본문 바로가기
하루5분.짧고 굵은 테크/#_.Security

2026년 5월 7일 정보보안 위협 리포트: 팔로알토 제로데이, 프로톤 패스 우회, FTC 위치정보 규제

by t루핑_. 2026. 5. 8.

2026년 5월 정보보안 환경이 다층적인 위협에 직면해 있습니다. 팔로알토 네트워크의 방화벽에서 원격 코드 실행이 가능한 치명적 제로데이 취약점이 실제 공격에 악용되고 있으며, 프로톤 패스의 긴급 액세스 기능을 악용한 금고 우회 공격이 발견되었습니다. 아파치 HTTP/2의 심각한 결함으로 인한 DoS 및 RCE 위협, PHP 패키지 공급망을 통한 자격증명 탈취, 그리고 규제 기관의 강화된 데이터 보호 조치까지 보안 위협과 규제가 동시에 심화되고 있는 상황입니다.

🚀 빅테크 & 스타트업

Herd Security 출시 - 보안팀 및 GRC팀을 위한 에이전트 기반 교육 플랫폼

Herd Security는 보안 및 거버넌스, 위험, 컴플라이언스(GRC) 팀을 위한 에이전트 기반 교육 플랫폼입니다. 정책, 보안 데이터, 실시간 위협을 단문 학습 콘텐츠로 변환하여 Slack, Teams, LMS를 통해 텍스트, 이미지, 비디오 형식으로 제공함으로써 보안 팀의 인식 강화와 효율적인 교육 운영을 가능하게 합니다.

Herd Security

  • 에이전트 기반 자동화 플랫폼으로 맞춤형 보안 교육 제공
  • Slack, Teams, LMS 등 주요 협업 도구 네이티브 연동
  • 정책, 보안 데이터, 실시간 위협 기반 동적 콘텐츠 생성
  • 텍스트, 이미지, 비디오 멀티미디어 학습 형식 지원

Microsoft Windows 업데이트 경험 개선 - 사용자 제어 강화 및 통합 재부팅

Microsoft가 Windows 업데이트 환경을 대폭 개선했습니다. 초기 설정 단계(OOBE)에서 업데이트 스킵, 일시 중지 기간 무제한 연장(최대 35일), 전원 메뉴 UI 개선, 그리고 드라이버, .NET, 펌웨어 업데이트를 월간 품질 업데이트와 통합 재부팅으로 통합하여 사용자 편의성을 극대화합니다.

Microsoft Windows Blog

  • OOBE 단계에서 업데이트 스킵 기능 추가
  • 일시 중지 기간 최대 35일까지 무제한 연장 가능
  • 전원 메뉴에서 재시작/종료와 업데이트 및 재시작 분리
  • 드라이버, .NET, 펌웨어 업데이트 월간 통합 재부팅
  • 실패한 설치에 대한 자동 복구 기능 제공

AI 평가 스타트업 Braintrust 데이터 유출 - AWS 계정 미인가 접근

AI 평가 스타트업 Braintrust가 AWS 계정에 대한 미인가 접근 사건을 공식 확인했습니다. 고객 API 키가 포함된 계정이 영향을 받았으며, 회사는 모든 고객에게 민감한 키를 즉시 교체하도록 권고했습니다. 이는 클라우드 기반 기술 스타트업의 보안 위험 관리의 중요성을 강조하는 사건입니다.

TechCrunch

  • AWS 계정 미인가 접근 사건 발생
  • 고객 API 키 노출로 인한 보안 위협
  • 모든 고객에게 민감한 키 교체 권고
  • 클라우드 인프라 보안 강화 필요성 부각

💻 프로그래밍

악의적인 Intercom PHP 패키지가 Composer 플러그인을 통해 Packagist에 Mini Shai-Hulud 공격 확산

Packagist에서 intercom/intercom-php 5.0.2가 악의적인 Composer 플러그인으로 덮어씌워져 설치 시점에 Bun 런타임을 다운로드하고 GitHub 토큰, SSH 키, 클라우드 자격증명을 탈취하는 난독화된 페이로드를 실행합니다. 이 캠페인은 npm의 intercom-client를 대상으로 한 Mini Shai-Hulud 공격을 PHP 생태계로 확대했으며, Packagist의 webhook 기반 재인덱싱 모델의 사전 격리 부족을 악용합니다.

Semgrep 블로그

  • PHP Packagist 저장소에서 intercom/intercom-php 5.0.2 패키지가 악의적인 Composer 플러그인으로 대체됨
  • 설치 시점(install time)에 Bun 런타임과 난독화된 페이로드 자동 실행
  • GitHub 토큰, SSH 키, 클라우드 자격증명, 환경 변수를 zero.masscan.cloud로 유출
  • npm의 intercom-client 7.0.4도 동일한 날에 preinstall 훅을 통해 공격받음
  • composer.lock 버전 핀(pin) 설정, IOC 감사, 노출된 자격증명 재설정 권장

심각한 Apache HTTP/2 결함(CVE-2026-23918)이 서비스 거부 및 원격 코드 실행 가능

Apache httpd 2.4.66의 mod_http2에서 발견된 Double-free 취약점(CVSS 8.8)으로, 클라이언트가 HEADERS 프레임 직후 같은 스트림에 RST_STREAM을 전송할 때 같은 h2_stream 포인터가 정리 배열에 중복 추가되어 기본 Multi-threaded MPM 배포 환경에서 서비스 거부 또는 원격 코드 실행이 가능합니다. Debian 계열 시스템과 공식 httpd Docker 이미지에서는 APR mmap 할당자 기본값으로 인해 원격 코드 실행이 실질적으로 가능합니다.

The Hacker News

  • Apache httpd 2.4.66의 mod_http2에서 Double-free 결함 발견 (CVSS 8.8)
  • h2_mplx.c 스트림 정리 경로에서 같은 h2_stream 포인터가 중복 추가되어 발생
  • 기본 Multi-threaded MPM 환경에서 무의미한 서비스 거부(DoS) 공격 가능
  • x86_64 플랫폼에서 원격 코드 실행(RCE) PoC 검증 완료
  • 2.4.67 버전으로 즉시 업그레이드 필수, prefork MPM 설정만 영향 없음

argus - Go, Python, Rust 프로젝트용 RAG 기반 취약점 스캐너

argus는 로컬 Ollama 모델(nomic-embed-text 임베딩, gpt-oss:20b 분석용)을 활용한 RAG 기반 취약점 스캐너로, Go, Python, Rust 프로젝트의 go.mod, requirements.txt, Cargo.toml을 OSV, GoVulnDB, RustSec, PyPA 취약점 데이터베이스와 비교합니다. DuckDB 벡터 저장소를 통한 버전 인식 탐지와 GO-/CVE- 쌍의 별칭 중복 제거로 이미 수정된 권고사항을 제거하며, SARIF 출력과 심각도 게이트를 지원합니다.

GitHub 저장소

  • Go, Python, Rust 프로젝트 지원, 완전한 로컬 Ollama 모델 실행 환경
  • DuckDB 벡터 저장소를 통한 의존성 분석 및 검색
  • OSV, GoVulnDB, RustSec, PyPA 취약점 피드 통합
  • 버전 인식 탐지로 이미 수정된 권고사항 제외, 별칭 중복 제거
  • SARIF 출력, .argusignore 파일, --min-severity 게이트, Go install/바이너리/Docker 배포 지원

pyghidra-mcp - Ghidra 역공학 스위트를 LLM 에이전트에 연결하는 MCP 서버

pyghidra-mcp는 Model Context Protocol(MCP) 기반 명령어 인터페이스 서버로, Ghidra의 강력한 소프트웨어 역공학 기능을 Python을 통해 LLM 에이전트와 지능형 도구에 연결합니다. pyghidra와 jpype를 이용해 Ghidra의 ProgramAPI와 FlatProgramAPI를 Python 환경에 마이그레이션하여 지능형 자동화 분석을 가능하게 합니다.

GitHub 저장소

  • Ghidra 역공학 스위트를 Python과 LLM 에이전트에 통합
  • Model Context Protocol(MCP)를 통한 표준화된 인터페이스 제공
  • pyghidra와 jpype를 이용한 ProgramAPI, FlatProgramAPI 연결
  • LLM 기반 자동화 분석 및 지능형 개발 도구 구현 가능
  • 명령어 기반 CLI 서버로 배포, 에이전트 통합 지원

숫자 전용 출력을 이용한 데이터 유출 기법

코드 삽입 취약점이 유효한 10진수만 반환하는 환경에서 공격자는 Base-36 인코딩을 이용해 명령 출력을 정수로 변환하여 데이터를 유출할 수 있습니다. Python은 4,300자리 정수 제한으로 최대 2,762자의 영숫자 데이터(2KB 이상)를 한 번에 유출 가능하며, PHP와 JavaScript는 64비트 제한으로 약 12자 정도만 한 번에 변환 가능하지만 BC Math 함수를 통한 청킹으로 더 큰 페이로드 처리가 가능합니다.

Ikaes.de 블로그

  • 코드 삽입 취약점에서 숫자 반환만 가능한 제한 환경 우회 기법
  • Base-36 인코딩으로 영숫자 명령 출력을 정수로 변환 (Python int(), PHP base_convert())
  • Python 4,300자리 정수 제한으로 최대 2,762자 영숫자 유출 (2KB 이상 데이터)
  • 64비트 시스템(JavaScript, PHP)은 약 12자 제한, PHP BC Math 함수로 청킹 확장 가능
  • Base-27 인코딩으로 64비트 한계에서 정보 밀도 최적화 가능

🎁 기타

Windows Phone Link를 악용한 CloudZ RAT의 인증 정보 및 OTP 탈취

CloudZ RAT은 Windows 10, 11 시스템의 Phone Link 브리지를 하이재킹하여 동기화된 SMS와 OTP 데이터를 휴대폰 감염 없이 탈취합니다. 공격자는 가짜 ConnectWise ScreenConnect 실행 파일을 통해 초기 접근을 확보한 후 .NET 로더를 배포해 모듈식 CloudZ를 설치하고 C2에 연결하여 인증 정보 탈취, 브라우저 데이터 유출, 화면 기록 등의 악성 명령을 수행합니다.

The Hacker News

  • CloudZ RAT의 Pheno 플러그인이 Windows Phone Link 브리지를 하이재킹
  • SQLite 데이터베이스 접근으로 동기화된 SMS 및 OTP 데이터 탈취
  • 휴대폰 감염 없이도 민감한 인증 정보 도용 가능
  • 가짜 ConnectWise ScreenConnect를 통한 초기 접근 및 모듈식 악성코드 배포

FTC, Kochava 데이터 브로커의 위치 정보 판매 금지 명령 발표

2022년 소송 이후 FTC가 Kochava의 위치 데이터 판매를 소비자 명시적 동의 없이 금지하는 명령을 제안했습니다. Kochava는 사용자 동의 없이 정확한 위치 정보를 수집해 AWS Marketplace에서 판매해온 데이터 브로커로, 제안된 명령에 따라 위치 데이터 판매 금지, 민감한 위치 데이터 프로그램 수립, 데이터 구매자 정보 공개 요청 허용 등이 요구됩니다.

Bleeping Computer

  • 소비자 명시적 동의 없는 위치 정보 판매 전면 금지
  • AWS Marketplace를 통한 불법 위치 데이터 판매 행위
  • 민감한 위치 데이터 프로그램 수립 의무화
  • 사용자 요청 시 데이터 구매자 정보 공개 요구

영국 나이 확인 정책, 인터넷 기반시설 위협 - 개인정보 단체 경고

영국의 시민자유그룹, 브라우저 제조사, VPN 업체, Tor 프로젝트 등이 Children's Wellbeing and Schools Bill의 나이 확인 정책에 강하게 반대하고 있습니다. 보편적 나이 인증 강제, 개인정보 보호 약화, 신규 보안 위험 증대를 우려하며, Online Safety Act의 쉽게 우회 가능한 확인 메커니즘과 데이터 중심 사업 모델이 근본 문제라고 지적하고 있습니다.

The Register

  • 보편적 나이 인증 시스템 강제로 인한 개인정보 수집 확대
  • Online Safety Act의 쉽게 우회 가능한 나이 확인 체계 지적
  • 개인정보 보호 약화 및 신규 보안 위험 증대 우려
  • 시민자유그룹, 브라우저 제조사, VPN, Tor 등 다양한 이해관계자 반발

⚡️ 퀵 링크

Windows 업데이트 환경이 개선되었습니다

마이크로소프트가 OOBE 중 업데이트 건너뛰기, 최대 35일까지 무한 연장, 전원 메뉴에서 다시 시작/종료와 업데이트 분리, 월별 품질 업데이트와 함께 드라이버, .NET, 펌웨어 업데이트를 단일 재부팅으로 통합, 실패한 설치 자동 복구 등 Windows 업데이트 기능을 개선했습니다.

원문 보기

  • OOBE 중 업데이트 건너뛰기 가능
  • 일시 중지 기간을 최대 35일까지 무한 연장 가능
  • 전원 메뉴에서 다시 시작과 업데이트 및 다시 시작 분리
  • 드라이버, .NET, 펌웨어 업데이트를 월별 품질 업데이트와 단일 재부팅으로 통합
  • 실패한 설치에 대한 자동 복구 기능

AI 평가 스타트업 Braintrust, 보안 침해 발생 및 민감 키 갱신 요청

AI 평가 플랫폼인 Braintrust가 고객 API 키를 포함한 AWS 계정에 대한 무단 접근 사고를 보고했으며, 모든 고객에게 민감한 키를 교체할 것을 요청했습니다. 이 사건은 데이터 보안API 키 관리의 중요성을 다시 한 번 강조합니다.

원문 보기

  • Braintrust AWS 계정에 무단 접근 발생
  • 고객 API 키가 포함된 계정 영향받음
  • 모든 고객에게 민감한 키 갱신 요청
  • 클라우드 인프라 접근 제어 강화 필요
  • 보안 사고 대응 프로토콜 검토 권장

Google 광고를 악용한 GoDaddy ManageWP 로그인 피싱 공격

Guardio Labs는 Google 검색 결과에서 'managewp' 검색어에 대한 스폰서 결과를 악용하는 중간자 공격(AitM) 피싱 프레임워크를 적발했습니다. 공격자들이 피싱 사이트를 통해 사용자의 자격증명과 2FA 코드를 운영자 제어 C2 패널로 프록시하고 있습니다.

원문 보기

  • Google 광고 스폰서 결과를 이용한 피싱 공격
  • 'managewp' 검색 결과에서 악의적 사이트로 유도
  • 사용자 자격증명 및 2FA 코드 탈취
  • 운영자 제어 C2 패널로 데이터 전송
  • 중간자 공격(AitM) 프레임워크 활용

AI 기반 사이버범죄가 확대되고 있으나 예상과 다른 방식으로 진화하고 있습니다. 랜섬웨어 공격은 53% 증가했으며, 기술적 파일 암호화보다는 신원 기반 협박이 주된 수단입니다. 33억 개의 유출된 자격증명과 클라우드 토큰이 신원을 주요 공격 벡터로 만들고 있습니다.

현재의 위협 환경은 기술적 취약점과 신원 기반 공격의 결합으로 더욱 위험해지고 있습니다. 조직은 사용 중인 시스템의 제로데이 패치 적용 시급성을 인식하고, 다중 인증 및 긴급 액세스 정책을 강화하며, 공급망 보안을 강화해야 합니다. 또한 자격증명 관리 및 모니터링을 집중하고, 규제 환경의 변화에 맞춰 개인정보 보호 정책을 검토하는 것이 필수입니다. 자동화된 위협 탐지 및 대응 능력 강화가 2026년의 생존 전략입니다.

 

Security: 보안의 핵심을 빠르게 파악하세요!
정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다.
최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다.

#_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다!

원문 : TLDR
category-bg-security.png
728x90

'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글

2026년 5월 정보보안 뉴스레터: Canvas 대규모 브리치와 AI 기반 보안 스캐너의 부상  (0) 2026.05.12
2026년 5월 주요 보안 위협: Daemon Tools 백도어 공급망 공격, 산업용 라우터 루트 권한 취약점, OpenEMR 38개 CVE 발견  (0) 2026.05.09
정보보안 주간 브리핑: WhatsApp 스푸핑, Stripe 웹훅 우회 공격, AI 모델 규제 논의  (1) 2026.05.07
MOVEit 치명적 인증 우회 폭탄 터지다! AccountDumpling 피싱·Salt Typhoon·파이브 아이즈 AI 경고까지 — 2026년 5월 정보보안 핵심 이슈 완전 분석  (0) 2026.05.06
GPT-5.5 기업 네트워크 해킹 성공·npm 공급망 위기·북한 가상화폐 76% 탈취 — 2026년 5월 정보보안 핵심 총정리  (0) 2026.05.05

관련글

티스토리툴바