🔐 오늘의 보안 뉴스 | 2026-04-19
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. Wiz "클라우드 위협 2026" 보고서 — AI보다 기본 취약점이 더 위험
- 출처: 데일리시큐 / Wiz
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206313
Wiz가 발간한 '클라우드 위협 2026' 보고서에 따르면, 2025년 클라우드 침해 사고의 초기 진입 경로는 취약점 악용(40%), 노출된 시크릿(21%), 설정 오류(19%), 최종 사용자 침해(13%), 공급망 침해(7%) 순으로 나타났다. 보고서는 AI가 완전히 새로운 공격 유형을 만든 것은 아니라면서도 AI 도입이 공격 표면을 넓히고 속도를 높였다고 분석했다. 대표 공격 사례로는 npm 패키지 손상을 통해 CI/CD 워크플로를 오염시킨 '샤이 훌루드', 공유 자동화 도구를 노려 여러 조직을 동시 피해로 이끈 's1ngularity', 공개 직후 10시간 내 PoC가 등장해 1주일간 60개 이상 캠페인에 악용된 CVE-2025-55182('리액트투쉘')가 있다. 포브스 AI 50 기업의 65%가 깃허브에 검증된 시크릿을 노출한 상태이며, 25%의 조직이 자신의 환경에서 실행 중인 AI 서비스를 파악하지 못하고 있다. AI-SPM(AI 보안 태세 관리)을 실제 사용하는 조직은 단 13%에 그쳤다. 외부 노출 자산 감소, 정찰 단계 탐지, 공급망 가시성 확보, AI 워크로드 자산 목록 포함 및 운영 환경 수준의 접근통제 적용이 권고된다.
2. [업데이트] 부킹닷컴, 고객 정보 노출 공식 인정 — 2차 사회공학 피해 우려
기존 2026-04-18 보고(SharkStriker 출처)에서 확인된 Booking.com 데이터 유출 사건의 추가 상세 내용이 데일리시큐를 통해 보도됐다. 부킹닷컴은 직접 침해를 인정하고 4월 13일부터 피해 고객 통지를 시작했으며 예약 PIN 재설정 조치를 진행 중이다. 유출된 정보는 예약자 성명·이메일·전화번호·주소·예약 세부정보·숙소 전달 요청사항이며, 결제정보는 미노출됐다. 가장 큰 우려는 2차 사회공학 공격으로, 공격자가 실제 숙소명·체크인 일정·연락처 등 구체적 정보를 보유한 채 접근하면 여행객이 정상 안내로 오인하기 쉽다. 가짜 결제 요청이나 숙소 정책 변경 사칭 등 개인화된 사기가 우려된다. 계정 비밀번호 즉시 변경, MFA 활성화, 예약 관련 모든 연락에서 공식 채널 여부 확인이 필수다.
3. KISA, AI 개발·이용 환경 보안 위한 "AI-ZT 성숙도 모델" 연구 추진
- 출처: 데일리시큐 / NetSec-KR 2026
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206311
KISA 이재형 팀장이 NetSec-KR 2026 컨퍼런스에서 AI 보안 정책 방향을 발표했다. AI 활용이 빠르게 확산하는 반면 보안은 그 속도를 따라가지 못하는 구조적 문제가 지적됐다. 생성형 AI 확산 이후 딥페이크·랜섬웨어·AI 보안 위협이 연쇄적으로 작동하며, AI 에이전트 자체가 프롬프트 인젝션·데이터 오염·모델 탈취 등 새로운 공격 통로로 부상하고 있다. KISA는 개발자·서비스 제공자·이용자 관점별 AI 보안 안내서 개발과 함께 기존 제로트러스트 가이드라인(1.0/2.0) 및 OT 환경 안내서 발간 경험을 기반으로 신규 AI-ZT 성숙도 모델 연구를 추진한다. "AI 시대의 경쟁력은 얼마나 빨리 도입하느냐만이 아니라, 얼마나 안전하게 운영하느냐에 달려 있다"는 핵심 메시지가 강조됐다.
4. NetSec-KR 2026 — "AI가 넓힌 공격면, 해법은 제로트러스트"
- 출처: 데일리시큐 / NetSec-KR 2026
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206310
KISA 주최 제32회 정보통신망 정보보호 컨퍼런스(NetSec-KR 2026)에서 가천대학교 이석호 교수가 제로트러스트의 최신 동향과 국내 적용 방안을 강연했다. 계정 탈취·세션 하이재킹·API 악용·클라우드 오설정·내부자 권한 오남용이 동시 발생하는 환경에서 정상 계정 로그인만으로는 안전을 보장할 수 없다는 점이 강조됐다. 제로트러스트는 사용자(MFA·최소 권한), 기기(정책 준수·패치 상태), 워크로드(서버·VM·컨테이너·API 간 통신 검증), 데이터(민감도별 접근 제어) 등 모든 계층에서 지속적 검증을 요구한다. 생성형 AI 확산으로 서비스 계정·토큰·API 키 같은 비인간 주체까지 신원 관리 대상이 확대됐다. 국내 단계적 전환 방안으로는 자산 식별 → 계정·권한 정비 → MFA 확대 → EDR 적용 → 로그 가시성 확보 → 네트워크 세분화 → 데이터 보호 정책의 순서가 제시됐다.
🌐 해외 보안 뉴스
5. Dragon Boss Solutions — 악성코드로 250만 대 시스템 감염, 한국 피해 비중 53.9%
- 출처: 보안뉴스
- 링크: https://www.boannews.com/media/view.asp?idx=143232
"Dragon Boss Solutions LLC"로 자칭하는 위협 그룹이 대규모 악성코드 감염 캠페인을 전개 중이다. RaceCarTwo.exe 주요 실행 파일과 ClockRemoval.ps1 시스템 시계 조작 스크립트를 활용하며, chromsterabrowser[.]com 도메인을 통해 추가 악성 페이로드를 배포한다. 24시간 모니터링 기준 약 23만 6,565개 IP가 확인됐으며, 감염 시스템은 250만 대 이상으로 221개 국가에 영향을 미쳤다. 특히 한국의 피해 비중이 53.9%로 압도적으로 높아 국내 집중 표적 공격 가능성이 제기된다. WMI 이벤트 모니터링 강화, 호스트 시스템 감지 메커니즘 구축, chromsterabrowser[.]com 도메인 접속 차단이 권고된다.
6. Protobuf.js 심각한 취약점 — 주당 5천만 다운로드 라이브러리서 JS 코드 실행 가능
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/critical-flaw-in-protobuf-library-enables-javascript-code-execution/
Endor Labs가 보고한 protobuf.js 취약점(GHSA-xq3m-2v4x-88gg)은 unsafe dynamic code generation으로 인해 발생한다. protobuf.js가 프로토콜 버퍼 스키마에서 문자열을 연결하고 Function() 생성자를 통해 실행하는 과정에서 스키마 기반 식별자를 검증하지 않아, 악의적 스키마를 제공하면 임의 코드를 주입·실행할 수 있다. 이를 통해 환경 변수, 자격증명, 데이터베이스 접근 탈취 및 인프라 내 측면 이동이 가능하다. 영향 버전은 8.0.0 / 7.5.4 이하이며, NPM 주당 약 5천만 다운로드의 광범위한 사용 생태계가 위험에 노출됐다. PoC가 공개된 상태이므로 버전 8.0.1 또는 7.5.5로 즉시 업그레이드하고 전이적 종속성까지 포함한 전체 점검이 권고된다.
7. Apache ActiveMQ CVE-2026-34197 — 13년간 미발견 취약점, CISA KEV 등재 및 실제 공격 악용 중
- 출처: BleepingComputer / CISA
- 링크: https://www.bleepingcomputer.com/news/security/cisa-flags-apache-activemq-flaw-as-actively-exploited-in-attacks/
Apache ActiveMQ에서 인증된 공격자가 입력값 검증 결손을 악용한 주입 공격으로 임의 코드를 실행할 수 있는 CVE-2026-34197이 발견됐다. 이 취약점은 13년간 미탐지 상태였으며, Horizon3 연구원 Naveen Sunkavally가 Claude AI 어시스턴트를 활용해 발견했다. ShadowServer 추적 기준 7,500개 이상의 ActiveMQ 서버가 인터넷에 노출 중이며, 현재 실제 공격에 적극 악용되고 있다. CISA는 연방 민간 행정부(FCEB) 기관에 4월 30일까지 패치 적용을 의무화했다. ActiveMQ 브로커 로그에서 "brokerConfig=xbean:http://" 쿼리 파라미터를 탐지 지표로 활용할 수 있다. Classic 6.2.3 또는 5.19.4로 즉시 업그레이드 필요.
8. Windows Defender 제로데이 3종 (BlueHammer·RedSun·UnDefend) — 실제 공격 악용 확인
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks/
Huntress Labs가 Microsoft Defender에서 발견된 제로데이 3종이 실제 공격에 악용되고 있음을 확인했다. BlueHammer(CVE-2026-33825)는 로컬 권한 상승 취약점으로 4월 10일부터 악용됐으며 April Patch Tuesday에서 패치 완료됐다. RedSun은 Defender가 클라우드 태그된 악성 파일을 원래 위치로 재작성하는 동작을 악용해 시스템 파일을 덮어쓰고 SYSTEM 권한을 획득하는 취약점으로 April 2026 업데이트 후에도 여전히 미패치 상태다. UnDefend는 표준 사용자 권한으로도 Defender 정의 업데이트를 차단할 수 있는 취약점으로 역시 미패치 상태다. "손으로 직접 조작하는 위협 행위자 활동"이 관찰됐으며 SSLVPN 계정 침탈 후 연쇄 공격 패턴이 확인됐다. Windows 10/11, Server 2019 이상 전체가 영향권이며 즉시 April 2026 보안 업데이트 적용과 이상 권한 상승 모니터링 강화가 필요하다.
9. Marimo CVE-2026-39987 + NKAbuse 신변종 — Hugging Face 플랫폼 통해 배포
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/
Marimo 리액티브 Python 노트북에서 발견된 사전 인증 원격 코드 실행 취약점(CVE-2026-39987, Critical)이 공개 10시간 이내 실제 공격에 악용됐다. 공격자들은 Hugging Face Spaces의 vsccode-modetx 저장소에서 dropper 스크립트(install-linux.sh)를 다운로드하고, 악성 바이너리 'kagent'를 설치해 systemd/cron/LaunchAgent를 통한 지속성을 확보한다. 배포된 NKAbuse 신변종은 NKN 클라이언트 프로토콜 및 WebRTC/ICE/STUN을 활용해 NAT를 우회하는 RAT 기능을 갖는다. 추가로 독일 기반 공격자는 15가지 역셸 기법으로 DB 자격증명을 탈취해 PostgreSQL에 직접 접근했고, 홍콩 기반 공격자는 Redis 서버에서 세션 토큰을 추출했다. Marimo 버전 0.23.0 이상으로 즉시 업그레이드하고 '/terminal/ws' 엔드포인트의 외부 접근을 방화벽으로 차단해야 한다.
10. ZionSiphon — 이스라엘 수처리·담수화 시설 표적 ICS 악성코드 발견
- 출처: BleepingComputer / SecurityWeek
- 링크: https://www.bleepingcomputer.com/news/security/zionsiphon-malware-designed-to-sabotage-water-treatment-systems/
이스라엘 기반 정수처리 및 해수담수화 시설을 표적으로 하는 산업제어시스템(ICS) 악성코드 ZionSiphon이 발견됐다. USB 드라이브를 통해 전파되며 "svchost.exe"로 위장해 에어갭 네트워크를 우회한다. 감염 전 호스트 IP가 이스라엘 범위인지, 수처리 관련 소프트웨어가 존재하는지 먼저 검증하는 표적 지향적 설계를 갖는다. 핵심 파괴 기능은 염소 수준 강제 증가 및 압력 최대화로, 실제 수처리 공정을 물리적으로 파괴하는 목적이다. Modbus, DNP3, S7comm 등 산업 프로토콜 스캔 기능도 포함됐다. 현재는 암호화 검증 로직의 결함으로 비활성 상태이나, 향후 버전에서 결함이 수정될 경우 실제 파괴가 가능하다. 코드 내 정치적 메시지가 포함돼 지정학적 동기의 공격으로 평가된다. 수처리 시설의 네트워크 격리 강화와 USB 접근 정책 엄격 적용이 권고된다.
11. ATHR — AI 음성 에이전트 활용 완전 자동화 보이싱(Vishing) 플랫폼 등장
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/new-athr-vishing-platform-uses-ai-voice-agents-for-automated-attacks/
AI 음성 에이전트를 활용한 완전 자동화 보이싱 플랫폼 ATHR이 등장했다. 피싱 이메일 발송 → 피해자 전화 연결 → AI 음성 에이전트를 통한 계정 복구 프로세스 시뮬레이션으로 6자리 OTP를 실시간 탈취하는 3단계 공격을 자동화한다. Google, Microsoft, Coinbase, Binance, Gemini, Crypto.com, Yahoo, AOL 등 8개 주요 서비스를 지원하며 가격은 $4,000 + 수익의 10% 커미션이다. MFA가 활성화된 계정도 실시간 OTP 탈취로 무력화 가능하다는 점이 가장 위험하다. 통신 행동 분석 기반 이상 탐지 및 FIDO2/패스키 기반 피싱 저항성 MFA로의 전환이 권고된다.
12. Operation PowerOFF — 국제 공조로 DDoS 서비스 도메인 53개 폐쇄, 이용자 7만 5천 명 적발
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/operation-poweroff-identifies-75k-ddos-users-takes-down-53-domains/
21개국이 참여하고 Europol이 지원한 국제 법집행 작전 Operation PowerOFF가 DDoS 임차형(Booter) 서비스 도메인 53개를 폐쇄하고 75,000명 이상의 이용자를 적발했다. 4명이 체포됐고 25개 수색영장이 발부됐으며, 이전 단계에서 확보한 300만 개 범죄 계정 데이터베이스를 활용해 사용자 수준 추적이 이루어졌다. 단순 인프라 해체를 넘어 젊은 층 대상 검색 광고 배치, DDoS 서비스 홍보 URL 100개 이상 검색 결과 제거, 불법 결제에 대한 온체인 경고 메시지 추가 등 예방 중심 전략으로 진화했다. 참여국은 EU 회원국 외 호주, 태국, 미국, 영국, 일본, 브라질을 포함한다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Protobuf.js → 8.0.1/7.5.5 (GHSA-xq3m-2v4x-88gg, PoC 공개) / Apache ActiveMQ → 6.2.3/5.19.4 (CVE-2026-34197, CISA KEV, 4/30 의무) / Marimo → 0.23.0 이상 (CVE-2026-39987, 공개 10시간 내 악용) / Windows April 2026 패치 (BlueHammer 해결; RedSun·UnDefend 미패치) |
| 🟠 진행 중 공격 | Dragon Boss Solutions 악성코드 — 250만 대 감염, 국내 피해 53.9% / Windows Defender 제로데이 3종 실제 악용 (RedSun·UnDefend 미패치) / ATHR AI 보이싱 플랫폼 — OTP 자동 탈취 활성화 |
| 💰 대형 사고 | 부킹닷컴 데이터 유출 공식 인정 — 4월 13일부터 고객 통지, PIN 재설정 진행 중 |
| 🦠 악성코드 | NKAbuse 신변종 — Hugging Face 통한 배포, NKN 프로토콜로 NAT 우회 / ZionSiphon ICS 악성코드 — 이스라엘 수처리 시설 표적, 현재 비활성 상태 |
| 🔵 연구/경고 | Wiz 클라우드 위협 2026: 기본 취약점이 신기법보다 위험 — 시크릿 노출·설정 오류가 핵심 / KISA AI-ZT 성숙도 모델 연구 추진 / NetSec-KR 2026: 비인간 주체까지 ZT 관리 확대 / Operation PowerOFF: DDoS 이용자 7.5만 명 적발 |
📅 다음 업데이트: 2026-04-20
📌 보안 뉴스 소스: 데일리시큐, 보안뉴스, BleepingComputer, SecurityWeek, CISA
