🔐 오늘의 보안 뉴스 | 2026-04-11
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. 북한 연계 해커, GitHub를 C2로 악용 — 국내 조직 다단계 침투 정황 포착
북한과 연계된 해킹 조직(김수키·스카크러프트 포함)이 국내 조직을 표적으로 GitHub를 명령제어(C2) 인프라로 악용하는 정황이 포티넷 포티가드랩스에 의해 확인됐다. 공격은 악성 윈도우 바로가기 파일(LNK)로 시작되며, 실행 즉시 미끼용 PDF를 보여주는 동시에 백그라운드에서 PowerShell 스크립트를 은밀히 실행한다. VBScript와 작업 스케줄러를 통해 30분마다 자동 재실행되도록 지속성을 확보하며, 수집된 시스템 정보를 GitHub 저장소로 전송한다. GitHub라는 합법적 플랫폼을 C2로 활용함으로써 보안 솔루션의 네트워크 탐지를 우회하는 것이 특징이다. 이메일 첨부 LNK 파일 차단, 작업 스케줄러 이상 행위 모니터링, GitHub·클라우드 저장소로의 비정상 아웃바운드 통신 점검이 필요하다.
2. 중국 연계 Storm-1175, 취약점 공개 전 선제 공격으로 Medusa 랜섬웨어 배포
마이크로소프트 위협 인텔리전스가 추적 중인 중국 연계 해킹 조직 Storm-1175가 취약점 공개 최대 1주일 전부터 공격 코드를 활용하는 사실상 제로데이 수준의 선제 공격 능력을 보여줬다. 피해 대상은 의료·교육·금융·전문 서비스 분야로 미국·영국·호주 등 주요 국가에 걸쳐 있다. Microsoft Exchange, ConnectWise, 파일 전송 소프트웨어, Oracle WebLogic 등 16개 이상의 취약점을 연쇄적으로 악용하며, PowerShell·PsExec·Impacket 등 정상 관리 도구를 악용해 탐지를 회피한다. 침투부터 Medusa 랜섬웨어 실행까지 수 시간 내에 완료되는 초고속 공격이 특징이다. 신속한 패치 적용과 외부 노출 시스템 지속 점검이 핵심 대응 방안이다.
3. 커널 흔든 랜섬웨어 — 킬린·워락, BYOVD 기법으로 EDR 300개 이상 무력화
Qilin(킬린)과 Warlock(워락) 랜섬웨어 조직이 BYOVD(Bring Your Own Vulnerable Driver) 기법으로 엔드포인트 보안 솔루션을 커널 수준에서 무력화하는 정황이 확인됐다. 킬린은 악성 DLL 'msimg32.dll' 사이드로딩으로 감염을 시작하며, rwdrv.sys(물리 메모리 접근)와 hlpdrv.sys(300개 이상 EDR 드라이버 일괄 종료)를 핵심 무기로 활용한다. 페이로드는 메모리에서만 복호화되어 디스크 기반 탐지를 회피하며, Windows ETW 로그 억제와 API 호출 패턴 은폐 등 다층 회피 기법을 적용한다. 초기 침투 후 평균 6일 후 랜섬웨어를 실행해 내부 확산과 방어 약화에 충분한 시간을 투자한다. 워락은 NSecKrnl.sys를 도입해 커널 제어를 달성했다. 신뢰된 서명 드라이버만 허용하는 정책과 비정상 드라이버 적재 이벤트 모니터링이 필수다.
4. 전력망·철도까지 — 인터넷 노출 산업제어시스템 20개국 179개 장비 위협
비교테크(Viakoo) 연구팀이 Modbus 502번 포트에 응답하는 장비를 스캔한 결과, 20개국에서 179개의 산업제어 장비가 인터넷에 직접 노출된 것을 확인했다. 미국 57대, 스웨덴 22대, 튀르키예 19대 순이며, 아시아·유럽의 국가 전력망 연결 장비와 철도 네트워크 일부로 식별된 장비도 포함됐다. Modbus 프로토콜은 수십 년 전 폐쇄망 환경을 전제로 설계되어 암호화와 인증 기능이 없으며, 인터넷에 노출될 경우 누구나 데이터 조회 및 물리 장비 제어가 가능하다. 공격 성공 시 전력 공급 중단, 철도 운행 마비 등 국가 기반시설 직접 피해로 이어질 수 있다. 방화벽·VPN·네트워크 분리로 인터넷 직접 노출을 즉시 차단해야 한다.
5. 제로콘 2026 — 삼성·안드로이드 메신저·DNG에서 0-클릭 취약점 16개 발표
POC Security 주최 Zer0Con 2026(서울, 4월 2~3일)에서 Google Project Zero 연구원 Brendon Tiszka가 삼성 기기, 안드로이드 메신저 앱, DNG 이미지 포맷에서 발견한 16개 이상의 취약점을 공개했다. 핵심은 사용자가 아무 행동을 하지 않아도 메시지 수신 또는 이미지 미리보기만으로 공격이 자동 실행되는 0-클릭 공격이다. Qualcomm DNG, Qualcomm JPEG, DNG-SDK의 이미지 디코더 처리 과정에서 논리적 결함을 연쇄적으로 연결해 공격 경로를 구성한다. 이 연구는 메신저 앱과 미디어 처리 자동화 기능이 OS·브라우저 수준을 넘는 고위험 공격 표면임을 실증했다. 삼성 기기 보안 업데이트 즉시 적용과 메신저 앱 최신 버전 유지가 필요하다.
6. 유럽 철도 패스 서비스 Eurail, 고객 308,777명 개인정보 유출
유럽 철도 여행 패스 제공업체 Eurail B.V.에서 308,777명의 고객 개인정보가 유출됐다. 공격자는 12월 26일 데이터베이스 접근 권한을 획득한 후 유출 사실을 공개적으로 위협했으며, 소스코드·DB 설정·비밀 티켓 정보 등 약 1.3TB 분량의 데이터가 탈취됐다. DiscoverEU(EU 청소년 무료 철도 여행 지원 프로그램) 이용자도 피해에 포함됐으며, 1959년 Eurail 설립 이후 최대 규모의 개인정보 유출 사건이다. Eurail은 침해 사실을 확인하고 피해 사용자에게 개별 통보했으며 보안 기관에 신고 완료했다. Eurail 패스 이용자는 이메일·계정 보안 즉시 점검이 필요하다.
7. 금융권 망분리의 구조적 허점 — 보안 방어선이 공격 경로로 전락
금융보안원이 논리적 망분리 체계의 구조적 우회 가능성을 공식 경고했다. 핵심 허점은 접근제어 서버 단일 의존, 기본 비밀번호 미변경, 민감정보 평문 보관이다. 3가지 우회 공격 경로가 실증됐다: 내부에서 외부로의 Egress Chain(취약 내부 서버→임직원 PC→접근제어 서버→외부 유출), 외부에서 내부로의 Ingress Chain(웹서버 취약점→웹쉘→내부 DB/AD 서버 장악), 내부에서 클라우드로의 Pivot Net(NAC 악용→단말 장악→클라우드 크레덴셜 탈취). 자동·수동 취약점 점검 강화, MFA 확대, 기본 설정 검수, 로깅 정책 재검토가 핵심 대응 방안이다.
8. 북한 APT37, SNS 정찰·악성 설치파일·Zoho WorkDrive 악용 다단계 표적 침투
북한 연계 APT37이 SNS → 메신저 → 악성파일 → 클라우드 유출로 이어지는 4단계 표적 침투를 수행했다. 페이스북 계정 2개(평양·평성 출신으로 위장)로 표적을 선별한 후 텔레그램으로 관계를 형성하고, Wondershare PDFelement 설치본을 변조한 악성 파일("PDF_Security" 위장)을 전달한다. 감염 후 dism.exe 프로세스 주입과 JPG 파일로 위장한 C2 주소(XOR 암호화), 파일리스 실행으로 탐지를 회피한다. 수집된 문서(DOC/XLS/HWP 등), 화면 캡처, 시스템 정보는 Zoho WorkDrive OAuth2 API를 통해 AES-256-CBC 암호화 후 외부로 전송된다. EDR 행위 분석 강화, SNS 외부 파일 제한, 정상 시스템 도구의 이상 행위 모니터링이 필요하다.
🌐 해외 보안 뉴스
9. Apache ActiveMQ 13년 된 RCE 취약점 발견 (CVE-2026-34197)
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/13-year-old-bug-in-activemq-lets-hackers-remotely-execute-commands/
Apache ActiveMQ Classic에 13년간 미탐지 상태로 존재한 원격 코드 실행(RCE) 취약점 CVE-2026-34197(CVSS 8.8)이 발견됐다. Horizon3 연구원이 Claude AI를 활용해 발견한 이 취약점은, Jolokia 관리 API가 broker 함수(addNetworkConnector)를 외부에 노출하여 공격자가 악성 Spring XML 파일을 원격으로 불러오게 강제, 초기화 중 임의의 시스템 명령을 실행할 수 있게 한다. CVE-2024-32114와 연계 시 버전 6.0.0~6.1.1에서는 인증 없이 API 접근이 가능하다. 영향 버전은 5.19.4 이전 전체 및 6.0.0~6.2.3이며, 2026년 3월 30일 6.2.3 및 5.19.4에서 패치가 완료됐다. 즉시 패치 적용 필수.
10. macOS ClickFix 변형 공격 — Script Editor 악용해 AMOS 스틸러 배포
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/new-macos-stealer-campaign-uses-script-editor-in-clickfix-attack/
공격자가 Apple 공식 사이트를 사칭한 가짜 디스크 정리 가이드 페이지를 통해 applescript:// URL 스킴으로 macOS Script Editor를 자동으로 열고 악성 코드를 미리 채워 넣는 ClickFix 변형 공격이 발견됐다. 기존 Terminal 직접 실행 방식보다 진입 장벽이 낮아 피해 가능성이 높다. curl | zsh 명령으로 메모리 내 스크립트를 실행하여 AMOS(Atomic Stealer)를 배포한다. AMOS는 macOS 키체인 정보, 브라우저 내 암호화폐 지갑, 자동완성 자격증명, 비밀번호, 쿠키, 신용카드 정보를 탈취하며 백도어 설치로 지속적 접근을 유지한다. Script Editor 실행 요청은 고위험 신호로 간주하고, 신뢰할 수 없는 웹사이트의 지시는 절대 따르지 말아야 한다.
11. 러시아 Forest Blizzard(APT28), 라우터 해킹으로 MS Office 인증 토큰 탈취
- 출처: Krebs on Security
- 링크: https://krebsonsecurity.com/2026/04/russia-hacked-routers-to-steal-microsoft-office-tokens/
러시아 GRU 군사정보국 산하 Forest Blizzard(APT28/Fancy Bear)가 MikroTik, TP-Link 등 구형 SOHO 라우터의 알려진 취약점을 악용해 DNS 설정을 변조, 공격자 제어 DNS 서버로 트래픽을 리디렉션하는 방식으로 Microsoft Office OAuth 인증 토큰을 대규모로 탈취했다. 악성코드를 사용하지 않는 "올드스쿨" 기법으로 기존 보안 솔루션 탐지를 우회했다. 2025년 12월 최고 정점에서 18,000개 이상 네트워크, 200개 이상 조직, 소비자 기기 5,000대 이상이 피해를 입었다. 주요 표적은 정부기관(외무부·법무부)과 제3자 이메일 공급업체다. 미국 FCC는 2026년 3월 외국산 소비자 라우터 인증 중단을 발표했다. 구형 라우터 즉시 펌웨어 업데이트 또는 교체, DNS 설정 무결성 점검이 필요하다.
12. Juniper Networks Junos OS 수십 개 취약점 패치 — 원격 미인증 장비 탈취 가능
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/juniper-networks-patches-dozens-of-junos-os-vulnerabilities/
Juniper Networks가 Junos OS 및 Junos OS Evolved 대상 대규모 보안 패치를 발표했다. 최고 위험도 취약점은 원격에서 인증 없이 장비를 완전히 장악할 수 있는 Critical 수준으로, 기업·통신사·데이터센터 네트워크 장비 전반에 영향을 미친다. 인터넷에 직접 노출된 관리 인터페이스에 대한 외부 접근 즉시 제한, 방화벽 및 ACL로 관리 포트 보호, 공식 패치 즉시 적용이 필요하다.
13. Chrome 147, Critical WebML 취약점 포함 60개 취약점 패치 — 총 $86,000 버그바운티
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/chrome-147-patches-60-vulnerabilities-including-two-critical-flaws-worth-86000/
Google Chrome 147이 60개 취약점을 일괄 패치했다. 그중 Critical 취약점 2개는 Chrome의 WebML 컴포넌트에서 발견됐으며, 두 취약점 합산 버그바운티로 $86,000이 지급됐다. WebML은 AI/ML 기능을 위한 브라우저 내장 컴포넌트로, 원격 코드 실행 가능성이 있다. Chrome 147 이상으로 즉시 업데이트하고, Edge·Brave·Opera 등 크로미엄 기반 브라우저도 최신 버전 확인이 필요하다.
14. Marimo Critical 취약점 공개 9시간 만에 실제 공격 악용
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/critical-marimo-flaw-exploited-hours-after-public-disclosure/
Python 기반 반응형 노트북 프레임워크 Marimo의 Critical 미인증 취약점이 공개 어드바이저리 발표 후 단 9시간 만에 실제 공격에 악용됐다. 공개된 어드바이저리 정보만으로 해커가 즉시 익스플로잇 코드를 제작하고 실제 공격을 시작했으며, 이는 취약점 공개→즉시 무기화 경향이 가속화되고 있음을 실증한다. 인터넷에 노출된 Marimo 노트북 서버를 운영 중인 데이터 사이언스·AI 개발 환경이 주요 표적이다. 즉시 최신 패치 적용, 노트북 서버 외부 노출 차단, 로컬 또는 VPN 환경에서만 운영이 권고된다.
15. Apple Intelligence AI 보안 가드레일 우회 — Neural Exect + 유니코드 조작 기법
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/apple-intelligence-ai-guardrails-bypassed-in-new-attack/
RSAC에서 연구자들이 Apple Intelligence의 AI 보안 제어를 우회하는 기법을 시연했다. Neural Exect 기법은 Apple의 온디바이스 AI 추론 파이프라인을 겨냥한 프롬프트 인젝션 변형으로, 유니코드 조작 전략과 결합해 보안 필터가 악성 명령을 정상 텍스트로 인식하게 만든다. AI 모델이 보안 지침을 무시하고 민감 정보 노출 또는 악의적 행동을 수행하도록 유도할 수 있다. iOS 18/macOS Sequoia 이상 Apple Intelligence 탑재 기기가 영향받으며, Apple 공식 패치 발표 즉시 적용이 권고된다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Apache ActiveMQ CVE-2026-34197 (CVSS 8.8 RCE, 패치 버전 6.2.3/5.19.4), 삼성·안드로이드 DNG 이미지 0-클릭 취약점 16개, Juniper Junos OS 원격 미인증 장악 취약점, Chrome 147 WebML Critical 취약점 2개 포함 60개 패치 |
| 🟠 진행 중 공격 | Storm-1175(중국) → 취약점 공개 전 선제 공격 + Medusa 랜섬웨어, 북한 Kimsuky/ScarCraft → GitHub C2 악용 국내 침투, 북한 APT37 → SNS 정찰+Zoho WorkDrive 표적 침투, Forest Blizzard(러시아) → 라우터 DNS 해킹 MS Office 토큰 18,000건 탈취, Marimo → 취약점 공개 9시간 만에 악용 시작 |
| 💰 대형 사고 | Forest Blizzard: 200개 이상 조직·18,000개 이상 네트워크 피해, ICS 179개 장비 인터넷 무방비 노출(전력망·철도 포함), Eurail B.V.: 308,777명 고객정보 + 1.3TB 데이터 유출 |
| 🦠 악성코드 | AMOS Atomic Stealer (macOS ClickFix+Script Editor 변형), Qilin·Warlock 랜섬웨어 BYOVD — EDR 300개 이상 커널 수준 무력화 |
| 🔵 연구/경고 | 제로콘 2026: 메신저·미디어 처리가 새로운 고위험 0-클릭 공격 표면, FCC 외국산 소비자 라우터 인증 중단, 금융권 망분리 3가지 우회 경로 공식 경고, Apple Intelligence AI 가드레일 우회 실증 |
📅 다음 업데이트: 2026-04-12
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, SecurityWeek, Krebs on Security
신기하네요