주간 보안 동향 요약: 2026-03-29 ~ 2026-04-05

주요 취약점 (CVE)

CVE-2026-5281: Google Dawn Use-After-Free Vulnerability

CVSS 점수: 8.8 (HIGH)
영향 범위: Google Chrome 146.0.7680.178 이전 버전, Microsoft Edge, Opera 등 Chromium 기반 브라우저
취약점 설명: Google Dawn 컴포넌트에서 발생하는 Use-After-Free 취약점. 렌더러 프로세스가 이미 손상된 상태에서 원격 공격자가 조작된 HTML 페이지를 통해 임의 코드를 실행할 수 있음
영향: 원격 코드 실행 (RCE)
조치 가이드:
최신 Chrome 업데이트 (146.0.7680.178 이상)로 즉시 업데이트
영향받는 제품 사용 중지 (업데이트 전까지)
CISA KEV 카탈로그에 따르면 2026-04-15까지 조치 기한
참고: https://nvd.nist.gov/vuln/detail/CVE-2026-5281

보안 이슈

AI 기반 공격의 산업화 및 가속화

Microsoft Security Blog 보고서에 따르면, 위협 행위자들이 AI를 단순 도구가 아닌 공격 표면으로 통합하고 있음. AI는 전체 공격 라이프사이클(정찰, 악성코드 개발, 침해 후 작업)에 걸쳐 활용되며, 특히 피싱 공격의 효율성이 기존 대비 450% 향상됨 (클릭률 12% → 54%).

주요 패턴:
- 정찰 단계: AI가 인프라 발견 및 페르소나 개발 가속화
- 초기 접근: 딥페이크, 음성 오버레이, 맞춤형 메시지 생성
- 지속성/회피: 가짜 신원 생성, 자동화된 통신
- 무기화: 악성코드 개발, 페이로드 재생성, 실시간 디버깅
- 침해 후 작업: 피해자 환경에 맞는 도구 적응, 랜섬웨어 협상 자동화

Tycoon2FA: 산업 규모 피싱 플랫폼 붕괴

Microsoft Digital Crimes Unit이 Tycoon2FA (Storm-1747 운영)을 붕괴시키고 330개 도메인을 압수함. 이 피싱 플랫폼은 월간 수천만 건의 피싱 이메일을 생성하고, 2023년 이후 거의 100,000개 기업을 손상시킴. 피해 기업의 62%가 이 플랫폼에서 비롯된 피싱 시도를 받았음.

특징:
- 구독형 모델로 운영되는 모듈형 사이버범죄
- MFA 우회를 위한 Adversary-in-the-Middle 공격 전문
- 피싱 템플릿, 인프라, 이메일 배포, 접근권한 매각 등 각 서비스가 분리된 조립 라인 방식
- 실시간 자격증명 및 세션 토큰 가로채기

GitHub 가짜 VS Code 알림 악성코드 배포

개발자를 겨냥한 새로운 공격 방식 발견. 새로 생성되거나 활동이 적은 계정에서 자동으로 수천 개의 저장소에 토론을 게시하고, 태그된 사용자와 팔로워에게 이메일 알림을 트리거함. 게시물에는 영향받는 VS Code 확장 프로그램의 패치 버전이라고 주장하는 링크가 포함되며, 이 링크는 Google Drive 등 외부 서비스에서 호스팅됨.

Claude Code 치명적 취약점 발견

Anthropic 소스 코드 유출 며칠 후 Claude Code에서 치명적 취약점 발견됨. 복잡한 복합 명령어로 인한 UI 프리징 문제를 해결하기 위해 50개 하위 명령어로 분석을 제한했으나, 프롬프트 인젝션을 통한 악의적인 CLAUDE.md 파일이 50개 이상의 하위 명령어 파이프라인을 생성하는 방식으로 조작 가능함.

WhatsApp 전달 VBS 악성코드

Microsoft가 WhatsApp을 통해 전달되는 VBS 악성코드에 대해 경고함. 이 악성코드는 UAC 우회를 통해 Windows를 하이재킹함. 실행 시 "C:\ProgramData"에 숨겨진 폴더를 생성하고, "curl.exe"를 "netapi.dll"로, "bitsadmin.exe"를 "sc.exe"로 재명명된 합법적 Windows 유틸리티의 변경된 버전을 드롭함. AWS S3, 텐센트 클라우드, Backblaze B2에서 호스팅되는 보조 VBS 파일을 다운로드하여 지속성 확보 및 권한 상승 후 악성 MSI 패키지 설치.

위협 인텔리전스

NoVoice Android 악성코드: 230만 기기 감염

Google Play에서 NoVoice라는 이름의 Android 악성코드가 230만 기기를 감염시킴. McAfee 연구원에 따르면, 위협 행위자가 악성 구성요소를 com.facebook.utils 패키지에 숨기고 합법적 Facebook SDK 클래스와 혼합함.

특징:
- 스테가노그래피를 사용하여 PNG 이미지 파일 내에 암호화된 페이로드(enc.apk) 숨김
- 시스템 메모리에 h.apk를 로드하고 중간 파일을 모두 삭제하여 흔적 제거
- 하드웨어 상세정보, 커널 버전, Android 버전(및 패치 레벨), 설치된 앱, 루트 상태 등 장치 정보 수집
- 2021년 이후 보안 업데이트가 있는 기기는 영향 받지 않음

새로운 Rowhammer 공격: Nvidia GPU 완전 제어

연구원들이 Nvidia GPU에서 완전 제어가 가능한 새로운 Rowhammer 공격 형태인 GDDRHammer와 GeForge를 발견함. 이 공격은 2014년부터 공개되었지만, 2026년 현재까지도 새로운 형태가 계속 발견되고 있음.

특징:
- GDDRHammer: 메모리 할당자를 조작하여 GPU 페이지 테이블 격리를 파괴
- GeForge: 새로운 해머링 패턴과 메모리 마사지를 사용하여 GDDR6 메모리에서 GPU 페이지 테이블 매핑을 손상
- GPU 메모리 공간에 대한 읽기 및 쓰기 액세스 획득
- 호스트 CPU 메모리에 대한 동일한 권한 획득

도난당한 로그인 정보의 산업 규모 거래

Security Week 보고서에 따르면, 점점 더 정교해지는 인포스틸러의 부상으로 인해 도난당한 자격증명이 '로그'로 패키징되어 암시장에서 범죄자들에게 판매됨.

랜섬웨어 영향:
- 2025년: 7,000건 이상의 사고, 129개 활성 그룹 추적
- 랜섬웨어 지불금: 2024년 $892M에서 2025년 $820M으로 약간 감소
- 도난당한 자격증명이 랜섬웨어의 주요 원인이자 국가 차원 사이버 공격의 연료 역할

벤치마킹

AI 기반 방어 전략

Microsoft가 제안하는 AI 기반 공격에 대한 방어 우선순위:

에이전트 위협 모델 대응: 정교한 공격을 시작하는 진입 장벽이 붕괴됨. 과거 국가가 차원의 자원이 필요했던 공격이 이제 적절한 도구와 인내심을 가진 개인에게도 접근 가능해짐
소프트웨어 공급망 보안: 배포된 소프트웨어와 에이전트를 알고 그 동작을 설명할 수 있는 능력은 단순한 규정 준수가 아님. 에이전트 생태계가 엔터프라이즈에서 가장 많이 공격받는 표면이 될 것임
인적 자원 전략 재정의: 보안 분석가는 실무자에서 오케스트레이터로 전환됨. 현재 채용하는 인재 모델은 이미 구식이며, 에이전트 결정의 감사 가능성은 오늘 필수적인 거버넌스 요구사항

모멘텀 기반 붕괴 전략

Tycoon2FA 붕괴 사례에서 보여지는 교훈:

단순한 웹사이트 차단이 목표가 아님
공급망에 압력을 가하는 것이 핵심
지속적인 압력이 생태계를 단편화함
공격의 경제적 엔진을 타겟팅하여 위험 환경을 재구성 가능
방해가 지능을 생성하고, 지능이 탐지를 강화하며, 탐지가 대응을 주도함

참고문헌

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.