🔐 오늘의 보안 뉴스 | 2026-05-08
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. [단독] 해킹조직 샤이니헌터스, 한국 국방부 DB 침해 주장
해킹그룹 ShinyHunters가 2026년 5월 2일 다크웹 포럼 BreachForums에 "대한민국 국방부 DB를 침해했다"는 게시글을 올려 파문이 일고 있다. ShinyHunters는 Snowflake, Ticketmaster 등 대형 플랫폼 해킹으로 국제적 악명을 얻은 조직으로, 정교한 제로데이보다는 SaaS 플랫폼·클라우드 서비스·파트너사 시스템을 통한 소셜 엔지니어링 및 계정 탈취 수법을 주로 사용한다.
공개된 샘플 데이터에는 부대 코드와 병무청 사무소명 등이 포함되어 있으나, 보안 전문가들은 "군사 작전 데이터나 무기체계 정보가 아닌 행정 참고 자료 수준"으로 평가하고 있으며, 일부 국내 다크웹 분석가는 "재활용된 구형 자료"라는 의견을 제시했다. 현재까지 군사 기밀 유출 확인은 없으나, 국방 관련 기관 종사자는 계정 보안 강화가 필요하다.
2. [긴급] 팔로알토 PAN-OS 제로데이 공격 확인, User-ID 인증 포털 긴급 점검 필요
Palo Alto Networks가 PAN-OS User-ID 인증 포털에서 심각한 취약점(CVE-2026-0300, CVSS 9.3)을 공개했다. 4월 9일부터 실제 공격 시도가 확인되었으며, 4월 16일 성공적인 원격코드실행이 달성되었다. 버퍼 오버플로우 취약점을 통해 비인증 공격자가 특수 제작 패킷을 전송하여 nginx 워커 프로세스에 셸코드를 삽입하고 root 권한으로 임의 코드를 실행할 수 있다.
공격 후 Active Directory 열거 및 EarthWorm·ReverseSocks5 오픈소스 도구가 배포되었으며, 공격자는 크래시 로그·코어 덤프 파일을 삭제하여 흔적을 은폐했다. 중국 국가 지원 해킹 그룹(CL-STA-1132)의 사이버 스파이 활동으로 추정된다. 영향 대상은 PA/VM 시리즈 방화벽에서 PAN-OS 10.2, 11.1, 11.2, 12.1 버전이며, 패치는 5월 13일·5월 28일 예정이다.
대응: User-ID 인증 포털 접근을 신뢰할 수 있는 내부 네트워크로만 제한하거나, 사용하지 않는 경우 기능을 완전히 비활성화해야 한다.
3. [주의] 데몬 툴즈 라이트 공급망 공격 확인, 최신 버전 12.6 설치 권고
- 출처: 데일리시큐 / BleepingComputer
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206631
인기 디스크 에뮬레이션 소프트웨어 DAEMON Tools Lite 개발사 Disc Soft Limited가 공급망 공격으로 인한 설치 패키지 침해를 공식 인정했다. 위협 행위자가 빌드 환경에 무단 침투하여 4월 8일부터 공식 채널을 통해 디지털 서명된 악성 설치 패키지(버전 12.5.0.2421~12.5.0.2434)를 배포했다. 악성 코드는 정보 탈취 악성코드 설치 후 경량 백도어를 이식하며, 일부 케이스에서 QUIC RAT 악성코드도 배포되었다.
100개국 이상에서 수천 개 시스템이 감염되었으며, 유통·소매, 과학·연구, 정부, 제조업 등 다양한 업종이 피해를 입었다. 무료 Lite 버전에만 영향이 있다.
대응: DAEMON Tools Lite 버전 12.5.1 즉시 삭제 후 공식 사이트에서 최신 버전(12.6) 재설치 필요.
🌐 해외 보안 뉴스
4. Ivanti EPMM 제로데이 취약점(CVE-2026-6973), 실제 공격에 악용 확인
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-epmm-flaw-exploited-in-zero-day-attacks/
Ivanti가 기업용 모바일 기기 관리(MDM) 솔루션 Endpoint Manager Mobile(EPMM)에서 고위험 원격코드실행 취약점(CVE-2026-6973)을 공개하고 실제 악용이 확인되었다. "부적절한 입력 검증" 취약점으로 관리자 권한을 가진 원격 공격자가 취약 시스템에서 임의 코드를 실행할 수 있다. 동시에 CVE-2026-5786, 5787, 5788, 7821 등 4개 추가 고위험 취약점도 패치되었다.
영향 대상은 EPMM 12.8.0.0 이하 전 버전이며, Shadowserver 추적 기준 약 850개 IP의 EPMM이 인터넷에 노출된 상태다(유럽 508개, 북미 182개). 전 세계 40,000개 이상 고객사가 보유한 솔루션이라는 점에서 파급력이 크다.
대응: 패치 버전(12.6.1.1, 12.7.0.1, 12.8.0.1)으로 즉시 업데이트, 관리자 계정 검토 및 자격증명 교체.
5. PyPI 악성 패키지 3종, ZiChatBot 악성코드 배포 (OceanLotus APT32 연계 의심)
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/pypi-packages-deliver-zichatbot-malware.html
Kaspersky 연구팀이 Python 패키지 저장소 PyPI에서 ZiChatBot이라는 신종 악성코드를 배포하는 악성 패키지 3종을 발견했다. 감염된 패키지는 uuid32-utils(1,479회 다운로드), colorinal(614회), termncolor(387회)로, 2025년 7월 16~22일 업로드된 "치밀하게 계획된 공급망 공격"이다.
정상 작동하는 것처럼 보이는 wheel 패키지 안에 숨겨진 페이로드를 담아, 전통적인 C2 서버 대신 공개 팀 채팅 애플리케이션 Zulip의 REST API를 C2 인프라로 활용하여 탐지를 회피한다. Windows와 Linux 모두 영향을 받으며, 드로퍼가 OceanLotus(APT32, 베트남 연계) 도구와 64% 유사성을 보여 국가 지원 APT 그룹의 공급망 공격 영역 확장이 의심된다.
대응: 3개 악성 패키지 즉시 제거, Windows 레지스트리 항목 및 Linux crontab 변경 사항 감사.
6. vm2 Node.js 샌드박스 라이브러리, 치명적 취약점 12개 발견
- 출처: The Hacker News
- 링크: https://thehackernews.com/2026/05/vm2-nodejs-library-vulnerabilities.html
신뢰할 수 없는 코드를 안전하게 실행하기 위한 JavaScript 샌드박스 라이브러리 vm2에서 12개의 치명적 취약점이 발견되었다. CVSS 점수 9.1~10.0의 고위험 취약점들로, JavaScript 객체 조작, Promise species 속성 악용, Symbol 강제 변환, 내장 허용 목록 우회 등 다양한 기법으로 샌드박스 격리를 파괴할 수 있다.
CVE 목록: CVE-2026-24118, 24120, 24781, 26332, 26956, 43997, 43999, 44005, 44006, 44007, 44008, 44009. 신뢰할 수 없는 코드를 실행하는 모든 vm2 사용 Node.js 애플리케이션이 영향을 받으며, 반복적인 취약점 발견으로 vm2의 근본적인 보안성에 의문이 제기되고 있다.
대응: 최신 버전 vm2 3.11.2로 즉시 업데이트, 대체 샌드박스 솔루션 검토 권고.
7. Claude Code MCP 하이재킹으로 OAuth 토큰 탈취 가능, Anthropic 조치 거부
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/claude-code-oauth-tokens-can-be-stolen-through-stealthy-mcp-hijacking/
Mitiga Labs 연구팀이 Anthropic의 AI 코딩 도구 Claude Code에서 OAuth 토큰을 탈취할 수 있는 중간자 공격 기법을 발견했다. Claude Code는 OAuth 토큰을 평문으로 ~/.claude.json에 저장하며, 악성 npm 패키지의 post-install 훅이 MCP 트래픽을 공격자 제어 프록시로 리다이렉트하고 토큰 교체 시도 시 자동 복구 메커니즘을 실행한다.
OAuth로 연결된 모든 SaaS 도구에 사용자 권한으로 무제한 접근이 가능하며, MFA 우회, 토큰 교체에도 지속적 무단 접근 유지, 사용자 인터페이스에 완전 비가시적인 특성을 지닌다. Anthropic은 2026년 4월 10~12일 이 취약점 보고를 수신했으나 "사용자가 초기 설정 시 동의했다"는 이유로 조치를 거부했다.
대응: Claude Code 설정 파일 변경 모니터링, MCP 서버 URL 추적, SaaS API 의심 활동 감사, 설치 npm 패키지 출처 검증.
8. Google Chrome 148, 보안 취약점 127개 패치 출시
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/chrome-148-rolls-out-with-127-security-fixes/
Google이 Chrome 148 안정 채널 업데이트를 출시하며 127개 보안 취약점을 패치했다. 치명적 취약점으로는 CVE-2026-7896(Blink 정수 오버플로우), CVE-2026-7897·7898(Mobile·Chromoting Use-after-free) 3개가 포함되며, 고위험 30개 이상, 중위험 60개 이상이 추가로 패치되었다. 외부 버그바운티로만 138,000달러가 지급되었으며, V8 엔진 단일 취약점에 55,000달러가 지급되었다.
대응: Windows/macOS는 148.0.7778.96/97, Linux는 148.0.7778.96으로 즉시 업데이트. 자동 업데이트 비활성화 환경은 수동 확인 필요.
9. CISA, 핵심 인프라 보안 강화 캠페인 'CI Fortify' 추진
- 출처: 보안뉴스
- 링크: https://www.boannews.com/media/view.asp?idx=143507
미국 CISA가 Volt Typhoon 등 국가 지원 사이버 공격에 대응하기 위해 핵심 인프라 보안 강화 캠페인 'CI Fortify'를 공식 발표했다. 전력, 수도, 통신 등 OT 네트워크를 표적으로 삼은 정교한 공격이 지속적으로 증가하는 상황에서, CISA는 329개의 보안 점검 항목을 채택하고 조직들이 시스템 복원력 강화와 위험 관리 체계 개선에 집중할 것을 권고하고 있다.
대응: 국내 공공기관 및 핵심 인프라 운영사도 OT 보안 점검 및 위협 모니터링 강화 권고.
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | PAN-OS CVE-2026-0300 (CVSS 9.3), Ivanti EPMM CVE-2026-6973, Chrome 148 (127개 취약점), vm2 3.11.2 (12개 치명적 취약점) |
| 🟠 진행 중 공격 | PAN-OS 제로데이 중국 APT(CL-STA-1132) 악용 (4월 16일 성공), Ivanti EPMM 제한적 악용 확인 |
| 💰 대형 사고 | DAEMON Tools 공급망 공격 (100개국, 수천 개 시스템 감염), ShinyHunters 한국 국방부 DB 침해 주장 (검증 중) |
| 🦠 악성코드 | PyPI ZiChatBot (OceanLotus APT32 연계 의심), DAEMON Tools QUIC RAT 백도어, Claude Code MCP 하이재킹 기법 |
| 🔵 연구/경고 | CISA CI Fortify 캠페인 (329개 보안 점검 항목), AI 비전 모델 적대적 공격, AI 코딩 에이전트 공급망 위험(TrustFall) |
📅 다음 업데이트: 2026-05-08
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, BleepingComputer, The Hacker News, SecurityWeek, Krebs on Security
