안녕하세요! 오늘은 최근 보안 업계에서 큰 주목을 받은 북한 해킹조직 라자루스(Lazarus Group)의 새로운 사이버 공격 캠페인,‘Operation SyncHole(싱크홀 작전)’에 대해 알려드릴게요. 😱이 캠페인은 2024년 11월부터 한국 내 주요 산업군을 겨냥해 물밑에서 진행되어 온 것으로 밝혀졌습니다.🎯 누구를 노렸나? 타깃은 한국의 핵심 산업Kaspersky가 발표한 보고서에 따르면, 이번 공격의 표적이 된 산업군은 다음과 같아요:소프트웨어 및 IT 기업금융 기관반도체 제조사통신사즉, 한국 경제와 기술의 핵심 축을 구성하는 분야들이 직접 타깃이 된 것이죠. 😨🕳️ 워터링 홀(Watering Hole) + 제로데이 공격 조합이번 캠페인의 핵심 전략은 워터링 홀 공격입니다.사용자가 자주..

안녕하세요! 오늘은 클라우드 환경에서 정말 많은 기업들이 사용하는 Kubernetes(쿠버네티스) 보안에 대해 이야기를 해볼게요.들어보신 적은 있는데, 딱히 뭔지 모르겠다구요? 걱정 마세요! 친절하게 하나씩 풀어드릴게요. 😉🔍 쿠버네티스, 뭐가 문제일까요?우리가 보통 쿠버네티스를 사용하면 ‘Pod(파드)’ 라는 단위로 애플리케이션을 실행하게 되는데요,기본 설정 상태에서는 이 파드들이 노드의 권한을 그대로 상속받아요.즉, 하나의 파드가 뚫리면?➡️ 노드 전체에 접근할 수 있게 되고,➡️ 공격자는 클러스터 전체로 퍼질 수 있는 경로를 얻는 셈이죠! 😨이걸 Cloud Privilege Escalation(클라우드 권한 상승)이라고 해요.📌 실수 하나로 수백만 개의 컨테이너가 노출된 적도…지난 해 Goo..

💥 "늘 그렇듯 랜섬웨어가 무섭다?" NOPE.💡 "AI 해킹이 날뛰고 있을 것이다?" 아직은 아니다!📌 이번 글에서는 Verizon의 2024년 'Data Breach Investigations Report(DBIR)'에서 눈에 띄는 변화들을 정리해보려고 해요. 올해 사이버 공격 트렌드는 그 어느 해보다도 예측 불가능했고, 그 안에는 우리가 반드시 주목해야 할 현실적인 보안 메시지가 담겨 있답니다.📉 랜섬웨어는 늘었지만, 몸값은 줄었다?전체 침해 사건 중 44%가 랜섬웨어와 관련되어 작년보다 37% 증가.하지만! 평균 지불 금액은 $150,000 → $115,000로 감소.그 이유는? 기업의 2/3가 더 이상 돈을 안 준다!💬 "우리도 돈 안 줄 수 있어요!"는 점점 더 많은 기업들의 선택이 ..

📌 TL;DR (한줄 요약)2024년 사이버 공격의 60%는 '계정 도용'으로 시작됐습니다.🧠 공격자는 '침입'하지 않는다, '로그인'할 뿐Cisco Talos가 발표한 2024 연례 보안 보고서에 따르면, 전체 사고 대응의 60%가 신원 도용(Identity Attacks) 과 관련되어 있었습니다. 즉, 해커들은 더 이상 복잡한 해킹 기법을 쓰지 않습니다.합법적인 계정 정보만 있으면 기업 내부 시스템에 쉽게 접근할 수 있기 때문이죠.“취약점을 익스플로잇하거나 악성코드를 설치하는 것보다, 이미 유출된 계정으로 로그인하는 게 훨씬 쉽고 안전합니다.” — Cisco Talos🔓 어떻게 계정을 도용하나?공격자들은 다음과 같은 요소들을 이용해 내부 시스템에 접근했습니다:✅ 합법적인 계정 정보 (유출된 사용..

📌 TL;DR (한줄 요약)일본이 '사이버 적극 방어법'을 통과시켜, 사이버 공격에 선제 대응할 수 있는 법적 권한을 갖게 됐습니다.🧠 왜 이 법이 중요한가요?2025년, 일본이 자국 역사상 처음으로 '사이버 공격을 위한 법적 무기'를 정식으로 도입했습니다.그동안 '방어 중심'이었던 사이버 보안 정책에서 적극 대응(active defense)으로 방향을 튼 것입니다.🔍 어떤 내용이 담겨 있을까?이번에 통과된 법안은 크게 두 가지 축으로 구성되어 있습니다:① 수동적 방어 강화 (정보 수집 및 분석 중심)사이버 보안 위원회 및 감시 기관 설치주요 인프라 기업(예: 전력, 통신 등)의 사이버 사고 즉시 보고 의무화통신사로부터 IP 주소, 송수신 시간 등의 메타데이터를 수집할 수 있는 권한 확보→ 해외와의..

이런 뉴스는 영화에서나 나올 줄 알았는데요... 2024년 3월 24일, The Atlantic의 편집장 제프리 골드버그가 믿기 힘든 사실을 폭로했습니다. 미국 국방장관이 비밀 군사작전을 Signal 메시지로 보냈고, 그 내용을 받은 사람이 다름 아닌 언론인 본인(!)이었다는 겁니다.📱 그 메시지에는 예멘의 후티(Houthi) 반군을 상대로 한 공습 계획이 담겨 있었고, 실제로 약 2시간 후에 공격이 실행됐다고 해요.믿기 힘드시죠? 그런데 이게 전부가 아니랍니다… 😨🧨 국방장관이 왜 언론인한테 작전 계획을 보낸 걸까?골드버그는 3월 15일 오전 11시 44분(미 동부시간)에 이 메시지를 받았고, 채팅에는 현직 미국 정보기관 요원의 실명과 민감한 군사 전략 내용도 포함되어 있었다고 밝혔습니다.이 그룹..

요즘 사이버 보안 연구자들 사이에서 뜨거운 주제가 있어요! 바로 Windows의 COM/DCOM 기술을 이용한 공격 기법인데요, 이번에는 Google Project Zero의 James Forshaw와 여러 연구자들의 실험을 바탕으로 등장한 놀라운 사례, ForsHops.exe를 소개해볼게요. 🖥️✨COM이 뭐야? 🤔먼저 간단하게 개념부터 짚고 갈게요.COM(Component Object Model)은 90년대부터 Windows에서 쓰이고 있는 기술로, 프로그램끼리 서로 다른 언어로 만들어져 있어도 데이터를 주고받고, 기능을 호출할 수 있도록 해주는 일종의 인터페이스 약속이에요.DCOM(Distributed COM)은 이 COM을 네트워크로 확장한 버전으로, 다른 컴퓨터에서 COM 객체를 호출할 수 ..

📌 TL;DR: Microsoft Teams와 같은 Electron 기반 앱을 악용해 WDAC 정책을 우회하고 JavaScript 기반의 C2 프레임워크를 실행하는 최신 공격 기법인 Loki C2에 대해 소개합니다.(출처)🤔 WDAC란?Windows Defender Application Control (WDAC)는 Microsoft가 제공하는 강력한 보안 정책 중 하나로, 신뢰된 소프트웨어만 실행 가능하게 제한하는 기능입니다. 기업 환경에서 자주 사용되며, 이를 우회하기 위한 보안 연구는 항상 활발하게 이뤄지고 있습니다.💡 왜 Electron 앱인가?Electron 앱은 Node.js + Chromium 기반으로 웹 기술(HTML, JS, CSS)을 이용해 데스크탑 앱을 만드는 프레임워크입니다. 대..

프론트엔드 개발자라면 한 번쯤 들어봤을 Next.js,무려 주간 900만 회 이상 다운로드되는 인기 오픈소스 프레임워크입니다.그런데 최근 이 Next.js에서 심각한 보안 취약점이 발견돼,수많은 웹 애플리케이션이 인증 우회 공격에 노출될 수 있다는 경고가 나왔습니다.🛠️ 어떤 취약점인가요? (CVE-2025-29927)📌 취약점 이름: CVE-2025-29927📌 위험도 등급 (CVSS): 9.1 (매우 위험)📌 패치 버전: Next.js 15.2.3📌 발견자: 보안 연구원 Allam Rachid & Allam Yasser이 취약점은 Next.js 애플리케이션에서 미들웨어를 이용한 인증 처리를 우회할 수 있는 문제입니다.즉, 공격자가 간단한 코드나 토큰만으로 인증을 건너뛰고,접근해서는 안 되는 ..

Microsoft의 최신 보고서에 따르면, 러시아 군 정보기관(GRU) 소속 해커 그룹 ‘Seashell Blizzard’(구 Sandworm)이지난 1년 동안 미국, 캐나다, 호주, 영국을 대상으로 사이버 공격을 확대했습니다. 🌎⚠️📌 TL;DR (한줄 요약)✅ 러시아 APT 그룹 ‘Seashell Blizzard’(구 Sandworm), 미국·캐나다·호주·영국 공격 확대✅ BadPilot 캠페인을 통해 장기간 시스템에 침투 → 자격 증명 탈취, 명령 실행, 네트워크 확산✅ ConnectWise ScreenConnect(CVE-2024-1709) 및 Fortinet FortiClientEMS(CVE-2023-48788) 취약점 악용✅ 기존 우크라이나 공격에서 벗어나 다양한 글로벌 산업을 무차별적으로..