🔐 오늘의 보안 뉴스 | 2026-04-08
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. 이란 정부 지원 해킹그룹, MS 365 환경 300곳 침투
이란 정부 지원 해킹그룹이 Password Spraying 기법으로 UAE 25개 이상 조직의 MS 365 환경 300건 이상을 침해했다. Tor와 VPN으로 추적을 회피하며 MFA 미설정 계정을 집중 공략했다. Check Point·Microsoft가 공동으로 MFA 활성화 및 강력한 자격증명 설정을 권고했다.
2. UNC4736, VS Code tasks.json 악용 — 소프트웨어 공급망 공격
중국 연계 위협 집단 UNC4736이 "Drift" 악성코드를 1개월간 배포해 개발자 환경을 침해했다. VS Code의 tasks.json 설정 파일을 변조해 악성 코드가 자동 실행되도록 조작, 소프트웨어 공급망 전반(빌드 시스템, 배포 인프라)까지 피해가 확산됐다. 25,000개 이상의 자동화 시스템이 영향을 받은 것으로 추정된다 (약 3,850만 달러 규모).
3. 북한 연계 해커, GitHub를 C2로 악용 — 국내 기관 다단계 침투 정황 포착
Fortinet FortiGuard Labs(2026-04-02 확인)에 따르면, 북한 연계 해커가 악성 LNK 파일을 초기 벡터로 활용해 국내 기관을 대상으로 다단계 침투를 시도하고 있다. PowerShell·VBScript·작업 스케줄러를 연쇄 실행해 지속성을 확보하고, GitHub 계정(motoralis, God0808RAMA, Pigresy80)과 Dropbox를 C2 서버로 활용한다. HWP 문서에도 악성코드를 삽입하며, LOLBaS 기법으로 탐지를 우회한다. 작업 스케줄러 이상 탐지 및 GitHub·클라우드 저장소 비정상 통신 모니터링이 필요하다.
4. 커널 흔든 랜섬웨어 공격 — 킬린·워락, EDR 차단 정황 포착
킬린(Kilin)·워락(Warlock) 랜섬웨어 조직이 BYOVD(취약한 드라이버 악용) 기법으로 기업 EDR 제품을 전면 무력화하고 있다. 300개 이상의 EDR 드라이버를 종료할 수 있는 범용 킬러 도구를 사용하며, 사용자 영역 후킹 무력화 및 Windows 이벤트 추적(ETW) 억제를 통해 탐지를 피한다. 초기 침투 후 평균 6일 뒤 랜섬웨어가 실행된다. 신뢰된 드라이버 화이트리스트 적용 및 커널 무결성 보호 강화가 필요하다.
🌐 해외 보안 뉴스
5. FBI: 미국인 사이버범죄 피해 사상 최대 — 210억 달러 돌파
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/fbi-americans-lost-a-record-21-billion-to-cybercrime-last-year/
FBI IC3 보고서에 따르면 2025년 미국인의 사이버범죄 피해액이 210억 달러로 전년 대비 26% 증가해 역대 최대치를 기록했다. 암호화폐 관련 범죄 110억 달러, 투자 사기 86억 달러, 60세 이상 노인 피해 77억 달러(전년比 37% 급증). AI 기반 사기(음성 클로닝, 딥페이크, 위조 문서)가 신종 공격 유형으로 부상했다(22,300건). FBI는 금융사기 대응 작전으로 11.6억 달러 중 6.79억 달러 차단에 성공했다.
6. Flowise RCE 취약점 (CVE-2025-59528) 실제 공격 악용 중 — 최고 심각도 CVSS 10.0
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/
Flowise의 CustomMCP 노드에서 JavaScript 코드 주입 취약점(CVE-2025-59528)이 발견됐다. mcpServerConfig 입력값 검증 없이 실행되어 임의 코드 실행 및 파일 시스템 접근이 가능하다 (CVSS 10.0). 버전 3.0.6 이전 전체가 영향받으며, 현재 인터넷에 노출된 인스턴스 12,000~15,000개. 2026-04-07 첫 공격 악용이 탐지됐다. 즉시 버전 3.1.1(최신)으로 업그레이드하고, 불필요 시 인터넷 노출을 차단해야 한다.
7. 이란 해커, 미국 핵심 인프라 PLC 직접 조작 — FBI·CISA 공동 경보
- 출처: BleepingComputer / SecurityWeek
- 링크: https://www.bleepingcomputer.com/news/security/us-warns-of-iranian-hackers-targeting-critical-infrastructure/
이란 연계 APT가 인터넷에 노출된 Rockwell/Allen-Bradley PLC를 공격해 미국 핵심 인프라의 SCADA 화면 데이터를 조작하고 있다. 수도·폐수 처리, 에너지, 정부 시설이 주요 타깃이며 2026년 3월부터 공격이 확산됐다. FBI, CISA, NSA, EPA, DOE, 미 사이버사령부가 공동 경보를 발령했다. PLC 인터넷 연결 해제 또는 방화벽 적용, OT 네트워크 MFA 구현이 시급하다.
8. APT28(러시아), DNS 하이재킹으로 MS 365 자격증명 대규모 탈취
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/authorities-disrupt-dns-hijacks-used-to-steal-microsoft-365-logins/
APT28이 MikroTik·TP-Link 라우터를 침해해 DNS 설정을 변조, MITM 공격으로 MS 365 인증 트래픽을 가로챘다. 2025년 12월 최고조 당시 120개국 18,000대 기기 감염. 정부기관, 법집행기관, IT 서비스 업체가 주요 타깃이었다. FBI·DOJ·폴란드 공동 작전으로 법원 승인 하에 침해 라우터 DNS 설정을 원격 복구했다. 라우터 최신 펌웨어 유지 및 DNS 설정 정기 점검이 필요하다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Flowise CVE-2025-59528 (CVSS 10.0) → 즉시 버전 3.1.1 업그레이드 |
| 🟠 진행 중 공격 | 이란 PLC 조작 공격, 킬린·워락 EDR 무력화, 북한 GitHub C2 캠페인 |
| 💰 대형 사고 | 미국 사이버범죄 피해 210억 달러 (역대 최대, 전년比 26% 증가) |
| 🦠 악성코드 | Drift(UNC4736 공급망 공격), 북한 LNK 기반 다단계 악성코드 |
| 🔵 연구·경고 | FBI·CISA 이란 PLC 공동 경보, APT28 DNS 하이재킹 FBI 원격 조치 |
📅 다음 업데이트: 2026-04-09
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, SecurityWeek, Krebs on Security
