🔐 오늘의 보안 뉴스 | 2026-04-29
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. GitHub CVE-2026-3854 — 단 한 번의 git push로 원격 코드 실행 가능
- 출처: 데일리시큐 / SecurityWeek
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206540
GitHub 내부 Git 인프라의 프로토콜 처리 방식에서 발생한 명령 주입(Command Injection) 결함으로, 저장소 푸시 권한만 보유한 인증 사용자가 일반 git 클라이언트로 단 1회의 git push 명령만으로 원격 코드 실행이 가능하다. CVE-2026-3854, CVSS 8.7(높음). GitHub.com 및 GitHub Enterprise Server(GHES) 전체가 영향을 받으며, GitHub.com은 3월 4일, GHES는 3월 10일 패치가 완료되었다. 그러나 현재 GHES 인스턴스의 88%가 여전히 미패치 상태다. 클라우드 보안 기업 Wiz가 AI를 활용해 발견하여 제보 40분 내 GitHub이 심각성을 확인했으며, 포렌식 조사 결과 현재까지 실제 악용 사례는 미확인 상태다.
대응 방안: GHES를 운영 중인 기업은 즉시 최신 버전으로 업데이트 필수. GitHub.com은 자동 패치됨. 자사 저장소의 비밀키·자격증명 이상 여부 점검 권고.
2. CODESYS PLC 보안 취약점 3종 — 산업 제어 시스템 전면 위협
산업 자동화 분야에서 광범위하게 사용되는 CODESYS 플랫폼에서 3가지 심각한 CVE가 발견되었다. CVE-2025-41658(암호 해시 탈취로 시스템 보안 침해), CVE-2025-41659(암호화 키 노출로 코드 보호 기능 무력화), CVE-2025-41660(악성 코드 실행을 통한 시스템 관리 권한 장악)이 그것이다. CODESYS는 제조·에너지·수처리 등 핵심 인프라 OT/ICS 환경에서 광범위하게 사용되어, 취약점 악용 시 생산 중단 및 물리적 연쇄 피해가 발생할 수 있다. CODESYS 4.21.0.0 이상 또는 3.5.22.0 이상 버전으로 업데이트하면 해결된다.
대응 방안: CODESYS 최신 버전 즉시 업데이트. PLC 코드 보안 검증 절차 강화. OT 네트워크 IT 환경과 망분리 점검. 실시간 이상 트래픽 모니터링 확대 권고.
3. Checkmarx 소스코드·API키·DB 자격증명 LAPSUS$에 유출
보안 기업 Checkmarx의 소스코드, API 키, MySQL 데이터베이스 자격증명, 시스템 구성 정보가 LAPSUS$ 해킹 그룹에 의해 유출되었다. 유출은 2026년 3월에 발생했으며 4월 28일에 공개되었다. 유출된 DB 자격증명을 활용한 추가 침입 및 후속 공격 위험이 증가했으며, Checkmarx 고객사의 코드 스캐닝 파이프라인에 대한 공급망 신뢰 문제가 발생했다. Checkmarx는 영향받은 고객에게 API 키를 재발급하고 DB 자격증명 변경을 권고했다.
대응 방안: Checkmarx 사용 기업은 즉시 API 키 및 연동 자격증명 교체. CI/CD 파이프라인 Checkmarx 연동 설정 점검. 소스코드 유출에 따른 하드코딩된 시크릿 여부 자체 점검 필요.
4. 개인정보위, 공공기관 '본인전송' 확대 — 8월 20일 시행
개인정보보호위원회가 개인정보 전송요구권(본인전송) 적용 대상을 대폭 확대하는 정부령을 2월 공포하고 8월 20일부터 시행 예정이다. 기존 의료·통신 분야 중심에서 평균매출액 1,800억 원 초과 + 5만 명 이상의 고유식별정보·민감정보 처리 기관, 100만 명 이상의 개인정보 처리 민간 대형기관, 공공시스템운영기관까지 의무 대상이 확대된다. 국민이 자신의 개인정보를 직접 요청해 받아볼 수 있는 권리를 강화하고 공공 분야 마이데이터 서비스의 제도적 기반을 마련하는 조치다.
대응 방안: 의무 대상 기관은 8월 20일 이전까지 개인정보 전송 API 구축 및 본인인증 체계 정비 필수. 오남용 방지를 위한 접근 로그 관리 및 이상 요청 탐지 체계 마련 권고.
🌐 해외 보안 뉴스
5. cPanel 인증 취약점 긴급 패치 — 무단 제어판 접근 허용
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/04/critical-cpanel-authentication.html
cPanel이 여러 인증 경로에 영향을 미치는 심각한 인증 우회(Authentication Bypass) 취약점을 해결하는 긴급 업데이트를 공개했다. Namecheap이 "제어판에 무단 접근을 허용할 수 있는 인증 로그인 익스플로잇"으로 공식 확인했으며, 현재 지원되는 cPanel 모든 버전이 영향을 받는다. cPanel은 전 세계 수백만 개의 웹 호스팅 서버에서 사용되는 가장 광범위한 서버 관리 패널로, 성공적 악용 시 웹사이트 파일, 데이터베이스, 이메일 계정, DNS 설정 등 전체 서버 자원에 무단 접근이 가능하다. 긴급 보안 업데이트가 공개되었으며 cPanel 자동 업데이트가 활성화된 서버는 자동 패치된다.
대응 방안: cPanel 최신 버전으로 즉시 업데이트 필수. 자동 업데이트 비활성화된 서버는 수동 패치 긴급 적용. 업데이트 후 서버 접근 로그 검토하여 사전 무단 접근 흔적 확인 권고.
6. LiteLLM CVE-2026-42208 SQL 인젝션 — 공개 36시간 만에 실제 악용
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/04/litellm-cve-2026-42208-sql-injection.html
BerriAI의 LiteLLM Python 패키지에서 발견된 심각한 SQL 인젝션 취약점(CVE-2026-42208, CVSS 9.3)이 공개 후 불과 36시간 만에 실제 공격에 악용되기 시작했다. 데이터베이스 쿼리에 사용자 공급 값이 적절한 검증 없이 사용되어 발생했으며, 악용 성공 시 데이터베이스 전체 접근·조작 및 잠재적 원격 코드 실행이 가능하다. LiteLLM은 OpenAI, Anthropic, Google 등 100개 이상의 LLM API를 단일 인터페이스로 통합하는 라이브러리로, 기업용 AI 인프라에 광범위하게 사용된다.
대응 방안: LiteLLM 사용 환경 즉시 최신 버전 업그레이드. 패치 전까지 외부 입력값 화이트리스트 필터링 강화. DB 접근 로그 모니터링 및 이상 쿼리 탐지. AI 파이프라인에서 LiteLLM에 연결된 DB 자격증명 최소 권한 적용 점검.
7. Chrome 147 / Firefox 150 보안 업데이트 — 임의 코드 실행 취약점 다수 패치
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/chrome-147-firefox-150-security-updates-rolling-out/
Chrome 147이 총 30개의 보안 결함을 수정했다. 치명적(Critical) Use-After-Free 취약점 4개(CVE-2026-7363 Canvas, CVE-2026-7361 iOS, CVE-2026-7344 접근성, CVE-2026-7343 Views)와 고심각도(High) 취약점 16개 이상이 포함되며, 악용 성공 시 임의 코드 실행, 정보 유출, 크래시가 가능하다. 대상 버전은 147.0.7727.137/138(Windows/macOS)이다. Firefox 150도 메모리 손상 및 임의 코드 실행 가능성이 있는 4개 취약점(CVE-2026-7322~7324, CVE-2026-7320)을 수정했으며, ESR 버전도 동시 업데이트되었다.
대응 방안: Chrome 및 Firefox 즉시 최신 버전 업데이트. 기업 환경에서는 브라우저 자동 업데이트 정책 적용 확인. WSUS/MDM을 통한 일괄 업데이트 배포 권고.
8. OpenEMR 의료 소프트웨어 38개 취약점 — 2억 명 환자 데이터 위험
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/38-vulnerabilities-found-in-openemr-medical-software/
응용 보안 기업 Aisle가 OpenEMR에서 38개 CVE에 해당하는 39개 보안 문제를 발견했다. SQL 인젝션(CVE-2026-24908, CVE-2026-23627), 권한 부여 우회(CVE-2026-24487), XSS, 경로 탐색, 세션 만료 문제 등이 포함된다. SQL 인젝션 취약점이 적절한 DB 권한과 결합될 경우 데이터베이스 완전 손상, 대규모 PHI(환자건강정보) 유출, 서버 원격 코드 실행이 가능하다. OpenEMR은 전 세계 100,000명 이상의 의료 제공자가 사용하며 2억 명 이상의 환자 데이터를 저장한다. 모든 취약점은 이미 패치 완료되었다.
대응 방안: OpenEMR 사용 의료기관은 즉시 최신 버전 업데이트. 의료 데이터(PHI) 접근 제어 및 암호화 점검. HIPAA 규정 준수 여부 재검토 권고.
9. 이란 Handala 그룹, 바레인 미군에 WhatsApp 드론·미사일 위협
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/iranian-cyber-group-handala-targets-us-troops-in-bahrain/
이란 정보기관 MOIS 연계 APT Handala(별칭: Red Sandstorm, Storm-0842)가 바레인 주둔 미군 병력을 대상으로 WhatsApp을 통해 드론·미사일 위협 메시지를 발송하는 심리전을 수행했다. 2,379명 미 해병대원 개인정보 공개를 주장했으며, Stryker 의료기술 회사에 대한 파괴적 공격(200,000개 이상 시스템 삭제 주장), FBI 국장 Kash Patel 개인 Gmail 계정 해킹($1,000만 현상금 게시)도 함께 보고되었다. 이 그룹은 맞춤형 악성코드, 상용 도구, 와이퍼를 병행 사용하며, 군사적 물리 타격보다는 심리적 손상과 정보 수집 목적의 영향력 작전을 수행한다는 평가다.
대응 방안: 군·정부 관계자 대상 소셜 미디어·메신저를 통한 사이버 심리전 인식 교육. 민감 정보를 보유한 군·기관 인원의 개인 계정 보안 강화. MOIS 연계 IOC 기반 탐지 규칙 적용 권고.
10. 북한 BlueNoroff, Web3 임원 100명 표적 소셜 엔지니어링 캠페인
- 출처: CybersecurityDive
- 링크: https://www.cybersecuritydive.com/news/north-korea-web3-execs-social-engineering-hacker/818639/
북한 Lazarus Group 산하 BlueNoroff가 20개국 이상의 Web3 업계 임원 약 100명을 표적으로 한 5개월 이상의 지속 캠페인을 수행했다. 피해자의 40%는 미국 기반으로, DeFi 설립자, 암호화폐 거래소 운영자, 블록체인 지갑 개발자가 주요 대상이다. 공격자는 타이포스쿠팅된 Zoom/Teams 링크가 삽입된 Calendly 미팅 초대를 통해 접근하며, 각 대상에 대한 개인 맞춤형 OSINT 사전 조사와 AI 생성 위조 콘텐츠를 활용했다. 2025년 말부터 80개 이상의 타이포스쿠팅 도메인을 등록하고 950개 이상의 파일을 분석하는 등 체계적 인프라를 구축했다. 최종 목표는 개인 키, 지갑 인프라, 거래소 관리 패널에 대한 직접 접근을 통한 암호화폐 자산 탈취다.
대응 방안: Calendly·Zoom·Teams 링크 수신 시 URL 철자 및 도메인 반드시 검증. 암호화폐 지갑 키는 에어갭 환경에서 관리. 거래소 관리 패널 접근에 FIDO2 기반 피싱 저항성 MFA 적용 필수.
11. Hasbro 3월 사이버공격 — 2분기 실적·주문처리에 직접 영향
- 출처: CybersecurityDive
- 링크: https://www.cybersecuritydive.com/news/hasbro-march-cyberattack-impact-second-quarter-revenue/818438/
글로벌 완구·게임 기업 Hasbro가 2026년 3월 사이버공격을 받아 주문 처리, 배송, 청구서 발행에 지연이 발생하고 특정 시스템이 오프라인 전환되었다. 2분기 수익 및 운영 이익에 부정적 영향이 공식 예고되었으며, 조사·자문 비용도 추가 발생할 예정이다. 현재는 사업 연속성 계획을 통해 주문·배송을 계속 처리 중이며, 2분기 지연분은 하반기 만회를 예상한다. 공격 주체 및 랜섬웨어 여부는 미공개 상태다.
대응 방안: 기업은 사이버공격 대비 사업 연속성 계획(BCP) 사전 수립 필수. 주문·배송 등 핵심 업무 시스템의 네트워크 분리 및 백업 체계 점검. 사이버 사고의 재무 공시 의무 및 투자자 소통 절차 정비 권고.
12. [업데이트] CISA, CVE-2026-32202 연방기관 5월 12일까지 패치 명령
- 출처: BleepingComputer / The Hacker News
- 링크: https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-windows-flaw-exploited-in-zero-day-attacks/
어제(4/28) 보고된 Windows Shell 스푸핑 취약점(CVE-2026-32202)에 대해 CISA가 KEV(Known Exploited Vulnerabilities) 카탈로그에 공식 등재하고, Binding Operational Directive 22-01에 근거해 연방 민간 행정부(FCEB) 기관에 5월 12일까지 패치 완료를 명령했다. 공격 주체는 러시아 APT28(Fancy Bear)으로 확인되었으며, 이 취약점은 2월 패치된 RCE 결함(CVE-2026-21510)의 불완전한 패치로 남겨진 결함으로 Akamai 보안팀이 발견했다. "제로클릭 자격증명 탈취 벡터"로 작동하며, ConnectWise ScreenConnect 경로 순회 취약점(CVE-2024-1708)도 KEV에 동시 등재되었다.
대응 방안: 4월 Windows 누적 보안 업데이트 미적용 시스템은 5월 12일 이전 즉시 패치 필수. ConnectWise ScreenConnect 사용 기업도 CVE-2024-1708 패치 즉시 확인. APT28의 스피어피싱 이메일에 대한 경계 강화 및 EDR 탐지 규칙 업데이트 권고.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | cPanel 인증 우회(전 버전) / LiteLLM CVE-2026-42208 SQL인젝션(CVSS 9.3) / GitHub CVE-2026-3854 RCE(GHES 88% 미패치) / Chrome 147·Firefox 150(30개 취약점) / CODESYS PLC 3종 CVE / CVE-2026-32202 FCEB 5/12 패치 기한 |
| 🟠 진행 중 공격 | 북한 BlueNoroff Web3 임원 100명 Calendly 소셜 엔지니어링 / 이란 Handala 바레인 미군 WhatsApp 심리전 / APT28 CVE-2026-32202 실제 악용 |
| 💰 대형 사고 | Checkmarx 소스코드·API키·DB 자격증명 LAPSUS$ 유출 / Hasbro 사이버공격 2분기 실적 직접 영향 |
| 🦠 악성코드 | OpenEMR 38개 CVE 발견(2억 명 PHI 위험, 패치 완료) |
| 🔵 연구/경고 | 개인정보위 본인전송 공공기관 확대(8월 20일 시행) / CISA KEV 2건 신규 등재 |
📅 다음 업데이트: 2026-04-30
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, The Hacker News, BleepingComputer, SecurityWeek, CybersecurityDive
