<div>최근 해외 해커 조직이 국내 통신사를 해킹 공격했다는 의혹이 불거진 가운데, LG유플러스도 전수 조사를 해야 한다는 주장이 나왔다. <figure><img src="https://nimage.newsway.co.kr/photo/2025/05/07/20250507000077_0700.png" /></figure>28일 시민단체 소비자주권시민회의는 미국 해킹 전문지 프렉의 분석을 인용해, SK텔레콤과 KT와 같이 LG유플러스 역시 정부 차원의 전수 조사가 필요하다고 주장했다. 해당 전문지는 LG유플러스의 내부 서버 관리용 권한계정관리시스템(APPM) 소스코드와 데이터베이스를 포함해 약 8938대의 서버 정보와 4만2526개의 계정이 유출됐다고 밝혔다. 167명의 직원과 협력사 실명 및 ID도 함께 빠져나갔다고 알렸다. 소비자주권시민회의는 LG유플러스의 정보 접근 기록을 조명했다. LG유플러스의 정보 접근 기록이 올해 4월 16일까지라는 점을 들어, '해킹 은폐 가능성'을 제기했다. SK텔레콤 해킹 사태가 발생한 시점과 일치해 이를 의식했을 가능성이 크다고 주장했다. 소비자주권시민회의는 LG유플러스 역시 SK텔레콤과 KT처럼 정부차원의 조사가 진행돼야 한다고 촉구했다. 앞서 과학기술정보통신부 주도로 구성된 민관합동조사단은 SK텔레콤 해킹 사태 직후 회사를 지난 4월 23일부터 6월 27일까지 총 6차례　전수 조사했으며, KT 역시 조사했다. LG유플러스는 자체 전수 조사 후 과학기술정보통신부에 '이상 없다'고 보고하는 데 그쳤다. 한편, 앞서 프랙은 "북한이 배후로 추정되는 해킹 집단 '김수키'가 한국 통신사를 공격했다"고 보도한 바 있다. 류제명 과학기술정보통신부 제2차관은 지난 20일 이와 관련한 최민희 과학기술정보방송통신위원회 위원장 질의에 "(통신사에) 자료를 제출받겠다"고 답한 바 있다. 최근 해당 공격 조직은 김수키가 아닌 중국 조직일 가능성이 높다는 국내 연구진 분석이 나온 상황이다. </div>

<div><figure><img src="https://img.newspim.com/etc/portfolio/pc_portfolio.jpg" /></figure>WSJ "솔트 타이푼 작전 통해 美 3대 통신사 포함 600개 기업 침투"美 합법 감청 시스템까지 침투...라우터 소프트웨어 등 집중 공격 [뉴욕=뉴스핌]김근철 특파원=도널드 트럼프 미국 대통령의 전화 통화까지 도청한 것으로 알려진 중국 연계 사이버 스파이 활동이 전 세계 80여 개국을 대상으로도 수년간 진행된 것으로 확인됐다고 미 연방수사국(FBI)이 27일(현지시간) 밝혔다.월스트리트 저널(WSJ)에 따르면 브렛 리더맨 FBI 사이버 담당 부국장은 이날 "이번 사건은 미국에서 벌어진 가장 중대한 사이버 첩보 침해 가운데 하나"라며 이같이 밝혔다.그는 "중국 정보요원들이 미국인의 사적 통신을 감시하고 해외 이동까지 추적했을 가능성이 있다"고 말했다.FBI는 이들 해커들이 100만 건 이상의 통화 기록을 탈취했으며, 100여 명의 주요 인사를 직접 겨냥했을 것으로 추정하고 있다고 신문은 전했다.<figure><img src="https://img.newspim.com/news/2025/08/21/2508210955215370_w.jpg" /></figure>특히 해커들은 또 미국 정부가 법원 허가를 받아 운영하는 합법적 감청 시스템까지 침투해, 민감한 수사 및 사법 정보를 열람할 수 있었던 것으로 확인됐다. 이른바 '솔트 타이푼(Salt Typhoon)' 작전으로 불리는 이 사이버 스파이 활동은 적어도 2019년부터 진행됐으며, 미 사법 당국은 지난해에야 이를 발견하고 대응에 나섰다.'솔트 타이푼'을 통해 중국 연계 해커들은 통화 데이터, 특정 인사의 민간 대화, 법 집행 관련 기밀, 향후 공격에 활용될 수 있는 기술적 네트워크 정보 등을 확보했다고 WSJ은 소개했다.해커들은 미국의 3대 이동 통신사인 버라이즌, AT&T, T-모바일의 네트워크에 광범위하게 침투했다. FBI는 현재까지 600여 개 기업에 해킹 가능성을 통보했으며, 국가별로 통신망 침해 정도는 다르거나 불분명하다고 밝혔다.해커들은 라우터 등 네트워크 장비와 소프트웨어의 알려진 취약점을 집중적으로 노려 침투한 것으로 파악됐다.리더맨 부국장은 "글로벌 차원에서 이 같은 정보를 대량으로 빼돌릴 경우, 특정 국가 하나를 겨냥했을 때보다 훨씬 다른 수준의 정보 그림을 구축할 수 있다"고 말했다.FBI는 이번 공격을 "대체로 차단했다"고 평가하면서도, 재발 방지를 위해 영국·캐나다·체코·핀란드·폴란드 등 동맹국들과 함께 해커들의 기술적 세부 사항을 담은 공동 메모를 발간했다고 WSJ은 보도했다.반면 류펑위 주미 중국대사관 대변인은 성명을 내고 "미국은 중국 정부와 연관성을 입증할 결정적이고 신뢰할 만한 증거를 내놓지 못했다"면서 "중국은 모든 형태의 사이버 공격과 범죄에 단호히 반대한다"고 반박했다.kckim100@newspim.com</div>

WSJ "솔트 타이푼 작전 통해 美 3대 통신사 포함 600개 기업 침투" 美 합법 감청 시스템까지 침투...라우터 소프트웨어 등 집중 공격. [뉴욕=뉴스핌]김근철 특파원=도널드 트럼프 미국 대통령의 전화 통화까지 도청한 것으로 알려진 중국 연계 사이버 스파이 활동이 전 세계 80여 개국을 대상으로도 수년간 진행된 것으로 확인됐다고 미 연방수사국(FBI)이 27일(현지시간) 밝혔다.

美 FBI "트럼프 통화도 도청한 中 해킹 그룹, 전세계 80개 국에서 활동"

<div><figure><img src="https://www.dailysecu.com/news/photo/202508/169198_198292_716.jpg" /></figure>미국 국가안보국(NSA)과 영국 국가사이버보안센터(NCSC)가 주도하고 10여 개국 이상이 참여한 국제 정보기관 연합이 장기간 이어진 ‘솔트 타이푼(Salt Typhoon)’ 사이버 첩보 작전을 중국 내 3개 기술기업과 직접 연결 지었다고 발표했다. 이번 공격은 이미 80여 개국 수백 개 기관의 통신망과 주요 기반시설에 침투한 것으로 알려졌다.공동 권고문에 따르면 △쓰촨쥐신허네트워크기술유한공사, △베이징환위톈치옹정보기술유한공사, △쓰촨즈신루이제네트워크기술유한공사가 중국 국가안전부(MSS)와 인민해방군(PLA)에 제품과 서비스를 제공하며 공격을 지원해 온 것으로 조사됐다. 이들의 활동은 보안 업계에서 ‘Salt Typhoon’, ‘OPERATOR PANDA’, ‘RedMike’, ‘UNC5807’, ‘GhostEmperor’ 등 다양한 명칭으로 불리고 있다. 중국 정부는 이번 의혹을 전면 부인한다.■전세계 통신사 겨냥한 집중 공격…장비 내부에서 은밀히 활동이 공격 그룹은 지난 수년간 정부기관, 교통, 숙박, 군사 분야뿐 아니라 특히 전세계 통신사를 집중적으로 공격해왔다. 미국 내 주요 이동통신사까지 침투해 통화 기록, 문자 메시지, 음성사서함뿐 아니라 수사기관의 합법적 감청 시스템까지 접근했던 것으로 확인됐다. 이로 인해 미국 FCC는 통신사들에게 사이버보안 위험 관리 계획을 마련하고 매년 인증서를 제출하도록 요구한 바 있다.공격자들은 최신 제로데이가 아닌 이미 공개되어 있고 패치가 제공된 네트워크 장비 취약점을 주로 악용했다. 대표적으로 ▲Ivanti Connect Secure 명령어 삽입(CVE-2024-21887), ▲Palo Alto PAN-OS GlobalProtect 원격코드실행(CVE-2024-3400), ▲Cisco IOS XE 인증 우회 및 권한상승(CVE-2023-20198, CVE-2023-20273), ▲Cisco Smart Install 원격코드실행(CVE-2018-0171) 등이 활용됐다.솔트 타이푼(Salt Typhoon)은 침투 후 네트워크 장비의 접근제어목록(ACL)을 수정하고 비표준 포트에서 SSH를 활성화하며 GRE·IPsec 터널을 생성하는 방식으로 은폐된 지속성을 유지한다. 또한 시스코 장비의 ‘Guest Shell’ 컨테이너를 활용해 자체 도구를 배치하고 TACACS+ 인증 트래픽을 가로채거나 서버를 리다이렉트하기도 했다.데이터 탈취에는 ‘cmd1’, ‘cmd3’, ‘new2’, ‘sft’ 등으로 불리는 고랭 기반 맞춤형 SFTP 도구가 사용됐으며, 이전에는 ‘JumbledPath’라는 맞춤형 멀웨어가 통신망 트래픽을 모니터링하는 데 활용된 사실도 확인됐다.이번 캠페인은 미국뿐 아니라 영국을 포함해 최소 80개국 이상에서 확인됐으며, 일부 국가는 국가 핵심 인프라까지 침해당했다. 미 연방수사국(FBI)은 이를 “최근 가장 광범위한 첩보 작전 중 하나”로 규정했다. 중국은 모든 혐의를 부인하고 있다.정보기관들은 우선적으로 알려진 취약점에 대한 신속한 패치 적용을 최우선 과제로 제시했다. 이후 장비 설정을 강화하고 관리 서비스는 전용 네트워크로 제한할 것을 권고했다. 또한 SSHv2, SNMPv3와 같은 안전한 프로토콜을 활용하고, Cisco Smart Install과 Guest Shell 기능은 불필요할 경우 반드시 비활성화해야 한다고 밝혔다.특히 부분적인 보안 조치가 공격자에게 경각심을 주고 다른 경로로 재침투할 위험이 있으므로, 모든 경로에서 동시다발적으로 제거 작업을 진행해야 한다는 점을 강조했다.[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!](제13회 KCSCON 2025 / 구 PASCON)※ Korea Cyber Security Conference 2025-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-공공∙기업 정보보안 책임자/실무자 1,200여명 참석!-2025년 하반기 최대 정보보호 컨퍼런스&전시회-△주최: 데일리시큐△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회△일시: 2025년 9월 16일 화요일(오전9시~오후5시)△장소: 세종대 컨벤션센터 전관△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정△사전등록 필수: 클릭(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.참석확정 문자와 메일 받은 분만 참석 가능)★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★</div>

미국 국가안보국(NSA)과 영국 국가사이버보안센터(NCSC)가 주도하고 10여 개국 이상이 참여한 국제 정보기관 연합이 장기간 이어진 ‘솔트 타이푼(Salt Typhoon)’ 사이버 첩보 작전을 중국 내 3개 기술기업과 직접 연결 지었다고 발표했다. 이번 공격은 이미 80여 개국 수백 개 기관의 통신망과 주요 기반시설에 침투한 것으로 알려졌다.

"중국 3개 기업, ‘솔트 타이푼’ 연계 해킹 배후로 지목…전세계 80여 개국 통신사 집중 공격"

<div><figure><img src="https://img.khan.co.kr/news/r/600xX/2025/08/28/news-p.v1.20250828.389ac7054cf242bf807c499da4e839c6_P1.webp" /></figure>해킹 사고로 고객 정보를 탈취당한 SK텔레콤이 유심인증키를 암호화하지 않았던 것으로 확인됐다. 타 통신사인 LGU유플러스는 2011년부터, KT는 2014년부터 유심인증키를 암호화하고 있었고 SK는 이를 인지하고 있었지만 손을 놓고 있었던 것이다개인정보보호위원회는 보안 소홀로 2300여만명의 디지털 개인정보를 유출한 SK텔레콤에 대해 1347억9100만원의 과징금과 960만원의 과태료를 부과키로 했다고 밝히면서 태스크포스를 꾸려 진행한 조사결과를 28일 함께 공개했다. 개인정보위는 지난 4월22일 SK텔레콤의 해킹 신고 이후 3개월간 개인정보 유출 사실관계와 개인정보보호법 위반 여부를 중점 조사해왔다.조사 결과에 따르면, SK텔레콤은 유심인증키(Ki) 2614만4363건을 암호화 하지 않고 있었다. 유심인증키는 유출시 ‘유심 복제’에 사용될 수 있어 보안이 가장 철저해야 할 개인정보에 해당한다.SK텔레콤과 달리 타 이동통신사는 유신인증키를 암호화하여 관리하고 있었다. LG유플러스는 2011년부터, KT는 2014년부터 유심키를 암호화해 저장하고 있었다.SK텔레콤은 최소 3년전 타 이동통신사의 유심키 암호화 사실을 인지하고 있었으나, 평문 저장을 유지했다. 개인정보위는 “SK텔레콤이 2022년 언론에서 유심 복제 등의 이슈가 제기됨에 따라 암호화 조치를 검토하면서 타 통신사가 유심 인증키를 암호화하여 저장하고 있음을 확인했다”면서 “그럼에도 조치를 하지 않아 유출 피해를 예방하지 못한 사실이 확인됐다”고 말했다.유심인증키 평문 저장만이 문제가 아니었다. SK텔레콤의 보안은 “꽤 오랜 기간 허술한 상태”(고학수 개인정보보호위원장)였다.SK텔레콤은 인터넷망과 운영·관리망, 핵심 네트워크인 코어망, 사내망을 동일한 네트워크로 연결해 운영했다. 국내·외 인터넷망에서 SK텔레콤 내부 관리망은 물론 핵심 서버인 HSS(가입자 이동통신망 접속을 위한 인증시스템)까지 접속할 수 있었다.또한 ID·비밀번호 4899개의 계정정보 파일이 암호 설정 없이 관리망 서버에 저장돼 있었고, HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보조회가 가능했다.해커가 악성프로그램 설치에 활용한 운영체제 역시 보안이 매우 헐거웠다. 해당 운영체제는 2016년에 보안 경보가 발령돼 보안 패치가 공개되어 있었으나 SK텔레콤은 이를 인지하고 있었음에도 보안 조치 없이 설치했다. 그후 올해 4월 해킹 사고를 당할때까지도 보안 업데이트를 실시하지 않았다. 각종 상용 백신 프로그램은 2020년 즈음부터 해당 운영체제의 취약점을 탐지해 안내하고 있었지만, SK텔레콤은 이같은 백신 프로그램도 설치하지 않았다.SK텔레콤의 조직 체계 또한 보안에 취약한 것으로 나타났다. SK텔레콤은 IT 영역과 통신 영역에서 모두 개인정보를 처리함에도 개인정보 보호 책임자(CPO)의 역할은 IT 영역에 국한돼 있었다. 개인정보보호위는 “이번 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못하는 등 CPO의 관리·감독이 사실상 이루어지지 않은 것으로 확인됐다”고 설명했다.</div>

해킹 사고로 고객 정보를 탈취당한 SK텔레콤이 유심인증키를 암호화하지 않았던 것으로 확인됐다. 타 통신사인 LGU유플러스는 2011년부터, KT는 2014년부터 유심인증키를 암호화하고 있었고 SK는 이를 인지하고 있었지만 손을 놓고 있었던 것이다

KT·LG유플은 10년 전부터 했는데…SKT, 유심키 암호화 손 놓고 있었다

<div><figure><img src="https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202508/28/9b5c140c-9f1b-4bf7-84b1-de14baefa2a5.jpg" /></figure>북한이 한국 군용 드론이 자국 영공을 침범했다며 국제민간항공기구(ICAO)에 전면 조사를 다시 요구했다. 지난 4월 민원이 기각된 지 석 달여 만이다.미국의 북한 전문매체 NK뉴스는 27일(현지시간) “북한이 다음 달 열리는 제42차 ICAO 총회를 앞두고 최소 4건의 문서를 제출해 2022~2025년 북한 관련 이사회 논의를 전면적으로 조사해야 한다고 주장했다”고 보도했다.앞서 ICAO 이사회는 지난 4월 한국군 드론이 평양 상공에 전단을 살포했다고 북한이 제기한 민원을 기각한 바 있다. 당시 이사회는 드론 문제가 시카고 협약 적용 대상에 해당하지 않고, 항공 안전을 위협했다는 충분한 증거도 없다고 판단했다.그러나 북한은 이번에 낸 문건에서 한국의 군사용 드론이 북한 영공을 침범한 것은 “주권 침해이자 시카고 협약 위반”이라며 기존 결정을 “편향적이고 이중 잣대”라고 비판했다.이에 대해 전직 민항 조종사이자 항공 전문가인 에드 콘딧은 “북한이 ICAO의 이중 잣대를 비난하지만, 정작 자신들은 탄도미사일 발사 시 역내 국가에 사전 통보하지 않아 민간 항공을 위협해왔다”고 지적했다. 그는 “군사용 드론이 민간 항공에 위협이 될 수는 있지만, 이는 군용 항공기 규정 적용 대상”이라고 설명했다.북한은 또 별도 문서를 통해 “미사일 발사는 군사 활동으로, 시카고 협약의 적용 범위를 벗어난다”며 발사 권리를 주장했다. 아울러 북한이 GPS 신호를 방해해 민간 항공기를 위협했다는 국제사회의 비판도 부인했다.하지만 ICAO는 지난 4월 북한의 GPS 교란을 규탄하며 “4000여 대의 민간 항공기를 위험에 빠뜨렸다”고 지적했다. 이사회는 지난달 30일에도 북한의 사전 통보 없는 미사일 발사를 재차 비판하고 중단을 촉구했다.</div>

북한이 한국 군용 드론이 자국 영공을 침범했다며 국제민간항공기구(ICAO)에 전면 조사를 다시 요구했다. 지난 4월 민원이 기각된 지 석 달여 만이다.

北, 국제민간항공기구에 “평양 드론 조사” 재신청

<div><figure><img src="https://newsimg.sedaily.com/2025/08/28/2GWSWE03U1_1.jpg" /></figure>우크라이나 키이우에 있는 유럽연합(EU) 대표부 건물이 28일(현지시간) 민간 지역을 겨냥한 러시아의 공습으로 피해를 입었다.우르줄라 폰데어라이엔 EU 집행위원장은 이날 예정에 없던 회견을 열고 “지난밤 러시아 미사일 2발이 20초 간격으로 (키이우의) 우리 대표부 건물과 불과 50ｍ 떨어진 곳에 떨어졌다”고 밝혔다. 그는 “이것은 러시아가 우크라이나를 공포에 떨게 하기 위해서라면 민간인을 살상하고 심지어는 EU(대표부)까지 겨냥하는 등 어떤 일도 서슴지 않을 것임을 보여준다”고 비판했다. 다만, 이번 건물 피해로 EU 대표부 직원들 중 다친 사람은 없는 것으로 알려졌다.폰데어라이엔 집행위원장은 조만간 19차 대(對)러시아 제재 패키지를 내놓을 계획이라며 “우크라이나 방위와 재건에 기여하기 위해 러시아 동결 자산(활용)에 대한 작업도 계속 진전시키고 있다”고 말했다. EU는 현재 역내에 동결된 러시아 중앙은행 자산의 원금은 건드리지 않고 이자 등 운용 수익을 우크라이나 지원금으로 활용하고 있다.마르타 코스 EU 집행위원은 이날 X에 “키이우에 있는 EU 대표부는 오늘 민간인 거주 지역에 대한 러시아의 공습으로 피해를 입었다”며 “이런 잔혹한 공격을 강력하게 규탄한다”고 쓰고 깨진 유리창문 등 파괴된 건물 사진을 함께 올렸다. 그는 “이는 러시아가 평화를 거부하고 테러를 선택했다는 분명한 신호”라며 “우리는 이런 침략을 견뎌내고 있는 EU 직원과 그 가족들, 그리고 모든 우크라이나인들에게 전적인 연대를 표한다”고 강조했다.안토니우 코스타 EU 정상회의 상임의장도 X에서 건물 피해를 “고의적 공격”이라고 규정했다. 그는 “EU는 겁내지 않을 것이며 러시아의 공격은 우크라이나와 연대하려는 우리의 결의만 강화할 뿐”이라고 강조했다.안드리 시비하 우크라이나 외무장관은 EU 대표부 건물 훼손과 관련해 러시아가 외교관계에 관한 비엔나협약을 위반했다며 국제사회의 규탄이 필요하다고 주장했다.AP, 로이터 통신 등에 따르면 러시아군은 밤사이 우크라이나 수도 키이우에 대대적인 미사일·드론 공격을 가해 최소 10명이 사망하고 수십명의 부상자가 발생했다.키어 스타머 영국 총리는 엑스에 영국문화원 건물도 피해를 봤다고 전했다. 그는 “푸틴은 어린이와 민간인을 살해하며 평화의 희망을 저버리고 있다”며 “이 유혈 사태는 반드시 종식돼야 한다”고 촉구했다.에마뉘엘 마크롱 프랑스 대통령도 “이것이 러시아가 생각하는 평화”라며 “테러와 야만”이라고 지적했다. 이어 “프랑스는 이 무의미하고 잔혹한 공격을 가장 강력한 어조로 규탄한다”고 비판했다.</div>

우크라이나 키이우에 있는 유럽연합(EU) 대표부 건물이 28일(현지시간) 민간 지역을 겨냥한 러시아의 공습으로 피해를 입었다. 우르줄라 폰데어라이엔 EU 집행위원장은 이날 예정에 없던 회견을 열고 “지난밤 러시아 미사일 2발이 20초 간격으로 (키이우의) 우리 대표부 건물과 불과 50ｍ 떨어진 곳에 떨어졌다”고 밝혔다. 그는 “이것은 러시아가 우크라이나를 공포에 떨게 하기 위해서라면 민간인을 살상하고 심지어는 EU(대표부)까지 겨냥하는 등 어떤 일도 서슴지 않을 것임을 보여준다”고 비판했다. 다만, 이번 건물 피해로 EU 대표부 직원들 중 다친 사람은 없는 것으로 알려졌다.

러시아 공습에 우크라 EU대표부 건물도 훼손…EU “고의 공격”

<div><figure><img src="https://www.dailysecu.com/news/photo/202508/169183_198278_3159.jpg" /></figure>아시아태평양(APAC) 지역에서 2024년부터 올 상반기까지 활동한 주요 APT(지속적 표적 공격) 그룹의 최우선 동기는 여전히 ‘사이버 첩보’였다고 카스퍼스키가 분석했다. 카스퍼스키는 국가 기밀과 외교 문서, 원자력 시설과 같은 전략 목표를 겨냥한 다수의 첩보형 캠페인이 확인됐다고 밝혔다. 이 같은 평가는 APAC 지역 APT 동향을 종합한 최근 발표와 각 그룹별 기술 리포트에 근거한다.APAC 전역에서 관측된 활동을 보면, 특정 산업군이나 국가지정학적 이슈에 맞춘 정교한 표적화가 두드러졌다. 카스퍼스키 GReAT는 900개 이상의 APT 그룹과 작전을 추적하고 있으며, 그중 APAC 관련 주요 행위자들의 최신 TTP(전술·기술·절차)를 공개했다.■원자력·에너지 인프라까지 확대한 SideWinder인도 아대륙과 동남아에서 공격적으로 활동해온 ‘사이드윈더(SideWinder)’는 2024년 하반기 이후 남아시아 원자력 발전소와 에너지 시설로 표적을 확대했다. 초기 침투는 고위 기관 실무를 위장한 스피어피싱이 주류였고, 내부 운영 데이터와 연구 자료 탈취를 노린 페이로드 체인을 사용했다. 카스퍼스키는 사이드윈더가 핵 분야를 포함한 목표 전환과 툴체인 업데이트를 병행했다고 분석했다.■Spring Dragon(Lotus Blossom): 동남아 정부기관 장기 침투‘스프링 드래곤(Spring Dragon, 일명 Lotus Blossom)’은 베트남, 대만, 필리핀을 장기간 노려 왔으며, 스피어피싱·취약점 악용·워터링홀 기법을 혼용해 초기 감염면을 확보했다. 카스퍼스키는 동남아 정부기관을 겨냥한 악성 샘플을 다년간 대규모로 탐지했다고 전했다.■Tetris Phantom: 보안 USB 생태계를 노린 고급 웜·부트스트랩 체인카스퍼스키가 2023년에 공개한 ‘테트리스 팬텀(Tetris Phantom)’은 정부 개발 보안 USB의 접근관리 소프트웨어를 악용해 안전 구역 간 파일 이동 절차를 교란했다. 2025년 들어 이 그룹은 BoostPlug, DeviceCync 등의 도구를 추가해 악성코드 투하 체인을 확장한 정황이 현지 매체 요약에서 확인됐다.■HoneyMyte: ToneShell 기반의 외교·정부 표적 스파이 활동‘허니마이트(HoneyMyte)’는 미얀마·필리핀 등 동남아 정부 및 외교 부문에서 민감한 정치·전략 정보를 노린 것으로 분석됐다. 2024~2025년 캠페인에서는 여러 로더를 통해 ‘ToneShell’ 악성코드를 배포하는 전술이 관측됐다.■ToddyCat: 로더 체계 고도화와 은닉형 자료 유출‘토디캣(ToddyCat)’은 Samurai/Ninja 계열 백도어로 알려졌으며, 2023~2024년 사이 로더 체계를 고도화하고 합법적 파일호스팅을 악용한 은닉형 자료 유출 전술이 확인됐다. 이 그룹은 유럽·아시아 고위급 조직을 지속적으로 노려 왔다.■Lazarus ‘Operation SyncHole’: 한국 공급망 노린 워터링홀+제로데이 결합북한 연계 ‘라자루스(Lazarus)’는 한국 기업 최소 6곳을 겨냥한 ‘Operation SyncHole’을 전개했다. 한국에서 광범위하게 사용되는 제3자 소프트웨어 ‘Innorix Agent’에서 제로데이 취약점이 발견되어 패치되었으며, 워터링홀과 제3자 소프트웨어 악용이 결합된 공급망형 공격 양상이 특징이었다.■Mysterious Elephant: 남아시아 외교 부문 집중 타격카스퍼스키가 2023년 처음 공개한 ‘미스테리어스 엘리펀트(Mysterious Elephant)’는 명령 실행·파일 조작이 가능한 새로운 백도어 계열을 사용한다. 2025년에는 파키스탄·스리랑카·방글라데시 등 남아시아 외교 관련 목표를 확대했다는 지역 매체·보안사 분석이 이어졌다. 일부 캠페인에서는 CHM/RTF 등 고전 포맷을 활용한 다단계 로더가 활용됐다.최근 APAC APT는 ▲워터링홀과 공급망 취약점 악용의 결합, ▲보안 USB·오프라인 이송 경로를 노린 데이터 유출, ▲고전 포맷 파일(CHM/RTF)과 최신 로더를 결합한 은닉 전술, (4) 외교·에너지·국방 등 전략 분야의 초정밀 표적화라는 공통점을 보였다. 사이드윈더의 핵 인프라 표적화, 라자루스의 한국 공급망 공격, 보안 USB를 노린 테트리스 팬텀 사례가 대표적이다.카스퍼스키 ICS-CERT는 산업·핵심 기반시설을 노린 공격에서 텔레그램 등 개인 메신저 남용, 프린터 출력 교란 등 비전통적 압박 기법도 병행되고 있다고 경고했다. 이는 OT·가상화 환경 보안, 리눅스 시스템 가시성 강화가 시급함을 시사한다.카스퍼스키 GReAT 수석 보안 연구원 누신 샤밥은 “금전적 이득을 노리는 일반적인 사이버 범죄자들과 달리, 정부, 군사 기밀, 전략적 정보를 노리는 공격자들은 국가 지원을 받는 경우가 많다. 아시아태평양 지역의 주요 APT 활동을 살펴보면, 이들이 단순한 데이터 탈취가 아닌, 지정학적 우위를 점하기 위한 전략적 행동이라는 점을 알 수 있다. 민감한 분야에 속한 조직일수록 사이버 보안 역량을 강화하고 위협 인텔리전스에 적극적으로 투자해야 한다”라고 강조했다.카스퍼스키 이효은 한국지사장은 “단순히 금전적 이익만을 목적으로 하는 일반적인 사이버 범죄와 달리, 핵심 정부 정보와 군사 기밀을 노리는 APT 공격 그룹은 국가 차원의 전략적 의도를 지니고 있다. 아태지역의 공격 양상을 볼 때, 이는 단순한 데이터 탈취가 아니라 핵심 정보를 장악해 지정학적 경쟁에서 주도권을 확보하려는 시도다. 따라서 한국의 주요 산업을 포함한 다양한 기관들은 사이버 보안 체계를 고도화하고, 위협 인텔리전스 자원을 심층적으로 통합하며, 끊임없이 진화하는 공격 기법에 대응하기 위해 동적 방어를 도입함으로써 보안의 최후 방어선을 지켜야 한다”라고 말했다.카스퍼스키는 APT 공격으로부터 방어하기 위해 다음을 권장한다:▶모든 기기의 소프트웨어를 항상 최신 상태로 유지하여, 공격자가 취약점을 악용해 네트워크에 침투하는 것을 막아야 한다.▶네트워크 및 자산에 대한 사이버 보안 감사를 수행하여 취약점을 파악하고, 네트워크 외부 및 내부의 약점을 해결해야 한다.▶Kaspersky Next 제품군처럼 EDR 및 XDR 기능을 갖춘 실시간 보호 솔루션을 사용하여 다양한 산업 및 규모에 적합한 위협 가시성 및 대응 기능을 확보해야 한다.▶인포섹 전문가에게 조직을 겨냥한 사이버 위협에 대한 심층 가시성을 제공해야 한다. 최신 카스퍼스키 위협 인텔리전스는 인시던트 대응 전 주기에 걸친 풍부한 컨텍스트를 제공하여 사이버 리스크를 시기 적절하게 식별하는 데 도움을 줄 수 있다.[KCSCON 2025 개최] 하반기 최대 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!](제13회 KCSCON 2025 / 구 PASCON)※ Korea Cyber Security Conference 2025-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-공공∙기업 정보보안 책임자/실무자 1,200여명 참석!-2025년 하반기 최대 정보보호 컨퍼런스&전시회-△주최: 데일리시큐△후원: 과학기술정보통신부, 한국인터넷진흥원, 한국정보보호산업협회△일시: 2025년 9월 16일 화요일(오전9시~오후5시)△장소: 세종대 컨벤션센터 전관△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정△사전등록 필수: 클릭(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.참석확정 문자와 메일 받은 분만 참석 가능)★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★</div>

아시아태평양(APAC) 지역에서 2024년부터 올 상반기까지 활동한 주요 APT(지속적 표적 공격) 그룹의 최우선 동기는 여전히 ‘사이버 첩보’였다고 카스퍼스키가 분석했다. 카스퍼스키는 국가 기밀과 외교 문서, 원자력 시설과 같은 전략 목표를 겨냥한 다수의 첩보형 캠페인이 확인됐다고 밝혔다. 이 같은 평가는 APAC 지역 APT 동향을 종합한 최근 발표와 각 그룹별 기술 리포트에 근거한다.

카스퍼스키, 아태지역 APT 분석…”외교 문서·원자력·공급망 시설 집중 타격”

<div><figure><img src="https://newsimg.sedaily.com/2025/08/27/2GWSG1JJUH_1.jpg" /></figure>한미일 3국이 전 세계 각지에 위장취업, 불법 무기의 자금줄 역할을 해 온 북한 정보기술(IT) 인력과 관련해 “진화하는 악의적 활동에 심각한 우려를 표한다”는 내용의 공동 성명을 발표했다. 27일 우리나라 외교부와 미국 국무부, 일본 외무성은 공동 성명을 통해 이 같이 밝히면서 “북한은 유엔 안전보장이사회 결의를 위반해 세계 각지에 IT 인력을 파견, 수익을 창출하고 이를 불법 대량살상무기(WMD) 및 탄도미사일 개발 자금으로 활용하고 있다"고 지적했다. 3국은 “대한민국, 미국, 일본은 북한 IT 인력 위협에 대응하여 단합된 노력을 기울이고 있다”고 강조했다. 그 일환으로 일본은 이날부터 기존의 주의보를 업데이트하고 북한 IT 인력들이 사용하는 새로운 수법에 대한 상세한 정보를 공개했다. 민간 기업들에게도 피해에 주의할 것을 권고했다. 미국은 러시아, 라오스, 중국 등에서 북한의 IT 인력 활동에 기여하고 있는 4명의 단체 및 개인을 제재 대상으로 지정했다. 우리나라는 앞서 기업들이 피해를 입지 않도록 북한 IT 인력 활동에 대한 주의보를 수 차례 발표한 바 있다.한미일 당국은 북한 정찰총국, 국방성, 군수공업부 등이 외화벌이나 방산 기술을 탈취하는 IT 인력 조직을 운영하는 것으로 확인한 바 있다. 이들 인력은 중국·러시아·동남아·아프리카 등에 파견돼 여러 명이 합숙하며 가상공간에서 위장 신분으로 활동하는 것으로 알려졌다. 이들이 전 세계 IT 기업에서 받은 급여는 공범들이 중국의 위장 회사로 전달하거나 암호화폐 거래소를 통해 세탁한다. 최종적으로는 북한의 핵·미사일 개발 자금 등 불법적인 용도로 이용된다. 미국 매체 악시오스의 보도에 따르면 구글, 센티넬원 등 포춘 500대 기업 대부분이 이들을 한 차례 이상 고용한 경험이 있는 것으로 나타났다. 샘 루빈 팔로알토네트웍스 자문·위협정보팀 부사장은 "대형 기업에서 채용 공고를 낸 지 12시간 만에 지원자 90% 이상이 북한 인력으로 채워진 것으로 의심되는 사례가 있었다"고 밝혔다. 영국 사이버보안 기업 소포스의 알렉산드라 로즈 국장은 "이런 노동자들은 업무 능력이 뛰어난 경우가 많아 관리자가 '북한 출신일 리 없다"고 여긴다"고 설명했다.이들 중 일부는 정보탈취, 사이버 공격 등에도 가담하기도 한다. 미 법무부는 지난 2018년 소니픽처스 해킹(2014년), 방글라데시 중앙은행 해킹(2016년), 워너크라이 랜섬웨어 공격(2017년) 등을 저지른 혐의로 북한 해커 박진혁을 기소했다. 김책공대 출신에 40대로 알려진 그는 북한의 대표적 해킹조직으로 알려진 '라자루스'의 멤버로 추정된다. 미국 연방수사국(FBI)은 2018년 박진혁을 지명수배 명단에 올린 상태다.블록체인 분석업체 체이널리시스는 지난해 전세계 암호화폐 탈취 금액의 61%(약 13억 달러·1조 8673억여 원)가 북한 소행으로 추정했다. 금성학원, 김책공대, 김일성종합대, 김일군사대(옛 군지휘자동화대) 등은 북한의 대표적인 해커 양성기관으로 꼽힌다. </div>

한미일 3국이 전 세계 각지에 위장취업, 불법 무기의 자금줄 역할을 해 온 북한 정보기술(IT) 인력과 관련해 “진화하는 악의적 활동에 심각한 우려를 표한다”는 내용의 공동 성명을 발표했다.

구글도 속이는 北 IT 인력…한미일, "악의적 활동 심각 우려"

<div><img src="https://img.etnews.com/news/article/2025/08/28/news-p.v1.20250828.74dc0b8d6d464e25ab21c7b8c025cc4e_P1.jpg" />산업통상자원부 무역위원회가 '중국산 탄소강 및 그 밖의 합금강 열간압연 후판 제품'에 대한 중국 업체의 가격약속 수락을 기획재정부에 건의한다.무역위는 28일 제463차 무역위원회를 개최하여 덤핑 조사 1건, 수출입 관련 지재권 침해 조사 4건에 대해 심의·의결하고 덤핑 조사 개시 1건을 보고 받았다고 28일 밝혔다.이번 심의·의결 사건은 지난해 10월 조사개시한 '중국산 탄소강 및 그 밖의 합금강 열간압연 후판 제품(열연 후판)덤핑 조사다. 무역위원회는 해당 제품의 덤핑사실과 덤핑수입으로 인해 국내산업에 실질적 피해가 있다고 판정하고 최종 덤핑방지관세 부과 수준을 5년간 27.91~34.10%로 산정했다.다만 최근 중국 9개 수출자가 5년간 수출가격 인상약속을 제안함에 따라 이의 수락을 기획재정부 장관에게 건의하기로 했다.가격약속은 덤핑방지관세와 같이 국내 산업피해 구제수단이다. 최초 최저수출가격과 분기별 조정가격 산정방식 등을 약속하게 되며, 위반시 덤핑방지관세를 부과할 수 있다. 가격약속에 참여하지 않은 중국 수출자에 대해서는 향후 5년간 34.10%의 덤핑방지관세 부과를 기획재정부장관에게 건의할 예정이다. 현재 열연 후판 제품에 27.91 ~38.02% 잠정 덤핑방지관세가 부과 중이다.수출입 관련 지재권 침해 조사는 지난해 9월에 조사 개시한 '헤드업 디스플레이용 중간막 특허권 침해', 같은해 10월 조사 개시한 '무정전 전원장치 특허권 침해' 그리고 올 1월 조사 개시한 '낚시용 집게 디자인권 침해' 조사로, 3건 모두 피신청인의 행위가 신청인의 권리를 침해해 불공정무역행위에 해당한다 판정했다. 이에 해당 권리를 침해한 물품의 수출·제조행위 중지, 반입배제 등 시정명령과 과징금 부과를 결정했다.특히 이번 '헤드업 디스플레이용 중간막 특허권 침해', '무정전 전원장치 특허권 침해' 사건은 외국기업간 특허분쟁에 대한 조사·판정 사건으로, 소송 대비 무역위원회 조사·판정의 신속성·공정성에 대한 인식 확대로 무역위원회가 글로벌 지재권 분쟁 조사·판정기관으로 부상할 가능성을 보여주고 있다.아울러 무역위는 지난해 12월 조사 개시한 '커넥티드카 특허권(표준특허) 침해' 조사건에 대해 조사과정에서 당사자간 쟁점 명확화 등으로 라이선스 협상이 급진전됐고 최종적으로 양측간 라이선스 협상을 체결하고 조사신청 철회를 요청함에 따라 조사를 종결하기로 결정했다.이외에 '유럽산(독일·프랑스·노르웨이·스웨덴) 폴리염화비닐 페이스트 수지' 덤핑조사 개시를 보고 받았다.무역위원회는 “앞으로도 글로벌 통상환경 변화에 체계적으로 대응하고, 덤핑과 지재권 침해 등 불공정무역행위에 대해 체계적으로 대응할 예정”이라고 밝혔다.조성우 기자 good_sw@etnews.com </div>

산업통상자원부 무역위원회가 '중국산 탄소강 및 그 밖의 합금강 열간압연 후판 제품'에 대한 중국 업체의 가격약속 수락을 기획재정부에 건의한다.

무역위, 기재부에 中 후판 가격약속 수락 건의…5년간 수출 가격 인상

최근 해외 해커 조직이 국내 통신사를 해킹 공격했다는 의혹이 불거진 가운데, LG유플러스도 전수 조사를 해야 한다는 주장이 나왔다.

시민단체 "LGU+ 해킹 은폐 가능성···전수 조사해야"

관련 뉴스