🔐 오늘의 보안 뉴스 | 2026-04-09
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. APT28, 'PRISMEX'로 우크라이나·나토 지원망 침투 — 제로데이+스테가노그래피 결합
러시아 해킹조직 APT28이 신규 악성코드 'PRISMEX'를 활용해 우크라이나 중앙행정부·국방·기상수문기관, 폴란드 철도물류, 루마니아·슬로베니아·튀르키예 해운·운송, 슬로바키아·체코 탄약 지원체계, 나토 관련 조직을 광범위하게 침투했다. 이미지 파일에 악성코드를 숨기는 스테가노그래피 기법과 Windows COM 악용, 정상 클라우드 서비스 C2 활용을 결합했다. CVE-2026-21509, CVE-2026-21513을 공개 2주 전부터 악용(사실상 제로데이)했으며, 2025년 9월부터 지속 중인 공격이 첩보 수집에서 시스템 파일 삭제(운영 중단)까지 확대됐다.
2. 미국 시그니처 헬스케어 병원 사이버공격 — 앰뷸런스 우회·항암치료 전면 취소
4월 6일 미국 시그니처 헬스케어 병원 시스템이 사이버공격을 받아 네트워크 일부를 강제 차단했다. 응급실 앰뷸런스가 인근 병원으로 전면 우회되고, 4월 7일 예정 항암 주입치료가 전면 취소됐다. 브록턴·이스트 브리지워터 지역 약국 운영이 중단되고, 전자의무기록(EMR) 시스템 마비로 수기 진료로 전환했다. FBI 등 연방수사기관이 조사에 착수했다.
3. 중국 스톰-1175, 취약점 공개 전 선제 공격 — 메두사 랜섬웨어 수 시간 내 확산
중국 연계 해킹조직 스톰-1175가 MS Exchange, ConnectWise, 파일전송 소프트웨어 등 16개 이상 취약점을 연쇄 악용해 취약점 공개 최대 1주 전부터 공격을 감행했다(제로데이 수준 선제 공격). 침투 후 웹셸 설치·자격증명 탈취를 거쳐 PDQ Deploy로 네트워크 전체에 메두사 랜섬웨어를 확산시켰다. 의료·교육·금융·전문서비스 분야 미국·영국·호주 기업들이 피해를 입었으며, Windows·Linux 환경 모두 영향받았다.
4. 전력망·철도 연결 ICS 179개 인터넷 노출 — 20개국 기반시설 직접 위협
20개국에서 179개의 산업제어시스템(ICS) 장비가 인터넷에 직접 노출된 것으로 확인됐다. 미국 57대, 스웨덴 22대, 튀르키예 19대 순이며 철도 신호 제어·운행 경로 설정 시스템, 아시아·유럽 국가 전력망 장비가 포함됐다. 암호화·인증 절차가 없는 모드버스(Modbus) 502번 포트를 통해 누구나 직접 접근 가능한 구조적 취약점이 원인이다.
🌐 해외 보안 뉴스
5. SVG 1x1 픽셀 트릭으로 Magento 쇼핑몰 신용카드 탈취 — 100개 매장 피해
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/hackers-use-pixel-large-svg-trick-to-hide-credit-card-stealer/
Magento Open Source / Adobe Commerce v2 기반 온라인 쇼핑몰 약 100개가 신형 Magecart 공격에 피해를 입었다. 1x1 픽셀 SVG 요소에 onload 핸들러를 삽입해 육안 탐지를 완전히 우회하고, 결제 버튼 클릭 시 가짜 "보안 결제" 오버레이를 표시해 카드정보를 탈취한다. 탈취된 정보는 XOR+Base64로 인코딩돼 IncogNet LLC 호스팅 6개 도메인으로 유출된다. 3월 중순 공개된 PolyShell 취약점을 초기 침투 벡터로 활용했다.
6. UNC6783, BPO 업체 통해 대기업 Zendesk 지원티켓 대규모 탈취 — Adobe 1300만건
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/
신규 위협 집단 UNC6783이 BPO(비즈니스 프로세스 아웃소싱) 업체 직원을 소셜 엔지니어링으로 공략해 Adobe, CrunchyRoll 등 대형 기업 수십 곳의 Zendesk 지원티켓을 탈취했다. 스푸핑된 Okta 로그인 페이지와 클립보드 탈취 기능이 탑재된 피싱 킷으로 MFA를 우회했다. Adobe에서는 지원티켓 1,300만건(개인정보·직원 기록·HackerOne 제출 포함)이 유출됐다.
7. Ivanti EPMM RCE 취약점 CVE-2026-1340 — CISA 4월 11일까지 긴급 패치 명령
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-exploited-ivanti-epmm-flaw-by-sunday/
Ivanti Endpoint Manager Mobile(EPMM)에서 인증 없이 원격 코드 실행이 가능한 CVE-2026-1340(코드 인젝션)과 보조 취약점 CVE-2026-1281이 발견됐다. 1월부터 실제 공격에 악용 중이며 인터넷 노출 EPMM이 약 950개 IP(유럽 569개, 북미 206개) 확인됐다. CISA는 BOD 22-01 지침에 따라 미국 연방기관에 4월 11일(일) 자정까지 패치 적용을 강제했다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Ivanti EPMM CVE-2026-1340 (무인증 RCE) → 4월 11일까지 필수 / 스톰-1175 MS Exchange 등 16개 취약점 |
| 🟠 진행 중 공격 | APT28 PRISMEX 우크라이나·나토 공격, UNC6783 BPO 경유 기업 탈취, Magento SVG 스키머 캠페인 |
| 💰 대형 사고 | 미국 시그니처 헬스케어 공격(앰뷸런스 우회·항암치료 취소), Adobe 1,300만건 지원티켓 탈취 |
| 🦠 악성코드 | 메두사 랜섬웨어(스톰-1175, Windows·Linux 전방위), PRISMEX(스테가노그래피 탐지 회피) |
| 🔵 연구·경고 | 20개국 179개 ICS 인터넷 노출(전력망·철도), CISA Ivanti 긴급 패치 명령 |
📅 다음 업데이트: 2026-04-10
📌 보안 뉴스 소스: 데일리시큐, BleepingComputer, SecurityWeek
