구글 클라우드가 사이버 위협 행위자들이 인공지능(AI)을 정찰·사회공학·악성코드 개발 등 공격 라이프사이클 전반에 “점점 더 통합(integrating)하고 있다”는 내용의 위협 인텔리전스 보고서를 공개했다. 보고서는 2025년 4분기(10~12월) 관측 결과를 정리한 GTIG(Google Threat Intelligence Group) ‘AI Threat Tracker’로, 2025년 11월 공개한 분석의 후속 업데이트다. 보고서는 핵심 이슈로 “모델 추출(model extraction) 시도, 즉 ‘증류(distillation) 공격’ 증가”를 들었다. 보고서는 “정상적인 API 접근 권한을 이용해 성숙한 모델을 체계적으로 탐색(probe)하고, 새 모델 학습에 쓰일 정보를 빼내는 행위”를 모델 추출 공격으로 정의하며, 이 과정이 지식 증류(knowledge distillation)로 이어져 “낮은 비용으로 빠르게 모델 개발을 가속”하는 동시에 “지식재산(IP) 절도” 성격을 띤다고 설명했다. 구글 클라우드는 “구글 약관을 위반하는 모델 추출 활동을 탐지·교란·완화(mitigated)했다”고 밝혔다. 다만 보고서는 “GTIG가 추적하는 APT(지능형 지속
애플 맥OS 환경을 노린 정보 탈취형 악성코드가 파이썬 기반으로 진화하며 위장 광고와 가짜 설치 프로그램을 통해 확산되고 있다. 미국 IT 기업 마이크로소프트(Microsoft)에 따르면 정보 탈취 공격이 윈도 운영체제뿐 아니라 애플 맥OS 환경으로 빠르게 확장되고 있으며, 이를 위해 파이썬(Python)과 같은 크로스 플랫폼 언어와 신뢰받는 배포 플랫폼이 악용되고 있다. 마이크로소프트 디펜더 시큐리티 리서치 팀(Defender Security Research Team)은 2025년 말부터 클릭픽스(ClickFix)와 같은 사회공학 기법을 사용하는 맥OS 대상 정보 탈취 캠페인을 포착했다고 밝혔다. 이들 공격은 디스크 이미지(DMG) 설치 파일을 배포해 아토믹 맥OS 스틸러(Atomic macOS Stealer, AMOS), 맥싱크(MacSync), 디짓스틸러(DigitStealer)와 같은 정보 탈취 악성코드 패밀리를 설치하는 방식으로 이뤄진 것으로 전했다. 캠페인에서는 파일을 남기지 않는 방식의 실행(fileless execution), 맥OS 기본 유틸리티, 애플스크립트(AppleScript) 자동화와 같은 기법이 활용돼 데이터 탈취가 이뤄진 것으로 분
오픈 VSX 레지스트리가 개발자 계정 탈취를 통해 글라스웜 악성코드를 배포하는 공급망 공격에 노출됐다. 사이버 보안 전문 매체 더 해커 뉴스(The Hacker News)는 사이버 보안 연구진이 오픈 VSX 레지스트리를 겨냥한 공급망 공격 세부 내용을 공개했다고 보도했다. 해당 보도에 따르면 정체가 밝혀지지 않은 위협 행위자가 합법적인 개발자의 자원을 탈취해, 악성 업데이트를 다운스트림 사용자들에게 배포했다. 소켓(Socket) 보안 연구원 키릴 보이첸코(Kirill Boychenko)는 2월 2일 발표한 보고서에서 "1월 30일(현지 시간), 오픈 VSX에서 oorzc가 작성한 네 개의 기존 확장 프로그램에 글라스웜(GlassWorm) 악성코드 로더를 삽입한 악성 버전이 게시됐다"고 밝혔다. 그는 이 확장 프로그램들이 이전에는 정상적인 개발자용 유틸리티로 제공됐으며, 일부는 2년 전부터 게시돼 있었고, 악성 버전이 올라오기 전까지 오픈 VSX에서 총 2만2천 회 이상 다운로드됐다고 설명했다. 공급망 보안 기업 소켓은 이번 공격이 개발자의 게시 자격 증명 탈취를 통해 이뤄졌다고 분석했다. 오픈 VSX 보안팀은 이 사건이 유출된 토큰 또는 기타 비인가 접근을
텍스트 편집기 노트패드 플러스 플러스(Notepad++)의 공식 업데이트 기능이 국가가 배후로 추정되는 해킹 공격에 악용돼 선택된 일부 이용자에게 악성코드를 유포하는 데 사용된 사실이 드러났다. 보안 전문 매체 더 해커 뉴스(The Hacker News)에 따르면 노트패드 플러스 플러스를 유지·관리하는 개발자 돈 호(Don Ho)는 국가의 지원을 받는 공격자들이 이 유틸리티의 업데이트 메커니즘을 장악해, 업데이트 트래픽을 악성 서버로 우회시키도록 했다고 밝혔다. 돈 호 개발자는 공격이 "인프라 수준의 침해를 포함해 악성 행위자가 notepad-plus-plus.org로 향하던 업데이트 트래픽을 가로채고 우회시키도록 했다"며, "이번 침해는 노트패드 플러스 플러스 코드 자체의 취약점이 아니라 호스팅 제공업체 수준에서 발생했다"고 설명했다. 그는 이러한 공격이 구체적으로 어떤 방식으로 이뤄졌는지는 현재 조사 중이라고 덧붙였다. 이번 사태는 노트패드 플러스 플러스가 12월 초 버전 8.8.9를 공개한 지 한 달여가 조금 넘은 시점에 드러났다. 이 버전은 노트패드 플러스 플러스 업데이트 도구 윈업(WinGUp)의 트래픽이 "간헐적으로" 악성 도메인으로 리디렉션돼,
소프트웨어 개발자를 노리는 새로운 정보 탈취 악성코드 ‘에블린 스틸러(Evelyn Stealer)’가 마이크로소프트 비주얼 스튜디오 코드(Visual Studio Code) 확장 기능을 악용해 개발자 자격증명과 암호화폐 관련 정보를 빼내는 캠페인이 확인됐다. 미국 보안 전문 매체 더 해커 뉴스(The Hacker News)에 따르면, 사이버보안 연구진은 비주얼 스튜디오 코드(이하 VS 코드) 확장 기능 생태계를 무기화해 ‘에블린 스틸러’라고 불리는 새로운 정보 탈취 악성코드를 유포하는 캠페인 세부 내용을 공개했다. 트렌드마이크로(Trend Micro)는 1월 20일(현지 시간) 발표한 분석에서 이 악성코드가 개발자 자격증명과 암호화폐 관련 데이터 등 민감한 정보를 유출하도록 설계돼 있다고 밝혔다. 또 이렇게 손상된 개발 환경이 더 넓은 조직 시스템으로 침투하기 위한 접점으로 악용될 수 있다고 설명했다. 트렌드마이크로에 따르면 이번 활동은 VS 코드와 서드파티 확장 기능에 의존하는 소프트웨어 개발팀이 있는 조직, 그리고 프로덕션 시스템, 클라우드 리소스, 디지털 자산에 접근할 수 있는 조직을 표적으로 삼도록 설계됐다. 이번 캠페인 세부 내용은 지난해 코이 시큐
해커들이 링크드인 사설 메시지를 이용해 DLL 사이드로딩 기법으로 원격 액세스 트로이목마를 유포해 기업 네트워크에 침투할 위험이 커지고 있다. 미국 보안 매체 해커 뉴스(The Hacker News)에 따르면 사이버보안 연구원들은 소셜 미디어 비공개 메시지를 악용해 악성 페이로드를 전파하는 새로운 피싱 캠페인을 포착했다. 이 캠페인은 원격 액세스 트로이목마(RAT)를 배포하는 것을 목적으로 하는 것으로 보인다고 밝혔다. 보안업체 레리아퀘스트(ReliaQuest)는 해커 뉴스에 공유한 보고서에서 이 활동이 "합법적인 오픈소스 파이썬 침투 테스트 스크립트와 결합된 DLL(다이내믹 링크 라이브러리) 사이드로딩을 통해 무기화된 파일을 전달한다"고 설명했다. 이번 공격은 링크드인(LinkedIn)에서 고가치 표적 인물에게 메시지를 보내 접근한 뒤 신뢰를 쌓고, 악성 윈RAR(WinRAR) 자가 추출 아카이브(SFX)를 다운로드하도록 속이는 방식으로 진행된다. 사용자가 이 파일을 실행하면 아카이브는 네 가지 구성 요소를 추출한다. 레리아퀘스트에 따르면 아카이브에는 합법적인 오픈소스 PDF 리더 애플리케이션, PDF 리더에 의해 사이드로딩되는 악성 DLL, 파이썬 인터프
카스퍼스키가 ‘2025 보안 보고서(Kaspersky Security Bulletin, KSB)’를 발표하고 전 세계 사이버 위협이 양적·질적으로 모두 확대되고 있다고 밝혔다. 보고서에 따르면 카스퍼스키 탐지 시스템은 2025년 하루 평균 약 50만 개의 악성 파일을 탐지했으며 이는 전년 대비 7% 증가한 수치다. 공격 방식 역시 단순 악성코드 유포를 넘어 계정 탈취, 스파이웨어, 백도어 등 기업 침투 경로가 다변화되고 있는 것으로 나타났다. 위협 유형별로 보면 패스워드 탈취형 악성코드는 전년 대비 59%, 스파이웨어는 51% 증가했다. 백도어 탐지 역시 6% 늘어나면서 장기간 은닉과 내부 확산을 노리는 공격이 지속되고 있음을 보여준다. 운영체제별로는 Windows 환경이 여전히 주요 공격 표적로 나타났으며 2025년 한 해 동안 Windows 사용자 48%가 각종 사이버 위협에 노출된 것으로 집계됐다. Mac 사용자 역시 29%가 공격을 경험해 비(非) Windows 환경에서도 위협이 확대되는 양상을 보였다. 공격 경로 측면에서는 웹 기반 위협과 로컬 기반 위협이 동시에 증가했다. 전 세계 사용자 중 27%는 웹 기반 위협의 영향을 받았으며 이는 인터넷 접
KT·LGU+ 침해사고 최종 조사결과 발표…"보안 허점 드러난 엄중 사안" 정부가 KT 침해사고와 관련해 KT 과실이 발견된 점과 KT가 계약상 주된 의무를 다하지 못한 점 등을 고려해 위약금 면제 규정 적용이 가능하다고 판단했다. 과학기술정보통신부는 KT와 LG유플러스 침해사고에 대한 민관합동조사단 조사 결과, KT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 지난 12월 29일 발표했다. KT는 펨토셀 보안 관리를 통해 전체 이용자에게 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 판단했다. LG유플러스는 허위자료 제출 및 서버폐기 등으로 인해 확인이 불가능한 바, 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다고 밝혔다. KT 침해사고 조사 결과 "감염서버 94대·악성코드 103종" 지난 9월 8일 KT는 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고, 한국인터넷진흥원에 침해사고를 신고했다. 이에 과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 다음날인 9일 조사단을 구성해 피해현황 및 사고원인 등을 조사했다.
카스퍼스키는 보안 위협 인텔리전스 조직인 디지털 풋프린트 인텔리전스 팀이 2021년부터 2024년까지 차단된 800개 이상의 사이버범죄 관련 텔레그램 채널을 분석한 ‘텔레그램 채널 사이버범죄자 분석 보고서’를 발표했다고 밝혔다. 이번 분석을 통해 텔레그램 내 불법 활동은 여전히 존재하지만, 지하 범죄 생태계의 운영 환경은 점점 더 어려워지고 있는 것으로 나타났다. 텔레그램은 봇 프레임워크와 다양한 내장 기능을 기반으로 낮은 진입장벽의 범죄 환경을 제공해 왔다. 단일 봇만으로도 문의 대응, 암호화폐 결제 처리, 탈취된 은행 카드 정보, 정보 탈취 악성코드 로그, 피싱 키트, DDoS 공격 서비스 등을 자동으로 제공할 수 있다. 또한 무제한·기한 없는 파일 저장 기능은 수 기가바이트 규모의 데이터베이스 덤프나 탈취된 기업 문서를 외부 호스팅 없이 배포할 수 있도록 지원해 왔다. 이 같은 자동화 환경은 저가·대량·저숙련 기반의 범죄 서비스 확산을 촉진했다. 유출 카드 판매나 악성코드 호스팅과 같은 서비스가 대표적이다. 반면 제로데이 취약점 정보처럼 신뢰와 평판이 중요한 고가 거래는 여전히 다크웹 포럼을 중심으로 이뤄지고 있는 것으로 분석됐다. 카스퍼스키 연구진은
카스퍼스키가 인터폴과 협력해 국제 사이버 범죄 대응 작전인 ‘Operation Secure’에 참여했다. 이번 작전은 정보 탈취형 악성코드(인포스틸러)를 활용한 범죄에 대응하기 위해 지난 1월부터 4월까지 전 세계적으로 진행됐다. 작전에는 26개국 법집행기관과 민간 파트너들이 참여했으며 사이버 범죄에 연루된 용의자 30명 이상이 체포되고 2만 개 이상의 악성 IP 주소 및 도메인이 폐쇄되는 성과를 거뒀다. 인포스틸러는 사용자로부터 금융 정보, 계정 인증 정보, 쿠키 등을 탈취해 로그 파일 형태로 다크웹에서 유통되는 악성코드다. Kaspersky Digital Footprint Intelligence 팀은 2023년부터 2024년 사이 약 2600만 대의 Windows 기기가 인포스틸러에 감염되었으며 14건 중 1건은 신용카드 정보 유출 사례였다고 밝혔다. 이번 작전은 악성 인프라의 서버 위치를 추적하고 네트워크를 매핑해 표적을 제거하는 방식으로 수행됐다. 카스퍼스키는 인터폴과의 협력 과정에서 정보탈취형 악성코드의 C&C 서버 관련 데이터를 제공했다. 조사 대상에는 약 70종의 인포스틸러 변종과 2만 6000개의 관련 IP 및 도메인이 포함됐으며 40개
카스퍼스키는 올해 중소·중견기업을 대상으로 한 사이버 공격 중 온라인 생산성 도구로 위장한 공격이 약 8500건에 달했다고 밝혔다. 가장 일반적인 위장 대상은 Zoom과 Microsoft Office였으며 ChatGPT와 DeepSeek 등 신흥 AI 서비스도 공격자에 의해 악용되고 있는 것으로 분석됐다. 카스퍼스키는 중소기업에서 자주 사용하는 12개 생산성 앱을 중심으로 악성코드와 원치 않는 소프트웨어의 빈도를 분석했다. 올해 탐지된 고유 악성 파일 수는 4000건 이상이며 이 중 ChatGPT를 사칭한 사이버 위협은 115% 증가한 177건으로 나타났다. DeepSeek도 83건의 악성 파일에서 위장 대상에 포함됐다. 반면 퍼플렉시티 등 일부 AI 도구는 아직 위장 사례가 발견되지 않았다. 이와 관련해 카스퍼스키 보안 전문가 바실리 콜레니코프는 “공격자들이 악성코드를 위장할 도구를 선택할 때는 해당 서비스의 인기와 화제성이 주요 기준”이라며 “사용자가 인터넷에서 지나치게 유리한 조건의 설치 파일이나 구독 제안을 받을 경우 웹사이트 주소나 링크 철자 등을 반드시 확인해야 한다”고 말했다. 협업 플랫폼 브랜드를 악용한 사이버 위협도 지속적으로 증가하고 있다.
카스퍼스키는 올해 중소·중견기업 사용자를 대상으로 한 사이버 공격 사례 중, 주요 온라인 생산성 도구로 위장된 공격이 약 8500건에 달했다고 4일 밝혔다. 가장 일반적인 미끼는 줌(Zoom)과 마이크로소프트 오피스(Microsoft Office)였으며, 챗GPT와 딥시크 등 새로운 AI 기반 서비스도 공격자에 의해 점점 더 많이 악용되고 있다. 카스퍼스키 분석가는 중소·중견기업에서 자주 사용되는 합법적인 애플리케이션으로 위장된 악성코드 및 원치 않는 소프트웨어의 빈도를 확인하기 위해 12개의 온라인 생산성 앱을 샘플로 분석했다. 올해 카스퍼스키는 4000개 이상의 고유한 악성 파일과 비정상 파일 인기 앱을 가장한 형태로 나타났음을 발견했다. 특히 AI 서비스의 인기가 높아지면서 사이버 범죄자들이 악성코드를 AI 도구로 위장하는 사례도 점점 증가하고 있다. 특히 챗GPT를 사칭한 사이버 위협은 2025년 1월~4월 사이 전년 동기 대비 115% 증가했으며, 해당 기간 동안 177개의 고유한 악성 파일과 비정상 파일이 탐지됐다. 또 다른 인기 AI 도구인 딥시크도 83개의 파일에서 위장 대상으로 등장했다. 이 대형 언어 모델은 2025년 출시되자마자 공격자들의
카스퍼스키가 전 세계 스트리밍 서비스 이용자 계정 700만 건 이상이 악성코드나 피싱 등으로 유출됐다고 밝혔다. 이번 발표는 디지털 콘텐츠에 대한 높은 의존도를 보이는 GenZ 세대의 보안 인식을 환기하고 실질적인 보호 조치를 유도하기 위한 차원에서 마련됐다. 카스퍼스키의 Digital Footprint Intelligence 팀은 2024년 동안 넷플릭스, 디즈니+, 아마존 프라임 비디오, 애플 TV+, 맥스 등 주요 스트리밍 플랫폼에 연결된 유출 자격 증명(credentials)을 분석한 결과, 총 703만5236건 침해 사례를 확인했다. 이들은 플랫폼 자체 해킹이 아닌 악성코드 감염, 피싱 사이트 이용, 비공식 앱 사용 등 외부 위협으로 인해 발생한 것으로 나타났다. 유출 계정 중 넷플릭스가 563만 건 이상으로 가장 많았고 디즈니+가 약 68만 건, 아마존 프라임 비디오는 1600건 수준이었다. 브라질, 멕시코, 인도, 독일, 프랑스 등이 침해 계정이 많은 국가로 집계됐다. 이들 플랫폼은 GenZ 세대가 온라인 팬덤, 밈, 편집 영상 등을 통해 활발히 활동하는 공간으로 몰입도 높은 이용 행태가 보안상 취약점으로 작용할 수 있다. 침해된 기기는 스트리밍
카스퍼스키 위협 리서치 센터가 2024년 3월부터 앱스토어와 구글 플레이에서 활동 중인 데이터 탈취 트로이 목마 ‘스파크캣(SparkCat)’을 발견했다. 이는 광학 문자 인식(OCR) 기능을 악용한 악성코드가 앱스토어에서 발견된 최초 사례다. 스파크캣은 구글 ‘ML Kit’ 라이브러리 기반 OCR 플러그인을 이용해 이미지 갤러리를 스캔하고, 암호화폐 지갑의 복구 문구(Recovery Phrase)를 포함한 스크린샷을 탈취한다. 비밀번호 등 다른 민감한 데이터도 추출할 수 있다. 카스퍼스키는 해당 악성 애플리케이션을 구글 및 애플에 보고했다. 스파크캣은 감염된 정상 애플리케이션과 미끼 애플리케이션(Lure App)을 통해 확산된다. 감염된 앱 유형은 메신저, AI 비서, 음식 배달, 암호화폐 관련 앱 등 다양하다. 일부 앱은 공식 플랫폼에서 제공되며, 비공식 출처에서도 유포되고 있다. 현재 구글 플레이에서 감염된 앱들은 24만 2천 회 이상 다운로드됐다. 이 악성코드는 아랍에미리트(UAE), 유럽, 아시아 사용자를 주요 표적으로 삼고 있다. 스파크캣은 이미지 갤러리를 스캔하며 중국어, 일본어, 한국어, 영어, 체코어, 프랑스어, 이탈리아어, 폴란드어, 포르투
씨큐비스타 보안 보고서 ‘씨큐리포트’를 발표했다. 이번 보고서는 생성형 AI가 사이버보안 및 프라이버시에 미치는 부정적 영향을 다뤘다. 마이크로소프트 ‘GPT’, 구글 ‘Gemini’, 메타 ‘LLaMA’ 등 생성형 AI가 대중적으로 확산되면서 인공지능이나 머신러닝에 관심이 높아졌을 뿐만 아니라 이러한 생성형 AI는 산업 전반과 사이버보안 및 프라이버시 분야에도 큰 영향을 미치고 있다. 씨큐비스타는 이번 보고서에서 공격자가 생성형 AI로 피싱 이메일이나 메시지, 복잡한 악성코드를 대량으로 자동 생성할 수 있는 점을 꼽으며 대규모 타겟에 배포되는 점에 주의를 표했다. 보안 영역에서도 공격자가 생성형 AI로 보안 취약점을 분석하고 그에 맞는 공격 방식을 빠르게 설계해 다시 공격해 올 수 있다고 언급했다. 개인이 사용함에 있어서도 AI 모델이 개인 신상정보를 학습 데이터로 사용했다가 데이터 처리에 문제가 생길 경우 개인정보가 유출되거나 잘못된 방식으로 사용될 위험이 있다. 최근 이슈로 떠오른 딥페이크 기술 또한 개인의 신뢰를 떨어트리거나 명예 훼손, 사기 등에 악용될 가능성이 크다. 전덕조 씨큐비스타 대표는 “최근 생성형 AI를 이용한 침해 사고가 늘고 있어 각
상호명(명칭) : (주)첨단 | 등록번호 : 서울,자00420 | 등록일자 : 2013년05월15일 | 제호 :헬로티(helloT) | 발행인 : 이종춘 | 편집인 : 김진희 |
본점 : 서울시 마포구 양화로 127, 3층, 지점 : 경기도 파주시 심학산로 10, 3층 | 발행일자 : 2012년 4월1일 | 청소년보호책임자 : 김유활 | 대표이사 : 이준원 | 사업자등록번호 : 118-81-03520 | 전화 : 02-3142-4151 | 팩스 : 02-338-3453 | 통신판매번호 : 제 2013-서울마포-1032호
copyright(c) HelloT all right reserved
UPDATE: 2026년 02월 14일 18시 07분
