🔐 오늘의 보안 뉴스 | 2026-05-04

국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.

수집일시: 2026-05-04

---

🇰🇷 국내 보안 뉴스

1. 북한 해커, 2026년 가상화폐 탈취액 76% 차지 — AI로 정교해진 해킹

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206563

TRM Labs 분석에 따르면, 북한 해커 그룹이 2026년 전체 가상화폐 탈취액의 76%를 차지한 것으로 집계되었다. 이는 2025년의 66%, 과거 약 1/3 수준에서 급격히 증가한 수치다.

• 주요 공격 사례:
  • Drift Protocol (4월 1일): 2억 8,500만 달러 탈취
  • Kelp DAO (4월 18일): 2억 9,200만 달러 탈취
  • 합산 피해: 약 5억 7,700만 달러
• 공격 방식: 소수의 대규모 공격에 집중. DeFi 플랫폼의 단일 신뢰 지점, 자산 이동 검증 부재, 거버넌스 취약점을 악용. AI 보조 사회공학 공격 지난 1년간 500% 증가
• 영향 범위: DeFi 생태계 전반. 특히 크로스플랫폼 자산 이동 구조와 신뢰 검증 절차가 미흡한 플랫폼
• 취약 원인: 블록체인 거래 특성상 거래 차단·취소·복구 메커니즘 부재
• 대응 권고: DeFi 플랫폼의 단일 신뢰 지점 제거, 다중 서명(Multi-sig) 거버넌스 도입, AI 기반 이상 거래 탐지 시스템 구축. 가상화폐 투자자는 검증된 플랫폼만 이용 권고

---

2. 원격제어 악성코드 'DeepDoor' — Windows 시스템 장기 침투 목표

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206580

Python 기반 원격 접근 트로이목마(RAT) DeepDoor가 Windows 시스템을 대상으로 장기 은신·침투를 목표로 하는 캠페인에서 발견되었다.

• 주요 취약점/기능:
  • 셸 명령 실행, 화면 캡처, 오디오 녹음, 키로거
  • 브라우저 비밀번호, SSH 키, 클라우드 자격증명, Wi-Fi 암호 탈취
  • MBR(마스터 부트 레코드) 덮어쓰기 파괴 기능
• 공격 방식:
  • install_obf.bat 배치파일로 단일 파일 배포 → svc.py를 %LOCALAPPDATA%\SystemServices\ 폴더에 생성
  • Windows Defender 비활성화, PowerShell 로깅 억제, SmartScreen 우회
  • 샌드박스 탐지, AMSI·ETW 패칭, ntdll 언훅, 명령줄 삭제, 타임스탬프 위조, 로그 삭제
• 영향 범위: Windows 시스템 전반. 시작 폴더, 레지스트리 키, 예약 작업, WMI 이벤트 구독 다중 지속성
• 패치/대응: 현재 광범위한 캠페인 증거는 제한적이나 모듈식 설계로 향후 확대 가능. Windows Defender 최신 업데이트 유지, 의심스러운 배치 파일 실행 차단, 이메일 첨부파일 주의

---

3. 랜섬웨어 그룹 Everest, 리버티뮤추얼 108GB 보험자료 공개 협박

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206577

러시아어권 사이버범죄 조직 Everest가 미국 대형 보험사 Liberty Mutual에서 탈취한 108GB 데이터를 다크웹 유출 사이트에 공개하겠다고 협박하고 있다.

• 주요 취약점: 이중 갈취(Double Extortion) 전술 — 데이터 탈취 후 몸값 미지불 시 공개 위협
• 공격 방식: 네트워크 초기 접근 후 데이터 탈취. 4월 30일 다크웹 유출 사이트에 게시
• 영향 범위:
  • 52,429개 파일, 14,979개 폴더
  • 고객 이름, 주소, 보험 증권 번호, 재무 정보, 보험 관련 세부 정보 포함
  • 대형 법인 고객 및 테러 보험 문서 포함 (2025년 10월~2026년 10월)
• 패치/현황: Liberty Mutual 공식 확인 없음, 조사 진행 중. Everest는 2020년 말부터 활동하며 법률 서비스, 은행, 항공, 통신, 핵심 인프라로 공격 대상 확대
• 대응 권고: 보험사·금융기관은 제3자·공급망 보안 강화. 외부 파트너십 경로 전수 점검. 데이터 분류 및 최소 권한 접근 원칙 적용

---

4. AI 공격 속도 못 따라가는 VPN — 원격접속 보안 구조 전환 시급

• 출처: 데일리시큐
• 링크: https://www.dailysecu.com/news/articleView.html?idxno=206575

Zscaler ThreatLabz의 보안 전문가 822명 대상 설문 조사 결과, AI 기반 공격 속도와 조직의 방어 역량 간 심각한 격차가 확인되었다.

• 주요 취약점/통계:
  • 최근 12개월 내 AI 보조 공격 확인 또는 의심: 61%
  • 현 VPN이 AI 기반 위협 탐지·차단 가능하다고 신뢰: 단 5%
  • 평균 침해 체류 시간: 29분 (최단 기록: 27초)
  • 조직의 6%만 24시간 내 치명적 VPN 패치 배포 가능
• 공격 방식: AI 생성 피싱·사회공학이 전문가의 63%가 지목한 주요 위협. 단일 계정 침해로 네트워크 전체 접근 가능(32%), VPN 암호화 트래픽의 75% 이상 미검사(60%)
• 영향 범위: VPN을 사용하는 전 조직. 특히 재택근무·원격접속 환경
• 대응 권고:
  • 광범위한 인증 후 네트워크 접근 제거
  • 로그인 이후에도 신원·장치 상태·행동 지속 검증 (Zero Trust)
  • 암호화 트래픽 실시간 인라인 검사
  • AI 기반 자동화 위협 탐지 도입

---

🌐 해외 보안 뉴스

5. cPanel CVE-2026-41940 — 정부·군 기관 표적 추가 공격 캠페인 확인

• 출처: The Hacker News
• 링크: https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

기존 Sorry 랜섬웨어 외에 국가 연계 위협 행위자가 cPanel 취약점 CVE-2026-41940을 이용해 동남아시아 정부·군 기관과 MSP를 표적으로 하는 별도의 공격 캠페인이 확인되었다.

• 주요 취약점: CVE-2026-41940 — cPanel/WHM 인증 우회, 원격 공격자가 관리자 수준 제어 패널 권한 획득 가능
• 공격 방식:
  • IP 95.111.250[.]175에서 공개된 PoC를 활용
  • AdapdixC2 C2 프레임워크 배포
  • OpenVPN, Ligolo, systemd를 통한 지속성 확보
  • SQL 인젝션·RCE 복합 익스플로잇 체인 사용
• 영향 범위:
  • 필리핀, 라오스 정부·군 기관
  • 다수 국가의 MSP·웹호스팅 업체
  • Shadowserver 데이터 기준 공개 24시간 내 44,000개 IP 침해
  • 중국 철도 관련 문서 대량 유출 정황
• 패치: cPanel/WHM 최신 보안 업데이트 즉시 적용
• 대응 권고: 인터넷 노출된 cPanel 서버 전수 점검, 감사 로그 이상 접근 확인, 네트워크 격리 조치 검토

---

6. 국제 공조로 글로벌 암호화폐 사기 조직 일망타진 — 276명 체포, 701만 달러 압류

• 출처: The Hacker News
• 링크: https://thehackernews.com/2026/05/global-crackdown-arrests-276-shuts-9.html

미국, UAE, 중국, 태국, 버마, 인도네시아, 캄보디아의 국제 공조 수사로 암호화폐 투자 사기 조직 9개 센터가 폐쇄되고 276명이 체포되었다.

• 주요 공격 방식: 돼지 도축(Pig Butchering) 스캠 — 신뢰 관계 구축 후 가짜 투자 플랫폼으로 유도
• 공격 규모:
  • 체포 276명 (주요 인물: Thet Min Nyi, Wiliang Awang, Andreas Chandra 등)
  • 사기 센터 9개 폐쇄
  • 암호화폐 701만 달러(추정) 압수
  • 피해자 약 9,000명 통보
  • Operation Level Up으로 5억 6,200만 달러 추가 피해 방지
  • 팔로워 6,500명의 텔레그램 채용 채널 압수, 가짜 투자 사이트 503개 폐쇄
• 특이 사항: 피해자 대부분 미국인. 캄보디아 상원의원 Kok An 제재. 인신매매 피해자 강제 노동 연계 확인
• 대응 권고: 온라인에서 시작된 로맨스 또는 투자 제안 절대 신중히 대응. 검증되지 않은 투자 플랫폼 자금 이체 금지. 의심스러운 접촉은 FBI IC3(ic3.gov) 신고

---

7. Instructure(Canvas) 데이터 침해 — ShinyHunters, 2억 7,500만 명 정보 3.65TB 주장

• 출처: SecurityWeek / BleepingComputer
• 링크: https://www.securityweek.com/edtech-firm-instructure-discloses-data-breach/

Canvas LMS로 유명한 교육기술 기업 Instructure가 ShinyHunters 그룹의 공격으로 대규모 데이터 침해가 발생했다.

• 주요 취약점: API 키 탈취 및 Salesforce 인스턴스 무단 접근
• 공격 방식: 시스템 서비스 장애 유발 + Salesforce 등 연동 시스템 무단 접근. 5월 3일 다크웹 유출 사이트 게시
• 영향 범위:
  • ShinyHunters 주장: 3.65TB, 2억 7,500만 명(학생·교사 포함), 전 세계 약 9,000개 교육기관
  • 유출 정보: 이름, 이메일, 학생 ID 번호, 이용자 간 메시지
  • Instructure 미확인: 비밀번호, 생년월일, 정부 식별자, 금융 정보는 유출 없음 주장
• 패치/대응: 애플리케이션 키 재발급(사용자 재인증 필요), 권한 자격증명·접근 토큰 취소, 보안 수정 배포, 외부 포렌식 전문가 조사 착수
• 대응 권고: Canvas 사용 학생·교사는 이메일·계정 피싱 주의 강화. 기관 IT 관리자는 Instructure 공식 공지 주시 및 API 키 재발급 확인

---

8. OpenAI, ChatGPT 계정 고급 보안 기능 출시 — 고위험군 사용자 대상 패스키·패스워드리스 로그인

• 출처: SecurityWeek
• 링크: https://www.securityweek.com/openai-rolls-out-advanced-security-for-chatgpt-accounts/

OpenAI가 기자, 연구자, 정치적 반체제 인사, 선출직 공무원 등 고위험군 사용자를 위한 고급 계정 보안 기능을 선택적으로 출시했다.

• 주요 기능:
  • 패스워드 기반 로그인 비활성화, 물리적 보안 키 또는 패스키만 허용
  • Yubico와 협력해 YubiKey 할인 제공
  • 이메일·SMS 복구 방식 대신 백업 패스키·복구 키로 대체
  • 세션 단축으로 기기 도난 시 탈취 위험 감소
  • 계정 훈련 데이터 사용 자동 제외
• 주의: 고급 보안 활성화 시 OpenAI 지원팀도 계정 복구 불가. 복구 키를 안전하게 보관해야 함
• 의미: 민감 정보를 다루는 고위험 사용자의 ChatGPT 계정 보안 수준을 MFA 수준으로 강화. AI 플랫폼 계정 보안 강화 업계 선도 사례

---

9. 미 국방부, 7개 빅테크와 기밀망 AI 활용 계약 체결

• 출처: SecurityWeek
• 링크: https://www.securityweek.com/us-military-reaches-deals-with-7-tech-companies-to-use-their-ai-on-classified-systems/

미국 국방부(DoD)가 Google, Microsoft, Amazon Web Services(AWS), Nvidia, OpenAI, Reflection, SpaceX와 기밀 분류망에서 AI를 활용하는 계약을 체결했다.

• 내용: 군사 의사결정 역량 강화를 위한 AI 시스템 기밀망 통합
• 의미:
  • AI의 군사·국가안보 영역 본격 통합
  • 기밀 시스템에서의 AI 운용 표준 수립
  • 러시아·중국 등 국가 연계 AI 사이버 능력에 대한 대응 강화
• 보안 시사점: AI의 군사적 활용 확대에 따른 AI 시스템 자체의 보안성 확보, 공급망 보안, 내부 위협 관리 중요성 증가
• 대응 권고: 각국 정부 및 민간 기업은 AI 시스템의 보안 거버넌스 체계 강화 필요

---

10. 피싱 이메일 진화 — 악성 첨부파일 감소, QR 코드 기반 공격 급증

• 출처: Cybersecurity Dive
• 링크: https://www.cybersecuritydive.com/news/email-phishing-trends-microsoft-qr-codes/819077/

Microsoft 분석에 따르면 이메일 피싱의 전술이 전통적인 악성 첨부파일에서 QR 코드 기반 공격으로 빠르게 전환되고 있다.

• 주요 변화:
  • 악성 첨부파일 기반 피싱 감소
  • QR 코드를 이메일에 삽입해 모바일 기기로 유도하는 공격 급증
  • 보안 솔루션의 URL 필터링·이메일 스캐닝 우회 목적
• 공격 방식: 이메일 본문에 QR 코드 이미지 삽입 → 피해자 스마트폰으로 스캔 → 피싱 페이지로 이동(기업 보안 솔루션 우회)
• 영향 범위: 이메일 보안 솔루션을 사용하는 모든 기업·개인
• 대응 권고: 이메일 내 QR 코드 스캔 금지 정책 수립. QR 코드 보안 인식 교육 실시. 이메일 보안 솔루션의 QR 코드 탐지 기능 활성화

---

📊 오늘의 핵심 요약

구분	내용
🔴 긴급 패치	cPanel CVE-2026-41940 (44,000+ 서버 침해, 정부·군 표적 추가 확인)
🟠 진행 중 공격	북한 해커 가상화폐 탈취 (76%, AI 보조 공격 500% 증가) / Everest 랜섬웨어 Liberty Mutual 108GB 협박 / DeepDoor RAT Windows 침투 캠페인
💰 대형 사고	Instructure(Canvas) 3.65TB 침해 주장 (2억 7,500만 명 영향 가능) / 글로벌 암호화폐 사기 조직 국제 공조 검거 276명, 701만달러 압수
🦠 악성코드	DeepDoor RAT (Python 기반, 다중 지속성, MBR 파괴 기능)
🔵 연구/경고	OpenAI ChatGPT 고급 보안 기능 출시 (패스키·패스워드리스) / 미 국방부 7개 빅테크 기밀망 AI 계약 / 피싱 QR 코드 공격 급증 / VPN 보안 격차 경고 (AI 공격 속도 대응 불가)

---

📅 다음 업데이트: 2026-05-05
📌 보안 뉴스 소스: 데일리시큐, 보안뉴스, The Hacker News, BleepingComputer, SecurityWeek, Cybersecurity Dive, Krebs on Security