1. 日 랜섬웨어 피해 기업 60%, 대가 지불 후에도 복구 실패
일본 내 피해 기업 222곳 중 139곳이 해커에게 복구 비용을 지불했으나 시스템 정상화에 실패했습니다. 전문가들은 "해커와의 협상은 복구를 보장하지 않는다"며 선제적 방어와 백업의 중요성을 강조했습니다.
- 출처: 연합뉴스
2. '자율형 사이버 공격' 현실화... AI가 스스로 취약점 공략
AI 모델이 인간의 개입 없이 소프트웨어의 제로데이 취약점을 탐지하고, 공격 경로를 스스로 설계하여 실행하는 사례가 확인되었습니다. 이제 보안은 AI 대 AI의 대결 국면으로 접어들고 있습니다.
- 출처: 연합뉴스
3. Vercel, 내부 시스템 무단 접근 사고 발생 공지
현대적인 웹 배포 인프라인 Vercel에서 내부 시스템 침해 사고가 발생했습니다. 일부 사용자의 환경 변수(API Key 등) 노출 가능성이 제기됨에 따라, 관련 기업들의 자격 증명 재설정이 권고됩니다.
- 출처: 테크토크
4. KelpDAO 등 디파이 브리지, 2억 9천만 달러 규모 해킹
크로스체인 브리지의 소각 및 검증 절차 허점을 노린 공격이 발생했습니다. 해커는 구조적 취약점을 악용해 무단으로 자산을 발행했으며, 이는 디파이 생태계의 보안 사각지대를 다시 한번 드러냈습니다.
- 출처: Bitcoin News
5. SNS 'Bluesky', 정교한 DDoS 공격으로 서비스 장애
차세대 SNS 블루스카이가 약 24시간 동안 지속된 대규모 DDoS 공격으로 서비스가 마비되었습니다. 특정 국가 배후의 해커 그룹이 소행을 자처하며 정치적 목적의 사이버 테러 가능성이 시사되었습니다.
- 출처: SecurityWeek
6. Axios NPM 패키지, 북한발 공급망 공격 정황 포착
널리 쓰이는 Axios 라이브러리에서 악성 코드가 포함된 버전이 발견되었습니다. 조사 결과 북한 해커 조직이 OpenAI macOS 앱의 코드 서명 인증서를 탈취하기 위해 설계한 정교한 공급망 공격으로 밝혀졌습니다.
- 출처: SecurityWeek
7. 시리얼-IP 변환기 취약점, 의료 및 산업망 위협
Lantronix 및 Silex 제품에서 20여 개의 보안 취약점이 발견되었습니다. 이를 방치할 경우 의료 기기나 공장 제어 시스템(OT)이 인터넷을 통해 직접 해킹당할 수 있어 즉각적인 패치가 필요합니다.
- 출처: SecurityWeek
8. 'Scattered Spider' 조직원, 미국 법정서 유죄 인정
클라우드 계정 탈취와 사회공학적 기법으로 악명 높은 'Scattered Spider' 조직원이 유죄를 시인했습니다. 이들은 복잡한 기술보다 사람의 심리를 이용한 자격 증명 탈취에 주력해 온 것으로 드러났습니다.
- 출처: SecurityWeek
9. 공공 보안 체계 'N2SF' 도입... 제로 트러스트 전환 가속
정부가 최근 발생한 공공 시스템 해킹 사고에 대응하여 보안 체계를 전면 개편합니다. 데이터 중요도에 따라 보안을 차등 적용하는 N2SF 모델과 '아무도 믿지 않는' 제로 트러스트 도입이 본격화됩니다.
- 출처: 아이티데일리
10. 탐지 우회를 위한 'QEMU' 가상화 도구 악용 확산
보안 솔루션의 감시망을 피하기 위해 공격자들이 가상화 도구인 QEMU를 활용하고 있습니다. 악성 코드를 가상 환경 안에서 실행함으로써 백신이나 EDR의 탐지 로직을 무력화하는 기법이 늘고 있습니다.
- 출처: SecurityWeek
'콩's IT Security' 카테고리의 다른 글
| 🛡️ 2026년 4월 22일 IT 보안 뉴스 (0) | 2026.04.22 |
|---|---|
| Strix: AI 기반 셀프 보안 취약점 테스트 (feat. 구글 딥마인드) (0) | 2026.04.21 |
| 🛡️ 2026년 4월 20일 IT 보안 뉴스 (0) | 2026.04.20 |
| 🛡️ 2026년 4월 15일 IT 보안 뉴스 (0) | 2026.04.15 |
| 🛡️ 2026년 4월 14일 IT 보안 뉴스 (0) | 2026.04.14 |
