🔐 오늘의 보안 뉴스 | 2026-04-14

국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.

---

🇰🇷 국내 보안 뉴스

1. 이란 연계 해킹조직, 전 세계 1만2000개 IP 정찰 후 중동 핵심 인프라 정밀 침투

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206236

이란 연계 해킹 조직(MuddyWater 계열 추정, 오아시스시큐리티 분석)이 전 세계 약 12,000개 이상의 IP를 대규모 스캐닝한 뒤 이집트·UAE·이스라엘 등 중동의 군수·항공·에너지·정부기관을 정밀 선별해 침투하는 공격이 확인됐다. Citrix NetScaler VPN(CVE-2025-5777), Laravel Livewire, SmarterMail, n8n, N-central, Langflow 등 5개 이상 고위험 취약점을 악용했으며, Python·Go 언어 기반 다중 C2 컨트롤러에 AES 암호화·TCP/UDP 다중 통신 구조를 사용했다. 이집트 항공사에서 여권·비자·급여·신용카드 정보 약 200건이 유출됐으며, 이집트 군수생산부·국영 석유가스 기업·UAE 에너지·해양 인프라 기업의 계정도 탈취됐다. 공격 시점이 중동 군사적 긴장 고조 이전으로, 선제적 정보 수집 목적이 분명하다. 단일 취약점 패치를 넘어 인프라·운영 패턴 전체를 분석하는 고도화 대응과 자산 노출 관리, 웹쉘 탐지 체계 강화가 필요하다.

---

2. 북한 해커 추적 10년의 기록 — "코드는 바꿔도 사람의 습관은 남는다"

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206231

문종현 지니언스 이사가 K-CTI 2026 컨퍼런스에서 2015년부터 현재까지 북한 연계 해킹 조직을 추적한 10년의 경험을 공개했다. 2015년 '이해연', 'John Mogabe' 등 가짜 페이스북 계정 발견에서 시작해, 2018년 FBI·법무부의 박진혁 공식 기소, 2025년 동일 패턴의 재등장까지 일관된 추적 흐름이 이어졌다. 악성코드는 PDFelement Installer로 위장, 헤더리스 방식과 메모리 실행 기법을 사용했으며 코드 내 "FAIL,JinHyok" 디버그 문자열이 과거 사건과의 연결고리가 됐다. 핵심은 코드가 아닌 소셜미디어 계정·언어 습관·접속 패턴·인프라 흔적의 장기 추적이며, 이것이 위협 인텔리전스의 본질이라고 강조했다.

---

🌐 해외 보안 뉴스

3. Adobe Acrobat Reader 제로데이 CVE-2026-34621 — 러시아 연계 표적 공격 후 긴급 패치

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/adobe-rolls-out-emergency-fix-for-acrobat-reader-zero-day-flaw/

Adobe Acrobat Reader에서 CVSS 9.6의 치명적 제로데이 취약점 CVE-2026-34621이 발견돼 긴급 패치가 배포됐다. 악성 PDF 파일이 샌드박스 제한을 우회해 권한 있는 JavaScript API(util.readFileIntoStream, RSS.addFeed)를 직접 호출, 사용자 조작 없이 임의 코드 실행이 가능하다. 실제 공격은 러시아어 석유·가스 산업 주제 문서로 위장해 최소 2025년 12월부터 진행됐으며, 2026년 3월 26일 EXPMON을 통해 발견됐다. 영향 버전은 Acrobat DC/Reader DC 26.001.21367 이하, Acrobat 2024 24.001.30356 이하이며, 26.001.21411로 즉시 업데이트가 필요하다. 별도 워크어라운드는 없다.

---

4. CPUID 공식 사이트 공급망 공격 — CPU-Z·HWMonitor에 STX RAT 은밀 배포

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/

CPUID의 보조 API가 해킹되어 2026년 4월 9~10일 약 6시간 동안 공식 다운로드 링크가 악성 파일로 변조됐다. 정상 서명된 실행파일과 악성 DLL(CRYPTBASE.dll)을 결합한 DLL 사이드로딩 기법으로 STX RAT(정보 탈취 기능)을 배포했으며, 메모리 전용 실행 방식으로 EDR·백신을 우회했다. 영향받은 소프트웨어는 CPU-Z v2.19, HWMonitor v1.63, HWMonitor Pro v1.57, PerfMonitor v2.04이다. Kaspersky 집계 기준 150명 이상이 감염됐으며 소매·제조·컨설팅·통신·농업 분야 기업이 포함됐다. 현재 CPUID는 정상 버전을 제공 중이며, 해당 버전 다운로드 사용자는 즉시 시스템 검사가 필요하다.

---

5. Basic-Fit 데이터 유출 — 유럽 피트니스 체인 회원 100만 명 개인정보 탈취

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/european-gym-giant-basic-fit-data-breach-affects-1-million-members/

유럽 12개국에서 1,700개 이상의 클럽을 운영하는 Basic-Fit에서 약 100만 명의 회원 개인정보가 유출됐다. 성명·주소·이메일·전화번호·생년월일·은행 계좌 정보·회원 정보가 탈취됐으며, 신분증·비밀번호·프랜차이즈 시스템 데이터는 피해를 면했다. 회사는 자체 모니터링으로 수 분 내 차단했다고 밝혔으며, 현재까지 데이터 온라인 공개 정황은 없다. 은행 계좌 정보 유출로 피싱·금융사기 2차 피해에 주의가 필요하다.

---

6. Booking.com 데이터 유출 — 예약 PIN 강제 초기화 조치

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/new-bookingcom-data-breach-forces-reservation-pin-resets/

Booking.com이 비인가 제3자의 무단 접근으로 고객 예약 데이터가 유출됐다고 확인했다. 성명·이메일·우편 주소·전화번호·숙박업체와의 커뮤니케이션 내용이 노출됐으며, 피해 규모는 공개하지 않았다. 회사는 영향받은 예약의 PIN을 일괄 초기화하고 공식 이메일로 개별 통보했으나, 인앱 알림 없는 이메일 방식으로 사용자 혼란이 발생했다. 유출된 예약 상세 정보를 활용한 사칭 피싱·전화 사기 피해 신고가 이어지고 있어 주의가 필요하다.

---

7. VENOM PhaaS — 고위 임원 Microsoft 계정 표적 AiTM 피싱 서비스

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/new-venom-phishing-attacks-steal-senior-executives-microsoft-logins/

VENOM은 2025년 11월부터 활동 중인 폐쇄형 피싱-서비스(PhaaS)로, CEO·CFO·VP 등 고위 임원진의 Microsoft 인증 정보를 전문 표적으로 삼는다. Microsoft SharePoint 알림으로 위장한 개인화 이메일에 유니코드 QR 코드를 삽입하고, AiTM(중간자) 방식으로 실시간 세션 토큰을 탈취하거나 기기 코드 피싱으로 공격자 기기 접근을 승인하도록 유도한다. 이중 Base64 인코딩으로 URL 평판 필터를 우회하고 보안 연구원·샌드박스 환경을 자동 식별해 필터링한다. MFA를 우회하는 AiTM 공격 특성상 FIDO2 하드웨어 인증 도입과 조건부 접근 정책 강화가 필수다.

---

8. FBI·인도네시아 공조, W3LL 피싱 서비스 해체 및 개발자 체포

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/fbi-takedown-of-w3ll-phishing-service-leads-to-developer-arrest/

FBI 애틀랜타 지부와 인도네시아 당국이 공조해 글로벌 피싱 플랫폼 W3LL을 해체하고 개발자를 체포했다. 2019~2023년 25,000개 이상의 계정을 판매하고 2,000만 달러 이상의 사기를 시도했으며, 2023~2024년 전 세계 17,000명 이상을 표적화했다. 개당 $500의 W3LL 피싱 킷은 AiTM 방식으로 자격 증명·OTP·세션 쿠키를 실시간 탈취해 MFA를 우회하며, W3LLSTORE 마켓플레이스를 통해 도난 자격 증명과 네트워크 접근 권한을 거래했다. 탈취 정보는 BEC 송금 사기에 활용됐다.

---

9. Google Chrome 146, DBSC 기능으로 세션 쿠키 탈취 인포스틸러 무력화

• 출처: BleepingComputer
• 링크: https://www.bleepingcomputer.com/news/security/google-chrome-adds-infostealer-protection-against-session-cookie-theft/

Google이 Chrome 146 Windows 버전에 Device Bound Session Credentials(DBSC) 기능을 정식 출시했다. Windows TPM 또는 macOS Secure Enclave에서 생성된 개인 키는 보안 칩 외부로 내보낼 수 없으며, 서버는 세션 갱신 시 개인 키 소유 증명을 요구한다. 도난된 세션 쿠키는 개인 키 없이 즉시 만료돼 LummaC2 등 인포스틸러의 세션 하이재킹 공격이 원천 차단된다. macOS 지원은 향후 업데이트에서 제공 예정이며, 웹 개발자는 전용 엔드포인트 추가만으로 적용 가능하다.

---

10. Schneier: 사이버범죄자들의 AI 활용 실태 — 기대와 불신의 공존

• 출처: Schneier on Security
• 링크: https://www.schneier.com/blog/archives/2026/04/how-hackers-are-thinking-about-ai.html

Bruce Schneier가 소개한 학술 연구에서, 7개월간 160여 개 사이버범죄 포럼 대화를 분석한 결과 범죄자들이 AI 활용에 관심을 보이면서도 실제 효과에 의심을 동시에 드러내는 이중적 태도를 확인했다. 합법적 AI 도구 오용과 불법 맞춤형 모델 개발 두 방향 모두 시도 중이며, 사업 모델과 운영 보안(OPSEC)에 미칠 영향에 대한 불안감도 표현했다. AI 기반 사이버범죄는 현재 초기 단계지만, 피싱 문구 생성·소셜엔지니어링·코드 작성 보조에는 이미 활발히 활용되고 있다. 법 집행기관과 정책 입안자의 선제 대응 전략 수립이 시급하다.

---

📊 오늘의 핵심 요약

구분	내용
🔴 긴급 패치	Adobe Acrobat Reader CVE-2026-34621 (CVSS 9.6, RCE) — 26.001.21411로 즉시 업데이트 필수
🟠 진행 중 공격	이란 연계 해킹조직 중동 핵심 인프라 정밀 침투(12,000+ IP 정찰·선별); VENOM PhaaS 고위 임원 AiTM 피싱 활동 중
💰 대형 사고	Basic-Fit 회원 100만 명 개인정보(은행 계좌 포함) 유출; Booking.com 예약 데이터 유출로 PIN 강제 초기화
🦠 악성코드	CPUID 공급망 공격 — CPU-Z/HWMonitor에 STX RAT 삽입 (4/9~10, 6시간, 150명+ 감염)
🔵 연구/경고	Chrome 146 DBSC로 인포스틸러 세션 탈취 원천 차단; W3LL 피싱 서비스 FBI·인도네시아 공조 해체; Schneier — 사이버범죄자 AI 활용 초기 단계 분석

---

📅 다음 업데이트: 2026-04-15
📌 보안 뉴스 소스: 데일리시큐, BleepingComputer, Schneier on Security