🔐 오늘의 보안 뉴스 | 2026-04-06
🌐 해외 보안 뉴스
1. React2Shell(CVE-2025-55182) — Next.js 앱 대상 자동화 자격증명 탈취 캠페인
- 출처: BleepingComputer
- 날짜: 2026-04-05
- 링크: https://www.bleepingcomputer.com/news/security/hackers-exploit-react2shell-in-automated-credential-theft-campaign/
CVE-2025-55182(React2Shell) 취약점을 악용한 대규모 자동화 공격 캠페인이 진행 중이다. Next.js의 Server Action 직렬화·역직렬화 처리 결함으로, 개발자들이 "use server" 기능을 안전하다고 신뢰하지만 실제로는 타입 검사·권한 확인 부재로 서버가 예상 밖의 데이터를 수신·처리해 임의 코드 실행이 가능하다.
공격자들은 자동화 스캐너로 취약한 Next.js 앱을 대량 탐색한 뒤 NEXUS Listener 프레임워크로 API 키, DB 자격증명, SSH 키, AWS/GCP/Azure 클라우드 자격증명, Kubernetes 토큰을 탈취한다. 탈취 데이터는 포트 8080을 통해 C2 서버로 전송된다. Cisco Talos는 24시간 내 766개 호스트가 침해됐다고 보고했다.
대응: React2Shell 보안 업데이트 즉시 적용, 모든 환경 변수·자격증명 교체, AWS IMDSv2 강제화, 시크릿 스캐닝 활성화 필수.
🇰🇷 국내 보안 뉴스
2. FortiClient EMS 치명적 취약점(CVE-2026-35616) — 실제 공격 확인, 긴급 패치
- 출처: 데일리시큐
- 날짜: 2026-04-05
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206089
CVE-2026-35616(CVSS 9.1) — Fortinet FortiClient EMS의 API 인증·권한 검사 우회 취약점이 실제 공격에 악용되고 있다. 자격증명 없이 API 요청만으로 임의 코드·명령 실행이 가능하며, 영향 버전은 FortiClient EMS 7.4.5·7.4.6(7.2는 영향 없음)이다.
3월 31일부터 허니팟 대상 공격 시도가 탐지됐으며 4월 초 실제 제로데이 악용이 확인됐다. 인터넷에 노출된 인스턴스 2,000개 이상이 식별됐고, 수일 전 동일 제품의 SQL 인젝션(CVE-2026-21643)에 이은 두 번째 치명적 취약점이다.
대응: 긴급 핫픽스(7.4.7 이전 버전용) 즉시 적용, EMS 인터넷 노출 최소화, 최근 API 요청 로그 전수 검토.
3. Zer0Con 2026 — macOS XPC·TCC·SIP 우회 연쇄 취약점 공개
- 출처: 데일리시큐
- 날짜: 2026-04-05
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206092
제로콘 2026 컨퍼런스(23개국 참여)에서 macOS 핵심 보안 메커니즘의 연쇄 우회 기법이 발표됐다. XPC에서는 코드 서명 대신 프로세스 이름만으로 클라이언트를 신뢰해 사칭·권한 상승이 가능하고, TCC는 파일 경로 기반 결정으로 경계 조작 시 무단 접근이 허용된다. SIP는 직접 우회 대신 마운트 프로세스의 심볼릭 링크·레이스 컨디션으로 TCC DB 위치까지 조작할 수 있다.
세 메커니즘의 연쇄 결함이 핵심으로, 유효한 코드 서명을 가진 구형 바이너리·신뢰 서비스 검증 미흡·저장소 검증 절차 허점이 맞물린다.
대응: macOS 최신 버전 유지, 불필요한 앱 권한 최소화, XPC 서비스 코드 서명 검증 강화.
4. Zer0Con 2026 — Android Mali GPU 드라이버로 커널 완전 장악 기법 공개
- 출처: 데일리시큐
- 날짜: 2026-04-05
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206091
DevCore 연구원 Chien Chang이 제로콘 2026에서 일반 앱 권한에서 루트 쉘까지의 2단계 Mali GPU 드라이버 익스플로잇 체인을 공개했다. 1단계는 디버그 버퍼의 Double-Free 레이스 컨디션으로 메모리 레이아웃을 예측·조작하고, 2단계는 GPU 커맨드 큐의 Use-After-Free로 파일 객체 구조를 장악한다. 이후 커널 주소 획득 → CFI 우회 → 페이지 테이블 조작으로 읽기 전용 커널 코드 영역을 쓰기 가능으로 전환해 권한 상승 코드를 주입한다.
삼성, 구글 픽셀 등 Mali GPU 탑재 Android 기기 전반에 영향을 미친다.
대응: 제조사 보안 패치 즉시 적용 필수.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | FortiClient EMS CVE-2026-35616 (CVSS 9.1) — 실제 공격 진행 중 |
| 🔴 긴급 패치 | React2Shell CVE-2025-55182 — Next.js 앱 자동 스캔·공격 중 |
| 🟠 진행 중 공격 | React2Shell 캠페인 — 24시간 내 766개 호스트 침해 |
| 🦠 악성코드 | NEXUS Listener 프레임워크 — API키·SSH키·클라우드 자격증명 대량 탈취 |
| 🔵 연구/경고 | macOS XPC·TCC·SIP 연쇄 우회 기법 (Zer0Con 2026) |
| 🔵 연구/경고 | Android Mali GPU 드라이버 커널 탈취 체인 (Zer0Con 2026) |
📅 다음 업데이트: 2026-04-07
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, SecurityWeek, Krebs on Security
