* 지난 밤, 세계 각지에서 보도된 ‘보안 외신’을 간략 정리한다. 당신이 잠든 사이에 일어난 일들을 짚는다.<편집자 주>

1. MS 365 노리는 거대 봇넷 등장
13만개 장비로 구성된 봇넷이 발견됐다. 공격자들은 이 봇넷을 사용해 MS 365 계정들을 노리고 비밀번호 스프레이 공격을 실시하고 있다. 이 때 MS의 ‘넌 인터랙티브 로그인’(non-interactive sign-ins)을 활용하기 때문에 여러 번 실패에도 경보가 울리지 않고, 그러므로 공격 자체가 잘 눈에 띄지 않는다고 한다. 공격자들은 최소 여섯 개의 C&C를 통해 13만개 장비를 관리하는데, 이 서버들은 전부 중국의 호스팅 및 클라우드 서비스에 마련돼 있는 것으로 분석됐다. MS 365 계정 확인 및 관리가 권장되고 있다.

---

2. 미 주택도시개발부서 돌연 송출된 딥페이크 영상
미국 주택도시개발부(Department of Housing and Urban Development, HUD) 본부에 마련돼 있는 TV와 모니터들이 해킹 당했다. 공격자들은 딥페이크로 만들어진 영상을 송출했다. 트럼프 대통령이 일론 머스크의 발가락에 뽀뽀하는 영상이다. 이 콘텐츠는 다시 주말 내내 여러 소셜미디어 계정을 통해 전파되기도 했다. 사건 발생 당시 HUD 측은 재빨리 TV 플러그들을 뽑았고, 현재는 조사를 진행 중에 있다. 결과에 따라 관련자들에 적절한 조치를 취할 예정이라고 한다. 영상 품질 자체는 상당히 불량해 누가 봐도 딥페이크인 걸 알 수 있었다.

---

3. 개인정보 판매한 어베스트, 곧 보상 시작
백신 업체 어베스트(Avast)가 1650만달러의 합의금을 내기로 했다. 2014~2020년 기간 동안 구매자들로부터 개인정보를 몰래 수집해 제3자에게 판매한 것 때문이다. 이 합의금은 피해자들에게 보상금으로 나갈 예정이다. 해당 기간 동안 어베스트 제품을 구매한 것으로 조사된 사람들은 370만여명으로, 연방거래위원회(FTC)가 당사자들에게 이메일을 보낼 것이라고 한다. 이메일을 받았다면 FTC에 보상금을 신청할 수 있다. FTC는 이 사건의 피해 보상을 위한 웹사이트도 개설했다.

---

4. 깃허브 통해 멀웨어 유포하는 깃베놈 캠페인
깃베놈(GitVenom)이라고 명명된 악성 캠페인이 발견됐다. 깃허브에 가짜 리포지터리를 마련한 뒤, 이를 통해 멀웨어를 유포하는 공격이다. 실제 존재하고, 합법적으로 사용되는 인기 리포지터리들을 흉내 낸 이번 가짜 리포지터리들의 특징은 리드미(Readme) 파일이 정성스럽게 제작됐다는 것이다. 커밋 내역 역시 부풀려졌다. 정상 리포지터리로 보이기 위해서다. 악성 코드는 여러 가지 언어로 만들어졌는데, 공격 서버로부터 추가 페이로드를 다운로드 받는 기능을 가지고 있다. 추가 페이로드는 정보 탈취나 암호화폐 채굴 등을 실행한다.

---

5. 슬리버 C2 서버 취약점, 트래픽 가로채기 허용
슬리버 C2(Sliver C2) 서버에서 취약점이 발견됐다. CVE-2025-27090으로, 익스플로잇에 성공한 공격자는 TCP 연결을 가로챌 수 있게 되며, 이를 통해 피해자 트래픽을 감시할 수 있게 된다. 슬리버 C2는 인기 높은 오픈소스 레드팀 훈련 프레임워크로, 광범위하게 사용되기 때문에 이번 취약점의 파급력은 높을 수밖에 없다. 1.5.26~1.5.42 버전과 1.6.0 버전에 영향이 있다. 이는 2022년 9월부터 슬리버 C2 서버를 설치해 사용한 사람들 모두 위험할 수 있다는 의미다. 최신 패치 적용으로 안전해질 수 있다.

---

6. 가짜 토탈커맨더, 사실은 룸마씨투 인포스틸러
토탈커맨더(Total Commander)라는 윈도 유틸리티를 흉내 낸 사이버 캠페인이 발견됐다. 공격자들은 룸마씨투(LummaC2) 멀웨어를 유포하기 위해 ‘크랙된 토탈커맨더’를 제공한다고 광고했다. 토탈커맨더는 한 달 무료 기간 이후부터는 유료로 사용해야 한다. 그래서 적잖은 사용자들이 크랙된 버전을 찾곤 하는데, 공격자들이 이 점을 노린 것이라고 할 수 있다. 룸마씨투는 정보 탈취 멀웨어로, 2023년 전반기에 처음 등장했다. 브라우저 크리덴셜과 이메일 계정, 암호화폐 지갑 키 등을 훔친다.

---

7. 인도 안드로이드 생태계 노린 스파이렌드, 사용자 협박
구글 플레이 스토어에서 스파이렌드(SpyLend)라는 안드로이드 멀웨어가 발견됐다. 인도 사용자들을 노린 것으로 보인다. 인도 금융 앱을 흉내 낸 채 퍼지고 있기 때문이다. 현재까지 10만명 이상이 다운로드 받은 것으로 집계된다. 가짜 앱의 이름은 ‘파이낸셜심플리파이드’(Financial Simplified)이며, 설치 시 스파이렌드가 활성화 되면서, 각종 민감 정보들이 공격자들에게 넘어간다. 공격자들은 훔쳐낸 정보를 조작해(사진을 누드 사진으로 변경하는 등) 사용자들에게 협박 메일을 보낸다. 파이낸셜심플리파이드의 사용자 평점은 대단히 낮아 일종의 경고가 된다.

---

8. 인기 엘레멘토 플러그인서 초고위험도 XSS 취약점 발견
인기 높은 페이지 빌더인 엘레멘토(Elementor)의 인기 플러그인 에센셜애드온즈(Essential Addons)에서 초고위험도 취약점이 발견됐다. CVE-2025-24752로, XSS 공격을 가능하게 한다. 에센셜애드온즈는 엘레멘토 생태계에서 가장 인기 높은 플러그인으로, 전 세계 약 200만명이 사용하고 있다. 따라서 이번 취약점에 영향을 받는 사용자와 시스템이 200만 이상이라고 할 수 있다. 워드프레스 개발자들이라면 사용자 입력 값을 좀 더 꼼꼼하게 확인할 필요가 있다고 전문가들은 말한다.

---

9. 호주 정부, 러시아 카스퍼스키 금지 결정
호주에서 카스퍼스키 소프트웨어가 금지됐다. 국가 안보 우려 때문이다. 아직 민간 차원에서까지 금지 조치가 내려진 건 아니다. 정부 기관에서만이다. 내무부 장관은 “충분한 위협 및 위험 분석 과정을 거친 후 결정된 사안”이라며 “해외 세력의 개입과 네트워크 침투, 정보 탈취, 정찰, 사보타쥬 등이 우려된다”고 밝혔다. 카스퍼스키가 러시아 업체이기 때문에 꺼름칙하다는 의미다. 다만 명확한 사업적 사유가 있으며, 이를 제시할 수 있는 정부 기관이라면 예외가 될 수 있다. 미국도 작년 6월 카스퍼스키 소프트웨어 사용을 민간 부문에서까지 금지했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>