2025년 4월 주요 보안 이슈 정리

이달의 주요 이슈

1. CVE-2025-32433: Erlang/OTP SSH 서버 치명적 RCE (CVSS 10.0)

2025년 4월 가장 긴급한 취약점 중 하나. Erlang/OTP의 SSH 서버 구현에서 인증 전 원격 코드 실행이 가능한 치명적 취약점이 발견되었습니다.

영향 범위: Erlang/OTP 26.2.5.6 미만, 27.3.3 미만 위험성: Erlang 기반으로 구축된 RabbitMQ, CouchDB, 통신 인프라 등 광범위한 서버에 영향 패치: OTP-27.3.3, OTP-26.2.5.6으로 즉시 업그레이드 필요

# Erlang 버전 확인
erl -eval '{ok, Version} = file:read_file(filename:join([code:root_dir(), "releases", erlang:system_info(otp_release), "OTP_VERSION"])), io:fwrite(Version), halt().' -noshell

# 또는
erl +V

2. APT29 — Microsoft OIDC/OAuth 인증 우회 공격

러시아 연계 위협 그룹 APT29(Cozy Bear)가 Microsoft의 OAuth Device Code Flow를 악용해 정부기관 및 군사 조직을 표적으로 한 피싱 캠페인을 실시했습니다.

공격 방식:

1. 공격자가 Microsoft OAuth Device Code Flow 시작
2. 피해자에게 "정상적인" Microsoft 인증 링크 전송 (실제로는 공격자 세션 활성화용)
3. 피해자가 인증 완료 시 공격자가 Access Token/Refresh Token 획득
4. MFA 우회 가능 (인증은 피해자가 정상적으로 수행했기 때문)

방어: Conditional Access Policy로 Device Code Flow 제한, 특정 국가/IP에서의 디바이스 코드 인증 차단

3. CISA 예산 삭감 및 인력 축소 — 미국 사이버 방어 약화 우려

미국 사이버보안 인프라 보안국(CISA)이 약 1,300명의 직원 해고 및 예산 삭감에 직면했습니다. 보안 전문가들은 이로 인해 연방 네트워크 모니터링 및 중요 인프라 보호 역량이 약화될 것을 우려하고 있습니다.

영향:

• EINSTEIN(연방 침입 탐지 시스템) 운영 약화 우려
• ICS/SCADA 취약점 대응 속도 저하
• 주(State)·지방 정부 사이버 지원 감소

4. 공급망 공격: GitHub Actions 토큰 탈취 (tj-actions)

tj-actions/changed-files GitHub Action에서 악성 코드가 발견되었습니다. CI/CD 파이프라인에서 해당 액션을 사용하는 수천 개 리포지토리의 시크릿이 노출되었습니다.

공격 방식: 태그된 버전을 악성 버전으로 교체 → CI 빌드 시 자동 실행 → 환경변수의 시크릿 탈취

교훈:

# ❌ 위험: 가변 태그 사용
uses: tj-actions/changed-files@v35

# ✅ 안전: 특정 커밋 해시 고정
uses: tj-actions/changed-files@0fc1d46b4a04e572ec8b4e5d5b4b2b3c

5. 이달의 주요 패치 현황

보안 동향

AI를 활용한 피싱 공격 급증

2025년 들어 AI를 이용한 스피어 피싱(Spear Phishing)이 급격히 증가했습니다. GPT 류 모델로 생성된 개인화된 피싱 이메일은 기존 시그니처 기반 탐지를 우회하는 데 효과적입니다.

특히 음성 클로닝(Voice Cloning)과 딥페이크를 결합한 "Vishing(Voice Phishing)" 공격이 기업 CEO 사칭에 활용되고 있습니다.

랜섬웨어 그룹 분석: RansomHub

2024년 등장 후 2025년에도 활발하게 활동 중인 RansomHub는 이중 협박(Double Extortion) 모델을 사용합니다. 피해 데이터를 암호화한 후 유출 협박까지 병행합니다.

최근 의료, 물류, 정부 기관을 주요 타겟으로 삼고 있으며, LockBit 붕괴 후 이탈한 인력을 흡수한 것으로 추정됩니다.