요즘 보안 업계에서 가장 빠르게 “몸집”을 키우는 회사 중 하나가 CrowdStrike죠. 그런데 이번 인수 소식은 단순히 기능 확장이라기보다, 보안의 무게중심이 어디로 이동하고 있는지를 아주 선명하게 보여줍니다.CrowdStrike가 브라우저 보안 스타트업 Seraphic Security를 인수하면서, Falcon 플랫폼에 브라우저 텔레메트리(가시성 데이터)를 본격적으로 끌어오겠다고 했거든요. 🧩결론부터 말하면, 이건 “브라우저 보안 기능을 하나 더 추가” 수준이 아니라:엔드포인트(PC)에서만 보던 위협을브라우저 ‘세션 안’에서 먼저 보고ID(계정)와 권한(Authorization)까지 엮어서“다운로드되기 전” 단계에서 차단/탐지하겠다는 선언에 가깝습니다.🖥️ 왜 하필 브라우저냐: “업무가 브라우저..

연초가 시작된 지 얼마 안 됐는데, Fortinet 고객 입장에서는 또 한 번 익숙한 장면이 펼쳐졌어요.이번엔 FortiSIEM에서 인증 없이 원격 코드 실행(RCE)까지 가능한 치명적 취약점(CVE-2025-64155, CVSS 9.4)이 공개됐고, 공개 직후부터 실제 공격(인 더 와일드 악용) 정황도 관측됐다는 내용이 이어지고 있습니다. 😥FortiSIEM은 단순한 서버가 아니라, 조직의 로그와 이벤트가 모이는 “보안 운영의 허브”라서 더 위험합니다.한 번 뚫리면 “서버 한 대” 문제가 아니라 탐지 무력화, 로그 변조, 2차 침투로 이어질 수 있거든요.✅ 이번 이슈 한눈에 보기핵심만 딱 정리하면 이렇습니다.대상 제품: Fortinet FortiSIEM취약점: CVE-2025-64155심각도: CVS..

최근 보안 연구자들이 북한 연계 Kimsuky의 새로운 작전을 포착했어요. 이번 캠페인은 표면적으로는 “어디서나 볼 수 있는 개발자 워크플로”처럼 보이지만, 내부를 들여다보면 VS Code 확장과 GitHub, 그리고 합법적인 서브도메인 호스팅 플랫폼까지 교묘하게 악용한 정교한 다단계 감염 체인이 숨어 있습니다. 😨핵심은 이겁니다.초기 감염은 Themes.js라는 평범해 보이는 JavaScript 파일에서 시작되고,이후 단계에서 정찰(시스템 정보 수집) → 데이터 유출 → 지속성 확보 → 추가 페이로드 투하(랜섬웨어/스파이 활동 전개) 로 이어지는 멀티 스테이지 구조예요.특히 Median News 같은 정상 서브도메인 호스팅 서비스와 GitHub/VS Code 확장 등 합법 인프라를 C2(명령제어)에 ..

“엔드포인트 관리툴 = 조직 전체의 열쇠뭉치”바로 이 지점을 정확히 찌른 공격이 나왔습니다. 중국 연계 APT로 오랫동안 일본을 집요하게 노려온 Bronze Butler가 2025년 중반, 일본에서 광범위하게 쓰이는 Lanscope(모텍스 Motex 개발) 의 제로데이 취약점(CVE-2025-61932) 을 선제 악용했다는 분석이에요. 더 무서운 건, 이 제품이 상장기업의 4곳 중 1곳, 금융기관의 3곳 중 1곳이 쓸 만큼 보급돼 있다는 점. 즉 “한 번 뚫리면 많은 조직이 동시에 위험해질 수 있는” 소프트웨어라는 겁니다. 😨Lanscope는 쉽게 말해 일본판 Ivanti EPM 느낌의 UEM/보안 플랫폼이에요. 대규모 조직의 수많은 PC·서버를 중앙에서 통제하고, 에이전트는 높은 권한으로 동작하죠. ..

북한 연계 위협 그룹 Kimsuky가 또 한 번 전술을 진화시켰습니다. 한국 사용자를 노린 최근 캠페인에서 HttpTroy라는 이름의 새 백도어를 투입해, 탐지와 분석을 어렵게 만드는 은닉 기법을 한층 강화했다는 분석이 나왔어요. 이 백도어는 단순한 원격 제어를 넘어 파일 이동, 스크린샷 촬영, 명령 실행 등 공격자가 원하는 거의 모든 조작을 가능하게 합니다. 무엇보다 통신 암호화, 페이로드 난독화, 메모리 상 실행(In-Memory Execution) 등으로 흔적을 최소화해 EDR·백신의 정적 탐지를 회피하도록 설계된 점이 핵심이에요. 😨이번 공격 체인은 소형 드로퍼 → 로더(MemLoad) → 최종 백도어(HttpTroy) 순서로 이어지며, 처음 사용자에게 전달되는 파일은 비밀번호 없는 ZIP 안에..

요즘 APT(Advanced Persistent Threat) 그룹들의 움직임이 더 ‘프로페셔널’해지고 있어요. 특히 이란 연계로 알려진 MuddyWater가 2025년 초 이후 전술을 바꿔가며 정교한 표적 공격에 집중하고 있다는 보고가 눈에 띕니다. 예전처럼 대규모 RMM(원격모니터링·관리) 대량 스팸 대신, 맞춤형(하우스메이드) 백도어와 은밀한 스피어피싱으로 표적을 정밀하게 노리는 모습이죠.이번 글에서는 MuddyWater의 변화된 전술, 대표적인 악성 도구(예: Phoenix, StealthCache), 감염 흐름, 인프라 운영 특징, 그리고 실무에서 바로 쓸 수 있는 탐지·대응 포인트까지 쉽게 풀어 정리해볼게요. 🚨MuddyWater, 왜 변했나? — 대규모 노이즈에서 ‘정밀 침투’로과거 Mud..

사이버 범죄 세계에서는 요즘 “서비스형 피싱(PhaaS, Phishing-as-a-Service)”이라는 말이 유행처럼 퍼지고 있어요. 쉽게 말해, 기술력이 없어도 월정액만 내면 전문 해커처럼 피싱 공격을 할 수 있게 도와주는 서비스죠. 😱이번에 Microsoft와 Cloudflare가 손잡고 무너뜨린 RaccoonO365는 바로 그런 대표적인 피싱 서비스였습니다. 이름만 들으면 귀여운 너구리 같지만, 실제로는 전 세계 수천 개 조직을 공격한 악명 높은 피싱 툴이에요.🦝 RaccoonO365란 무엇일까?RaccoonO365는 Microsoft가 추적한 Storm-2246 그룹이 운영하는 PhaaS 플랫폼이에요.목표: Microsoft 365 사용자 이름과 비밀번호 탈취방식: Microsoft 공식 이..

최근 보안 업계에서 아주 흥미롭지만 동시에 무시무시한 소식이 전해졌습니다. 바로 Shai-hulud라는 이름의 자기복제형 악성코드가 오픈소스 소프트웨어 생태계 속으로 파고들었다는 거예요. 이름부터 ‘듄(Dune)’의 거대한 샌드웜에서 따왔다고 하니, 뭔가 심상치 않죠? 🏜️이 악성코드는 단순히 개발자 한두 명을 노리는 수준이 아니라, 수백 개의 오픈소스 패키지로 퍼져 나가며 계정 탈취, 토큰 도난, 프로젝트 감염을 이어가고 있습니다.게다가 공격자가 매번 손을 쓰지 않아도 알아서 번식하는 웜 형태라 더욱 무섭습니다. 😨🌊 Shai-hulud의 등장 배경Shai-hulud가 처음 포착된 건 2025년 9월 15일, 보안 기업 ReversingLabs의 분석에 의해서였어요. 흥미로운 점은, 불과 며칠 전..

최근 사이버 보안 업계에서 가장 뜨거운 이슈 중 하나는 바로 북한 연계 해킹 그룹 Kimsuky가 생성형 AI를 활용해 공격 수법을 고도화하고 있다는 점이에요. 단순히 이메일 피싱 수준이 아니라, 이제는 ChatGPT 같은 AI 서비스로 가짜 신분증 이미지까지 만들어내는 시대가 된 거죠.이번 공격에서는 대한민국 군인 신분증을 딥페이크로 합성해, 실제와 거의 구분이 안 될 정도의 문서를 피해자들에게 보냈다고 합니다. 그 대상은 주로 언론인, 연구자, 인권 활동가 등 북한 관련 민감한 주제를 다루는 사람들이었고, 심지어 방산 관련 기관도 포함되어 있었어요.🎭 단순한 속임수가 아닌 '맥락 공격'많은 분들이 “가짜 사진이 뭐 그렇게 무섭냐?”라고 생각할 수 있어요그런데 여기서 중요한 건 단순한 ‘시각적 속임수..

최근 보안 연구 현장에서 자주 등장하는 단어가 있습니다. 바로 “자율 해킹 봇(Autonomous Hackbot)”이에요.이름만 들어도 조금 무섭죠? 😅 “자동으로 해킹을 한다고?” 하는 생각이 들 텐데요. 사실 이 개념은 단순히 ‘사람이 하던 보안 테스트를 자동화하는 프로그램’에서 출발합니다. 그런데 요즘은 여기에 AI, 특히 대규모 언어 모델(LLM)이 결합되면서 완전히 새로운 차원으로 발전하고 있습니다.오늘은 자율 해킹 봇이 뭔지, 어떻게 만들어지는지, 그리고 왜 주목해야 하는지 쉽게 풀어볼게요.자율 해킹 봇이란? 🕵️‍♂️기존의 해킹은 사람이 일일이 코드를 분석하고 취약점을 찾아내는 과정이 필요했어요. 하지만 자율 해킹 봇은스스로 공격 대상을 탐색하고알려진 취약점을 찾고우회 시도를 자동으로 반..