|
메인뉴스 | CVE 프로그램 중단 사건
1분 사이버보안 뉴스 | SKT 해킹 이슈 분석 |
|
|
CVE(Common Vulnerabilities and Exposures)는 보안 취약점에 고유 식별자를 부여해 관리하는 표준화된 시스템으로, 취약점 관리의 기준이자 위협 인텔리전스의 핵심 인프라 역할을 해왔습니다. 그러나 25년간 유지되던 이 프로그램이 갑작스런 중단 위기에 처하며 글로벌 보안 커뮤니티에 큰 혼란을 불러일으켰습니다.
사태의 심각성을 확인하고 CISA가 긴급 예산으로 CVE 프로그램의 11개월 임시 운영을 보장했지만, 근본적 불안은 해소되지 않았습니다. 이에 CVE 보드는 미국 정부 의존을 줄이기 위해 독립 비영리 조직인 CVE 파운데이션 운영을 발표했습니다.
|
|
|
# CVE 중단 위기에 대응해 가장 먼저 움직인 유럽
ENISA는 ‘European Vulnerability Database’를 발표하며 기존 CVE ID와 함께 ‘European ID’를 병행 운영하겠다고 선언했습니다. 일종의 유럽판 CVE입니다.
이 흐름은 한국의 KCVE 모델 논의에도 다시 불을 붙일 가능성이 있습니다. 한국은 이미 2009년부터 KCVE 도입을 검토해왔으며, 이번 사태를 계기로 관련 논의가 활발해질 수 있습니다. 한국 내 특정 취약점에 대한 별도의 관리가 필요할 수 있고, 국가가 취약점 정보를 관리한다는 것 자체가 소프트웨어 신뢰도를 보여주는 중요한 지표가 되기 때문입니다.
|
|
|
#분산되는 CVE, 혼란 막을 일관된 기준과 검증이 필요
CVE 프로그램이 분산되면 각국 정부와 기업이 각자 다른 기준으로 취약점을 평가하고 번호를 부여하게 되면서, 보안 담당자들은 어떤 체계를 따라야 할지 혼란에 빠질 수 있습니다. 이는 취약점 관리와 대응의 일관성을 잃게 하고, 보안 실무자들에게 더 큰 부담으로 작용할 수 있습니다. OpenCVE, GCVE 등 다양한 대체 프로그램이 등장하고 있지만, 지금 가장 필요한 것은 일관성 있는 기준과 이를 상호 검증할 수 있는 체계 마련입니다.
|
|
|
#이 혼란 속, 기업이 준비해야 할 것들
이번 CVE 사태를 통해 각 기업들은 다음의 3가지 방향으로 대응 전략을 세워야 합니다.
① 위험 기반의 취약점 대응 체계 도입
단순히 CVS 점수로만 판단할 것이 아니라, EPSS(Exploit Prediction Scoring System) 같은 지표를 활용해 실제 공격 발생 가능성에 따라 대응 우선순위를 정해야 한다는 것입니다.
② 다양한 취약점 정보원의 활용
CVE 이외에도 다양한 정보원을 통해 정보의 신뢰성과 커버리지를 확보하는 것이 필요합니다.
③ 내부 기준과 프로세스의 명확화
각 기업마다의 자체 기준을 명확히 설정하는 것이 필요합니다. 이런 뼈대가 되는 기준을 통해 외부 혼란에도 흔들리지 않는 위협 정보 관리가 가능할 것입니다.
|
|
|
🔍 CVE 중단 사태의 의미 대응 방안 – 시큐언박싱 시즌2 4월 라이브에서!
4월 시큐언박싱에서 CVE 중단 사태의 의미와 보안 생태계에 미칠 영향, 앞으로의 대응 방안에 대해 이야기했습니다.
지금 다시보기로 확인하세요!
> 하이라이트 보기
> 웨비나 전체보기
|
|
|
🎥 RSAC 2025 현지 연결 라이브RSAC 2025의 생생한 현장 소식을 전해드리기 위해 현지 연결 라이브를 진행했습니다. 지금 다시보기로 함께하세요! |
|
|
SKT 해킹 이슈 분석
타임라인
- 2025년 4월 18일, 오후 06시 09분 장비와 장비 사이 비정상적인 데이터이동 최초 인지(9.7 기가바이트 분량)
- 2025년 4월 18일, 오후 11시 20분 악성코드 발견, 해킹 공격 받은 사실 내부적으로 확인
- 2025년 4월 19일, 오전 01시 40분 빠져나간 데이터 분석 시작
- 2025년 4월 19일, 오후 11시 40분 과금분석장비에서 악성 코드 감염 및 음성인증장비(HSS)에서 사용자 USIM 정보 유출 확인.
- 2025년 4월 20일, 오후 4시 46분 SKT가 한국인터넷진흥원(KISA)에 침해 사고 신고.
- 2025년 4월 22일, 오전 10시 SKT가 개인정보보호위원회에 보고 및 경찰 수사 요청. 공식 발표로 사건 공개.
- 2025년 4월 23일 서울지방경찰청 사이버수사대가 수사에 착수.
- 2025년 4월 23일 이후 정부 기관(과학기술정보통신부, 한국인터넷진흥원(KISA), 개인정보보호위원회)이 현장 조사 시작.
- 2025년 4월 24일 금감원이 금융사에 '이동통신사 유심 해킹사고 관련 유의사항' 배포
- 2025년 4월 25일 오전 SKT 고객 정보 보호조치 강화 설명회에서 대국민 사과문 발표 및 28일 오전부터 SKT 가입자 2300만명과 SKT의 통신망을 이용하는 알뜰폰 가입자 187만명을 합쳐 2500만명에 달하는 모든 가입자를 대상으로 유심(USIM) 무상 교체 실시 발표
- 2025년 4월 25일 오후 일부 보험사 SKT 인증 중단 및 전면 중단 예정 공지
- 2025년 4월 25일 오후 한국인터넷진흥원(KISA)에서 '최근 해킹공격에 악용된 악성코드, IP 등 위협정보 공유 및 주의 안내' 보안공지를 통해 SKT 해킹 악성파일 공개
- 2025년 4월 27일 대통령 권한대행 국무총리 SKT 해킹 사고에 “조치 적절성 점검” 긴급지시
- 2025년 4월 27일 SKT는 유심호보서비스로 해킹 피해를 막을 수 있고, 피해 발생 시 100% 책임지겠다는 입장발표
|
|
|
Threat Detail
- 해당 악성코드는 2018년에 처음에 탐지되었으며, 중국의 APT41에서 개발된 것으로 추정
- TCP, UDP, ICMP 통신 지원
- BPFDOOR는 통신사 위주로 공격하며, Bind 또는 Reverse Shell 기능을 갖고 있어 원격으로 코드 실행이 가능하다.
- BPF란 기술을 활용하여 커널 안에서 코드 실행
- 위 기술을 사용하는 악성코드는 발견하기 어려운 데다가 정교한 우회 기법도 가지고 있다. ⇒ Espionage를 위한 Rootkit 도구.
- BPFDoor에게 Root 권한이 필요하니, Reverse Shell도 역시 Root 권한으로 열린다.
- BPFDoor 악성코드를 활용하여 다른 악성코드 설치/다운로드/실행
|
|
|
Detection Opportunity
- 아래 명령어로 리눅스 서버에서 BPF 필터를 갖고 있는 프로세스를 확인
- 1893 PID인 프로세스에는 정상 11-instruction BPF 프로그램이 붙어 있다
- 2629 PID인 “hald-addon-acpi”에는 수상해 보이는 30-instruction BPF 필터가 붙어 있다. (수상한 29269, 21139 강조. 이는 백도어의 trigger이다)
|
|
|
날짜 : 4월 25일 (금) 오후 2시~3시, 라이브 | 경품 : 치킨 세트 (좋은 질문) |
|
|
- 크로커다일루스, 암호화폐 지갑 시드키 노린다.
- 국정원, 중국홍보업체 언론 도용 사이트 포착
- CISCO, 보안취약점 실제 공격에 악용
- MITRE, CVE 프로그램 미정부 자금 중단 위기
|
|
|
여러분들의 의견이 많이 모일수록,
더 알차고 유익한 뉴스레터가 될 수 있어요!👋!
|
|
|
다온기술(주)secutalktalk@daont.co.kr경기도 성남시 분당구 대왕판교로 660 유스페이스 1 B동 706호 수신거부 Unsubscribe |
|
|
|
|
