2026년 6월 최신 보안 뉴스레터는 OpenAI 토큰을 불법으로 탈취한 악성 Codex UI npm 패키지 발견, Meta의 AI 지원 시스템을 악용한 Instagram 계정 탈취 사건, GTA V 치트 서비스 해킹으로 인한 64,000명 사용자 정보 유출 등 최근 발생한 주요 보안 사건들을 다룹니다. 이와 함께 AWS 공급망 보안 모범 사례, Linux CIFS 권한 상승 취약점, Claude Code 공급망 공격 기법 등 방어 전략과 신기술을 소개합니다.
💻 프로그래밍
npm 패키지 codexui-android, 27,000 다운로드 중 OpenAI 토큰 탈취
Aikido Security이 발견한 npm 패키지 codexui-android는 악의적인 로더를 통해 OpenAI의 access_token, id_token, 만료되지 않는 refresh_token을 탈취하고 있습니다. 공개 GitHub 저장소에는 없지만 npm tarball에만 포함된 악성 chunk-PUR7OUAG.js 파일이 탈취한 자격증명을 sentry.anyclawstore로 전송합니다. 같은 제작자가 배포한 안드로이드 앱들도 Play Store 심사를 통과한 후 Linux 개발 환경을 추출하여 악의적으로 작동합니다.
- npm 패키지와 공개 GitHub 저장소 간 코드 불일치 감지 — 공급망 공격 적신호
- 탈취한 OpenAI 토큰을 즉시 회전 및 해지 필요
- sentry.anyclawstore 도메인 차단 및 npm 업스트림 코드 불일치 패키지 경계
Claude Code 워크플로우 취약점으로 저장소 완전 제어 가능
보안 연구자 RyotaK가 Claude Code의 GitHub Actions 워크플로우에서 권한 우회와 프롬프트 주입을 활용한 공급망 공격 경로를 입증했습니다. allowed_non_write_users: "*" 같은 잘못된 설정이 신뢰할 수 없는 이슈 생성에서 저장소 완전 제어까지 권한 상승을 가능하게 합니다. 공격자는 /proc/self/environ을 읽고 OIDC 자격증명을 탈취하여 특권이 있는 Claude GitHub App 토큰을 발급받을 수 있습니다.
- GitHub App 권한 설정의 allowed_non_write_users 제한 필수
- Anthropic이 GitHub App 트리거 패치, gh 사용 제한, 워크플로우 요약 비활성화로 대응
- 워크플로우에서 신뢰할 수 없는 입력 처리 시 보안 자격증명 노출 금지
Pipelock — AI 에이전트용 오픈소스 방화벽 도구
Pipelock은 AI 에이전트 사이에 위치하여 HTTP, MCP, A2A, WebSocket 트래픽을 검사하는 검증 가능한 출력 제어(VEC) 방화벽입니다. 데이터 유출과 프롬프트 주입 경로를 탐지하며, 서드파티가 에이전트 런타임 외부에서 검증할 수 있는 중재자 서명 액션 영수증을 생성합니다. 개발팀이 AI 에이전트의 보안을 강화하고 신뢰할 수 있는 운영을 보장할 수 있도록 지원합니다.
- AI 에이전트와 네트워크 사이에 위치한 방화벽 계층
- HTTP, MCP, A2A, WebSocket 트래픽 모니터링 및 검사
- 제3자가 검증 가능한 액션 영수증 발급으로 투명성 확보
Pathfinding Labs — 100개 이상 AWS 취약점 환경 학습 플랫폼
Pathfinding Labs는 오픈소스 컬렉션으로 100개 이상의 의도적으로 취약하게 설계된 AWS 환경을 제공합니다. plabs CLI를 통해 샌드박스 계정에 배포할 수 있으며, 각 환경은 Terraform 모듈과 demo_attack.sh 스크립트를 포함하여 권한 상승 경로를 검증합니다. 보안팀은 CSPM 커버리지 간격을 측정하고, 침투 테스트팀은 알려진 공격 그래프 경로에 대해 도구를 테스트할 수 있습니다.
- 자동 상승, 단계 상승, 크로스 계정 등 다양한 권한 상승 시나리오 포함
- 각 환경별 Terraform 모듈과 공격 검증 스크립트 제공
- 샌드박스 계정에서만 배포 권장 — 실제 관리자 사용자와 공개 S3 버킷 생성
Prempti — AI 코딩 에이전트용 Falco 기반 정책 엔진
Prempti는 Apache 2.0 라이선스의 Falco 생태계 프로젝트로, AI 코딩 에이전트의 도구 호출을 가로채고 Falco YAML 규칙으로 평가합니다. 셸 명령, 파일 읽기/쓰기, MCP 호출에 대해 허용, 거부, 질문 판정을 내리며, 거부된 작업은 LLM이 이해할 수 있는 피드백으로 반환됩니다. 작업 디렉터리 경계, 자격증명 경로, 샌드박스 비활성화 시도, MCP 포이즈닝 방지 규칙을 기본 제공합니다.
- AI 에이전트 도구 호출 가로채기 및 Falco 규칙 기반 평가
- 셸 명령, 파일 접근, MCP 호출 제어로 에이전트 행동 관리
- Linux, macOS, Windows (x86_64, aarch64) 멀티 플랫폼 지원
- 운영 수준 격리가 아닌 협력적 정책 계층으로 설계
🎁 기타
ChatGPT가 브라우저 콘텐츠를 맹목적으로 신뢰하며 피싱 공격에 악용되다
Permiso의 보안 연구원이 ChatGPT의 새로운 취약점을 공개했다. ChatGPT는 마크다운으로 렌더링된 지시사항을 자신의 고유 명령으로 신뢰하게 되어 프롬프트 인젝션 공격에 노출된다. 연구원은 GitHub 저장소에 임베드된 프롬프트를 이용해 ChatGPT가 공격자 제어 사이트로 유도하는 설득력 있는 링크나 QR 코드를 렌더링하도록 할 수 있음을 시연했다. 4월 29일 OpenAI에 버그를 보고했으나 재현 불가능하다는 이유로 종료된 후 추가 정보 제출 시 중복으로 처리되었다.
The Register - ChatGPT 프롬프트 인젝션 취약점
- ChatGPT가 마크다운 렌더링 지시사항을 자신의 고유 명령으로 신뢰하여 프롬프트 인젝션에 취약
- GitHub 저장소 임베드 프롬프트를 통해 악의적 링크/QR 코드 생성 및 유포 가능
- OpenAI 보고 후 '재현 불가능'으로 종료, 추가 제출 시에도 중복 처리됨
주요 브라우저의 CSP 우회로 패스워드 매니저 인증 정보 탈취 가능
Chrome, Safari, Firefox는 HTML 인젝션이 관대한 리퍼러 정책을 설정하고 리다이렉트를 트리거할 때 엄격한 CSP(Content Security Policy) 환경에서도 Referer 헤더를 통해 전체 URL을 유출할 수 있다. 공격자는 가짜 로그인 폼을 주입한 후 패스워드 매니저가 자동으로 인증 정보를 채우도록 유도하고, 메타 리퍼러와 새로 고침 태그를 악용하여 이메일과 패스워드를 포함한 URL을 공격자 제어 서버로 전송할 수 있다. 세 브라우저 모두 이 원클릭 패스워드 탈취 경로에 취약하며, Chrome이 가장 공격에 용이하다.
- 엄격한 CSP 하에서도 Referer 헤더를 통한 완전한 URL 유출 가능
- 가짜 로그인 폼 주입으로 패스워드 매니저의 자동 채우기 기능 악용
- Chrome, Safari, Firefox 모두 취약하며, Chrome이 가장 공격에 용이함
NIST NVD 운영의 부실 계획과 중복으로 자금 낭비 및 처리 지연 심화
상무부 감시관의 새로운 보고서에 따르면 NIST의 NVD(National Vulnerability Database) 관리에 있어 심각한 부실 운영이 드러났다. NIST 분석가들이 근무 시간의 약 80%를 심각도 점수 계산과 영향받는 제품 파악에 소비하고 있으나, 대부분의 취약점이 NIST 제출 시 이미 이러한 정보를 포함하고 있다는 점이 지적되었다. 또한 감시관은 CISA와 NIST 간에 상당한 중복 노력과 비용 낭비가 있으면서도 두 연방 기관 간 의사소통이 거의 이루어지지 않고 있음을 발견했다.
CyberScoop - NIST NVD 관리 감시 보고서
- NIST 분석가 업무 시간 80%가 이미 제공된 정보의 재계산에 낭비
- 취약점 입력 단계에서 필요한 데이터를 완전히 수집하는 프로세스 부재
- CISA와 NIST 간 중복된 노력으로 인한 자금 낭비, 기관 간 협력 미흡
⚡️ 퀵 링크
오라클, 첫 번째 월간 패치로 35개 취약점 수정 (중대 11개 포함)
오라클이 첫 번째 월간 보안 패치(Critical Security Patch Update)를 공개하여 35개의 보안 취약점을 수정했습니다. 이 중 11개는 중대 등급이며, 오라클 REST 데이터 서비스의 인증 불필요 게이트웨이 탈취 취약점(CVE-2026-46840, CVSS 10.0)을 포함하고 있습니다.
- CVSS 10.0의 최고 위험 등급 취약점 포함
- 오라클 REST 데이터 서비스의 인증 불필요 게이트웨이 탈취 취약점 수정
프롬프트 주입으로 메타 AI를 속여 인스타그램 계정 탈취
공격자들이 VPN으로 위치를 스푸핑한 후 메타의 인스타그램 AI 지원 어시스턴트에 프롬프트 주입 공격을 수행해 피해자의 계정에서 비밀번호 재설정 링크를 공격자 주소로 전송하도록 속여 계정을 탈취하고 있습니다.
- VPN으로 위치 스푸핑하여 대상 위치와 일치시키기
- AI 지원팀의 이메일 연결 요청으로 비밀번호 재설정 링크 도용
워드프레스 악성코드, 스팀 프로필을 C2 채널로 악용
약 1,980개의 워드프레스 사이트가 스팀 커뮤니티 프로필 댓글을 명령 및 제어(C2) 채널로 악용하는 악성코드에 감염되었습니다. 공격자는 6개의 유니코드 문자로 페이로드를 인코딩하여 숨긴 후, 정상 라이브러리로 위장한 자바스크립트를 통해 PHP 백도어를 배포합니다.
- 약 1,980개 워드프레스 사이트 감염 확인
- 스팀 커뮤니티를 데드드롭 C2로 악용하는 혁신적 방식
- 유니코드 문자 인코딩으로 보안 탐지 회피
무승인 상태에서 AI 에이전트가 조직 내 이메일, 파일 공유, 비즈니스 워크플로우에 연결되어 운영되고 있으며, IT와 보안팀은 이러한 위험을 사전에 탐지하고 통제하기 위한 실질적인 조치가 시급한 상황입니다.
최근의 다층적 보안 위협은 공급망 공격, 자격증명 탈취, AI 시스템 악용 등 다양한 경로를 통해 조직에 접근하고 있습니다. 조직은 단기 자격증명 사용, 다요소 인증, 의존성 중앙 관리, 공급망 전체 감시 체계 구축 등 심층 방어 전략을 수립해야 하며, 특히 승인되지 않은 AI 에이전트 배포를 신속히 발견하고 보안 정책을 강화하는 것이 필수적입니다.
타로신박: 마음이 복잡할 때 오마카세 타로 - Google Play 앱
매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료
play.google.com
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
