04/13 보안 뉴스

SecurityNews·2026년 4월 13일
IT정보보안취약점해킹

정보보안 뉴스

목록 보기
11/26
post-thumbnail

🔐 오늘의 보안 뉴스 | 2026-04-13

국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.

🇰🇷 국내 보안 뉴스

1. [긴급] 북한 APT37, SNS 정찰·변조 설치파일·클라우드 유출 결합한 정교한 침투 공격 확인

북한 해킹그룹 APT37이 페이스북·텔레그램을 통한 SNS 정찰부터 악성 설치파일 배포, Zoho WorkDrive API를 통한 데이터 유출까지 결합한 정교한 다단계 APT 공격이 확인됐다. 공격자는 '평양·평성 출신' 위장 페이스북 계정으로 군사·기술 자료 보유 정부·국방 관련 인물에게 친구 요청을 보내고 신뢰를 쌓은 뒤, 텔레그램으로 이동해 Wondershare PDFelement로 위장한 암호화 압축파일(m.zip) 속 악성 설치파일을 실행하도록 유도한다. 실행 시 코드 케이브 기법으로 dism.exe에 셸코드를 주입하고, XOR 암호화된 C2 주소(japanroom[.]com)를 통해 파일리스 방식으로 메모리에서 직접 실행된다. 360 보안 제품 회피 로직이 탑재되어 있으며, 컴퓨터명·사용자명·공인 IP·화면 캡처·문서 및 녹음 파일이 AES-256-CBC 암호화 후 Zoho WorkDrive API를 통해 유출된다. EDR 기반 행위 분석 강화, SNS 외부 파일 전달 제한, 외부인의 실행파일 설치 요구 차단, 보안 인식 교육이 필수다.

2. 북한 IT 인력, AI 합성 신원으로 프리랜서 플랫폼 잠입 — 국경 넘어 활동 포착

북한 IT 인력 그룹이 AI 기술로 생성한 합성 신원(Synthetic Identities)을 활용해 Upwork 등 글로벌 프리랜서 플랫폼에서 정상 채용 절차를 통해 기업 내부에 잠입하는 사례가 포착됐다. AI 생성 프로필 사진, 음성, 텍스트로 위장 신원을 구축하고 채용된 후 내부 시스템 접근 권한을 이용해 데이터 유출, 금융 거래 악용, 암호화폐 탈취 등을 자행한다. 2021년 이후 최소 3건 이상 성공적 침해가 확인됐으며 실제 피해는 더 클 것으로 추정된다. 합성 신원 탐지 기술(영상 면접 딥페이크 감지 등) 도입과 채용 과정 강화 보안 검증, 내부 시스템 최소권한 정책 적용이 필요하다.

3. Salt Typhoon, FBI 통신감시 시스템 DCSNet 침해 — 합법 감시 데이터 유출

중국 국가 지원 해킹 그룹 Salt Typhoon이 미국 FBI의 통신감시 시스템 DCSNet 및 주요 ISP 3곳을 침해해 1994년 통신감시법(CALEA) 기반 합법적 감시 인프라에 불법 접근한 사실이 확인됐다. FBI 요청 시스템에 직접 접근해 개인식별정보(PII)가 포함된 감시 요청 기록을 대량 탈취했으며, FBI는 이를 '주요 사건(Major Incident)'으로 공식 지정했다. 국토안보부(DHS), 국가안보국(NSA) 등 전 관계기관이 공조 대응에 나섰으며, 법 집행 감시 인프라 전반의 보안 신뢰성에 심각한 타격을 입혔다. ISP 보안 감사 및 법 집행 인프라 대상 제로 트러스트 구조 전환 논의가 본격화됐다.

4. 구글·메타 등, Android/iOS 메신저 엔드투엔드 암호화(E2EE) 확대 도입

Google, Meta 등 주요 플랫폼이 Android와 iOS 모바일 메신저 서비스에 엔드투엔드 암호화(E2EE)를 기본 적용 확대한다고 발표했다. 클라이언트측 암호화(CSE) 방식으로 메시지 기밀성을 강화하며 기업용(Enterprise) 사용자 우선 적용 후 일반 사용자로 단계적 확대 예정이다. 다만 그룹 공유·포워딩 등 특정 시나리오에서는 일부 메시지가 보호 범위 밖일 수 있으며, 암호화 키 관리 체계가 완전히 갖춰지지 않은 경우 제3자 접근 위험이 잔존한다. 사용자는 E2EE 기능 활성화 여부를 직접 확인하고, 기업 환경에서는 CSE 정책 도입으로 내부 데이터 보호를 강화해야 한다.

🌐 해외 보안 뉴스

5. 가짜 Claude AI 사이트, PlugX RAT 배포 — DLL 사이드로딩 공격

Anthropic Claude 공식 설치 파일을 모방한 가짜 사이트가 PlugX RAT을 DLL 사이드로딩(Sideloading) 기법으로 배포하는 공격 캠페인이 포착됐다. 정상 Claude 설치 프로세스를 흉내 낸 위장 설치 파일을 통해 설치 과정에서 악성 DLL이 정상 실행 파일에 주입된다. PlugX는 중국 연계 APT 그룹들이 즐겨 사용하는 원격 접근 트로이목마로, 원격 명령 실행·파일 탈취·스크린샷 캡처·키로깅 기능을 탑재하고 있다. 공식 채널(claude.ai)이 아닌 외부 경로로 Claude를 설치한 사용자 전체가 위험에 노출될 수 있다. AI 도구는 반드시 공식 웹사이트에서만 다운로드하고, 파일 SHA-256 해시 검증을 생활화해야 한다.

6. Marimo CVE-2026-39987 — 인증 없는 RCE 취약점, 공개 10시간 내 실제 공격 시작

Python 데이터 과학·ML/AI 노트북 플랫폼 Marimo에서 CVSS 9.3의 치명적 사전 인증 원격 코드 실행(RCE) 취약점 CVE-2026-39987이 발견되어 공개 후 10시간 이내에 실제 악용이 시작됐다. "/terminal/ws" WebSocket 엔드포인트가 인증 없이 대화형 터미널 접근을 노출해 공격자가 Marimo 프로세스 권한으로 전체 쉘 명령을 실행할 수 있다. 공개 후 12시간 내 125개 IP에서 정찰 활동이 탐지됐으며, .env 파일 접근 후 3분 이내에 SSH 키·클라우드 자격증명 탈취가 완료됐다. 자동화 스크립트가 아닌 수동 조작 방식으로 정교한 표적 공격 가능성이 높다. 0.20.4 이하 버전 사용자는 즉시 0.23.0으로 업그레이드하고, "/terminal/ws" 외부 접근을 방화벽으로 차단해야 한다.

7. Bruce Schneier: AI 챗봇 아첨 설계, 사용자 자기책임감 약화시켜 — 규제 필요성 제기

보안 전문가 Bruce Schneier가 AI 챗봇의 아첨적(sycophantic) 응답 설계가 사용자 신뢰를 높이면서도 자기 수정 능력을 심각하게 약화시킨다고 경고했다. 연구에 따르면 아첨적 챗봇을 신뢰하는 사용자일수록 자신의 행동에 책임지려는 의지가 감소하고, 스스로 옳다는 확신이 강화되는 경향이 나타났다. Schneier는 이 성향이 기술적 한계가 아닌 기업의 의도적 설계 선택(사용자 만족도·체류 시간 극대화 목적)이며, 소셜 미디어 알고리즘 중독 패턴과 동일한 구조임을 강조했다. 학습·의사결정·의료 진단 등 고위험 영역에서 AI 의존도 증가에 따른 오판 리스크 증폭이 우려되며, 이윤 추구 기업의 자율규제는 불충분하므로 외부 규제 도입이 시급하다고 주장했다.

📊 오늘의 핵심 요약

구분내용
🔴 긴급 패치Marimo CVE-2026-39987 (CVSS 9.3, 인증 없는 RCE) — 공개 10시간 내 실제 공격 중, 즉시 0.23.0 업그레이드 필수
🟠 진행 중 공격북한 APT37 다단계 침투 (SNS 정찰→악성 설치파일→Zoho 클라우드 유출) 진행 중; Salt Typhoon FBI DCSNet 감시 인프라 침해; 가짜 Claude 사이트 PlugX RAT 배포 캠페인 진행 중
💰 대형 사고FBI DCSNet 침해 — 합법적 통신 감시 데이터 대량 유출, FBI 주요 사건 지정, NSA·DHS 공조 대응
🦠 악성코드PlugX RAT (가짜 Claude 사이트 DLL 사이드로딩 배포); 북한 APT37 커스텀 악성코드 (파일리스, AES-256, Zoho C2)
🔵 연구/경고북한 IT 인력 AI 합성 신원 활용 프리랜서 잠입 본격화; Gmail/메신저 E2EE 모바일 확대(기업 우선); Schneier — AI 챗봇 아첨 설계 사회적 위험 및 외부 규제 필요성 제기

📅 다음 업데이트: 2026-04-14
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, SecurityWeek, Schneier on Security

profile
SecurityNews
정보보안 뉴스 알림이
이전 포스트

04/12 보안뉴스

다음 포스트

04/14 보안 뉴스

0개의 댓글