🔐 오늘의 보안 뉴스 | 2026-05-05
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
수집일시: 2026-05-05
🇰🇷 국내 보안 뉴스
1. 국가사이버안보기본지침 개정 — 공공 망분리 정책 전환
국가정보원이 5월 1일 기존 "내부망·인터넷망 물리적 분리" 중심 체계를 "정보 중요도·위험 기반 통제" 방식으로 전환하는 국가 망 보안체계(N2SF)를 도입했다. 업무정보를 기밀·민감·공개 3단계로 분류하여 공개 등급 업무의 경우 클라우드·인터넷 기반 서비스 처리가 허용된다. AES 등 국제표준 암호알고리즘도 2026년 1월부터 공식 허용되었다. 공공기관의 AI·클라우드·SaaS 도입이 유연해지나, 정보등급 분류 기준 구체화 및 책임 완화 장치 마련이 과제로 남는다.
2. 보안기업 트렐릭스, 소스코드 저장소 일부 해킹 정황 확인
사이버보안 기업 Trellix의 소스코드 저장소 일부가 해킹되었다. 회사 측은 제품 배포 및 릴리스 절차에 영향이 없다고 밝혔으나, 열람된 자료 범위와 공격 주체는 미공개 상태다. 외부 포렌식 전문가 투입 및 수사기관 통보가 이루어졌다. 보안 솔루션 벤더의 소스코드 유출은 제품 취약점 분석 및 공급망 공격 가능성을 높인다는 점에서 업계의 우려가 크다.
3. EU, 화웨이·ZTE 통신장비 배제 공식 권고
EU 집행위원회가 5월 4일 회원국들에게 화웨이·ZTE 장비 사용 금지를 공식 권고했다. 2020년 '5G 보안 툴박스' 연장선으로, 기존 자율 권고에서 강제 규제 방향으로 전환 신호를 보냈다. 중국은 "보호주의·이중잣대"라며 강하게 반발했다. 통신망 규제가 기술 표준 중심에서 공급망 통제 중심으로 이동하며, 클라우드·AI·반도체 등 타 기술 영역으로 갈등 확산이 우려된다.
4. Microsoft Defender, DigiCert 정상 인증서를 악성코드로 오탐
DigiCert 지원 포털 침해 사건 직후, Microsoft가 부정 발급 코드서명 인증서 탐지 로직을 과도하게 적용하여 정상 DigiCert 루트 인증서를 Trojan:Win32/Cerdigent.A!dha로 오탐하는 사태가 발생했다. 4월 30일 보안 인텔리전스 업데이트 후 시작되어 5월 3일 전 세계 관리자들이 대거 보고했다. 웹사이트 접속 오류, 소프트웨어 서명 검증 실패 등 실제 업무 영향이 발생했으며, 보안 인텔리전스 버전 1.449.430.0 이상으로 업데이트하면 해결된다.
5. AI 에이전트 보안 취약점 현실화 — 설정 파일 하나로 해킹 가능
Google Gemini CLI(CVSS 10.0)와 Cursor IDE(CVE-2026-26268, CVSS 8.1)에서 AI 에이전트 보안 취약점이 현실화되었다. Gemini CLI의 경우 외부에서 악성 설정 파일을 주입하면 검증 없이 로드되어 자동 코드 실행이 가능하며, Cursor IDE에서는 악성 Git 훅 삽입으로 저장소를 열기만 해도 자동 실행된다. CI/CD 파이프라인 환경에서 공급망 공격으로 확대될 수 있어 파급력이 크다. Google은 폴더 신뢰 설정 필수화 패치를 배포했다.
6. AWS SES 이메일 서비스, 피싱 공격에 악용 급증
Amazon Simple Email Service(SES) 자격증명 탈취를 통한 피싱 공격이 급증하고 있다. 공격자는 코드·환경변수·Docker 이미지 등에 노출된 AWS 접근 키를 TruffleHog 등 자동화 도구로 탈취한 뒤, AWS 도메인에서 발신되는 신뢰도 높은 피싱 이메일을 대량 발송한다. SPF·DKIM·DMARC 검증 미흡과 제한적 IP 차단이 취약 원인이다. IAM 최소 권한 정책 적용, API 키 암호화, 이메일 인증 프로토콜 강화가 필요하다.
🌐 해외 보안 뉴스
7. 100만 개 노출 AI 서비스 스캔 결과 — 보안 실태 심각
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/we-scanned-1-million-exposed-ai.html
보안 연구팀이 100만 개 이상의 노출된 AI 서비스를 스캔한 결과, Ollama 서버 5,200개 중 31%가 인증 없이 응답하고, 518개 서버가 Claude·OpenAI·Google 등 프론티어 모델을 무인증으로 래핑하고 있음이 확인되었다. 기본 인증 미활성화, Docker 오설정, root 권한 실행, 약한 샌드박싱이 주요 원인이다. AI 인프라 신규 설치 시 강제 인증 활성화 필수, DMZ 환경 격리 적용이 요구된다.
8. 북한 ScarCruft, 게임 플랫폼 해킹해 BirdCall 안드로이드 악성코드 배포
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/scarcruft-hacks-gaming-platform-to.html
북한 연계 APT ScarCruft(APT37)가 게임 플랫폼 sqgame[.]net을 침해하여 중국 연변 지역 한국계 소수민족을 대상으로 BirdCall 악성코드를 배포했다. Windows·Android 게임 앱을 백도어로 감염시키는 공급망 공격이며, Dropbox·pCloud·Yandex Disk 등 클라우드 서비스를 C2로 악용했다. BirdCall은 스크린샷·키로거·클립보드·SMS·통화 기록·음성 녹음 등 전방위 수집이 가능하다. Android APK 변종 7개 버전이 2024년 10월부터 활동 중이다.
9. Weaver E-cology RCE 취약점 CVE-2026-22679 — 3월부터 적극 악용 중
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/weaver-e-cology-rce-flaw-cve-2026-22679.html
Weaver E-cology 10.0(버전 20260312 이전)에서 인증 없는 원격 코드 실행 취약점 CVE-2026-22679(CVSS 9.8)가 Shadowserver Foundation에 의해 2026년 3월 31일 최초 악용이 확인되었다. 디버그 API 엔드포인트("/papi/esearch/data/devops/dubboApi/debug/method")를 통해 임의 명령 실행이 가능하며, 악성 MSI 임플란트 "fanwei0324.msi" 배포가 확인되었다. 즉시 패치 적용 및 디버그 엔드포인트 외부 노출 차단이 필수다.
10. Microsoft, 35,000명·26개국 대상 정교한 AITM 피싱 캠페인 상세 공개
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html
Microsoft가 2026년 4월 14~16일 26개국 35,000명 이상을 대상으로 한 정교한 피싱 캠페인을 상세 공개했다. 직원 행동규범 위장 HTML 이메일·PDF 첨부파일을 통해 AITM(Adversary-in-the-Middle) 방식으로 실시간 자격증명과 세션 토큰을 탈취하여 MFA를 우회했다. 의료·금융·기술 분야가 주요 표적이며, 2026년 1분기 QR코드 피싱이 가장 빠르게 증가하는 공격 벡터로 확인되었다. FIDO2 기반 인증 도입이 권장된다.
11. CloudZ RAT — Microsoft Phone Link 악용해 SMS·OTP 무단 탈취
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/cloudz-malware-abuses-microsoft-phone-link-to-steal-sms-and-otps/
"가짜 ScreenConnect 업데이트"로 위장한 CloudZ RAT가 Microsoft Phone Link의 SQLite 데이터베이스에 접근하여 SMS·OTP를 탈취한다. Rust 로더→.NET 로더→CloudZ RAT의 다단계 드롭 체인을 사용하며, 모바일 기기 자체를 감염시키지 않아 모바일 보안 솔루션을 우회한다. 최소 2026년 1월부터 활동 중이며 SMS 기반 2FA를 완전히 무력화한다. TOTP 앱 또는 하드웨어 키로의 전환이 권장된다.
12. DarkSword — iOS 제로데이 6개 연쇄 악용 정교한 스파이웨어
- 출처: Schneier on Security
- 링크: https://www.schneier.com/blog/archives/2026/05/darksword-malware.html
UNC6353 등 국가 지원 행위자 및 상업 감시 업체가 iOS 18.4~18.7을 대상으로 6개의 제로데이 취약점을 연쇄 익스플로잇하는 DarkSword 스파이웨어를 워터링홀 방식으로 배포하고 있다. 침투 성공 시 GHOSTBLADE·GHOSTKNIFE·GHOSTSABER 3종이 배포되어 기기를 완전 장악한다. 발견 1주일 후 익스플로잇이 유출되어 광범위하게 악용되기 시작했다. 사우디아라비아·터키·말레이시아·우크라이나 사용자가 주요 표적이며, iOS 최신 버전 업데이트가 필수다.
13. Karakurt 랜섬웨어 협상가 8년 6개월 징역 — 내부 분업 전문화 확인
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/karakurt-ransomware-negotiator-sentenced-to-prison/
라트비아 국적의 Deniss Zolotarjovs(35세)가 Karakurt 랜섬웨어 그룹의 피해 조직 협상 담당자로 활동한 혐의로 8년 6개월의 징역형을 선고받았다. 2021년 6월~2023년 3월 동안 최소 53개 기관에 560만 달러의 피해를 입혔으며, 협상된 몸값의 10%를 암호화폐로 수령했다. 소아 의료기관에 소아 환자 데이터 공개를 직접 권장하는 극단적 압박을 가했다. 랜섬웨어 갱단의 비기술적 역할자도 형사 처벌 대상임을 확인한 판례다.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | Weaver E-cology CVE-2026-22679 (CVSS 9.8, 3월~적극 악용) / iOS DarkSword 제로데이 6종 / Gemini CLI CVSS 10.0·Cursor CVE-2026-26268 |
| 🟠 진행 중 공격 | ScarCruft BirdCall 공급망 공격 (북한 APT) / CloudZ RAT Phone Link OTP 탈취 / AWS SES 피싱 급증 / Microsoft AITM 피싱 35,000명 |
| 💰 대형 사고 | Trellix 소스코드 저장소 해킹 / Karakurt 협상가 8.5년 징역 (53개 기관, 560만 달러 피해) |
| 🦠 악성코드 | BirdCall (Android/Windows, 클라우드 C2) / CloudZ RAT (Phone Link 악용) / DarkSword (iOS, 3종 페이로드) |
| 🔵 연구/경고 | 국가사이버안보기본지침 개정 (N2SF 도입) / EU 화웨이·ZTE 배제 권고 / 100만 AI 서비스 스캔 보안 실태 경고 / Defender DigiCert 오탐 해결 |
📅 다음 업데이트: 2026-05-06
📌 보안 뉴스 소스: 데일리시큐, 보안뉴스, The Hacker News, BleepingComputer, SecurityWeek, Schneier on Security
