🔐 오늘의 보안 뉴스 | 2026-05-13
국내외 주요 보안 이슈를 매일 정리합니다. 취약점, 해킹 사고, 새로운 공격 기법을 빠르게 파악하세요.
🇰🇷 국내 보안 뉴스
1. Pwn2Own 베를린 2026 — AI가 제로데이 시장 뒤흔들다
5월 14~16일 독일 베를린에서 개최되는 Pwn2Own 2026은 총상금 100만 달러 규모로, 올해 처음으로 AI 분야가 4개 카테고리로 확대(Claude, GitHub Copilot, Ollama, NVIDIA CUDA 포함)됐다. 역대 최초로 "수용 한계 논란"이 발생했으며, 한 연구자가 PyTorch·NVIDIA 등에서 확보한 86개 취약점이 슬롯 부족으로 전부 거절됐다고 주장했다.
이슈 요약: AI 도구의 발전으로 제로데이 취약점 발굴이 폭발적으로 증가하여 대회 수용 한계를 초과했으며, 취약점 시장의 구조적 변화가 예고되고 있다.
공격 기법: AI를 활용한 자동화된 취약점 탐지, 브라우저 샌드박스 탈출(최대 $75,000), VM 탈출(최대 $300,000), 오피스 365 RCE(최대 $150,000) 등
전문가 분석:
- 윤인수 KAIST 교수: "AI가 취약점 탐지 분야에 특이점을 만들고 있다. 극소수 해커만 가능했던 작업을 AI로 훨씬 많은 사람이 수행 가능"
- 정진욱 POC씨큐리티 대표: "취약점 희소성이 붕괴되고 있다. 향후 단순 PoC보다 실제 공격 가능성을 입증한 연구에 더 높은 평가 예상"
대응 방안:
- 권한 최소화·개발망 분리 등 기본 원칙 재강화
- AI 도구 접근 통제 및 공급망 검증 강화
- 단순 패치 대응의 한계를 인식하고 탐지·격리 중심의 방어 체계로 전환
2. 북한 해커, 공급망·오프라인 침투로 진화 — 가상자산 67억5천만 달러 탈취
북한 연계 해커 조직이 2016년 이후 263건의 공격으로 약 67억5천만 달러를 탈취했으며, 2025년 한 해만 약 20억6천만 달러(전 세계 가상자산 해킹 피해의 약 60%)의 피해가 발생했다. 공격 방식이 기술 중심에서 인간 심리·공급망·오프라인 침투로 3단계 진화했다.
이슈 요약: 단순 기술 해킹을 넘어 LinkedIn 허위 채용, 서드파티 공급망 침해, 오프라인 컨퍼런스 위장 참석까지 복합적 공격 전략 구사
공격 기법:
- 1단계(인간 심리): LinkedIn 허위 채용공고 → 내부 엔지니어 접근 (로닌 브리지 $625M, 2022년)
- 2단계(공급망): 바이비트 사용 멀티시그 플랫폼 'Safe' 개발자 장비 침해 → UI 변조 ($15억, 2025년)
- 3단계(오프라인): 약 6개월간 업계 컨퍼런스 직접 참석·투자자 위장 → 내부 접근 후 오라클 조작 (드리프트 프로토콜, 2026년)
- EtherHiding 기법: 악성 페이로드를 스마트컨트랙트 거래 데이터에 은닉 → 기존 서버 차단 우회
탈취 자금 세탁: 86% 이상이 1개월 내 믹서·크로스체인 브리지·DEX·OTC 네트워크로 세탁
대응 방안:
- 공급망·서드파티 협력사 보안 검증 강화
- 내부자 채용 검증 체계 구축 (딥페이크 화상면접 주의)
- 블록체인 자금 추적 기술 고도화
- 한미일 공동 위협 인텔리전스 공조 확대
3. 한국 가상자산 불법 거래 71억 달러 — 해킹·환치기·로맨스 사기 총망라
크리스탈 인텔리전스 보고서에 따르면 2021~2025년 8월 한국 관련 불법 가상자산 거래 총 71억 달러에 달한다. 북한 라자루스 그룹의 거래소 해킹부터 환치기(Hwanchigi), 로맨스 투자 사기('돼지도살')까지 다양한 유형의 범죄가 복합적으로 발생하고 있다.
이슈 요약: 한국 가상자산 시장이 아시아 최대 규모인 만큼 범죄 표적도 집중됨
공격 기법:
- 북한 라자루스: 거래소 직접 해킹 (한국 거래소 공격 9건 중 6건 연루)
- 환치기: 해외 자금 → 가상자산 변환 → 국내 거래소에서 원화 인출 ($1억1,300만 네트워크 해체, 2026년 1월)
- 로맨스 사기: 장기 신뢰 구축 → 가짜 투자 플랫폼 유도 → 조작된 수익 화면으로 추가 입금 유도
- 프라이버시 코인(모네로) 및 알리페이 등 중국 결제 시스템 병용으로 추적 회피
영향받는 피해자: 2025년 로맨스 사기 피해액 7,060만 달러, 신고 1,565건(전년比 48% 증가) / 캄보디아·미얀마 등 사기 단지 한국인 약 1,000명 억류 추정
대응 방안:
- 거래소 이상거래 탐지 시스템 강화
- 온체인 분석 역량 확대
- 해외 법집행기관과 국제 공조 강화
- 비공식 거래망·프라이버시 코인 결합 감시 고도화
4. 개인정보보호 과징금 최대 매출액 10%로 강화 — 예방 중심 체계 전환
- 출처: 데일리시큐 / 개인정보보호위원회
- 링크: https://www.dailysecu.com/news/articleView.html?idxno=206701
개인정보보호위원회가 5월 12일 국무회의에서 '예방 중심 개인정보 관리체계 전환 계획'을 발표했다. 기존 사후 처벌 중심에서 예방·선제 대응으로 패러다임이 전환되며, 위반 시 과징금이 매출액의 최대 10%까지 대폭 상향된다.
이슈 요약: GDPR 수준의 강화된 제재와 사전 예방 의무화로 국내 기업의 개인정보보호 대응 체계 대전환 요구
취약점(정책 변화):
- 과징금: 기존 3% → 최대 10% (고의·중대과실·반복 사고 또는 1,000만 명 이상 피해 시)
- 조사 비협조 시 이행강제금 신설
- 산정 기준: 직전 연도와 3년 평균 중 높은 금액 적용
영향받는 기업:
- 1,700개 고위험 시스템 정부 직접 정기 점검 대상
- 100만 명 이상 개인정보 처리 + 매출 1,800억 원 이상 기업 (약 700개): CPO 자격 의무화
- ISMS-P 인증 의무화 추진 (2027년 7월 시행 예정)
대응 방안:
- CPO 자격 요건 점검 및 지정 즉시 착수
- ISMS-P 인증 취득 일정 수립
- 수탁사 등 공급망 개인정보 보안 점검
- 선제적 보안 투자로 과징금 감경 혜택 활용
🌐 해외 보안 뉴스
5. Microsoft 5월 패치 튜즈데이 — 138개 CVE, 긴급 30개
- 출처: The Hacker News / BleepingComputer
- 링크: https://thehackernews.com/2026/05/microsoft-patches-138-vulnerabilities.html
Microsoft가 2026년 5월 Patch Tuesday를 통해 138개 CVE를 패치했다. 긴급(Critical) 30개, 중요(Important) 104개 포함이며, 현재 실제 공격에 악용된 사례는 없다. Pwn2Own Berlin 2026 개최 전 선제적 대규모 패치가 이루어졌다.
이슈 요약: DNS·Netlogon·Dynamics 365 등 기업 핵심 인프라에 CVSS 9점대 취약점 다수 포함
주요 CVE:
- CVE-2026-41096 (CVSS 9.8): Windows DNS 클라이언트 — 조작된 DNS 응답으로 메모리 손상 → 미인증 RCE
- CVE-2026-41089 (CVSS 9.8): Windows Netlogon — 도메인 컨트롤러 대상 미인증 RCE
- CVE-2026-42898 (CVSS 9.9): Dynamics 365 온프레미스 — 코드 인젝션 → RCE
- CVE-2026-33109 (CVSS 9.9): Azure Cassandra — 인증된 공격자 RCE
- CVE-2026-40402 (CVSS 9.3): Hyper-V — SYSTEM 권한 획득
대응 방안:
- Windows Update를 통한 즉시 패치 적용
- 도메인 컨트롤러·DNS 서버 최우선 패치
- 외부 노출 SharePoint·Dynamics 365 온프레미스 서버 긴급 패치
- Secure Boot 인증서 2026년 6월 26일 전 업데이트 필수
6. CVE-2026-40361 — Outlook 제로클릭 RCE (BadWinmail 재현)
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/microsoft-patches-critical-zero-click-outlook-vulnerability-threatening-enterprises/
Word와 Outlook이 공유하는 DLL에서 Use-After-Free 유형의 RCE 취약점이 발견됐다. 10년 전 "enterprise killer"로 불린 CVE-2015-6172(BadWinmail)와 동일한 공격 벡터를 가지며, 사용자 상호작용 없이 이메일 미리보기만으로 공격이 트리거된다.
이슈 요약: 제로클릭 Outlook RCE — 기업 전체 이메일 수신자가 잠재적 피해 대상
공격 기법: 특수 제작된 이메일 수신 → 미리보기 창 렌더링만으로 Use-After-Free 트리거 → 코드 실행 (클릭 불필요)
영향받는 버전: Microsoft Outlook 전 버전 (엔터프라이즈 포함)
취약점: Use-After-Free (Word·Outlook 공유 DLL) / CVE-2026-40361 / Microsoft "exploitation more likely" 등급
대응 방안:
- Microsoft 5월 Patch Tuesday 업데이트 즉시 적용
- 완화책: Outlook 텍스트 전용 렌더링 설정 변경 (패치 전 임시 조치)
- 기업 이메일 게이트웨이에서 특수 형식 첨부파일 필터링 강화
7. Intel·AMD 칩셋 70개 취약점 패치 — 서버·GPU·UEFI 전반 영향
- 출처: SecurityWeek
- 링크: https://www.securityweek.com/chipmaker-patch-tuesday-intel-and-amd-patch-70-vulnerabilities/
Intel 24개·AMD 46개, 합계 70개 취약점이 5월 Patch Tuesday를 통해 패치됐다. 데이터센터 GPU 드라이버, AI/ML ROCm 생태계, UEFI 펌웨어, EPYC 서버 프로세서 등 엔터프라이즈 인프라 전반에 걸쳐 영향을 미친다.
이슈 요약: 서버·GPU 인프라 전반의 권한 상승·RCE 취약점 대량 패치
주요 CVE:
- CVE-2026-20794 (Intel, CVSS 9.3): VMware ESXi용 데이터센터 그래픽 드라이버 버퍼 오버플로우 → 권한 상승·코드 실행
- CVE-2026-0481 (AMD, CVSS 9.2): AMD Device Metrics Exporter 50061 포트 기본 전체 인터페이스 노출 → 미인증 GPU 구성 변경
영향받는 버전:
- Intel: VMware ESXi용 데이터센터 그래픽 드라이버, Vision 소프트웨어, UEFI 펌웨어, QAT 드라이버
- AMD: ROCm Device Metrics Exporter, Secure Processor, EPYC 프로세서, RAID 드라이버
대응 방안:
- Intel: intel.com/security-center에서 제품별 업데이트 즉시 적용
- AMD: amd.com/product-security에서 공지사항별 패치 적용
- 데이터센터·클라우드 서버 운영팀 우선 적용
8. Shai Hulud 공급망 공격 — TanStack·Mistral·Bitwarden·SAP npm/PyPI 패키지 침해
- 출처: BleepingComputer / The Hacker News
- 링크: https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/
TeamPCP 위협 그룹이 GitHub Actions 취약 워크플로우를 악용해 TanStack, Mistral AI, Guardrails AI, UiPath, OpenSearch, Bitwarden CLI, SAP 등 주요 오픈소스 프로젝트의 npm/PyPI 패키지를 침해했다. 악성 패키지가 유효한 Sigstore 증명서와 GitHub Actions 서명을 포함해 암호학적으로 정당해 보인다는 점이 특히 위험하다.
이슈 요약: 서명 검증을 우회한 대규모 공급망 침해 — 개발자 자격증명 전방위 탈취
공격 기법:
- GitHub Actions pull_request_target 워크플로우 취약점 악용 + 캐시 포이즈닝
- OIDC 토큰을 러너 메모리에서 탈취
- 고아 커밋 푸시 → npm 자동 실행
- 악성 파일을 Claude Code 훅·VS Code 자동 실행 작업에 기록 (제거 후에도 지속)
영향받는 패키지:
- TanStack 42개 패키지 84개 악성 버전, Mistral AI, Bitwarden CLI, SAP 공식 패키지 등
- 총 416개 손상 아티팩트 (Socket 기준)
취약점: GitHub Actions OIDC 토큰 탈취 / SLSA Build Level 3 우회
대응 방안:
- 영향받은 패키지 버전 사용 여부 즉시 확인
- GitHub·npm·AWS·Vault·SSH 토큰 전체 즉시 교체
- C&C 차단: api.masscan.cloud, git-tanstack.com, *.getsession.org
- IDE 디렉터리 악성 파일 감사, lockfile 기반 설치만 허용
9. RubyGems 악성 패키지 500개 이상 — GemStuffer·Shai Hulud로 신규 가입 중단
- 출처: The Hacker News / SecurityWeek
- 링크: https://thehackernews.com/2026/05/rubygems-suspends-new-signups-after.html
GemStuffer 캠페인과 Shai Hulud 공급망 공격이 맞물려 RubyGems 저장소에 500개 이상의 악성 패키지가 배포됐다. RubyGems는 신규 계정 등록을 일시 중단했다.
이슈 요약: 패키지 레지스트리 자체를 데이터 유출 채널로 악용하는 새로운 공격 패턴 출현
공격 기법 (GemStuffer):
- 영국 지방정부 포털 URL 하드코딩 후 HTTP 응답을 .gem 아카이브로 패키징
- RubyGems에 자동 업로드 후 gem fetch로 정부 데이터 수집
- 레지스트리 스팸·개념증명 웜 형태로 저장소 레이어 악용
영향 범위: Lambeth·Wandsworth·Southwark 등 영국 지방정부 ModernGov 포털 데이터 (위원회 회의록, 공무원 연락처, PDF 문서)
대응 방안:
- Ruby 프로젝트 gem 의존성 무결성 즉시 점검
- Gemfile.lock을 통한 버전 고정 유지
- 알 수 없는 출처의 Ruby 패키지 설치 금지
10. Fortinet FortiSandbox·FortiAuthenticator 치명적 RCE 취약점
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaws-in-fortisandbox-and-fortiauthenticator/
Fortinet이 FortiAuthenticator와 FortiSandbox에서 인증 없이 원격 코드 실행이 가능한 치명적 취약점 2건을 패치했다. Fortinet 취약점은 과거에도 랜섬웨어·사이버 스파이 공격에 반복 악용된 이력이 있어 즉각 대응이 필요하다.
이슈 요약: 미인증 원격 코드 실행 — 인터넷 노출 Fortinet 제품은 초기 접근 벡터로 즉시 악용 가능
주요 CVE:
- CVE-2026-44277 (FortiAuthenticator): 부적절한 접근 제어(CWE-284) → 미인증 코드·명령 실행
- CVE-2026-26083 (FortiSandbox): 권한 검증 미흡(CWE-862) → 미인증 HTTP 요청 통한 RCE
영향받는 버전:
- FortiAuthenticator: 6.5.7 / 6.6.9 / 8.0.3 미만
- FortiSandbox: FortiSandbox, FortiSandbox Cloud, FortiSandbox PaaS WEB UI 전 버전
대응 방안:
- FortiAuthenticator: 6.5.7 / 6.6.9 / 8.0.3 이상으로 즉시 업그레이드
- FortiSandbox: 공식 보안 업데이트 즉시 적용
- 관리 인터페이스 인터넷 직접 노출 즉시 차단
11. SAP Commerce Cloud·S/4HANA 심각 취약점 — 5월 15개 CVE 패치
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/sap-fixes-critical-vulnerabilities-in-commerce-cloud-and-s-4hana/
SAP 2026년 5월 보안 업데이트로 15개 CVE가 패치됐다. Commerce Cloud와 S/4HANA의 심각(Critical) 취약점 2건은 미인증 코드 실행과 SQL 인젝션으로, 기업 핵심 인프라에 직접적 위협이다.
이슈 요약: ERP·전자상거래 핵심 시스템에서 미인증 공격 가능 취약점 발견
주요 CVE:
- CVE-2026-34263 (SAP Commerce Cloud, 심각): Spring Security 설정 오류 → 미인증 사용자 악의적 설정 업로드·코드 주입 → 서버 측 임의 코드 실행
- CVE-2026-34260 (SAP S/4HANA, 심각): SQL 인젝션 → DB 정보 무단 접근·애플리케이션 충돌
영향받는 버전: SAP Commerce Cloud 및 S/4HANA 현재 버전 (SAP 공식 공지 참조)
대응 방안:
- support.sap.com/security 5월 보안 공지 즉시 확인 후 패치 적용
- Commerce Cloud 외부 노출 엔드포인트 긴급 점검
- S/4HANA DB 접근 로그 이상 조회 여부 확인
12. Signal 피싱·사회공학 방지 인앱 경고 기능 추가
- 출처: BleepingComputer
- 링크: https://www.bleepingcomputer.com/news/security/signal-adds-security-warnings-for-social-engineering-phishing-attacks/
Signal이 러시아 국가 해킹 그룹의 'Linked Device' 기능 악용 계정 탈취 공격에 대응해 피싱·사회공학 방지 인앱 경고 기능 3종을 추가했다.
이슈 요약: 정교한 사회공학 공격으로부터 고위험 직군(언론인·활동가·기업 임원)을 보호하는 새로운 방어 레이어 추가
새로운 기능:
1. 신원 확인 표시: "Name not verified", "No groups in common" 경고 — 낯선 연락처 식별 강화
2. 요청 승인 확인: "Signal은 절대 등록 코드·PIN·복구 키를 요청하지 않는다" 알림 자동 표시
3. Signal 사칭 탐지: Signal 지원팀 사칭 채팅 자동 경고
대응 방안:
- Signal 앱 최신 버전 즉시 업데이트
- 출처 불명 연락처의 코드·PIN·링크 요청 절대 응하지 말 것
- 기업 보안 정책에 메신저 앱 사회공학 공격 경고 교육 추가
📊 오늘의 핵심 요약
| 구분 | 내용 |
|---|---|
| 🔴 긴급 패치 | CVE-2026-40361 (Outlook 제로클릭 RCE), CVE-2026-41096 (Windows DNS CVSS 9.8), CVE-2026-41089 (Windows Netlogon CVSS 9.8), CVE-2026-44277 (FortiAuthenticator 미인증 RCE), CVE-2026-26083 (FortiSandbox 미인증 RCE), CVE-2026-34263 (SAP Commerce Cloud 미인증 코드 실행), CVE-2026-20794 (Intel GPU CVSS 9.3), CVE-2026-0481 (AMD ROCm CVSS 9.2) |
| 🟠 진행 중 공격 | Shai Hulud — TanStack·Mistral·Bitwarden 등 416개 npm/PyPI 패키지 침해 (현재 진행 중), GemStuffer — RubyGems 150개 이상 악성 패키지 (신규 가입 차단), 북한 해커 — 오프라인 침투·공급망 공격으로 진화 |
| 💰 대형 사고 | 한국 가상자산 불법 거래 71억 달러 누적 (해킹·환치기·로맨스 사기), Pwn2Own 베를린 AI 제로데이 폭증으로 수용 한계 초과 |
| 🦠 악성코드 / 공급망 | Shai Hulud — 서명된 악성 npm/PyPI 패키지 (OIDC 토큰 탈취 기반, Claude Code 훅 지속성), GemStuffer — 정부 포털 데이터 유출용 악성 RubyGem |
| 🔵 연구/정책/경고 | 개인정보보호 과징금 최대 매출액 10% 강화 (국내), Signal 피싱 방지 기능 3종 추가, Android Intrusion Logging 스파이웨어 포렌식 기능 신설, Sophos 보고서 — 기업 사이버공격 2/3가 ID 관련 침해에서 시작 |
📅 다음 업데이트: 2026-05-14
📌 보안 뉴스 소스: 보안뉴스, 데일리시큐, The Hacker News, BleepingComputer, SecurityWeek, CybersecurityDive, Krebs on Security, CISA
