ZeroCERT

16/04/2026

보이스피싱
최근 동일한 수법의 보이스피싱 피해 사례가 잇따르고 있어 위험성을 알리고 예방에 도움이 되고자 정리해봤습니다.

사례1. 검사 사칭 보이스피싱, 이렇게 진행됩니다
사례2. 악성앱 설치 유도형 보이스피싱, 이런 식으로 접근합니다

보이스피싱의 위협, AI 활용까지. 우리 가족은 안전한가?

3개월만에 3,116억 피해, 안녕하세요. 중앙지검, 우체국 입니다. 보이스피싱 범죄는 지금도 진행 중 | Trend

27/03/2026

안녕하세요.

제로 블로그 개설과 함께
위협정보, 침해사고 분석 사례를 정리해서 올리고 있는데요.
이번에는 작년에 이슈였던 Oracle E-Business Suite(EBS) 취약점 분석 사례입니다.

조금이나마 사이버 위협을 알리고 해결하는 데 도움되는 사례 중심으로 공유드리겠습니다.

감사합니다.

[침해사고 분석] 서비스 중단 없이도 침해는 끝난다: Oracle EBS 취약점을 악용한 주요 데이터 원격 탈취

Tech

18/03/2026

안녕하세요.

AI 대전환(AX)의 시대, 새로운 도약을 위해 제로 시즌2를 시작합니다.
시즌2 업그레이드를 위해 홈페이지 도메인 변경과 리뉴얼, 블로그 개설부터 시작하였습니다.

시즌2에서는
늘어가는 사이버 위협에 대해 기업 피해확산 방지와 침해사고 대응력 강화를 위한 관련 서비스 및 솔루션 제공에 집중할 계획입니다.

좀 더 깊은 얘기는 CEO 인터뷰를 참조해주세요.
https://www.newseconomy.kr/news/articleView.html?idxno=19596

많은 관심과 사랑 부탁드립니다.

감사합니다.

※ 구경가기 좌표
- Homepage : https://zeroax.com/
- Blog : https://zeroax.com/blog

디지털 전환이 가속화되면서 기업과 공공기관이 보유한 데이터의 가치가 커지는 동시에 사이버 공격의 위험도 함께 증가하고 있다. 랜섬웨어, 스미싱, 악성코드 등 다양한 형태의 사이버 범죄는 갈수록 정교해지고 있으며, 한 ....

23/07/2024

최근 국내 특정 홈페이지 웹변조(디페이스) 이슈가 있었는데요.
웹변조뿐만 아닌 악성코드 유포까지 확인되어 관련 이슈 공유드립니다.

워드프레스 취약점 통한 난독화된 악성 스크립트를 삽입하여
멀버타이징(Malvertising) 이용 피싱, CryptBot stealer 유형 등 악성코드 유포가 확인되고 있습니다.

관련 위협정보를 공유드리오니 대응에 참고 바랍니다.

* IoC
hxxps://ads-house[.]com/

hxxp://89[.]23[.]103[.]56/Downloads/Movief/Full%20Movie%20HD%20%281080p%29.lnk
hxxp://89[.]23[.]103[.]56/Downloads/Videof/Full%20Video%20HD%20%281080p%29.lnk
hxxp://89[.]23[.]103[.]56/Downloads/PDF/PDF%20File.lnk..

13/06/2024

하이웍스, 네이버웍스 그룹웨어 사용자 대상 피싱 공격 주의

해당 피싱 공격은 어제 오늘 얘기는 아니지만 아이디, 패스워드 계정 수집서버가 확인되어 관련 내용 공유 드립니다.

피싱 C&C 서버 확인결과
2024년 2월부터 현재까지 방송, 언론, 플랜트 협회, 연맹, 산업연구개발재단, PEF 사모투자펀드 등 약 180개 회사 이메일 계정 정보가 수집된 것으로 확인되었습니다.

"24년 상반기 침해사고 정보 공유 세미나"에서도 발표한 것처럼 거래처 이메일을 사칭한 무역사기 등 또 다른 법적, 금전적 피해가 발행할 수 있습니다.
아이디, 패스워드 계정을 요구하는 웹 페이지는 정상적인 도메인인지 유무를 꼭 체크하시길 바랍니다.

※ '24년 상반기 침해사고 정보 공유 세미나' 발표자료 내려받기
- https://drive.google.com/drive/folders/1i5-wNby5E3ApIJc5NpPVnWqC4n5TMbSS

13/06/2023

아래 두개의 이슈는 IoC를 봤을때 동일한 공격그룹으로 추정됩니다.
해당 홈페이지 제작업체와 제작한 홈페이지들 전반적인 확인이 필요해보입니다.

https://twitter.com/fmc_nan/status/1668156772912361472


특정 홈페이지 제작 업체가 제작한 국내 다수의 홈페이지 피해 확인
https://asec.ahnlab.com/ko/54012/

*관련 분석정보
- readme.doc
https://malware.me/analysis/42244/summary/

- smartoption.php
https://malware.me/analysis/42246/summary/

AhnLab Security Emergency response Center(ASEC)에서는 국내 홈페이지 제작업체가 제작한 홈페이지를 타겟으로 공격하여 악성코드 유포에 활용하는 정황이 확인되었다. 특정 홈페이지 제작업체는 제조, 무역, 전기, 전자, 교육, 건설, 의료, ...

18/08/2022

GitHub 솔루션파일(*.sln) 위장한 RAT 툴 유포
Fake sln file uploaded to GitHub code

GitHub와 MS Visual Studio 이용 개발자분들의 각별한 주의가 필요하겠습니다.

sln file extension == scr executable file --> RAT tool
attack technique : RIGHT-TO-LEFT OVERRIDE, social engineering technique, Developer Target

https://asec.ahnlab.com/ko/37764/

일부 c&c
217[.]64.31.3:9742, fakirlerclub[.]xyz

ASEC 분석팀에서는 최근 GitHub 에서 솔루션파일(*.sln)을 위장하여 RAT 툴이 유포 중인 것을 확인하였다. [그림1] 은 악성코드 유포자가 GitHub에 “Jpg Png Exploit Downloader Fud Cryter Malware Builder Cve 2022” 제목으로 소스코드를 공유한 내용이...

20/08/2021

스미싱 모바일 악성앱 관리자페이지(AdminPanel) 확인

모바일 악성앱을 관리하는 관리자페이지(7개 서버)가 확인되어 관련내용 공유 드립니다.
언론보도를 통해서도 스미싱 관련 피해사고를 보도하고 있는데요.

이번에는 악성앱이 설치된 핸드폰들을 관리하는 “오뚜기” 이름을 갖고 있는 PhoneSpy, Layui-admin 템플릿을 이용하는 두 유형의 관리자페이지가 있으며 모두 매뉴 구성 및 기능은 동일한 것으로 확인되었습니다.

두 유형의 관리자페이지는 몸캠피싱(출장업소, 만남, 채팅, 갤러리, 동영상 등), 금융(은행, 대출, 상품 등) 관련 피해 대상을 구분하여 관리하는 특이점도 보이고 있습니다.

관리자페이지의 주요기능으로
온/오프라인 핸드폰 목록, 연락처, SMS 문자, 통화 기록, 사진, 위치확인, 카메라제어, 실시간 녹음, 강제발신, 발신전환, 앱 목록, 비밀번호 확인, 실시간 영상, SMS 발송 등 핸드폰 정보를 수집하고 제어하는 기능이 있어 사생활 침해 등 2차 추가 피해까지 가능하겠습니다.

점점 우리 생활 속 깊숙이 들어와 있는 범죄의 거미줄 속에서 금전적, 정신적 피해가 없도록 주의바랍니다.

마지막으로 7개의 관리자페이지 서버중 일부에서 피해자로 추정되는 약 370개 핸드폰 번호가 확인되어 끝자리 번호를 공유 드립니다.
한국인터넷진흥원에서 핸드폰 등 모바일기기 무료 점검서비스를 진행하고 있어 해당 번호에 포함되거나 모바일기기가 이상하다 생각되시는 분은 내PC돌보미 서비스 점검을 권해드립니다.

* 내PC돌보미 서비스 신청하기
https://www.boho.or.kr/webprotect/pcSecCheck.do?fbclid=IwAR2kECc9jGie9muV7k9hzKWsYjB6a_snNEBlETn7zHm5k8nuoy_bLhOjN8U

* 관련 언론보도
- 잇따르는 ‘몸캠 피싱’…대처법은?
https://www.youtube.com/watch?v=SbdaNdAtGIc

- '경찰청 사칭 앱' 속아 1억 전달…211명 낚였다
https://www.youtube.com/watch?v=2HgL-395Jbk

- 보이스피싱 피해 ‘역대 최대’ 7천억원, 대편면취 5배 증가
https://www.youtube.com/watch?v=0OD6cGefPYA
별로도 분류하고 있는 메신저 피싱 576억(잠정)까지 더하면 7천576억(잠정)
지난 한해 보이스 피싱 범죄는 메신저 피싱까지 합쳐서 4만4천여건
하루 121명, 12분마다 1명이 당하고 있는 수치

- "정부 지원"에 솔깃…알고 보니 '악성 앱' 보이스피싱 사기
https://www.youtube.com/watch?v=eNGdI8Phjnk

* 370개 핸드폰 뒷자리 번호
0015, 0052, 0087, 0112, 0118, 0173, 0213, 0243, 0246, 0343, 0352, 0355, 0365, 0477, 0514, 0540, 0576, 0630, 0644, 0677, 0695, 0722, 0746, 0843, 0892, 0899, 0931, 0989, 0994, 1027, 1039, 1050, 1075, 1079, 1148, 1169, 1266, 1286, 1313, 1327, 1332, 1340, 1343, 1346, 1373, 1379, 1424, 1428, 1470, 1569, 1577, 1595, 1608, 1669, 1674, 1686, 1715, 1741, 1810, 1812, 1846, 1868, 1870, 1910, 1927, 1993, 2006, 2063, 2098, 2112, 2153, 2170, 2171, 2192, 2233, 2239, 2245, 2261, 2266, 2318, 2362, 2373, 2406, 2419, 2490, 2516, 2519, 2558, 2562, 2594, 2618, 2666, 2700, 2711, 2717, 2772, 2855, 2860, 2875, 2885, 2990, 2993, 3017, 3037, 3056, 3067, 3071, 3101, 3111, 3153, 3209, 3275, 3276, 3282, 3311, 3317, 3332, 3335, 3347, 3349, 3355, 3392, 3445, 3476, 3496, 3504, 3534, 3565, 3674, 3753, 3787, 3802, 3843, 3853, 3856, 3868, 3886, 3989, 4041, 4049, 4088, 4090, 4109, 4131, 4297, 4347, 4367, 4428, 4439, 4478, 4502, 4548, 4569, 4571, 4577, 4611, 4622, 4634, 4645, 4654, 4668, 4687, 4697, 4705, 4707, 4722, 4731, 4739, 4852, 4860, 4861, 4900, 4907, 4935, 4952, 4960, 4970, 4986, 4988, 5004, 5006, 5016, 5024, 5065, 5085, 5115, 5120, 5132, 5177, 5199, 5200, 5205, 5212, 5279, 5282, 5407, 5441, 5464, 5490, 5500, 5514, 5520, 5538, 5547, 5554, 5559, 5588, 5590, 5612, 5667, 5689, 5725, 5741, 5749, 5769, 5791, 5819, 5820, 5839, 5875, 5964, 5966, 5991, 6001, 6005, 6009, 6022, 6112, 6114, 6181, 6223, 6229, 6233, 6261, 6292, 6510, 6514, 6516, 6519, 6523, 6586, 6589, 6621, 6640, 6649, 6650, 6678, 6690, 6694, 6705, 6735, 6809, 6852, 6925, 6973, 7040, 7062, 7064, 7071, 7078, 7096, 7114, 7115, 7122, 7143, 7166, 7181, 7183, 7219, 7227, 7247, 7270, 7296, 7305, 7316, 7373, 7382, 7504, 7607, 7616, 7618, 7691, 7716, 7763, 7764, 7767, 7778, 7829, 7862, 7883, 7899, 7930, 7935, 7962, 7963, 7986, 7997, 8006, 8009, 8039, 8117, 8145, 8146, 8174, 8224, 8242, 8258, 8282, 8344, 8394, 8411, 8413, 8414, 8482, 8484, 8490, 8563, 8679, 8717, 8736, 8746, 8767, 8775, 8786, 8806, 8823, 8838, 8848, 8852, 8873, 8979, 9002, 9006, 9008, 9158, 9217, 9236, 9298, 9308, 9322, 9340, 9358, 9373, 9380, 9422, 9431, 9434, 9464, 9520, 9574, 9581, 9616, 9628, 9632, 9641, 9651, 9697, 9718, 9746, 9771, 9793, 9794, 9819, 9863, 9915, 9927, 9965, 9966, 9978, 9984

06/07/2021

REvil Sodinokibi GandCrab ... & South Korean

“A bigger part of the South Korean submissions most likely were from infections of home users' devices, while of the submissions from other countries are mostly (if not all for some of them) from infections at companies' networks... https://t.co/oRzlfeqqWI”

10/03/2021

REvil ransomware and the Gootkit banking Trojan
malware payloads in South Korea, Germany, France, and across North America. - Sophos news

The Javascript-based infection framework for the Gootkit RAT increasingly delivers a wider variety of malware, including ransomware payloads, filelessly