🔐 오늘의 보안 뉴스 | 2026-04-20
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. AI로 고도화된 북한·중국 국가 배후 해킹, 한국 전 산업 공격
북한 계열 조직(김수키, 코니, APT37)과 중국 연계 조직(어스 나가, 어스 에스트리스)이 AI를 활용해 한국 전 산업을 표적으로 한 사이버 공격을 강화하고 있다. 북한은 자금 확보(가상화폐 거래소)와 장기 잠복형 침투(정부·IT 기업)를 동시에 노리며, 중국은 2021년부터 방산·통신·첨단기술 분야 공급망까지 체계적으로 공략 중이다. 주요 공격 수단은 압축파일 내 바로가기(LNK) 파일과 파워셸 스크립트, 정상 서비스(Dropbox·GitHub) 악용, 한글 문서 기반 악성코드이며, AI를 통한 자동화된 정찰·피싱·취약점 탐지가 결합된다. 조직 간 접근 권한 공유('프리미어 패스' 서비스)도 관찰됐다. 완벽한 차단보다 회복력 중심 전략으로 전환하고, AI 기반 탐지 체계 구축, 공급망·핵심 자산 분리, 정부-민간 정보 공유 확대가 권고된다.
2. 국정원 단일 검증체계로 공공 클라우드 인증 개편 — 이중 규제 해소 vs 투명성 논란
한국 정부가 공공 클라우드 인증체계를 대폭 개편한다. 기존의 과기정통부 CSAP(클라우드보안인증) + 국정원 검증 이중 구조를 국정원 단일 검증체계로 통합하고, 민간 클라우드는 ISMS로 분리한다. 2027년 하반기 시행 예정이며 기존 인증 보유 기업은 유효기간을 인정받는다. 이중 규제 해소 및 동일 요건 반복 검증 비효율 제거가 기대되나, 담당자에 따라 해석이 달라지는 투명성 부족과 '보이지 않는 규제' 지속 가능성이 우려된다.
3. [NetSec-KR 2026] PQC 전환, 기술 도입보다 현황 파악이 먼저
- 출처: 데일리시큐 / NetSec-KR 2026
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206317
KISA 김준섭 팀장이 NetSec-KR 2026에서 양자내성암호(PQC) 전환 전략을 발표했다. 핵심 메시지는 "새로운 암호를 빨리 넣는 것이 아니라 현재 시스템에서 암호가 어디에 쓰이는지 파악하는 것이 먼저"다. 1단계로 서버·VPN·인증서·전자서명 등 전 영역의 암호자산 인벤토리를 구축하고, 2단계로 중요 자산부터 단계적으로 전환하되 기존 공개키 암호와 PQC 혼용 방식도 고려한다. 키·서명 크기 증가로 인한 저장공간·전송 부담, 기존 장비 호환성 문제가 실질적 과제다. 개발자·운영자·보안·정책 담당자 전원이 함께 이해하고 준비해야 한다.
4. 국정원, NATO '락드쉴즈 2026' 6년 연속 참가 — 헝가리와 연합팀 구성
국가정보원이 4월 20~24일 NATO 사이버방위센터(CCDCOE) 주관의 국제 사이버방어 훈련 '락드쉴즈 2026'에 6년 연속 참가한다. 헝가리와 공동팀을 구성하며, 국정원·대통령경호처·경찰청·군·금융보안원 등 47개 기관·기업에서 약 170명의 전문가가 참여한다. 훈련은 전략훈련(국가 간 협력·정책 대응)과 기술훈련(실시간 공격 방어)으로 구성되며, 올해는 가짜뉴스 대응·정보 왜곡 대응 과제가 신규 포함됐다. 한국은 2022년 아시아 최초 CCDCOE 정회원으로 가입했다.
5. CVE 263% 폭증 — NIST, '중요 취약점만 본다' 선언
- 출처: 데일리시큐 / NIST
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206307
NIST가 2026년 4월 15일부터 모든 CVE에 심각도 점수를 부여하지 않는 새로운 NVD 운영 정책을 시행했다. 2020~2025년 CVE 제출 건수가 263% 급증해 2025년 한 해만 약 42,000건에 달하면서 NIST 분석 역량이 한계에 도달했기 때문이다. 이제 CISA KEV 목록 포함 취약점, 연방정부 소프트웨어 취약점, 행정명령 14028 중요 소프트웨어 취약점만 우선 분석된다. 나머지 CVE는 'Not Scheduled' 상태로 상세 분석이 제공되지 않는다. 보안 담당자는 NVD 점수만으로 위험을 판단할 수 없게 됐으며, 위협 인텔리전스와 실제 공격 가능성을 종합 검토하는 위험 기반 보안 체계로 전환이 불가피하다.
6. 미라이 변종 Nexcorium — 구형 DVR·공유기 노린 DDoS 봇넷
미라이 변종 봇넷 Nexcorium이 구형 IoT 장비를 감염시켜 DDoS 공격 병력으로 활용하고 있다. 주요 공격 대상은 TBK DVR-4104/4216(CVE-2024-3721)과 TP-Link 구형 공유기 TL-WR940N·TL-WR740N·TL-WR841N(CVE-2023-33538)으로, 기본 계정 정보로 무차별 접근하는 것이 주된 진입 경로다. 감염 후 감시 프로세스·스캐너·DDoS 모듈로 작동하며 C2 서버 명령을 대기한다. 기본 비밀번호 미변경 및 단종 장비 미교체가 핵심 위험 요소다. 펌웨어 업데이트, 기본 계정 변경, 단종 장비 교체, 외부 관리 기능 비활성화가 권고된다.
🌐 해외 보안 뉴스
7. Vercel(Next.js 제작사) 보안 침해 — API 키·소스코드·직원 정보 유출
- 출처: BleepingComputer / SecurityWeek
- 링크: https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/
Vercel이 보안 침해를 공식 확인했다. 침해 경로는 Vercel 직원의 Google Workspace 계정이 AI 플랫폼 Context.ai의 침해를 통해 손상된 것으로, 공격자는 이를 통해 Vercel 내부 환경으로 접근 권한을 상승시켰다. 유출 데이터는 NPM·GitHub 토큰을 포함한 API 키, 소스 코드, 데이터베이스 데이터, 내부 배포 접근 권한, 직원 정보 580개 기록(이름·이메일·계정 상태)이다. ShinyHunters를 자칭한 공격자가 $200만 신고금 협상을 주장했으나 기존 ShinyHunters는 관련성 부인했다. 환경 변수 재검토, 민감한 환경 변수 기능 활용, 토큰·암호 로테이션 즉시 권고.
8. Apple 계정 변경 알림 악용 피싱 — 정식 Apple 서버 발신 이메일로 OTP·결제 정보 탈취
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/
공격자들이 Apple ID 생성 시 성명 필드에 피싱 메시지를 삽입하고, 배송 정보 수정으로 Apple 보안 알림을 트리거하는 방식으로 Apple 공식 서버에서 발신되는 피싱 이메일을 만들어낸다. 이메일은 SPF·DKIM·DMARC 인증을 모두 통과해 스팸 필터를 우회한다. "$899 iPhone 구매 취소 전화번호" 등의 콜백 피싱 유인이 포함된다. Apple은 현재 이 취약점을 미패치 상태다. 예상치 못한 구매 청구·지원 전화 요청이 포함된 알림 이메일은 Apple 공식 사이트에서 직접 확인하고, 이메일의 링크나 전화번호는 절대 이용하지 않도록 주의가 필요하다.
9. Microsoft Windows Server 긴급 OOB 업데이트 배포 — LSASS 충돌·도메인 컨트롤러 재시작 루프 수정
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-windows-server-issues/
Microsoft가 April 2026 보안 업데이트 설치 후 발생한 문제를 수정하기 위해 긴급 OOB 업데이트를 배포했다. 주요 문제는 KB5082063 설치 실패(Windows Server 2025)와 LSASS 충돌로 인한 도메인 컨트롤러 재시작 루프다. 영향 버전 및 업데이트: Windows Server 2025 → KB5091157(두 문제 모두 수정), Server 23H2 → KB5091571, Server 2022 → KB5091575, Server 2019 → KB5091573, Server 2016 → KB5091572. Windows Server 운영 환경에서는 즉시 OOB 업데이트 적용이 필요하다.
10. 인터넷 노출 FTP 서버 600만 대 중 절반이 암호화 미적용
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/half-of-the-6-million-internet-facing-ftp-servers-lack-encryption/
인터넷에 노출된 FTP 서버 약 600만 대를 조사한 결과 약 50%(약 300만 대)가 TLS 기반 FTPS 또는 SFTP 없이 평문으로 운영 중인 것으로 나타났다. 평문 전송으로 자격증명·데이터 도·감청이 가능하며, 레거시 FTP 서버의 알려진 취약점 다수가 방치된 상태다. 기업·정부·인프라 기관 다수가 포함됐다. FTP 서버를 FTPS 또는 SFTP로 전환하고 불필요한 FTP 서비스는 비활성화할 것을 강력 권고한다.
11. S2W 인터뷰 — "이미 침투됐다고 가정해야 한다": 형식적 모의해킹 넘어 실전형 레드팀으로
S2W 김재기 센터장이 기존 모의해킹의 근본적 한계를 지적했다. 취약점 개수 세기, 비즈니스 영향 미측정, 침투 후 활동 간과가 주된 문제다. 실전형 레드팀은 공격자 관점에서 유출 계정으로 진입해 내부 횡적 이동·권한 상승·핵심 자산 도달까지 실제 시연한다. S2W는 위협 인텔리전스, 다크웹 분석, AI 도구, 시니어 전문가를 결합해 5영업일 내 침투 시나리오를 재현한다. 모의해킹을 행정 절차에서 탐지·대응 역량 검증 도구로 전환해야 한다는 메시지다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Windows Server OOB 업데이트 (KB5091157 등) — LSASS 충돌·DC 재시작 루프 수정 / NIST NVD 정책 변경(2026-04-15 시행) — CVE 전수 분석 중단 |
| 🟠 진행 중 공격 | 북한·중국 국가 배후 AI 활용 공격 고도화 — 한국 전 산업 표적 / Nexcorium 봇넷 — 구형 DVR·공유기 DDoS 캠페인 / Apple 계정 알림 피싱 — SPF/DKIM/DMARC 우회, 미패치 |
| 💰 대형 사고 | Vercel 침해 — Context.ai 공급망 경유, API 키·소스코드·직원 정보 580건 유출 |
| 🦠 악성코드 | Nexcorium 미라이 변종 — 구형 DVR·TP-Link 공유기 집중 감염 |
| 🔵 연구/경고 | CVE 263% 폭증 대응 NIST 정책 전환 — 위험 기반 보안 체계 필수 / 국정원 공공 클라우드 단일 인증 개편(2027 하반기) / KISA PQC 전환 — 현황 파악 우선 / 인터넷 FTP 서버 50% 암호화 미적용(약 300만 대) / 국정원 락드쉴즈 2026 참가 |
📅 다음 업데이트: 2026-04-21
📌 보안 뉴스 소스: 데일리시큐, 보안뉴스, BleepingComputer, SecurityWeek, CISA
