상화 PC만 예외적으로 별도 절차를 거쳐 통상적으로 사용하는 외부망에 접근할 수 있다. 인터넷 가상화는 내부 시스템과 분리된 인터넷 사용을 위한 시스템으로, 외부 사이트와 다량의 통신이 있을 수 있다고 법원행정처는 전했다. 외산 클라우드로 연결되는 통신 흐름을 확인했으나 데이터의 세부 사항 특정이 불가해 소송서류 등 유출 여부를 확인할 수는 없다고 덧붙였다. 북한의 해킹 그룹으로 알려진 '라자루스'의 공격 아니냐는 일각의 의혹에 대해서는 "북한 소행으로 단정할 수 없다"고 선을 그었다. 예민한 소송 관련 정보가 유출됐을 가능성에 대해서는 "악성코드가 탐지된 장비는 자료가 임시로 저장됐다가 삭제되는 서버"라며 확인되지 않았다고 부인했다. 올해 초 탐지 후 필요한 조처를 했으며 이후 추가적인 감염·해킹 등은 없었다고 법원행정처는 설명했다. unsaid@fnnews.com 강명연 기자

[파이낸셜뉴스]  일본이 지난달 24일 후쿠시마 제1원자력발전소 오염수의 해양 방류를 개시한 가운데, 후쿠시마 오염수 방류 이슈를 악용해 악성코드를 유포하는 사례가 발견됐다. 5일 안랩에 따르면 공격자는 오염수 처리와 관련한 내용을 담은 이메일 등을 이용해 ‘project.chm’ 이라는 이름의 윈도 도움말 파일(.chm)을 유포한 것으로 추정된다. 안랩은 사용자가 무심코 이 파일을 실행하면 ‘후쿠시마 오염수 방류’와 ‘노재팬’ 캠페인에 관한 현황을 담은 언론 기사 내용이 나타나면서 해당 PC에 몰래 백도어 악성코드(공격자가 차후 공격을 수행할 목적으로 시스템에 설치하는 악성코드)가 설치된다고 설명했다. 해당 악성코드는 공격자의 명령에 따라 감염 PC에서 파일 업로드와 다운로드, 정보 탈취 등 다양한 악성 행위를 수행할 수 있는 것으로 알려졌다. 백도어 악성코드는 추가 공격에서 공격자의 출입 통로 역할을 한다. 안랩 V3는 이 악성코드를 진단 및 차단하고 있다고 밝혔다. 이가영 안랩 분석팀 주임연구원은 “공격자는 사용자의 궁금증을 유발해 악성 파일을 실행하도록 유도하려고 최근 이슈가 되는 주제를 적극적으로 이용하고 있다”며 “출처가 불분명한 파일은 저장하거나 실행하지 말고 백신을 최신 버전으로 유지해야 한다”고 말했다. 한편 악성코드로 인한 피해 예방을 위해서는 ▲출처가 불분명한 파일 다운로드·실행 금지 ▲오피스 소프트웨어(SW), 운영체체(OS) 및 인터넷 브라우저(엣지, 크롬, 파이어폭스 등) 프로그램 최신 보안패치 적용 ▲백신 최신버전 유지 및 실시간 감시 기능 실행 등 보안수칙을 지켜야 한다. sanghoon3197@fnnews.com 박상훈 기자

안랩은 최근 ‘한글 2022 크랙’ 설치파일로 위장한 파일을 파일 공유 사이트에 올려 암호화폐 채굴 및 원격제어 악성코드 등을 유포하는 사례를 발견해 사용자의 주의를 당부한다고 23일 밝혔다.  공격자는 먼저 웹하드, 토렌트 등 국내 다수 파일공유 사이트에 ‘한글2022 (★일반 사용자용 영구 정품 인증)’이라는 제목으로 악성 압축 파일을 업로드했다.  사용자가 다운로드한 파일의 압축을 해제한 뒤 ‘install.exe’을 실행하면 ‘한글2022’ 크랙 설치파일과 함께 악성코드를 외부에서 다운로드 받도록 하는 명령이 사용자 몰래 실행된다. 이 때 사용자 PC에 V3 설치여부에 따라 다른 종류의 악성코드가 설치 시도된다.  만약 사용자 PC에 V3가 없다면 원격제어 악성코드인 ‘Orcus RAT’가 다운로드 된다. 'Orcus RAT’에 감염될 경우 공격자가 사용자PC를 원격으로 제어할 수 있는 권한을 획득할 수 있다. 공격자는 이 권한을 활용해 추가 명령을 내려 정보 탈취 등 다양한 악성행위를 수행할 수 있다. V3가 설치돼 있을 경우에는 암호화폐 채굴 악성코드 ‘XMRig’설치를 시도한다.  현재 V3는 해당 악성코드 2종을 모두 진단하고 있다.  사용자는 피해를 예방하기 위해 △불법 콘텐츠 다운로드 금지 △인터넷에서 파일 다운로드 시 공식 홈페이지 이용 △OS 및 인터넷 브라우저, 응용프로그램, 오피스 SW 등 프로그램의 최신 버전 유지 및 보안 패치 적용 △최신 버전 백신 사용 및 실시간 감시 적용 등 기본 보안 수칙을 준수해야 한다는 것이 안랩 측 설명이다.  이재진 안랩 분석팀 주임연구원은 “이번 사례는 한글 프로그램 정품 및 제공사와 무관하게 공격자가 유명 소프트웨어 불법 설치파일을 위장해 공격에 이용한 것”이라며 “불법 경로로 소프트웨어나 게임 등의 콘텐츠를 이용하는 경우 위협에 노출될 가능성이 큰 만큼 사용자는 반드시 정식 콘텐츠를 이용해야 한다”고 말했다. solidkjy@fnnews.com 구자윤 기자

[파이낸셜뉴스]  북한의 해커조직 ‘김수키’가 윈도우 도움말 파일로 위장한 악성코드를 유포하고 있는 것으로 알려져 주의가 요구된다. 2일 보안업체 안랩에 따르면 김수키는 최근 윈도 도움말 파일(.chm) 형식으로 된 악성코드를 보내고 있는 것으로 나타났다. 해당 형식의 파일을 실행하면 HTML 파일로 된 도움말 창을 생성하는데, 이때 htm 또는 html 파일에 포함된 악성 명령어가 함께 실행되는 것으로 전해졌다. 안랩은 “도움말 창이 정상적인 내용을 노출하기 때문에 이용자가 악성코드라는 점을 쉽게 알아채기 어렵다”고 설명했다. 해당 악성코드가 유포되는 경로에 관해 안랩은 주로 사례비 또는 개인정보 양식을 위장하고 이메일로 유포된다고 설명했다. 안랩은 “항상 첨부파일 실행에 유의해야 한다”며 “백신을 최신 버전으로 업데이트해 악성코드 감염을 예방해야 한다”고 권고했다. 김수키는 이렇게 유포한 코드로 사용자의 정보를 수집하거나, 키보드에 입력한 정보를 중간에서 가로채는 ‘키로깅’ 공격을 하는 것으로 전해졌다. 한편 북한의 해커조직인 김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌다. 김수키는 우리나라 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격도 지속적으로 시도하고 있다. 주요 글로벌 보안업체들에 따르면 김수키는 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하고 있는 것으로 파악됐다. 북한은 국제사회의 대북 제재 강화 이후 해킹과 마약 밀매 등 범죄 행위에 더욱 집중하는 것으로 전해졌다. sanghoon3197@fnnews.com 박상훈 기자

[파이낸셜뉴스] 불법으로 마이크로소프(MS) 윈도우 설치했다면 파일공유사이트에 떠도는 '불법 인증 툴'을 주의해야 한다. 이 툴을 PC에 설치할 경우 악성코드가 PC에 깔려 해커가 원격제어할 수 있으며, 개인정보 탈취나 암호화폐 채굴 등 다양한 피해를 입을 수 있다. 안랩은 "최근 불법 인증 툴로 인한 악성코드 유포사례가 발견되고 있다"며 주의를 당부했다. 18일 안랩에 따르면, 먼저 공격자는 국내 다수 파일공유 사이트에 'KMS Tools', 'KMS Tools Portable' 등의 제목으로 불법 윈도우 정품인증 툴을 위장한 압축파일(.7z)을 업로드했다. 사용자가 다운로드 받은 파일의 압축을 해제하고 내부의 실행파일(KMS Tools Unpack.exe)을 실행할 경우 BitRAT이라는 원격제어 악성코드가 외부 다운로드 방식으로 추가 설치된다. BitRAT 악성코드는 설치 이후 감염 PC를 원격제어할 수 있을 뿐만 아니라 개인정보 탈취, 암호화폐 채굴 등 다양한 악성행위를 수행할 수 있다. 만약 해당 PC에 V3가 설치된 환경이라면 이를 감지해 원격제어 악성코드가 아닌 'XMRig'라는 암호화폐 채굴 악성코드만 설치한다. 이는 V3가 설치된 환경에서 원격제어 악성코드의 악성행위가 명확하게 진단될 수 있기 때문인 것으로 추정된다. 현재 V3는 원격제어 및 채굴 악성코드가 설치되기 전인 악성 실행파일(KMS Tools Unpack.exe) 실행시점에서 해당 악성파일을 진단한다. 이재진 안랩 분석팀 주임연구원은 "파일공유 사이트 등에서 제품을 불법으로 다운로드하는 사용자를 노린 공격은 지속적으로 발생하고 있다"며, "공격자는 앞으로 파일의 이름을 바꿔 다양한 파일공유 사이트에서 유사한 공격을 이어갈 것으로 예상되기 때문에 사용자는 반드시 공식 경로로 콘텐츠를 이용해야 한다"고 말했다.  monarch@fnnews.com 김만기 기자