[보안뉴스 문가용 기자] 황혼에서 새벽까지 보도된 보안 외신을 간략히 정리하며 당신이 잠든 사이에 일어난 일들을 짚는다.

1. C레벨 절반 이상 2년 안에 떠나...27%는 6개월만에
새로운 가트너 보고서에 의하면 C레벨 임원들이 2년 안에 퇴직하거나 이직할 가능성이 56%라고 한다. 6개월도 못 버티는 사례는 27%다. 각종 신기술들이 쉴새 없이 등장하고, 금융 시장과 연금 정책이 불안정한 모습을 보이며 번아웃을 느끼는 사례들이 크게 증가했기 때문이다. 인공지능 때문에 변하고 있는 업무 프로세스도 적잖은 요인을 차지하는 것으로 조사됐다. 이는 조직 전체 성장에 저해 요소가 된다. 5~6년 이상 근무한 C레벨들을 보유한 회사일수록 실적 면에서 나은 모습을 보인다고 가트너는 같은 조사를 통해 알리기도 했다.

---

2. 아동 학대 조직 무력화 한 유로폴
유로폴이 아동 학대를 일삼던 조직 무력화하고 운영자들을 체포하는 데 성공했다. 이 조직은 더콤(The Com)이라고 불렸으며, 미성년자들을 대상으로 폭력, 성폭력, 그루밍 범죄를 저질렀다. 체포된 운영자는 네 명으로 대부분 20대였고, 네오나치와 관련된 조직에 소속되어 있었다. 현재까지 밝혀진 피해자는 16명이다. 미국, 프랑스, 영국, 뉴질랜드도 공조에 참여했다. 유럽연합과 유로폴은 지난 몇 년 동안 온라인 아동 범죄 소탕에 힘을 쏟아오고 있다.

---

3. 아비스록커 랜섬웨어, 중요 네트워크 장비 공격
아비스록커(Abyss Locker) 랜섬웨어가 네트워크 장비들을 공략하고 있다. 이번 캠페인의 공격 대상에는 VM웨어 ESXi 서버 및 여러 기업의 VPN들이 포함되어 있다고 한다. 기업들 입장에서 중요도가 높은 엣지들에 침투한 후 고급 정보들을 탈취하고 암호화 하는 게 아비스록커의 현재 상황이다. 이 과정에서 과거 취약점들이 익스플로잇 되기도 한다. 최초 침투 후에는 횡적으로 움직여 NAS, VPN, 가상화 서버 등을 찾는다. 아비스록커는 2023년에 처음 등장한 랜섬웨어로 대단히 파괴적인 행보를 보이고 있다.

---

4. 지메일·아웃룩·드롭박스 노리는 악성 SVG 파일
기존 이메일 보안 시스템을 우회하기 위해 공격자들이 SVG 파일을 활용하고 있다. 주로 피싱 이메일에 첨부되어 퍼지는데, 이번 캠페인의 주요 표적은 지메일, 아웃룩, 드롭박스 사용자들인 것으로 분석됐다. SVG 파일은 다른 이미지 포맷들과 달리 XML을 기반으로 해 동적 웹 콘텐츠를 임베드 하는 게 가능하다. 피해자가 SVG 파일을 실행시키면 자바스크립트나 HTML과 같은 콘텐츠가 시작되면서 클릭 가능한 요소들이 나타난다. 클릭하면 악성 웹사이트 등으로 우회 접속된다. 대부분 MS365나 구글 독스, 드롭박스를 흉내 낸 가짜 사이트들이며, 로그인 크리덴셜이 도난당한다.

---

5. 플레시스틸러, 브라우저 노리는 새 멀웨어
새로운 멀웨어가 나타났다. 플레시스틸러(Flesh Stealer)라고 하며, 메이저 브라우저들로부터 민감 정보를 훔치는 기능을 가졌다. 크롬, 파이어폭스, 에지, 오페라가 주요 공격 표적이며, 여기에 저장된 비밀번호, 쿠키, 브라우징 히스토리를 훔친다. 그 외에 텔레그램과 시그널과 같은 메신저 애플리케이션에 침투하기도 한다. C#을 기반으로 하고 있으며, 다크웹 해킹 포럼에서 활발히 광고되고 있다. 2024년 여름에 첫 등장한 것으로 보이는데, 약 반 년이 지난 지금 서서히 주목을 받고 있다.

---

6. 앱스토어에 나타난 멀웨어, 스크린샷 가져가
애플 앱스토어에서 멀웨어가 버젓이 유포되는, 흔치 않은 일이 발생했다. 해당 멀웨어의 이름은 스파크캣(SparkCat)으로, 피해자 스마트폰 스크린샷을 찍어 외부로 전송한다. 앱스토어의 정상 앱인 ‘컴컴차이니즈푸드딜리버리’(ComeCome-Chinese Food Delivery)에 숨겨져 있다고 보안 업체 카스퍼스키가 경고했다. 무작위 스크린샷을 훔치는 게 아니라, 스크린샷 내에서 금융 거래나 암호화폐와 관련된 문자열이 발견될 때에만 외부로 빼돌린다. 유럽과 아시아의 사용자들을 노리고 있다. 애플은 문제의 앱을 비롯해 다른 비슷한 89개 앱들을 스토어에서 삭제했다.

---

7. CISA, 취약점 목록에 리눅스 커널 오류 추가
미국의 사이버 보안 전담 기관인 CISA가 리눅스 커널 취약점 하나를 KEV에 추가했다. CVE-2024-53104로, 익스플로잇에 성공한 공격자는 권한을 상승시킬 수 있게 된다. 안드로이드 장비들에 영향을 주는 것으로 알려져 있다. 취약점은 구글이 패치를 진행하면서 공개됐고, 익스플로잇 난이도가 높지 않고, 임의 코드 실행으로까지 이어질 수 있어 긴급 패치 적용 목록인 KEV에 더해졌다. 익스플로잇이 끝난 후에도 장기간 피해자 시스템에 머무를 수 있다는 분석도 나오고 있다.

---

8. 워드프레스 ASE 플러그인 취약점
워드프레스 생태계에서 새 권한 상승 취약점이 발견됐다. ASE라는 이름의 플러그인이 정확한 취약점 위치다. 7.6.21 이하 버전들에 영향을 준다. 무료 버전과 유료 버전을 가리지 않는다. CVE-2025-24648과 CVE-2024-43333으로, 7.6.3 버전을 통해 패치됐다. 취약점을 익스플로잇 하는 데 성공한 공격자는 사실상 또 다른 관리자가 될 수 있고, 그러므로 사이트를 완전 장악할 수 있게 된다. 워드프레스 관리자들이라면 ASE 플러그인 업데이트를 통해 최신화 함으로써 사이트를 지킬 수 있다.

---

9. 딥시크 R1, 탈옥 실험에서 처참한 성적 기록
딥시크의 인공지능 모델 R1 라마 8B(DeepSeek-R1 LLaMA 8B)를 보안 업체 퀄리스(Qualys)가 테스트했고, 결과가 좋지 않다. R1은 악성 혹은 유해 요청으로 분류되는 질문들에 악성 답변을 내놓았다. 885번 탈옥 공격을 시도했을 때 58%의 성공률을 기록했다고 한다. 이 정도 성적이면 공격자들이 악용하기에 충분하다고 퀄리스는 평가한다. 특히 헤이트스피치나 가짜뉴스, 음모론을 만들어 퍼트리는 여론 조작 공격자들에게 유용할 수 있다.

---

10. 허깅페이스, 지속적인 공격에 노출돼
인공지능 개발자 플랫폼 허깅페이스(Hugging Face)에서 악성 머신러닝 모델 두 개가 발견됐다. 다운로드 받아 사용할 경우 악성 웹셸들이 발동된다. 보안 업체 리버싱랩스(ReversingLabs)가 제일 먼저 발견했는데, 누군가 진지한 공격을 시도했다기보다 가벼운 실험을 진행한 것처럼 보인다고 한다. 일종의 개념증명에 더 가까운 상태였기 때문이다. 하지만 공격자들은 개념증명 코드라도 활발히 사용하며, 허깅페이스는 전 세계 인공지능 개발자들이 가장 많은 정보를 공유하는 장이라는 점 때문에 이런 행위도 위험할 수 있다고 리버싱랩스는 경고한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>