Vol #09 -- 5월1일(목) 노동절 휴일로 인해, 5월2일(금) 발송됩니다

매주 수요일, 테크엔돌핀 💊

주목할 만한 사이버 보안 소식 📌

트럼프가

돈줄을 막으면 벌어지는

사이버 보안 위기

“25년 간 유지돼온 취약점 관리의 기준이 하루 아침에 멈출 수도 있다는 걸 이전에는 상상하지 못했습니다.”

2025년 4월15일, 보안 커뮤니티를 뒤흔든 뉴스가 있었습니다. MITRE가 운영하고 CISA가 자금을 지원하는 CVE(Common Vulnerabilities and Exposures) 프로그램이 갑작스럽게 중단 위기에 처했던 것이죠. MITRE 부사장의 SNS 게시글 하나로 불이 붙은 이번 이슈는 단 하루 만에 글로벌 사이버보안 커뮤니티를 혼란에 빠뜨렸습니다. 그래서 이번 시큐언박싱 시즌2 4월 라이브에서는 다온기술 고성종 이사와 함께, 이 전대미문의 CVE 중단 사태가 보안 생태계에 주는 시사점과 앞으로 우리가 준비해야 할 것들에 대해 이야기를 나누었습니다.

#CVE 프로그램, 멈춘다면 어떤 일이 벌어질까?

“공격자 입장에선 이런 불확실성이 명확한 기회가 됩니다.”

CVE는 보안 취약점에 고유 식별자를 부여해 관리하는 표준화된 시스템입니다. 취약점 관리의 기준이자, 위협 인텔리전스의 핵심 인프라였죠. 그런데 이 CVE가 갑작스레 중단 위기에 놓이자, 보안 전문가들은 즉각적인 반응을 보이며 순식간에 보안 생태계 전체가 대혼란에 빠지게 되었죠.

사태의 심각성을 확인하자마자 다행히 CISA는 긴급 예산을 편성해 11개월간의 임시 운영을 보장한다고 밝히면서 일단 급한 불은 끄게 되었습니다. 하지만 여전히 그 근본적인 불안감은 해소되지 않은 상황입니다. 이런 중요한 보안 정보를 미국 정부에만 맡겨서는 안되겠다고 판단한 CVE 보드에서는 미국 정부 의존을 줄이기 위해 CVE 파운데이션이라는 독립 비영리조직을 운영하겠다고 발표했습니다.

#미국이 흔들리자 유럽이 손 들었다

“그날 저녁, 유럽에서 바로 베타 릴리즈를 공개했더라구요.”

CVE 중단 위기에 대응해 가장 먼저 움직인 건 유럽이었습니다. ENISA는 European Vulnerability Database를 발표하며, 기존 CVE ID 외에 ‘European ID’도 병행 운영하겠다고 선언했습니다. 일종의 유럽판 CVE입니다.

이 흐름은 다른 국가들, 예컨대 한국의 KCVE 모델에도 다시금 불을 지필 수 있는 계기가 될 수 있습니다. 실제로 한국은 2009년부터 KCVE 도입을 검토한 바 있으며, 이번 사태를 계기로 다시 관련 논의가 활발해질 수도 있겠다 싶습니다. 한국에서만 더욱 심각한 취약점이 있을 수 있고, 이에 대한 별도의 관리도 향후 필요할 수 있을 테니까요. 국가가 취약점 정보를 관리한다는 것 자체가 그 나라의 소프트웨어 신뢰도를 보여주는 지표가 되기도 합니다.

#기준이 분산되면, 더 큰 혼란이 온다?

“모두가 자기만의 기준을 만들면 결국 표준은 사라집니다.”

CVE 프로그램이 분산되면 생기는 하나의 리스크는 기준의 혼란입니다. MITRE, ENISA, Google 등 각국 정부와 기업 각자가 자신들만의 기준으로 취약점을 평가하고 넘버링한다면, 개별 기업들은 어떤 체계를 따라야 하는지 혼란에 빠질 수도 있습니다. 이는 특히 보안 담당자 입장에서는 더 큰 부담이 될 수밖에 없습니다.

OpenCVE, GCVE 등 다양한 CVE 대체 프로그램이 제안되고 있지만, 지금 필요한 건 일관성 있는 기준과 교차 검증 체계라고 생각됩니다.

#이 혼란 속, 기업이 준비해야 할 것들

이번 CVE 사태를 통해 각 기업들은 다음의 3가지 방향으로 대응 전략을 세워야 합니다.

① 위험 기반의 취약점 대응 체계 도입

단순히 CVS 점수로만 판단할 것이 아니라, EPSS(Exploit Prediction Scoring System) 같은 지표를 활용해 실제 공격 발생 가능성에 따라 대응 우선순위를 정해야 한다는 것입니다.

② 다양한 취약점 정보원의 활용

CVE 이외에도 다양한 정보원을 통해 정보의 신뢰성과 커버리지를 확보하는 것이 필요합니다.

③ 내부 기준과 프로세스의 명확화

각 기업마다의 자체 기준을 명확히 설정하는 것이 필요합니다. 이런 뼈대가 되는 기준을 통해 외부 혼란에도 흔들리지 않는 위협 정보 관리가 가능할 것입니다.

#이번 사태, 오히려 보안 기준을 되돌아볼 기회?

“한 번 머리를 망치로 맞아야 정신 차리는 법이죠. 이번 사태가 그런 계기가 될 수도 있습니다.”

비록 CVE는 다시 11개월 간 연장되었지만, 이번 사태는 글로벌 보안 체계가 얼마나 취약한 기반 위에 있었는지를 보여준 사건이었습니다. 미국 정부 하나의 정책 변화가 전 세계의 보안 전략을 흔들 수 있다는 사실은, 모든 조직이 스스로의 기준과 대응 전략을 재정비해야 함을 의미합니다. 이제야야말로 기업의 보안 전략의 근본적인 변화가 필요한 시점입니다.

🚀 발표 : 다온기술 고성종 이사

🚀 에디터 : 잇츠맨 안철준 촌장

#더 궁금하다면

사이버 위협에 대한 더 많은 정보가 필요하신가요?

다온기술 사이버 위협 전문가가 여러분의 고민을 함께 해결해 드립니다.

지금 바로 문의하세요! ➡️ (다온기술 문의하기 클릭)

#하이라이트 영상

[10분 하이라이트] 트럼프가 돈줄을 막으면 벌어지는 사이버 보안 위기 (다온기술 고성종 이사) (바로보기)  

RSAC2025 현지 라이브, "부스에서 막걸리를 줘요!" (다온기술 고성종 이사, 크리밋 김동현 대표) (바로보기)

SKT 해킹 이슈 분석

• 2025년 4월 18일, 오후 06시 09분 장비와 장비 사이 비정상적인 데이터이동 최초 인지(9.7 기가바이트 분량)
• 2025년 4월 18일, 오후 11시 20분 악성코드 발견, 해킹 공격 받은 사실 내부적으로 확인
• 2025년 4월 19일, 오전 01시 40분 빠져나간 데이터 분석 시작
• 2025년 4월 19일, 오후 11시 40분 과금분석장비에서 악성 코드 감염 및 음성인증장비(HSS)에서 사용자 USIM 정보 유출 확인.
• 2025년 4월 20일, 오후 4시 46분 SKT가 한국인터넷진흥원(KISA)에 침해 사고 신고.
• 2025년 4월 22일, 오전 10시 SKT가 개인정보보호위원회에 보고 및 경찰 수사 요청. 공식 발표로 사건 공개.
• 2025년 4월 23일 서울지방경찰청 사이버수사대가 수사에 착수.
• 2025년 4월 23일 이후 정부 기관(과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회)이 현장 조사 시작.
• 2025년 4월 24일 금감원이 금융사에 '이동통신사 유심 해킹사고 관련 유의사항' 배포
• 2025년 4월 25일 오전 SKT 고객 정보 보호조치 강화 설명회에서 대국민 사과문 발표 및 28일 오전부터 SKT 가입자 2300만명과 SKT의 통신망을 이용하는 알뜰폰 가입자 187만명을 합쳐 2500만명에 달하는 모든 가입자를 대상으로 유심(USIM) 무상 교체 실시 발표
• 2025년 4월 25일 오후 일부 보험사 SKT 인증 중단 및 전면 중단 예정 공지
• 2025년 4월 25일 오후 한국인터넷진흥원(KISA)에서 '최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내' 보안공지를 통해 SKT 해킹 악성파일 공개
• 2025년 4월 27일 대통령 권한대행 국무총리 SKT 해킹 사고에 “조치 적절성 점검” 긴급지시
• 2025년 4월 27일 SKT는 유심호보서비스로 해킹 피해를 막을 수 있고, 피해 발생 시 100% 책임지겠다는 입장발표

• BPFDoor: https://www.virustotal.com/gui/collection/malware--cf461791-8e08-5edf-81fd-cfe812be5d76

• 해당 악성코드는 2018년에 처음에 탐지되었으며, 중국의 APT41에서 개발된 것으로 추정
• TCP, UDP, ICMP 통신 지원
• BPFDOOR는 통신사 위주로 공격하며, Bind 또는 Reverse Shell 기능을 갖고 있어 원격으로 코드 실행이 가능하다.
• BPF란 기술을 활용하여 커널 안에서 코드 실행
• 위 기술을 사용하는 악성코드는 발견하기 어려운 데다가 정교한 우회 기법도 가지고 있다. ⇒ Espionage를 위한 Rootkit 도구.
• BPFDoor에게 Root 권한이 필요하니, Reverse Shell도 역시 Root 권한으로 열린다.
• BPFDoor 악성코드를 활용하여 다른 악성코드 설치/다운로드/실행

• BPFDoor Video Demonstration: https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html

• 아래 명령어로 리눅스 서버에서 BPF 필터를 갖고 있는 프로세스를 확인

sudo ss -0pb

• 1893 PID인 프로세스에는 정상 11-instruction BPF 프로그램이 붙어 있다
• 2629 PID인 “hald-addon-acpi”에는 수상해 보이는 30-instruction BPF 필터가 붙어 있다. (수상한 29269, 21139 강조. 이는 백도어의 trigger이다)

날짜 : 5월 30일 (금) 오후 2시~3시, 라이브  | 경품 : 치킨 세트 (좋은 질문)

매주 수요일, 테크엔돌핀 💊

주목할 만한 사이버 보안 소식 📌