최근 공개된 포티넷 포티게이트(Fortinet FortiGate) 어플라이언스 대상 인공지능(AI) 악용 공격 캠페인의 배후 위협 행위자가 '사이버스트라이크AI(CyberStrikeAI)'라는 오픈소스 AI 네이티브 보안 테스트 플랫폼을 활용해 공격을 실행한 것으로 드러났다. 이러한 새로운 사실은 한 보안 기업 연구팀의 분석을 통해 밝혀졌다.    연구팀은 러시아어를 사용하는 것으로 추정되는 위협 행위자가 취약한 어플라이언스를 대상으로 자동화된 대규모 스캔을 수행하는 데 사용한 IP 주소('212.11.64[.]250')를 분석하던 중 해당 도구의 사용 정황을 포착했다. 보안 연구원은 "사이버스트라이크AI는 중국 정부와 연관성이 있는 것으로 추정되는 중국 기반 개발자가 만든 오픈소스 인공지능(AI) 오펜시브 보안 도구(OST)"라고 설명했다. 이러한 AI 기반 공격 활동의 전말은 지난달 한 위협 인텔리전스 그룹의 발표를 통해 처음 수면 위로 드러났다.    당시 이 인텔리전스 그룹은 신원 미상의 공격자가 앤스로픽 클로드(Anthropic Claude)와 딥시크(DeepSeek) 등 생성형 AI 서비스를 이용해 포티게이트 장비를 체계적으로 표적 삼아 55개국에서 600대 이상의 장비를 침해했다고 밝혔다. 깃허브(GitHub) 저장소의 설명에 따르면, 사이버스트라이크AI는 Go 언어로 개발되었으며 100개 이상의 보안 도구를 통합해 취약점 발견, 공격 사슬 분석, 지식 검색 및 결과 시각화 기능을 제공한다.    이 도구는 'Ed1s0nZ'라는 온라인 가명을 사용하는 중국인 개발자가 유지·관리하고 있다. 연구팀은 2026년 1월 20일부터 2월 26일 사이 사이버스트라이크AI를 실행하는 21개의 고유 IP 주소를 관찰했으며, 이들 서버는 주로 중국, 싱가포르, 홍콩에서 호스팅되었다고 밝혔다.    이 도구와 관련된 추가 서버들은 미국, 일본, 스위스에서도 발견되었다. Ed1s0nZ 계정은 사이버스트라이크AI를 호스팅하는 것 외에도 AI 모델 악용 및 탈옥(Jailbreak)에 대한 이들의 관심을 보여주는 여러 도구를 공개했다.    대표적인 도구는 다음과 같다.   - watermark-tool: 문서에 보이지 않는 디지털 워터마크를 추가하는 도구 - banana_blackmail: Go 언어(Golang) 기반의 랜섬웨어 - PrivHunterAI: Kimi, DeepSeek, GPT 모델을 활용하여 권한 상승 취약점을 탐지하는 Go 언어 기반 도구 - ChatGPTJailbreak: 오픈AI(OpenAI)의 챗GPT를 속여 DAN(Do Anything Now) 모드로 진입시키거나 개발자 모드가 활성화된 것처럼 작동하도록 유도하는 프롬프트가 담긴 README.md 파일 포함 - InfiltrateX: 권한 상승 취약점을 탐지하는 Go 언어 기반 스캐너 - VigilantEye: 데이터베이스 내 전화번호 및 신분증 번호 등 민감 정보의 유출을 모니터링하는 Go 언어 기반 도구로, 잠재적 데이터 유출 감지 시 위챗 워크(WeChat Work) 봇을 통해 알림을 전송하도록 설정됨 연구원은 "Ed1s0nZ의 깃허브 활동을 살펴보면, 이들이 중국 정부의 지원을 받는 사이버 작전을 지원하는 조직들과 교류하고 있음을 알 수 있다"며, "여기에는 중국 국가안전부(MSS)와 연관된 것으로 알려진 중국 민간 기업들이 포함된다"고 덧붙였다. 해당 개발자가 교류한 대표적인 기업 중 하나는 중국의 A 보안 기업이다.    해당 보안 기업은 작년 말 1만 2천여 건의 내부 문서가 대규모로 유출되는 사고를 겪었다.    이 사고로 회사 직원 데이터, 정부 고객 정보, 해킹 도구를 비롯해 한국의 통화 기록 및 대만 주요 인프라 기관 관련 정보 등 방대한 탈취 데이터가 노출되었으며, 타국을 겨냥해 진행 중인 사이버 작전의 내부 실체까지 드러난 바 있다.       [그림 1. 중국 보안 기업 A의 운영 및 공격 구조]   한 보안 기업 B는 올해 1월 발표한 분석 보고서에서 A 보안 기업을 중국의 국가 안보, 정보 및 군사적 목표를 지원할 역량을 갖춘 '국가 연계 사이버 계약업체'로 규정하며, "표면적으로 A 보안 기업은 그저 평범한 보안 기업처럼 보였지만 이는 절반의 진실에 불과하다"고 지적했다. 이어 "실제로 이 기업은 중국 인민해방군(PLA), 국가안전부(MSS) 및 중국 안보 국가 기관을 위해 일하는 그림자 조직을 운영하고 있다"며, "이번 유출 사태는 일반적인 사이버 보안 업체의 역할을 훨씬 뛰어넘는 이 기업의 실체를 여실히 보여준다.    줌아이(ZoomEye) 및 핵심 인프라 표적 라이브러리(Critical Infrastructure Target Library)와 같은 도구는 산업 부문, 지역, 전략적 가치별로 분류된 수백만 개의 해외 IP, 도메인, 조직을 중국이 목록화할 수 있는 글로벌 정찰 시스템을 제공한다"고 설명했다. 또한, Ed1s0nZ는 동명의 저장소에 있는 README.md 파일을 적극적으로 수정하여, 자신이 중국 국가정보보안취약점데이터베이스(CNNVD)로부터 2등급 공로상(Level 2 Contribution Award)을 수상했다는 기록을 삭제하는 정황이 포착되었다.    이 개발자는 "이곳에서 공유되는 모든 자료는 순전히 연구 및 학습 목적"이라고 주장하고 있다. 지난달 또 다른 한 보안 기업이 발표한 연구에 따르면, 중국은 CNNVD와 중국국가취약점데이터베이스(CNVD)라는 두 개의 취약점 데이터베이스를 별도로 운영하고 있다.    CNVD가 CNCERT의 관리를 받는 반면, CNNVD는 국가안전부의 감독을 받는다.    한 보안 기업의 이전 연구 결과에 따르면, CNNVD는 CVSS 점수가 낮은 취약점보다 점수가 높은(위험한) 취약점을 공개하는 데 훨씬 더 오랜 시간을 지연시키는 것으로 나타났다. 연구원은 "최근 이 개발자가 깃허브 프로필에서 CNNVD 관련 이력을 삭제하려 한 시도는 국가 기관과의 연관성을 은폐하려는 적극적인 노력"이라며, "이는 해당 도구의 인기가 높아짐에 따라 작전상의 지속 가능성을 보호하기 위한 조치로 풀이된다"고 분석했다.    이어 그는 "사이버스트라이크AI의 도입이 향후 더욱 가속화될 것으로 전망되며, 이는 AI가 접목된 오펜시브 보안 도구의 확산이라는 우려스러운 진화를 보여준다"고 경고했다.       출처 https://thehackernews.com/2026/03/open-source-cyberstrikeai-deployed-in.html

    한 A 보안 기업의 새로운 분석 결과에 따르면, 최근 소프트웨어 기업 B가 패치한 보안 취약점을 러시아 배후의 국가 지원 해킹 그룹인 APT28이 악용했을 가능성이 있는 것으로 나타났다.   해당 취약점은 MSHTML 프레임워크에 영향을 미치는 고위험군 보안 기능 우회 취약점인 CVE-2026-21513(CVSS 점수: 8.8)이다.   B 기업은 관련 보안 권고문에서 "MSHTML 프레임워크의 보호 메커니즘 오류로 인해 인증되지 않은 공격자가 네트워크를 통해 보안 기능을 우회할 수 있다"고 설명했다.    이 취약점은 지난 2026년 2월 패치(Patch Tuesday) 업데이트를 통해 수정되었다.   그러나 B 기업은 이 취약점이 실제 공격에서 제로데이(Zero-day)로 악용되었다고 덧붙이며, 이를 보고한 관련 연구 기관에 감사를 표했다.   가상의 공격 시나리오를 살펴보면, 위협 행위자는 피해자가 링크나 이메일 첨부파일 형태로 전달된 악성 HTML 또는 바로가기(LNK) 파일을 열도록 유도하여 해당 취약점을 무기화할 수 있다.   B 기업에 따르면 조작된 파일이 실행될 경우 브라우저 및 윈도우 셸(Windows Shell)의 처리 과정을 조작해 운영체제가 해당 콘텐츠를 실행하도록 만든다.    결과적으로 공격자는 보안 기능을 우회하고 임의의 코드 실행 권한까지 얻을 수 있게 된다.   B 기업은 제로데이 악용과 관련한 구체적인 세부 정보는 공식적으로 밝히지 않았다.    그러나 A 보안 기업은 2026년 1월 30일 한 위협 인텔리전스 서비스에 업로드된 악성 아티팩트(Artifact)를 확인했으며, 이것이 APT28과 연계된 인프라와 관련이 있다고 밝혔다.       [그림 1. CVE-2026-21513 (MSHTML 프레임워크 보안 우회) 취약점 원인 분석]     특히 이 샘플은 지난달 초 우크라이나 침해사고대응팀(CERT-UA)이 B 보안 기업 제품의 또 다른 보안 취약점(CVE-2026-21509, CVSS 점수: 7.8)을 악용한 APT28의 공격과 관련해 주의를 당부하며 지목했던 것이기도 하다.   A 보안 기업은 CVE-2026-21513 취약점의 근본 원인이 하이퍼링크 탐색을 처리하는 "ieframe.dll" 내부 로직에 있다고 분석했다.    대상 URL에 대한 유효성 검사가 불충분하여, 공격자가 조작한 입력값이 'ShellExecuteExW' 함수를 호출하는 코드 경로에 도달할 수 있다는 것이다.    이는 결과적으로 의도된 브라우저의 보안 컨텍스트를 벗어나 로컬 또는 원격 리소스의 실행을 허용하게 된다.   보안 연구원은 "이 페이로드는 표준 LNK 구조 바로 뒤에 HTML 파일을 은닉하는 특수하게 조작된 윈도우 바로가기(LNK) 파일을 사용한다"고 설명했다.    이어서 "이 LNK 파일은 APT28의 소행으로 지목된 'wellnesscaremed[.]com' 도메인과 통신을 시작하며, 해당 도메인은 이번 공격 캠페인의 다단계 페이로드 전송에 광범위하게 사용되었다. 이 익스플로잇은 중첩된 iframe과 다중 DOM 컨텍스트를 활용해 보안 신뢰 경계를 조작한다"고 덧붙였다.   A 보안 기업은 이 기법을 통해 공격자가 '웹 출처 표시(Mark-of-the-Web, MotW)' 및 '인터넷 익스플로러 강화된 보안 구성(IE ESC)' 기능을 우회할 수 있다고 지적했다.    이는 보안 컨텍스트의 다운그레이드로 이어져, 궁극적으로 ShellExecuteExW를 통해 브라우저 샌드박스 외부에서 악성 코드를 실행할 수 있게 만든다.   또한 A 보안 기업은 "현재 관찰된 공격 캠페인은 악성 LNK 파일을 활용하고 있지만, MSHTML이 포함된 모든 구성 요소를 통해 취약한 코드 경로가 실행될 수 있다"며, "따라서 LNK 기반의 피싱 외에도 다른 형태의 악성코드 전달 방식이 사용될 가능성에 대비해야 한다"고 경고했다.       출처 https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html

    한국 국세청이 압수한 암호화폐 지갑의 니모닉(복구) 문구를 공개 자료에 그대로 노출하면서, 누군가가 이를 악용해 약 440만 달러 상당의 암호화폐를 탈취한 것으로 알려졌다. 해당 자산은 고액 체납자 124명을 대상으로 한 법 집행기관의 단속에서 압수된 디지털 자산(총 81억 원, 현재 약 560만 달러) 중 일부로, 압수된 자산은 레저(Ledger) 콜드월렛에 보관돼 있었다. 당국은 단속 성과를 알리는 과정에서 암호화폐 보관·관리에 널리 쓰이는 하드웨어 지갑인 레저 기기 사진을 공개했는데, 문제는 그 사진에 지갑 복구 문구가 손글씨로 적힌 메모까지 함께 찍혀 있었다는 점이다.    이 복구 문구는 지갑을 다른 기기에서 복원할 수 있게 해주는 ‘마스터 키’와 같은 역할을 한다.       [그림 1. 국세청이 공개한 이미지]     당국이 해당 정보를 블러 처리하거나 마스킹하지 않은 채 공개하면서, 사실상 누구나 해당 콜드월렛의 자산을 다른 계정으로 이전할 수 있는 상태가 됐다. 보도에 따르면 보도자료가 게시된 직후, 당시 약 480만 달러 상당의 Pre-Retogeum(PRTG) 토큰 400만 개가 압수 지갑에서 새로운 주소로 이체됐다. 한 언론은 "온체인 데이터(Etherscan) 분석 결과, 공격자는 먼저 거래 수수료(가스비)를 내기 위해 소량의 이더리움(ETH)을 해당 지갑에 입금한 뒤, 400만 개의 PRTG 토큰을 3건의 개별 거래로 나눠 자신의 지갑으로 전송했다"고 전했다. 이 이체를 관찰한 블록체인 데이터 분석 전문가는, 이번 실수를 "지갑을 열어둔 채 전국에 광고해 돈을 가져가라고 한 것"에 비유했다.    그는 또한 이번 사건이 과세당국의 가상자산에 대한 기본적 이해 부족에서 비롯됐으며, 그 결과 국가가 이미 압수에 성공했던 자산을 사실상 잃게 됐다고 지적했다. 현재 해당 보도자료는 국세청(NTS) 홈페이지에서 삭제된 상태다.    다만 당국이 도난 자금의 최종 행방을 확인하기 위한 조사를 시작했는지는 확실치 않다. 이번 사례는 하드웨어 지갑이라 하더라도 시드(복구) 문구가 노출되면 추가적인 보호장치 없이 지갑에 대한 ‘완전한 접근 권한’이 넘어갈 수 있음을 다시 한 번 보여준다.    시드 문구를 알고 있는 사람은 기기나 PIN, 소유자의 허가 없이도 어디서든 지갑을 재생성할 수 있다. 따라서 시드 문구를 디지털 형태로 남기지 말고(전자 메모, 사진, 이메일, 클라우드 저장소, 메신저 전송 등), 만약 시드가 노출됐다면 가능한 한 빨리 자금을 새 지갑으로 옮기는 것이 권장된다.       출처 https://www.bleepingcomputer.com/news/security/48m-in-crypto-stolen-after-korean-tax-agency-exposes-wallet-seed/