안녕하세요 가야태자 @talkit 입니다.

오늘도 재미나이와 함께 뉴스를 분석해봤습니다.

요즘 마이크로소프트 관련 해킹 이슈가 있다고 하니 다른 메일 여실때 조심 하시기를

여기부터 재미나이가 요약해준 기사 입니다.

감사합니다.

---

[보안 리포트] 소프트웨어 공급망 마비와 신뢰의 붕괴, 그리고 흔들리는 개인정보 보호

최근 IT 업계는 개발 프로세스의 심장부라 할 수 있는 개발 플랫폼을 겨냥한 고도의 소프트웨어 공급망 공격(Software Supply Chain Attack)과 대기업·정부 기관의 인프라를 악용한 신뢰 기반 보안 우회 공격으로 몸살을 앓고 있습니다. 개발 도구의 오염부터 공인된 시스템의 악용, 데이터 브로커의 도덕적 해이까지, 보안 생태계 전반을 위협하는 최근 주요 사건들을 분석합니다.

---

1. 깃허브(GitHub), VS Code 확장 프로그램 오염으로 내부 소스코드 유출

전 세계 개발자들의 필수 플랫폼인 깃허브(GitHub)가 최근 소스코드 유출 사고를 겪으며 소프트웨어 공급망 보안에 비상이 걸렸습니다.

• 사건 개요: 깃허브는 자사 직원의 기기가 마이크로소프트(MS)의 코드 편집기인 VS Code(Visual Studio Code)의 '오염된(Poisoned) 확장 프로그램(Extension)'에 의해 감염되었음을 확인했습니다.
• 피해 규모: 이번 공격을 주도한 해커 집단 TeamPCP는 깃허브 메인 플랫폼 및 내부 조직과 관련된 약 4,000개의 프라이빗 코드 저장소(Private Repositories)를 탈취했다고 주장하며 이를 사이버 범죄 포럼에 매물로 올렸습니다. 깃허브 측은 자체 조사 결과 약 3,800개의 내부 저장소가 유출된 것이 맞다며 해커의 주장을 일부 인정했습니다. 다만, 일반 고객들의 정보가 저장된 외부 리포지토리에는 영향이 없다고 덧붙였습니다.
• 업계 파장: 이번 사고는 최근 데이터 시각화 소프트웨어 AntV 유출 등 일주일에만 수십 건의 공급망 공격을 유행처럼 성공시키고 있는 TeamPCP의 자가증식형 웜(Mini Shai-Hulud)을 활용한 '공급망 플라이휠' 공격의 연장선에 있습니다. 보안 전문가들은 내부 코드 유출로 인해 API 키나 유출된 자격 증명(Credentials)이 노출되었을 가능성이 크므로, 관련 토큰을 즉시 갱신할 것을 권고하고 있습니다.

🔗 원본 기사 참고 링크: > * Wired: A Hacker Group Is Poisoning Open Source Code at an Unprecedented Scale

• Cointelegraph: GitHub investigates unauthorized access to internal repositories

---

2. 마이크로소프트(MS) 공식 알림 계정을 악용한 스팸·피싱 기승

전 세계 수억 명이 신뢰하는 마이크로소프트의 공식 내부 알림 이메일 계정이 스패머와 피싱 사기꾼들에게 악용되는 황당한 허점이 발견되었습니다.

• 공격 방식: 사기꾼들은 MS의 취약점을 악용해 새로운 비즈니스 고객 계정(테넌트)을 생성한 뒤, 시스템 설정을 조작했습니다. 이들은 2단계 인증(2FA) 코드나 계정 중요 알림을 보낼 때 쓰이는 공식 주소인 [email protected]을 통해 스팸 및 피싱 링크를 발송했습니다.
• 방어의 한계: 이 이메일은 마이크로소프트의 실제 고평판 서버에서 발송되기 때문에 기업 보안의 기본인 SPF, DKIM, DMARC 등 이메일 인증 표준 기술을 모두 정상 통과합니다. 이 때문에 보안 솔루션이 스팸이나 피싱으로 걸러내지 못하고 사용자의 편지함에 그대로 배달되는 심각한 문제를 야기하고 있습니다.
• 전망: 비영리 안티스팸 단체 '스팸하우스 프로젝트(The Spamhaus Project)'는 자동화된 알림 시스템이 이 정도로 자유롭게 커스텀 가공되어서는 안 된다고 지적하며 MS 측에 대책 마련을 요구했습니다. 플랫폼 자체를 무기로 삼는 이른바 '시스템 알림 남용(System Notification Abuse)' 공격이 늘어남에 따라 정적 화이트리스트 방식의 보안은 한계를 드러내고 있습니다.

🔗 원본 기사 참고 링크: > * TechCrunch: Scammers are abusing an internal Microsoft account to send spam links

---

3. 미 하원 소속 의원들, '캔버스' 대규모 해킹 사태 관련 청문회 및 조사 촉구

교육용 소프트웨어 기업 인스트럭처(Instructure)가 운영하는 대형 학교 정보 포털 시스템 '캔버스(Canvas)'가 연이어 해킹당하면서 수백만 명의 학생 개인정보가 유출되는 사태가 벌어졌습니다. 이에 미국 의회까지 직접 가세해 구조적 취약점 조사를 선포했습니다.

• 연쇄 해킹의 전말: 유명 해커 집단인 '샤이니헌터스(ShinyHunters)'는 동일한 시스템 취약점을 반복 악용해 대량의 데이터를 빼낸 뒤, 학교 로그인 페이지 자체를 변조(Defacement)하여 학생들 화면에 직접 랜섬 요구 메시지를 띄우는 대담함을 보였습니다.
• 사후 대응 논란: 인스트럭처는 해커들과 협상을 마무리하고 데이터가 삭제되었음을 확인받았다고 발표했으나, 보안 전문가들은 해커들이 뒷돈만 챙기고 데이터를 여전히 보관하고 있을 가능성이 매우 높다며 비판하고 있습니다.
• 정부 규제 움직임: 미 하원 국토안보위원회 의장인 앤드류 가바리노(Andrew Garbarino) 의원은 "주요 교육 기술 업체가 동일 침입자를 막지 못하고 시스템적 취약점을 드러냈다"며 CEO 스티브 다일(Steve Daly)에게 구체적인 서한을 보내 증언을 요구했습니다. 이번 사태로 교육 기술(EdTech) 분야의 규제와 법령이 대폭 강화될 것으로 보입니다.

---

4. AI 기업 및 데이터 브로커들의 '정보 판매 거부(Opt-Out)' 꼼수

개인정보 보호에 대한 목소리가 커지는 가운데, 거대 AI 기업들과 데이터 브로커들이 소비자의 정보 판매 거부(Opt-Out) 권리를 의도적으로 방해하는 '다크 패턴(Deceptive Design)'을 사용하고 있다는 연구 보고서가 발표되었습니다.

• EPIC의 감사 결과: 디지털 권리 비영리 단체인 전자개인정보보호센터(EPIC)가 38개 주요 데이터 기업을 조사한 결과, 이들은 철회 양식을 찾기 힘들게 숨겨두거나, 여러 개의 복잡한 양식을 연달아 제출하게 만들고, 심지어 거부 신청을 하려면 유료 구독을 하도록 유도했습니다.
• 오픈AI·구글 등 AI 기업의 실태: 오픈AI(OpenAI), 구글, 메타 등의 대형 언어 모델(LLM) 공급업체들은 홈페이지나 개인정보 처리방침에 옵트아웃 링크를 명확히 기재하지 않았습니다. 특히 오픈AI의 경우, 어렵게 폼을 찾아 제출하더라도 이는 데이터의 근본적인 삭제나 판매 거부가 아닌 '챗GPT 답변에서 내 개인정보가 출력되지 않도록 필터링'하는 임시방편에 불과하다고 지적받았습니다.
• 안전 문제로의 직결: 스포케오(Spokeo), 화이트페이지(Whitepages) 같은 인물 검색 데이터 브로커들은 주소지 삭제 조치를 단발성 URL 삭제로만 제한하여 나중에 정보가 다시 유출될 수 있다고 경고합니다. EPIC은 이러한 주소지 노출 취약성이 스토킹 범죄, 가정폭력 피해자 및 공직자들을 향한 실제 강력 범죄(2025년 미 하원의원 살해 사건 등)로 이어지는 심각한 보안 사각지대라고 강조하며 연방 정부 차원의 즉각적인 규제 개입을 촉구했습니다.

🔗 원본 기사 참고 링크: > * Wired: Data Brokers’ and AI Firms’ Opt-Out Forms Are Built to Fail, Report Finds

---

💡 보안 총평 및 시사점

오늘날의 사이버 위협은 단순히 외부 벽을 허무는 것을 넘어, 내부 개발 환경(VS Code 확장 프로그램)에 침투하거나 신뢰받는 통신망(MS 공식 이메일)을 변조하는 구조적 고도화 단계에 진입했습니다. 더불어 기업들이 비즈니스적 이득을 위해 사용자의 개인정보 거부 권리를 기만하는 행태는 기술적 방어뿐만 아니라 제도적 규제(미 의회 청문회 및 연방 정부 개입)가 강력하게 병행되어야 함을 시사합니다.

_{Posted using SteemX}