🔐 오늘의 보안 뉴스 | 2026-04-21
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. Axios NPM 공급망 침해 — 북한 연계 Sapphire Sleet 추정, 다중 플랫폼 RAT 배포
공격자들이 널리 사용되는 JavaScript HTTP 클라이언트 라이브러리 Axios의 NPM 저장소를 침해했다. 공격 방식은 유지보수자 계정 탈취 후 CI/CD 파이프라인을 우회하여 악성 의존성(plain-crypto-js 4.2.1)을 주입하는 다층 기법이었다. 악성 버전 axios 1.14.1, 0.30.4가 배포되었으며, 설치 시점에 C2 서버에서 2단계 페이로드를 내려받아 원격접속 트로이목마(RAT)를 실행한다. Windows·macOS·Linux 모두 대상이며, 금융·가상화폐·벤처투자·블록체인 분야가 집중 타겟이다. 북한 연계 위협 조직 "Sapphire Sleet"으로 추정된다. axios 1.14.1, 0.30.4 사용 여부 즉시 점검, plain-crypto-js 4.2.1 존재 확인, 안전 버전(1.14.0 또는 0.30.3 이하)으로 다운그레이드 필요.
2. Chrome CVE-2026-5281 제로데이 — WebGPU Dawn Use-After-Free, 실제 공격 확인
구글이 Chrome의 새로운 제로데이 취약점 CVE-2026-5281을 긴급 수정했다. WebGPU 그래픽 처리 컴포넌트 "Dawn"에서 발견된 Use-After-Free(해제된 메모리 재사용) 오류로, 2026년 네 번째 Chrome 제로데이다. 이미 실제 공격에 악용 중임이 구글에 의해 공식 확인됐다. 공격자가 악용할 경우 브라우저 비정상 종료, 악성 코드 실행, 시스템 제어 권한 탈취가 가능하다. Chromium 기반 브라우저(Edge, Brave, Opera, Vivaldi 등)도 모두 영향을 받는다. 즉시 Chrome 146.0.7680.177 이상으로 업데이트 필요.
3. 중국 해킹조직 Red Menshen — BPFDoor로 통신 인프라 장기 잠복, 한국 포함 7개국 타겟
중국 연계 해킹조직 "레드 멘셴(Red Menshen)"이 BPFDoor 악성코드를 이용해 미국·홍콩·인도·미얀마·한국·터키·베트남 통신 인프라를 최소 2021년부터 공략 중이다. BPFDoor는 버클리 패킷 필터(BPF) 기능을 악용한 커널 레벨 은닉형 리눅스 백도어로, 특정 트리거 패킷이 들어올 때만 활성화되어 탐지가 극히 어렵다. SCTP 프로토콜 지원으로 통신망 직접 감시가 가능하며, CrossC2·Sliver·TinyShell 등 추가 악성코드를 배포해 자격증명을 탈취하고 내부 수평 이동을 수행한다. "디지털 슬리퍼 셀" 형태의 장기 잠복 구조로, 단순 정보 탈취를 넘어 가입자 행동·위치 정보 감시 등 고위급 첩보 수집이 목표다. Rapid7 스캐닝 스크립트를 통한 탐지 가능하나 모든 변종 제거는 불확실.
4. 시스코 긴급 패치 — CVSS 9.8 원격코드실행 취약점 2건 (CVE-2026-20093, CVE-2026-20160)
시스코가 원격 시스템 제어를 가능하게 하는 CVSS 9.8등급의 심각한 취약점 2건을 긴급 패치했다. CVE-2026-20093(통합관리컨트롤러)은 인증되지 않은 공격자가 HTTP 요청 조작으로 로그인을 우회해 관리자 계정 권한까지 획득 가능하다. CVE-2026-20160(스마트 소프트웨어 매니저)은 내부 서비스가 외부로 의도치 않게 노출되어 루트 권한의 임의 명령 실행이 가능한 원격 코드 실행 취약점이다. UCS C/E 시리즈 서버, ENCS 5000, 카탈리스트 8300 등 다수 제품이 영향을 받는다. 별도 우회책이 없으므로 각 제품별 수정 버전으로 즉시 패치 적용 필요.
5. 개인정보위, 24개 부처 CPO 범정부 회의 — AI 시대 프라이버시 위기 대응·2027 기본계획 논의
개인정보보호위원회(위원장 송경희)가 4월 20일 24개 중앙행정기관 CPO들과 범정부 개인정보 보호 강화 방안을 논의했다. 개인정보 유출 사고 증가와 AI 확산에 따른 새로운 프라이버시 위험에 대응하기 위한 것으로, 2027~2029년 개인정보 보호 기본계획 수립 방향, AI 시대 프라이버시 리스크 대응 방안, 공공부문 인력·시스템·예산 확충이 주요 논의 내용이다. 개인정보위는 협의 내용을 반영해 6월 전체회의에서 기본계획을 최종 확정할 예정이다.
🌐 해외 보안 뉴스
6. KelpDAO $2.93억 탈취 — 북한 라자루스 그룹(TraderTraitor), LayerZero DVN RPC 조작
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/kelpdao-suffers-290-million-heist-tied-to-lazarus-hackers/
DeFi 프로젝트 KelpDAO가 약 2억 9,300만 달러 규모의 해킹을 당했다. 공격자들은 LayerZero의 검증 레이어(DVN)가 사용하는 RPC 노드를 탈취하고, 건강한 RPC 노드들을 DDoS로 마비시킨 후 조작된 노드를 통해 위조된 블록체인 데이터를 주입했다. 이를 통해 실제 온체인 거래 없이 rsETH 토큰 116,500개를 무단 이동시켰고, Tornado Cash를 통해 자금을 세탁했다. LayerZero 초기 분석에서 북한 라자루스 그룹 하위 조직 TraderTraitor 소행으로 결론 내렸다. KelpDAO는 전 네트워크에서 rsETH 컨트랙트를 즉시 중단했으며 Aave는 rsETH 담보를 동결했다.
7. 전직 랜섬웨어 협상가 유죄 인정 — BlackCat 운영자에 피해사 협상 전략·보험 한도 제공
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/former-ransomware-negotiator-pleads-guilty-to-blackcat-attacks/
사이버보안 대응업체 DigitalMint의 전직 직원 앙젤로 마르티노(41세)가 2023년 BlackCat(ALPHV) 랜섬웨어 공격에 대해 유죄를 인정했다. 같은 회사와 Sygnia 소속 협상가 골드버그(33세)·마틴(28세)도 유죄를 인정했다. 이들은 피해사의 협상 전략, 보험 한도, 내부 대응 계획을 BlackCat 운영자들과 공유해 범죄자가 최대 몸값을 갈취할 수 있도록 조력했다. 피해 규모는 금융 서비스사 2,566만 달러, 비영리단체 2,679만 달러를 포함한 최소 5개 미국 조직이며, BlackCat 전체로는 1,000명 이상에서 3억 달러 이상을 갈취했다. 피고인들은 최대 20년의 징역형에 직면했다.
8. NGate Android 악성코드 — HandyPay NFC 앱 악용, 카드 정보 실시간 릴레이 탈취
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/ngate-android-malware-uses-handypay-nfc-app-to-steal-card-data/
브라질을 표적으로 한 NGate Android 악성코드 캠페인이 2025년 11월부터 진행 중이다. 공격자들은 "Proteção Cartão(카드 보호)" 위장 앱을 가짜 Google Play 페이지에서 배포하거나, 가짜 로또 사이트로 피해자를 유인해 악성 APK를 설치하도록 유도한다. 설치된 앱은 기본 NFC 결제 앱으로 설정을 요청하고, 카드 PIN 입력 후 카드를 스마트폰에 터치하도록 지시하여 NFC 신호를 공격자 기기로 실시간 릴레이해 원격지에서 카드 결제를 가능하게 한다. 기존 NFCGate 대신 월 €9.99의 합법 앱 HandyPay를 악성화하여 사용했으며 생성형 AI로 개발된 것으로 추정된다.
9. 시리얼-투-IP 컨버터 20개 취약점 (BRIDGE:BREAK) — OT·의료 기반시설 원격 장악 위험
- 출처: SecurityWeek / 데일리시큐
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206345
Forescout 연구진이 Lantronix와 Silex의 시리얼-투-IP 컨버터에서 총 20개의 신규 취약점(BRIDGE:BREAK)을 발견했다. 해당 장비는 공장·에너지·통신·교통·의료 기반시설에서 구형 직렬 통신 설비를 현대 IP 네트워크에 연결하는 중개 역할을 한다. 취약점은 인증 없이 악용 가능하며 원격 코드 실행, OS 명령 주입, 펌웨어 변조, 센서값 조작, 서비스거부 공격이 가능하다. 2015년 우크라이나 전력망 공격 및 최근 폴란드 에너지 시설 공격에서 이미 표적이 된 장비 유형이다. 기업들이 해당 자산의 존재조차 파악하지 못하는 경우가 많아 보안 사각지대로 지목된다.
10. MCP 아키텍처 설계 결함 — AI 워크플로우 플랫폼 통한 원격코드실행·민감정보 탈취 가능
Anthropic의 Model Context Protocol(MCP)에서 특정 SDK 버전이나 구현 오류가 아닌 아키텍처 자체의 "By Design Flaw"가 발견됐다. Flowise 같은 AI 워크플로우 플랫폼과 IBM LangFlow에서 10개 이상의 CVE가 보고됐다. 공격자는 API 키·채팅 기록 등 민감 정보 추출 및 원격 코드 실행(RCE)이 가능하다. 1만 5,000명 이상의 다운로더 중 20명 이상이 문제를 보고했다. 단순 패치로는 완전한 해결이 어려운 아키텍처 수준 결함으로, MCP 입력값 검증 강화, 신뢰할 수 있는 출처의 패키지만 설치, 기존 MCP 구현 전면 검토가 권고된다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Chrome CVE-2026-5281 (실제 공격 중, 146.0.7680.177 이상으로 즉시 업데이트) / 시스코 CVE-2026-20093·CVE-2026-20160 (CVSS 9.8, 원격 관리자 권한 탈취·RCE) |
| 🟠 진행 중 공격 | Axios NPM 공급망 침해 (북한 Sapphire Sleet 추정, 크로스플랫폼 RAT 배포) / NGate NFC 악성코드 (브라질, HandyPay 악용 카드 정보 릴레이) / BPFDoor 통신 인프라 장기 잠복 (한국 포함 7개국) |
| 💰 대형 사고 | KelpDAO $2.93억 탈취 (라자루스 그룹 TraderTraitor, LayerZero DVN RPC 조작) / BlackCat 협상가 내부 협력 유죄 ($5,000만 이상 피해) |
| 🦠 악성코드 | Axios 공급망 RAT (크로스플랫폼, Sapphire Sleet) / NGate HandyPay NFC 릴레이 트로이목마 |
| 🔵 연구/경고 | BRIDGE:BREAK 취약점 20개 (Lantronix·Silex 시리얼-투-IP, OT·의료 기반시설) / MCP 아키텍처 설계 결함 (AI 워크플로우 전반) / 개인정보위 범정부 AI 프라이버시 대응 체계 수립 (2027~2029 기본계획) |
📅 다음 업데이트: 2026-04-22
📌 보안 뉴스 소스: 데일리시큐, 보안뉴스, BleepingComputer, SecurityWeek, CISA
