1. 📢 11월 BoB 수료생&멘토 소식

2. [특집] 새로운 어택 서페이스(Surface), 어택 스페이스(Space)! - 우주 사이버 보안 동향

3. 💰 금융정보보호 컨퍼런스 “FISCON” 후기

4. ✈️ 하늘에 있다고 안전하지 않아요 : 항공우주 공격에 SnailResin 맬웨어 배포

5. 😎 10주년 BoB 정보보안 오픈 컨퍼런스(BISC)

6. 🎤 CRA(Cyber resilience act) Check↗↗ : 사이버복원력법을 알아보자!

(1) 📢 11월 BoB 수료생&멘토 소식

🍧 이문원 멘티<6기 디지털포렌식 트랙>

안녕하세요. BoB 6기 & BoB 총 동문회 4대 부회장을 지냈던 이문원입니다. 결혼을 하게 되어 소식을 알리고자 글을 적습니다. 
결혼 : 2025년 01월 04일 11:00에 삼성역 스카이뷰컨벤션에서 결혼을 하게 되었습니다.
한분한분 직접 소식을 전하지 못하고 총 동문회 뉴스레터를 통해 소식을 전하게 된 점 양해를 부탁드립니다.
https://feelcard.co.kr/20250104

🍧 명준우 멘티<12기 보안제품개발 트랙>

2024년 10월 02일부터 파인더갭 버그바운티 회사에 취업해서 근무 중

- 주 업무 : 보안제품개발, 모의해킹, 버그바운티 레포트 검증 및 점수 할당

(2) [특집] 새로운 어택 서페이스(Surface), 어택 스페이스(Space)!
- 우주 사이버 보안 동향

사이버 보안 위협 영역의 확장, 우주

 뉴스페이스 시대를 맞아 위성은 중요한 기술적 역할을 하고 있지만, 이러한 시스템은 지속적인 업그레이드의 어려움과 노후화된 운영체제(OS) 사용 등으로 인해 보안 취약점을 안고 있다. 특히 발사된 지 오래된 위성들은 최신 위성에 비해 더 많은 사이버 위협에 노출될 수 있는 상황일 것이다.

 그렇다면 우주 사이버 위협은 위성에서만 발생하는 걸까?

 먼저 우주자산에 대한 위협을 알아보자. 우주 자산이란 단순히 위성만을 보는 것이 아닌 우주 활동을 수행하기 위한 플랫폼, 인프라, 조직 등을 포함한다. 우주 발사 시스템 및 위성, 우주 감시 및 지휘, 통제 시스템, 우주와 지상 사이의 정보 연결 시스템 등이 모두 우주 자산에 속하며, 이로 인해 우주자산에 대한 위협은 공격이 행해지는 공간에 따라 지상-우주, 우주-우주, 우주-지상으로 구분하고 공격 방식에따라 물리적, 비물리적 공격으로 구분할 수 있다.

 그 중에서도 우주 사이버 위협은 비물리적 공격에 속하며, 공격 대상에 따라 다양한 공격 방법이 존재한다. 미국 NIST는 우주 사이버 위협을 “우주 자산과 우주 시스템 및 우주 인프라에 대한 해킹, 바이러스 공격, 랜섬웨어, 정보 및 기술 탈취, 전자기파 공격” 등으로 정의하고 있다. 즉, 위성에만 국한되지 않고 위성과 관련된 모든 우주자산들이 우주 사이버 위협의 대상이라는 것이다.

 대표적인 공격 방식으로는 지상국과 위성 간의 통신 방해 및 교란, 제어권 탈취 등이 목적인 재밍, 하이재킹, 스푸핑 등이 있다.

 재밍은 고출력 신호를 사용해 위성과 지상 기지 간의 통신을 차단하거나 방해하는 공격 방식이다. 이는 GPS 신호 왜곡, 위성통신 장애를 유발하며, 군사 작전이나 재난 대응 체계에도 심각한 영향을 미친다.

 하이재킹은 해커가 위성의 제어권을 탈취해 임무를 방해하거나 위성을 파괴하는 공격이다. 지상국과 암호화된 신호를 통해 통신하며 제어 및 관리를 하는 위성은 통신 채널의 취약점을 악용하거나 암호화 키를 탈취하여 공격자가 위성의 제어권을 탈취하거나 위성의 기능을 조작할 수 있게 된다.

 이를 통해 민감한 군사 정보, 통신 데이터, 민간 관측 데이터 등을 탈취하거나 위성의 궤도를 조작해 다른 위성과 물리적 충돌을 일으키는 등의 문제를 야기할 수 있다.

 지상국 및 우주 시스템, 데이터 센터 등을 타겟으로 한 랜섬웨어 공격의 경우, 위성 데이터를 암호화해 복호화에 대한 대가를 요구하거나 위성 통제 시스템 등을 파괴 시킬수도 있다.

 위성을 직접적으로 공격하기 어려운 환경에서 이와 같이 지상 시스템 및 인프라를 타겟으로 한 공격은 지상 인프라 뿐만 아니라 위성까지도 영향을 미친다는 점에서 매우 위협적인 공격 방식이 될 것이다.

국내/외 우주 사이버 보안 동향

이처럼 다양한 우주 사이버 보안 위협에 대비해 국내, 외에서는 어떠한 대비를 하고 있을까?

우리나라는 이러한 위협에 대응하기 위해 지난 6월 '우주 사이버보안 협의체'를 출범했다. 국가정보원을 중심으로 국방부, 과학기술정보통신부, 한국항공우주연구원 등 20개 기관이 참여하며, 위성 설계 단계부터 폐기까지 생애 전 주기에 걸친 보안 체계를 구축하고 위성 임무 및 운영별 사이버 보안대책 수립과 위성 사이버보안 가이드라인 제정 등 국내 우주 사이버 보안을 강화하기 위한 다양한 방안을 마련하고 있다.

지난 8월에는 KAIST와 국가정보원과 협력하여 우주 분야를 대상으로 한 사이버 위협에 대비하고 국가 위성 자산의 안정성을 확보하기 위해 KAIST 인공위성연구소에서 운영 중인 인공위성과 지상국을 대상으로 사이버보안 점검을 국내 최초로 실시한다고 밝히기도 하였다.

 미국은 우주 자산을 중요 인프라로 지정하고, 위성 사이버 보안 표준 강화를 위한 법안을 발의했다. 민간 위성 운영 기업이 기본적인 보안 요건을 충족하도록 의무화하는 내용이 포함되어 있으며, 미국 국방부는 또한 우주 자산을 실시간으로 보호할 수 있는 침입 탐지 시스템 개발에 착수했다.

 중국은 우주 자산의 사이버 보안을 강화하기 위해 위성 데이터 암호화 및 보안 표준화를 위한 독점 기술을 적극적으로 개발하고 있다. 아울러 우주 산업 감시 강화를 위한 방어 체계와 소형 위성 등 종합적인 우주 거버넌스 구축도 목표로 하고 있으며, 이러한 노력은 우주 사이버 부문을 유망한 새로운 기회로 인식하는 중국의 인식을 반영하는 것으로 보인다.

 유럽 연합(EU)은 우주 사이버 보안을 강화하기 위해 2023년 발표된 ‘안보와 방위를 위한 EU 우주 전략’을 발표 하였으며, 우주 기반 시설의 복원력과 보호 역량 강화를 핵심 목표로 삼고, 우주 위협에 대한 공동 이해와 대응 체계를 구축하고 있다.

 유럽우주국(ESA)은 위성 보안 실험과 해킹 대회를 통해 보안 기술을 발전시키고 있으며, 유럽 네트워크 정보보호원(ENISA)은 저궤도 위성통신(LEO SATCOM) 시스템의 보안 평가를 통해 위협 분석과 대응 방안을 제시하기도 하였다. EU는 미국, NATO 등 국제 파트너와의 협력도 심화하며, 책임 있는 우주 이용과 글로벌 규범 정착에 앞장서고 있다. 이러한 노력을 통해 EU는 우주 산업의 안전한 성장과 안보를 동시에 달성하는 것을 목표로 하고 있다.

 우리나라 뿐만 아니라 전 세계적으로 우주 사이버 보안의 위협에 대비하고자 다양한 법과 제도, 가이드라인 등을 만들고 긴밀한 협력을 통해 우주 공간의 안전하고 지속 가능한 이용을 보장하고, 글로벌 우주 환경의 안정성에 기여할 것으로 기대된다.

(3) 💰 금융정보보호 컨퍼런스 “FISCON” 후기

[ FISCON 포스터 - 출처 : 금융보안원 ]

오프닝: 기조 강연과 국제 협력 논의

행사는 개회식과 함께 삼성SDS 황성우 CEO의 기조강연으로 문을 열었다. 그는 생성형 AI 시대에서 금융 환경의 변화와 이에 대응하기 위한 기술 혁신의 방향성을 제시하며, 미래 금융 보안의 필수 조건으로 AI 기술 활용 및 규제와 혁신의 균형을 강조했다.

특별강연에서는 미국 및 일본 금융 ISAC(정보공유분석센터) 전문가들이 초청되어 국제 사이버 보안 협력의 중요성을 역설했다. 각국의 최신 사이버 위협 동향 및 대응 사례를 공유하며, 금융권의 글로벌 연대 강화를 촉구하는 시간이었다.

[ (좌) FISCON 현장 사진 - 출처 : 직접 촬영, (우) FISCON 세션 시간표 - 출처 : 금융보안원 ]

세미나: 3개 트랙, 18개 주제로 깊이 있는 논의

 이번 FISCON 2024 세미나는 전략, 기술, 대응의 세 가지 트랙으로 나누어 진행되었으며, 총 18개의 강연이 이어졌다. 각 트랙은 금융 보안의 다양한 측면을 다루며 참가자들에게 실질적인 인사이트를 제공했다.

① 트랙 A: 금융 보안 전략

• 원칙중심 규제와 자율보안 프레임워크를 통해 금융 보안의 선진화를 모색하는 방안이 논의되었다.
• 금융 비즈니스 환경 변화에 따른 보안 책임구조 도입 사례와 향후 과제도 다뤄졌다.

② 트랙 B: 혁신 기술

• 제로 트러스트(Zero Trust)와 양자 내성 암호(Post-Quantum Cryptography) 도입 현황을 중심으로, 금융권의 디지털 혁신 사례가 소개되었다.
• 미래 금융의 기반 기술로 떠오르는 AI와 블록체인 기술이 금융 보안에 미칠 영향을 분석했다.

③ 트랙 C: 위협 대응

• AI를 활용한 취약점 탐지 기술과 금융 클라우드 보안 대응 전략 등 고도화된 위협에 맞서는 방안이 발표되었다.

비공개 세션: 금융권 실무 중심 논의

 이번 컨퍼런스의 비공개 세션은 금융업계 실무자들을 대상으로 진행되어 깊이 있는 논의가 이루어졌다.

• 금융권 모의해킹 사례와 주요 취약점 분석, IT 감사 지적 사례가 발표되며, 참가자들은 실제 보안 현장에서 적용할 수 있는 실질적인 교훈을 얻었다.
• 또한 금융감독 정책 동향과 향후 규제 방향에 대한 논의가 이루어지며, 금융기관의 보안 담당자들에게 귀중한 정보를 제공했다.

[ 김현민 멘토님 트랙 발표 - 출처 : 직접 촬영 ]

시상식: 금융보안 인재 양성과 기술 혁신

 금융보안원이 주최한 세 가지 공모전의 시상식이 진행되었다.

• 제8회 금융보안원 논문공모전
• 금융권 사이버 침해위협 분석대회 ‘FIESTA 2024’
• AI 경진대회 및 아이디어 공모전 ‘FSI AI x Data Challenge 2024’

 수상자들에게는 금융보안원 김철웅 원장이 직접 상패를 수여하며, “급변하는 IT 환경 속에서 금융보안의 새로운 방향성을 제시하는 이들이 금융업계의 미래를 이끌 것”이라는 격려를 아끼지 않았다.

 금융보안원 김철웅 원장은 “생성형AI 발전, 자율보안체계 전환 등 그 어느 때보다 큰 변화가 일어나고 있는 IT 및 금융 비즈니스 환경 속에서 적응하기 위해 글로벌 금융보안 트렌드를 살펴보며 새로운 대응 전략을 마련할 필요가 있다”면서, “이번 FISCON 2024가 거대한 변화의 흐름 속에서 지속 가능한 금융보안 전략을 모색하고, 빠르게 진화하는 사이버 위협에 대한 해결 방안을 함께 나눌 수 있는 교류의 장이 되길 바란다”고 밝혔다.

(4) ✈️ 하늘에 있다고 안전하지 않아요 : 항공우주 공격에 SnailResin 맬웨어 배포

[항공우주 공격에 SnailResin 맬웨어 배포]

 TA455로 알려진 이러한 이란 사이버 그룹은 이스라엘, UAE, 터키, 인도, 알바니아 등 국가의 항공 우주 산업을 겨냥한 사이버 공격을 담당하는 그룹이다. TA455는 APT35 그룹의 하위 클러스터로 평가되며, 다양한 보안 기관들에서 여러 이름으로 추적 된다. Google 소유의 Mandiant에서는 이 그룹을 UNC1549 또는 Yellow Dev 13이라고 부르고 있다.

 이스라엘의 사이버 보안 회사인 ClearSky 기업은 해당 캠페인이 SlugResin 백도어를 활성화 하는 SnailResin 멀웨어를 배포했다고 밝혔다. 해당 공격 대상국에는 이스라엘, 아랍에미리트, 터키, 인도, 알바니아 등이 포함되었으며, TA455는 특히 이들 국가의 방산 및 항공 산업을 집중적으로 겨냥했다.

 이번 공격은 주로 구직 정보를 미끼로 사용해 두 가지 백도어, MINIBIKE와 MINIBUS를 유포하는 방식으로 이루어졌다. 기업 보안 전문 업체 Proofpoint에 따르면, TA455는 표적이 된 인물들과의 접촉을 위해 가짜 기업을 세우거나, 가짜 '문의하기' 페이지나 판매 요청을 활용해 직접 소통하는 전술을 구사했다고 전했다. 

[ 가짜 구인 공고 - 출처 : Hacker News ]

 또한, TA455가 취업 미끼를 활용한 공격을 펼친 것은 이번이 처음이 아니기도 하다. PwC가 발표한 “Cyber Threats 2022: A Year in Retrospect” 보고서에 따르면, TA455는 이전에도 실제 또는 가상의 기업 채용 담당자로 가장하여 소셜 미디어 플랫폼에서 특정 인물들과 접촉하는 정찰 및 스파이 활동을 펼친 바 있다.

 이와 같이 TA455는 다양한 소셜 엔지니어링 수법과 구인 관련 미끼를 활용해 정교하게 표적을 속이는 전술을 반복하고 있다. 큰 틀의 수법은 같지만 점점 더 정교해지는 수법에 속수무책으로 당하고 있는 상황이다.

 보안업체 ClearSky에 따르면, TA455(별칭 Yellow Dev 13)는 인물 프로파일을 위해 AI로 생성된 다양한 사진을 사용하고, 실제 인물을 사칭하여 공격 활동을 수행했다고 밝혔다. 이들의 공격 수법은 북한 해킹 조직 Lazarus Group이 수행한 "드림잡 캠페인"과 유사한 부분이 존재하는 것이 특징이다. 특히 채용 기회를 미끼로 한 전술과 DLL 사이드로딩 기법을 통해 악성코드를 배포하는 점이 공통적으로 나타났다.

 이에 따라 일부 전문가들은 TA455가 Lazarus Group의 수법을 모방하여 추적을 혼란스럽게 하거나, 두 그룹 간에 도구를 공유할 가능성이 있다고 제기하고 있다. TA455는 이를 위해 가짜 채용 사이트(예: "careers2find[.]com")와 LinkedIn 프로파일을 사용해 악성 ZIP 아카이브를 배포하는데, 이 파일에는 실행 파일("SignedConnection.exe")과 악성 DLL 파일("secur32.dll")이 포함되어 있으며, 이 EXE 파일을 실행할 때 DLL 파일이 사이드로딩 되어 악성코드가 작동하게 되는 방식이다.

 Microsoft는 이 "secur32.dll" 파일을 SnailResin이라는 트로이 목마 로더로 판명했으며, 이는 SlugResin이라는 업데이트된 백도어를 로드한다. SlugResin은 BassBreaker의 최신 버전으로, 감염된 기기에 원격 접근을 가능하게 하여 해커들이 추가 악성코드를 설치하고, 자격 증명을 탈취하며, 권한을 상승시키고 네트워크 내 다른 기기로 이동할 수 있게 한다.

이 공격은 또한 GitHub를 통해 C2(Command and Control) 서버를 숨기는 ‘데드 드롭’ 방식을 사용하여, 악성 행위를 은폐하고 정상 트래픽 속에 섞여 감지 회피를 시도하는 특징을 보이고 있다.

 ClearSky는 "TA455가 다단계 감염 과정을 정교하게 설계하여 탐지를 최소화하면서 성공 확률을 높이고 있다"고 밝혔다. 공격의 초기 단계는 악성 첨부 파일을 포함한 스피어 피싱 이메일로 시작되며, 이 첨부 파일은 ZIP 파일 내에 구직 관련 문서로 위장된 합법적 파일과 악성 파일을 섞어 보안 스캔을 우회하고 피해자가 악성코드를 실행하도록 유도하는 방식이다.

TA455의 이러한 다층적인 공격 방식은 보안 솔루션의 탐지를 회피하고 표적을 속여 악성코드 배포를 극대화하는 데 중점을 두고 있다.

[마치며]

 정교해지는 사회공학적 기법이 어떻게 우리의 보안 시스템을 우회할 수 있는지를 잘 보여주는 사례이다. 특히, 표적의 신뢰를 얻고 심리적으로 유인하는 수법은 기존의 기술적 방어선만으로는 탐지와 방어가 어려운 새로운 위협 요소가 되고 있다. 각종 기업과 개인은 채용 제안, 이메일 링크, 첨부 파일을 포함한 의심스러운 접근에 대해 더욱 신중을 기하고, 이러한 사회공학적 공격의 위험성을 인지하여 경각심을 갖는 것이 중요하다.

[ 제 10회 정보보안 컨퍼런스 포스터 - 출처 : BoB 총동문회 ]

🎂 10주년 BoB 정보보안 오픈 컨퍼런스(BISC)

[ BISC 컨퍼런스 뉴비 및 주니어 세션 - 출처 : BoB 총동문회 ]

[ BISC 컨퍼런스 시니어 세션 - 출처 : BoB 총동문회 ]

 BoB 컨퍼런스인 BISC가 어느덧 10주년을 맞이해 2024년 11월 23일 토요일에 개최되었다. BoB 총동문회에서 주관/주최하는 사이버 보안 컨퍼런스로 장소는 서울특별시 금천구 서부샛길 606 대성디폴리스 A동 27층 한국정보기술연구원 BoB 센터로 10월 23일부터 11월 20일까지 등록이 진행되었다.

 뉴비 및 주니어 세션과 시니어 세션으로 나뉘어 다양한 분야의 전문가분들의 귀중한 발표를 들을 수 있는 시간이었다. 뉴비 AND 주니어 세션인 봄여름에서는 ‘노베이스 고등학생의 보안 입문기’, ‘뉴비의 보안계 항해일지’,  ‘강원도 지방 산속에서 보안 업계로’, ‘응애 나 아기 보안쟁이부터 대회 수상까지’, ‘보안과 AI: 흥미로운 연구들’, ‘분석으로 알아보는 모바일 악성코드와 그 특징’, ‘다양한 RSA 공격 기법’, ‘스펙(취준)과 재미 그 사이에서 정하는 법’ 총 8개의 세미나가 진행되었으며, 시니어 세션에서는 ‘비공개 세션’, ‘첨단무기를 만드는 방산 회사에서 해커가 하는 일’, ‘Node.JS 취약점 분석과 성과’, ‘보안 스타트업의 성장(ENKI)’ ‘주니어들에게 들려주고 싶은 18년 간의 배운 점, ‘프로게이머에서 해커까지의 여정’, ’BoB 프로젝트에서 DEFCON 발표까지의 노력 과정’, ‘BoB에서 시작하고 대학원에서 성장하기’ 총 8개의 세미나가 진행되었다. 뉴비 및 주니어 세션에서는 보안에 어떻게 입문하게 되었고, 어떤 노력을 통해 성과를 이루었는 지에 대한 입문기에 내용을, 시니어 세션에서는 현업 실무자분들의 연구에 대한 주제로 강연이 진행되었다. BISC는 단순한 컨퍼런스를 넘어 BoB 커뮤니티의 성장과 보안 업계의 발전을 함께 도모하는 소중한 자리임을 다시 한번 증명했다.

[ 해킹지식 대결 부스 운영 - 출처 : BoB 뉴스레터 기자단 ]

[ 테트리스 부스 운영 순위판 - 출처 : BoB 뉴스레터 기자단 ]

 추가로 각 멘토링 룸에서 부스 운영이 진행되었는데, <해킹 지식 대결>, <테트리스>, <Speed Hacker>, <Speed Coder>이 운영되었다. 먼저, 해킹 지식 대결 부스에서는 해킹과 보안 문제에 대한 풀이가 진행되었고, 테트리스 부스는 블리츠 모드로 제한 시간 안에 최고 점수를 기록하며 순위를 다투었다. Speed Hacker 부스에서는 XSS, BOF, SQLI 등 문제 풀이가 진행되었고, Speed Coder 부스는 영문 타자 수를 겨루는 부스가 운영되었다.

🎉 제10회 BISC 네트워크 파티

[ BoB Bisc 네트워크 파티 - 출처 : BoB 총동문회 ]

 제10회 BISC 컨퍼런스가 성공적으로 종료된 후, BoB인들 만을 위한 특별한 네트워크 파티가 진행되었다. 이번 파티는 BoB 커뮤니티만의 끈끈한 유대감을 강화하고, 서로의 경험을 나누는 기회를 제공하기 위해 마련된 자리였다. 참여는 사전 신청을 통해 이루어졌으며, BoB 지인들만 함께할 수 있는 한정된 행사로 더욱 특별함을 더했다.

 이날 네트워크 파티는 다양한 기수의 BoB인들이 한자리에 모여 서로의 경험을 나누고 교류하며 뜻깊은 시간을 보내는 자리였다. 현장에서는 다양한 배경과 경험을 가진 참가자들이 자유롭게 이야기를 나누었으며, 각자 BoB 프로그램을 통해 얻은 교훈이나 성과, 그리고 앞으로의 목표에 대해 공유하며 서로에게 영감을 주는 시간이 되었다.

 특히, 참가자들은 성격 유형에 따라 E조(외향형)와 I조(내향형)로 나뉘어 활동을 진행했다. 이러한 구성은 참가자들이 각자의 성격적 장점을 살려 자연스럽게 어우러질 수 있는 환경을 만들어 주었다. 참석자들은 소중한 BoB 동료들과 함께 웃음과 대화를 나누며 잊지 못할 추억을 만들었다. 파티 후반부에는 함께한 시간에 감사하며 앞으로도 계속해서 서로를 응원하자는 다짐도 이루어졌다.

 이번 네트워크 파티는 BoB 커뮤니티가 단순한 교육 프로그램을 넘어 진정한 동료애와 협력의 장으로 자리 잡았음을 보여주는 행사였다. BoB인들 만의 따뜻한 유대감과 소통의 힘을 다시금 확인할 수 있었던 소중한 시간이었다.

이러한 사이버 위협에 대처하기 위해 유럽 연합(EU)는 지난 10월, EU 내에서 판매되는 디지털 요소(PDE)가 있는 제품의 사이버 보안을 강화하기 위해 ‘사이버 복원력법(CRA)’ 을 도입하였다.

사이버 복원력법(CRA)란?

사이버 복원력법이 중요한 이유

CRA 규정 준수 요구사항

CRA가 EU에 채택됨에 따라 한국에게 미칠 영향