안녕하세요. 이스트시큐리티입니다. AI 기술의 발전과 함께 사이버 위협 환경도 빠르게 변화하고 있습니다. 랜섬웨어 조직을 비롯한 공격 그룹들은 점차 조직화·전문화되고 있으며, AI를 활용해 공격의 속도와 정교함을 높이고 있는데요. 이와 관련해 이스트시큐리티 시큐리티대응센터(ESRC) 배상민 실장이 최근 지디넷코리아와의 인터뷰를 통해 최근 사이버 위협 동향과 AI 시대 보안 대응 방향에 대한 견해를 밝혔습니다. "공격자들도 사실상 하나의 회사" 배상민 실장은 최근 공격자들의 형태를 두고 "회사와 비슷한 구조를 갖추고 있다"고 설명했습니다. 랜섬웨어 조직들은 개발, 고객지원, 협상 등 역할이 세분화된 분업 구조를 갖추고 있으며, 기업이 다른 기업과 협력하듯 공격자들 역시 다른 랜섬웨어 조직이나 지능형 ..

이스트시큐리티 소식/알약人 이야기 2026. 6. 2. 15:25

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해, 정상 서명된 Microsoft Word 실행 파일로 위장하여 보안 솔루션의 신뢰 검증을 우회하는 정교한 다단계 로더 악성코드가 확인되었습니다. 이번 악성코드는 저작권 침해를 경고하는 피싱 메일을 통해 유포되었으며, 정상적으로 서명된 Microsoft Word 파일을 변조했음에도 Windows가 이를 여전히 "정상 Microsoft 파일"로 인식하게 만드는 오래된 취약점(CVE-2013-3900) 을 악용한 것이 특징입니다. 개요 및 유입 경로 공격자는 국내 여행사를 사칭해 ‘저작권 침해 콘텐츠 제거 요청’ 이라는 제목의 피싱메일을 유포하였으며 메일 본문에는 "무단 전시 파..

악성코드 분석 리포트 2026. 6. 1. 17:39

최근 npm 저장소에 Web3 개발 도구 및 보안 점검 도구로 위장한 악성 패키지가 다수 배포된 사실이 확인되었습니다. 해당 캠페인은 ddjidd5640이라는 npm 계정을 통해 유포되었으며, 단순히 악성 패키지를 설치하도록 유도하는 기존 공격 방식에서 한 단계 진화한 형태로 분석됩니다. 공격자는 개발자가 직접 패키지를 실행하는 경로뿐 아니라, AI 개발도구가 신뢰하고 읽어 들이는 프로젝트 지침 파일, AI 에이전트가 호출하는 외부 도구, 사용자가 안내에 따라 실행하는 후속 스크립트까지 공격 경로로 활용했습니다.즉, 이번 공격은 ‘AI 개발 환경 자체에 내재된 신뢰 흐름’을 노렸다는 점에서 공격자가 AI도 공격표면으로 활용하는 점이 특징입니다. 공격 개요 이번 캠페인에서 확인된 악성 패키지는 크게 두..

악성코드 분석 리포트 2026. 5. 26. 14:00

최근 스틸러(Stealer), 원격 제어(RAT), 랜섬웨어(Ransomware) 기능을 하나의 바이너리에 통합한 복합형 악성코드가 발견되었습니다. 해당 악성파일 내부에는 "MoscowTeam_Steal"이라는 자체 워터마크가 포함되어 있으며, 아직 공개된 위협 인텔리전스 데이터베이스에 등록되지 않은 미공개 맞춤형(Custom) 악성코드로 확인되었습니다. 감염된 PC의 계정 정보 및 암호화폐 지갑 탈취부터 파일 암호화까지 자동으로 수행하는 정교한 공격 구조를 갖추고 있어 각별한 주의가 필요합니다. 공격 흐름 전체 공격은 드로퍼 실행 → 데이터 탈취 → 봇넷 등록 및 파일 암호화 순서로 자동 진행되며, 실행 후 시스템 정보 탈취와 암호화가 모두 완료됩니다. 1) 드로퍼 실행 - 파일리스 로딩 (File..

악성코드 분석 리포트 2026. 5. 20. 15:42

크롬(Chrome) 웹스토어에 정식 등록된 TikTok 동영상 다운로드 확장 프로그램 내부에 악성 기능이 숨겨져 있는 것으로 확인되었습니다. 해당 확장 프로그램은 “TikTok Video Downloader”, “TikTok 동영상 대량 다운로더" 라는 이름으로 배포 중이며, 표면적으로는 TikTok 영상 다운로드 기능을 제공하지만 내부에 원격 C2 서버 통신, 사용자 정보 전송, 브라우저 탭 리디렉션 등의 악성 기능이 숨겨져 있습니다. 악성 기능 상세 분석 1. 사용자 정보 전송해당 확장 프로그램이 설치되면, 브라우저 환경 정보(OS, 브라우저 버전, 언어 설정) 및 기기 고유 식별자를 외부로 전송합니다.전송되는 정보는 다음과 같습니다. 수집정보내용추적 ID (usr)설치 시각이 인코딩된 기기 고유 ..

악성코드 분석 리포트 2026. 5. 14. 17:45

이스트시큐리티 대응센터(ESRC)에서 운영 중인 TDS(Threat Detection System) 이메일 모니터링 시스템을 통해 국내 주요 산업군 기업을 겨냥한 피싱 공격이 포착되었습니다. 공격자는 국세청 전자세금계산서 및 하나은행 보안메일을 정교하게 사칭하여, 피해자의 계정 정보 탈취를 시도하고 있으며, 특히 이번 공격은 PhaaS(서비스형 피싱 공격, Phishing-as-a-Service) 플랫폼이 사용된 것으로 추정되어 각별한 주의가 필요합니다. 공격 개요 및 유입 경로 이번 공격은 2026년 4~5월을 전후하여 자동차 부품 제조, 반도체/화학 소재, IT/광통신 장비, 의료기기/바이오, IT 서비스/SW 등 다양한 산업군의 국내 기업 실무자를 표적으로 삼았습니다. 공격자는 [메일 수신 → H..

악성코드 분석 리포트 2026. 5. 13. 10:54

안녕하세요! 이스트시큐리티 시큐리티대응센터(ESRC)입니다.이 보고서는 2026년 1분기 랜섬웨어 동향 보고서로, 자사 백신 프로그램 '알약'의 랜섬웨어 행위기반 차단 통계와 함께 국내외 주요 랜섬웨어 그룹의 활동 동향을 정리하였습니다.1주요 랜섬웨어 동향ESRC에서 선정한 2026년 1분기 주요 랜섬웨어 동향입니다.국내 기업 피해 2배 증가 — 해외 그룹의 한국 타깃 확대2026년 1분기 동안 국내에서 확인된 랜섬웨어 피해는 총 17건으로, 전년 동기 대비 약 2배 증가한 수치입니다. 피해 산업군은 제조/의료/금융 등 핵심 인프라에 집중되었으며, Qilin 등 해외 주요 그룹이 한국 기업을 의도적으로 타깃에 포함시키고 있는 정황이 뚜렷이 확인됩니다.국내 대표 피해 사례로는 2026년 1월 교원그룹(Ky..

전문가 기고 2026. 5. 8. 13:43

최근 개발자들이 신뢰하는 보안 도구 두 가지가 잇달아 공격자의 의해 침해되었습니다. 첫 번째는 코드형 인프라(IaC) 취약점을 스캔하는 보안 도구 Checkmarx KICS의 공식 Docker 이미지와 VS Code 확장 프로그램이 악성 코드로 교체된 사건입니다. 두 번째는 같은 공격 캠페인의 연장선에서 전 세계 1천만 명 이상이 사용하는 오픈소스 비밀번호 관리자 Bitwarden CLI의 npm 패키지가 오염된 사건입니다. 두 공격 모두 배포 채널 자체를 장악하는 공급망 공격(Supply Chain Attack) 방식으로 이루어졌으며, 단순한 자격증명 탈취를 넘어 피해자의 시스템을 거점으로 삼아 추가 공격을 자동으로 전파하는 웜(Worm) 형태로 설계된 것이 특징입니다. 💡 참고하세요IaC(Infr..

국내외 보안동향 2026. 4. 28. 18:22