🔐 오늘의 보안 뉴스 | 2026-05-06
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. Palo Alto PAN-OS 제로데이 취약점(CVE-2026-0300) 공격 확인 — 긴급 점검 필요
Palo Alto Networks PA/VM 시리즈 방화벽의 PAN-OS User-ID 인증 포털(Captive Portal)에서 치명적인 버퍼 오버플로우 취약점(CVE-2026-0300)이 발견되었으며, 현재 실제 공격(Active Exploitation)이 확인된 상태다. CVSS 점수는 인터넷 노출 시 9.3, 신뢰 IP 제한 시 8.7로 매우 위험하다.
공격자는 인증 없이 네트워크를 통해 특수하게 조작된 패킷을 전송하여 루트(root) 권한으로 원격 코드 실행을 달성할 수 있다. 공격 복잡도는 낮고 사용자 상호작용도 불필요하여 공격 진입 장벽이 극도로 낮다. 영향 받는 버전은 PAN-OS 12.1, 11.2, 11.1, 10.2 시리즈의 다수 패치 레벨이며, Prisma Access, Cloud NGFW, Panorama 어플라이언스는 제외된다.
Palo Alto 방화벽은 전 세계 대기업, 공공기관, 금융기관에서 핵심 보안 인프라로 사용되어 파급 효과가 매우 크다. 패치는 5월 13일 및 5월 28일에 순차 배포될 예정이므로, 그 전까지 반드시 완화 조치를 적용해야 한다.
대응: 즉시 User-ID 인증 포털 접근을 신뢰할 수 있는 내부 IP로 제한하거나 기능 비활성화. 관리자 인터페이스에서 Device > User Identification > Authentication Portal Settings 확인. 로그에서 비정상 접근·프로세스·설정 변경 모니터링. 패치 배포(5/13, 5/28) 즉시 적용 계획 수립.
2. MicroStealer 악성코드 — 브라우저 암호·게임 계정·암호화폐 지갑 탈취
- 출처: 보안뉴스
- 링크: https://www.boannews.com/media/view.asp?idx=143484
Any.Run 보안 분석 플랫폼이 2025년 12월 초부터 "MicroStealer"라는 악성코드 활동을 적발했다. 이 악성코드는 "RocobeSetup.exe"라는 설치 프로그램으로 위장하여 사용자를 속이며, Electron 애플리케이션 형태로 실행되어 의심을 회피한다.
배포 후 UAC(사용자 계정 컨트롤) 우회를 시도하여 높은 권한을 획득하고, Java Runtime Environment를 설치한 뒤 "microsoft.exe"로 위장하여 지속 실행된다. 탈취 대상은 브라우저 저장 암호, Microsoft Edge 자격증명, Discord 및 Steam 게임 계정, 암호화폐 지갑 등으로 복합적이다. 한국을 포함한 다수 국가에서 감염 사례가 보고되었다.
Electron 기반 악성코드는 정상 앱과 구별이 어려워 보안 솔루션의 탐지가 까다롭고, 다양한 플랫폼 자격증명을 동시에 노리는 특성 때문에 개인과 기업 모두에게 위협이 된다.
대응: 출처 불명확한 설치 프로그램 다운로드 및 실행 금지. 공식 사이트에서만 소프트웨어 다운로드. 브라우저 저장 암호를 전용 패스워드 매니저로 이전. 게임·암호화폐 계정 2FA 설정. 엔드포인트 보안 솔루션 최신 업데이트 유지.
3. 북한 해커, 2026년 암호화폐 탈취액의 76% 차지 — AI 활용 공격 고도화
2026년 전 세계 가상화폐 탈취 피해의 76%가 북한으로 귀속된 것으로 분석됐다. 올해만 드리프트 프로토콜(4월 1일, 2억 8,500만 달러)과 켈프DAO(4월 18일, 2억 9,200만 달러)에서 합계 약 5억 7,700만 달러가 탈취되었으며, 2025년 2월에는 바이비트 거래소에서 이더리움 15억 달러 규모 탈취가 발생했다.
공격 수법은 단순 해킹을 넘어 수개월에 걸친 조직적 사회공학 공격, AI를 활용한 설득력 높은 피싱 이메일 생성, 가짜 프로필 구축, 코드 자동화로 고도화되었다. AI 지원 사기는 최근 1년간 500% 증가했다.
DeFi 플랫폼의 구조적 취약성(단일 신뢰 지점, 자산 출처 검증 미흡, 스타트업 수준 보안으로 수억 달러 운영)이 이 공격을 가능하게 했다. 북한은 국제 제재 우회 및 핵·미사일 개발 자금 조달을 위해 사이버 공격을 국가 차원에서 운영하고 있다.
대응: 거래 단계에서 실시간 신뢰 검증 체계 구축. DeFi 플랫폼의 단일 신뢰 지점 구조 개선. 전통 금융 수준의 위험 통제 메커니즘 도입. AI 기반 사회공학 공격 대비 임직원 인식 훈련. 블록체인 거래 불가역성을 고려한 사전 방어 강화.
4. AI 사이버 공격 '속도전' — 취약점 공개 후 24~48시간 내 공격 시작
- 출처: 디지털데일리 / 포티넷 2026 글로벌 위협 환경 보고서
- 링크: https://www.ddaily.co.kr/page/view/2026050609224548664
포티넷의 '2026 글로벌 위협 환경 보고서'에 따르면, 새로운 취약점이 악용되는 속도가 극적으로 단축되어 취약점 공개 후 최초 공격까지 평균 24~48시간으로 줄어들었다(이전 평균 4.76일). 전 세계 익스플로잇 시도는 전년 대비 25% 증가한 1,219억 건을 기록했다.
섀도 에이전트(Shadow Agents)와 같은 AI 기반 공격 자동화 도구가 다크웹에서 서비스 형태로 유통되며, 표적 탐색, 침투 경로 자동 설계, 멀티스레드 자동 공격이 가능해졌다. React2Shell RCE 취약점은 공개 직후 수 시간 만에 실제 공격이 개시된 것으로 확인되었다. 랜섬웨어 피해는 제조업(1,284건), 비즈니스 서비스(824건), 소매업(682건) 순으로 집중되었다.
대응: 취약점 공개 즉시 24시간 이내 패치 적용 체계 구축. 자격증명 관리 강화 및 MFA 전면 도입. AI 기반 위협 탐지 솔루션 도입. 인터넷 노출 서비스 주기적 점검 및 공격 표면 최소화. 클라우드 접근 제어 및 최소 권한 원칙 적용.
🌐 해외 보안 뉴스
5. cPanel 치명적 취약점(CVE-2026-41940), "Sorry" 랜섬웨어 대규모 공격에 악용
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/
cPanel 및 WHM(Web Host Manager)에서 인증 우회 취약점(CVE-2026-41940)이 발견되어 "Sorry" 랜섬웨어 캠페인에 대규모로 악용되고 있다. Shadowserver에 따르면 약 44,000개의 cPanel 설치 IP가 이미 침해되었으며, 수백 개의 침해 웹사이트가 검색 엔진에 인덱싱되었다.
Sorry 랜섬웨어는 Go 언어 기반의 Linux 암호화 도구로, 파일 암호화 후 .sorry 확장자를 추가한다. ChaCha20 스트림 암호와 RSA-2048 키 조합으로 암호화되며, 개인키 없이 복호화가 불가능하다. 공격 시도는 2월 말부터 시작되었고, 취약점 공개 직후 대규모 익스플로잇으로 전환되었다.
cPanel은 전 세계 웹 호스팅 서버의 표준 관리 패널로 수백만 사이트에서 사용되고 있어 이번 취약점의 파급력이 매우 크다. 피해자는 README.md 파일을 통해 Tox 메신저로 공격자에게 연락을 요구받는다.
대응: 즉시 cPanel 공식 지원 포털에서 보안 업데이트 적용. 침해 여부 확인을 위해 .sorry 파일 및 README.md 존재 여부 점검. 웹 호스팅 사업자는 고객에게 긴급 공지. 백업 복구 계획 즉시 점검 (RSA-2048 암호화 파일은 백업 없으면 복구 불가).
6. CloudZ RAT, Windows Phone Link 악용해 SMS·OTP 가로채기 — 2FA 우회 공격
- 출처: The Hacker News / Cisco Talos
- 링크: https://thehackernews.com/2026/05/windows-phone-link-exploited-by-cloudz.html
Cisco Talos 연구원들(Alex Karkins, Chetan Raghuprasad)이 CloudZ RAT와 신규 플러그인 "Pheno"를 이용한 자격증명 및 OTP 탈취 캠페인을 공개했다. 이 공격은 2026년 1월부터 진행 중이며 특정 위협 그룹에 귀속되지 않았다.
공격 사슬은 가짜 ConnectWise ScreenConnect 실행 파일로 초기 침투 → .NET 로더 내 PowerShell 스크립트로 예약 작업(Scheduled Task) 지속성 확보 → CloudZ RAT 배포 → Pheno 플러그인을 통한 Microsoft Phone Link 하이재킹으로 구성된다. Pheno 플러그인은 Phone Link의 SMS/알림 동기화 기능을 악용하여 연동된 모바일 기기의 OTP를 모바일 기기를 침해하지 않고 PC에서 가로챈다.
CloudZ RAT는 하트비트 응답, 시스템 정보 수집, 셸 실행, 브라우저 데이터 유출, 화면 녹화, 파일 작업 등 58개 이상의 명령을 지원한다. 이 공격은 2FA/MFA를 우회하는 새로운 경로를 제시한다는 점에서 심각하다.
대응: Phone Link 앱 사용 최소화 또는 비활성화 검토. ConnectWise 등 원격 관리 도구 설치 시 공식 출처 반드시 확인. 비정상적인 예약 작업 모니터링. 하드웨어 보안 키(FIDO2) 기반 MFA로 전환 권장. SMS 기반 OTP 대신 앱 기반 또는 하드웨어 토큰 사용.
7. Daemon Tools 공급망 공격 — 정부·과학기관 등 고가치 표적 백도어 침투
- 출처: SecurityWeek / Kaspersky
- 링크: https://www.securityweek.com/government-scientific-entities-hit-via-daemon-tools-supply-chain-attack/
중국어권 위협 행위자가 Daemon Tools 디스크 이미징 소프트웨어의 공식 배포 버전(12.5.0.2421~12.5.0.2434)에 악성 코드를 삽입했다. 변조된 3개 바이너리(DTHelper.exe, DiscSoftBusServiceLite.exe, DTShellHlp.exe)는 모두 AVB Disc Soft의 합법적 인증서로 서명되어 보안 솔루션의 탐지를 원천 차단했다.
악성 코드는 머신 시작 시 백도어를 자동 활성화하며, 3월 27일 등록된 타이포스쿼팅 C2 도메인으로 통신한다. 전 세계 100개국 이상에서 수천 대가 감염되었으나, 실제 고가치 표적(벨라루스·러시아·태국의 정부, 과학, 제조, 소매 기관 12개 시스템)에는 정교한 최소형 백도어가 선택적으로 배포되었다. 단일 러시아 교육기관에는 QUIC 기반 고급 RAT까지 배포되었다. 카스퍼스키가 발견하여 AVB Disc Soft에 통보했다.
대응: Daemon Tools를 버전 12.5.0.2434 이후 버전으로 즉시 업데이트. 취약 버전 설치 시스템 전수 감사. C2 타이포스쿼팅 도메인 차단. 소프트웨어 설치 시 바이너리 해시 검증 프로세스 도입. Binary Transparency 기반 검증 도구 활용.
8. Quasar Linux RAT(QLNX) — 개발자 표적, 클라우드 자격증명 탈취 및 공급망 침해
- 출처: SecurityWeek / Trend Micro
- 링크: https://www.securityweek.com/sophisticated-quasar-linux-rat-targets-software-developers/
Trend Micro가 소프트웨어 개발자를 특별히 표적으로 하는 Linux 기반 RAT "Quasar Linux(QLNX)"를 공개했다. 이 악성코드는 메모리 내 실행(Memory Execution)과 프로세스 이름 스푸핑으로 탐지를 회피하며, 설치 후 즉시 디스크에서 자신을 삭제한다.
6가지 지속성 방법(Crontab, 데스크톱 항목, Init 스크립트, 서비스 파일, 셸 설정)을 동시에 사용하며, 2단계 루트킷(LD_PRELOAD 공유 라이브러리 훅 + eBPF 루트킷)으로 커널 수준 은폐를 달성한다. 탈취 대상은 AWS 자격증명, Kubernetes 토큰, Docker Hub, Git 액세스 토큰, NPM, PyPI 인증 정보 등 클라우드·개발 인프라 전반이다. PAM 백도어, SSH 세션 로깅, 클립보드 캡처, 키로깅, 화면 캡처 등 58개 명령을 지원한다.
패키지 유지관리자 계정 침해 시 배포 파이프라인 장악을 통해 수백만 사용자에게 배포되는 패키지를 변조할 수 있어 공급망 피해가 연쇄적으로 발생할 수 있다.
대응: Linux 개발 시스템에서 비정상적인 crontab, 서비스, init 스크립트 주기적 점검. eBPF 기반 이상 행위 탐지 솔루션 도입. 클라우드 자격증명 정기 교체 및 최소 권한 설정. 패키지 서명 및 배포 파이프라인 무결성 검증 강화. PAM 설정 정기 감사.
9. NVIDIA GPU Rowhammer 공격 — GDDR6 비트 플립으로 전체 시스템 장악
- 출처: Schneier on Security
- 링크: https://www.schneier.com/blog/archives/2026/05/rowhammer-attack-against-nvidia-chips.html
두 개의 독립 연구팀이 NVIDIA Ampere 세대 GPU의 GDDR6 메모리에 대한 Rowhammer 공격("GDDRHammer", "GeForge")을 발표했다. 특수한 해머링 패턴과 메모리 조작 기술로 GPU DRAM에서 비트 플립을 강제 유발하여 GPU 페이지 테이블 매핑을 손상시킨다.
RTX 3060에서 1,171개, RTX 6000에서 202개의 비트 플립이 확인되었다. 공격 성공 시 CPU 메모리 전체에 대한 임의 읽기/쓰기 접근을 획득하고 루트 셸을 통해 호스트에서 임의 명령 실행이 가능한 "전체 시스템 완전 장악"을 달성한다. 영향 받는 하드웨어는 RTX 3060, RTX 6000, RTX A6000이다.
Rowhammer는 CPU DRAM에서 알려진 공격이었으나 GPU GDDR6 메모리에 적용한 것은 사실상 처음이다. AI/ML 워크로드용 GPU 서버가 급증하는 현 시점에 매우 위험한 새 공격 벡터가 등장했으며, 클라우드 멀티테넌트 환경에서 다른 테넌트 데이터 접근 가능성도 있다.
대응: BIOS/UEFI에서 IOMMU 메모리 관리 활성화(일부 변형 차단 가능, 완전한 방어책은 아님). NVIDIA 공식 보안 패치/마이크로코드 업데이트 모니터링 및 즉시 적용. GPU 가속 클라우드 서비스 제공자는 테넌트 격리 정책 재검토. 물리적 접근 제어 강화.
10. Google, Android 앱 Binary Transparency 확대 적용 — 공급망 공격 대응
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/android-apps-get-public-verification.html
Google이 Android 앱 생태계 전반에 Binary Transparency를 확대 적용했다. 이 시스템은 공개 암호화 원장(Public Ledger)에 소프트웨어 릴리스 메타데이터를 기록하여 "Google 앱이 의도한 빌드와 배포 바이너리가 일치함"을 보장한다. Certificate Transparency를 모델로 한 시스템으로, 디지털 서명이 "출처 증명서"라면 Binary Transparency는 "의도 증명서"다.
2026년 5월 1일부터 이후 배포된 모든 프로덕션 Google 앱(Google Play Services, 독립 실행형 Google 앱, Mainline 모듈)에 암호화 항목이 적용된다. Daemon Tools 공급망 공격처럼 합법적 인증서를 사용하여 악성 바이너리를 배포하는 공격을 사전에 탐지·차단하는 것이 목표다.
대응: Android 기기에서 Google 앱 및 Play Services 최신 업데이트 유지. 기업 MDM 환경에서 앱 무결성 검증 정책 강화. GitHub에 공개된 검증 도구를 활용하여 앱 진위 독립적으로 확인 가능.
11. Trellix, 소스코드 저장소 침해 — 보안 벤더 대상 공격 우려
- 출처: Cybersecurity Dive
- 링크: https://www.cybersecuritydive.com/news/trellix-investigating-breach-source-code-repository/819327/
McAfee Enterprise와 FireEye의 합병으로 탄생한 사이버보안 기업 Trellix(5만 개 이상 기업·정부 고객 보유)가 소스코드 저장소의 일부 영역에 대한 무단 접근을 확인하고 외부 포렌식 전문가 고용 및 법 집행기관 신고를 완료했다.
현재까지 소스코드 유출이나 배포 프로세스 침해의 증거는 없으며, "즉각적인 소스코드 악용 징후 없음"을 공식 발표했다. 그러나 Gartner 애널리스트 Deepak Mishra는 "노출된 지식은 탐지 우회 기술 정교화에 시간차를 두고 활용될 수 있으며, 관찰된 익스플로잇이 없다고 해서 위험이 없다고 해석해서는 안 된다"고 경고했다.
보안 벤더의 소스코드는 보안 제품의 취약점 발견, 탐지 로직 역공학, 보안 솔루션 우회 기법 개발에 활용될 수 있어 일반 기업의 소스코드 유출보다 파급력이 훨씬 크다.
대응: Trellix 솔루션 사용 기업은 탐지 로직 우회 가능성에 대비해 다중 레이어 보안 체계 재검토. Trellix의 후속 업데이트 및 패치 긴밀히 모니터링. 소스코드 저장소 접근 제어 정책 자체 점검(MFA, 최소 권한, 접근 로그 감사).
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | CVE-2026-0300 (Palo Alto PAN-OS, CVSS 9.3), CVE-2026-41940 (cPanel 44,000+ 서버 침해), Daemon Tools 12.5.0.2421~2434 공급망 백도어 |
| 🟠 진행 중 공격 | CloudZ RAT+Pheno (Phone Link OTP 탈취, 2FA 우회), Quasar Linux RAT (개발자 표적 클라우드 자격증명), AI 자동화 공격 (24~48시간 내 익스플로잇, 연간 1,219억 건) |
| 💰 대형 사고 | 북한 해커 2026년 암호화폐 탈취 76% ($577M+), Trellix 소스코드 저장소 침해 (5만 고객사 보안 솔루션 공급사) |
| 🦠 악성코드 | MicroStealer (Windows 브라우저/게임/암호화폐 탈취, 2025.12~현재), Sorry Ransomware (cPanel 악용 Go 기반 Linux 랜섬웨어, RSA-2048 복호화 불가) |
| 🔵 연구/경고 | NVIDIA GPU Rowhammer (GDDR6 비트 플립으로 전체 시스템 장악 가능), Google Android Binary Transparency 확대 (5/1~, 공급망 공격 대응), CISA 핵심 인프라 격리·복구 지침 발표 |
📅 다음 업데이트: 2026-05-07
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, 디지털데일리, BleepingComputer, SecurityWeek, The Hacker News, Schneier on Security, Cybersecurity Dive
