- Microsoft: Patch Tuesday 6건 Zero-Day 긴급 패치 - CVE-2026-21510 Windows Shell 보안 기능 우회
- Apple: CVE-2026-20700 dyld 메모리 손상 Zero-Day - 고도 표적 공격에 악용
- Ivanti: EPMM CVE-2026-1281 (CVSS 9.8) - 83% 공격이 단일 방탄 호스팅 IP에서 발생
- SAP: CVE-2026-0488 (CVSS 9.9) SQL Injection - 전체 DB 탈취 가능
- 랜섬웨어: 2026년 글로벌 피해 $74B 전망, AI 기반 RaaS 90% 자동화
서론
안녕하세요, Twodragon입니다.
2026년 2월 2주차(2월 8일~14일)는 사이버 보안 역사에 기록될 만한 한 주였습니다. Microsoft가 6건의 활발히 악용되는 Zero-Day를 포함한 59개 취약점을 패치했고, Apple은 고도로 정교한 표적 공격에 악용된 Zero-Day를 긴급 수정했습니다. Ivanti EPMM에서는 CVSS 9.8의 사전 인증 RCE 취약점이 대규모로 악용되고 있으며, SAP에서는 CVSS 9.9라는 거의 만점에 가까운 SQL Injection 취약점이 발견되었습니다.
동시에 AI 기반 사이버 공격이 산업화 단계에 진입하면서, 국가 후원 해커 그룹들이 AI를 공격 자동화에 적극 활용하고 있습니다. 랜섬웨어 피해는 2026년 $74B(약 100조 원)에 달할 것으로 전망됩니다.
수집 통계:
- 총 분석 항목: 28개
- 보안 뉴스: 10개
- AI/ML 뉴스: 4개
- 클라우드/인프라 뉴스: 5개
- DevOps 뉴스: 3개
- 블록체인 뉴스: 4개
- 기타: 2개
빠른 참조
이번 주 하이라이트
| 분야 | 소스 | 핵심 내용 | 영향도 |
|---|---|---|---|
| 🔒 Security | Microsoft | Patch Tuesday 59건 수정, 6건 Zero-Day 활발 악용 | 🔴 Critical |
| 🔒 Security | Apple | CVE-2026-20700 dyld Zero-Day - 표적 공격 악용 | 🔴 Critical |
| 🔒 Security | Ivanti | EPMM CVE-2026-1281 (CVSS 9.8) 대규모 공격 | 🔴 Critical |
| 🔒 Security | SAP | CVE-2026-0488 (CVSS 9.9) SQL Injection | 🔴 Critical |
| 🔒 Security | BeyondTrust | CVE-2026-1731 Pre-Auth RCE - PoC 공개 | 🔴 Critical |
| 🤖 AI/ML | Google TAG | UNC2970 북한 해커, Gemini AI 정찰에 악용 | 🟠 High |
| 🤖 AI/ML | Quorum Cyber | AI+RaaS 산업화, 침입 활동 90% 자동화 | 🟠 High |
| ☁️ Cloud | CNCF | K8s 1.32 보안 강화, SBOM 의무화 트렌드 | 🟡 Medium |
| 🔗 Blockchain | Chainalysis | 2025년 $3.4B 크립토 도난, Lazarus $2.02B | 🟠 High |
| 💰 FinOps | Industry | AIOps 기반 FinOps, 컨테이너 자원 최적화 | 🟡 Medium |
1. 보안 뉴스
1.1 Microsoft Patch Tuesday: 6건 Zero-Day 긴급 패치 🔴
| 심각도: 🔴 Critical (CVSS 8.8) | 출처: Microsoft, Tenable, BleepingComputer |
Microsoft는 2026년 2월 Patch Tuesday에서 59개 취약점을 수정했으며, 이 중 6건이 활발히 악용되는 Zero-Day입니다. 이는 작년과 동일한 수준의 기록적인 수치입니다.
Zero-Day 취약점 상세 분석
| CVE | CVSS | 영향 컴포넌트 | 공격 유형 | 상태 |
|---|---|---|---|---|
| CVE-2026-21510 | 8.8 | Windows Shell | 보안 기능 우회 (SmartScreen) | 악용 중 + 공개됨 |
| CVE-2026-21513 | 8.8 | MSHTML Framework | 보안 기능 우회 | 악용 중 + 공개됨 |
| CVE-2026-21519 | - | Desktop Window Manager | 권한 상승 | 악용 중 |
| CVE-2026-21525 | - | Windows Remote Access | 권한 상승 | 악용 중 |
| CVE-2026-21533 | - | Remote Desktop Services | DoS | 악용 중 |
| CVE-2026-21537 | - | Windows Kernel | 권한 상승 | 악용 중 |
공격 시나리오 분석 (CVE-2026-21510):
[CVE-2026-21510 공격 흐름]
1. 공격자: 악성 링크/바로가기(.lnk) 파일 제작
2. 전달: 피싱 이메일 / 메시징 / 워터링 홀
3. 사용자: 링크 클릭 (User Interaction 필요)
4. 악용: Windows Shell 보안 경고 우회
├─ SmartScreen 필터 무력화
└─ Mark-of-the-Web (MotW) 검증 우회
5. 결과: 악성 파일 경고 없이 실행 → 시스템 장악
MITRE ATT&CK 매핑:
- T1566.002 - Spearphishing Link
- T1204.001 - User Execution: Malicious Link
- T1553.005 - Subvert Trust Controls: Mark-of-the-Web Bypass
권장 조치:
- Windows Update 즉시 적용 (KB5053000 이상)
- Windows Shell/MSHTML 관련 GPO 강화
- 이메일 게이트웨이에서 .lnk 파일 첨부 차단 규칙 추가
- EDR에서 SmartScreen 우회 탐지 룰 활성화
- 사용자 보안 인식 교육 - 의심스러운 링크/파일 주의
1.2 Apple CVE-2026-20700: “극도로 정교한” 표적 Zero-Day 🔴
| 심각도: 🔴 Critical (CVSS 8.8) | 출처: Apple Security, SecurityWeek, The Hacker News |
Apple이 “극도로 정교한 표적 공격(extremely sophisticated attack)”에 악용된 Zero-Day 취약점을 긴급 패치했습니다. Google Threat Analysis Group(TAG)이 발견한 이 취약점은 dyld(Dynamic Link Editor)의 메모리 손상 문제입니다.
취약점 상세
| 항목 | 내용 |
|---|---|
| CVE | CVE-2026-20700 |
| 영향 컴포넌트 | dyld (Dynamic Link Editor) |
| 취약점 유형 | 메모리 손상 (Memory Corruption) |
| 공격 결과 | 임의 코드 실행 (Arbitrary Code Execution) |
| 발견자 | Google Threat Analysis Group |
| 표적 | 활동가, 언론인 등 고위험 개인 |
| 체이닝 가능 | CVE-2025-14174, CVE-2025-43529와 연계 가능 |
패치 대상 기기 및 버전:
| 플랫폼 | 패치 버전 | 수정 항목 |
|---|---|---|
| iOS/iPadOS | 26.3 | ~40개 취약점 수정 |
| macOS Tahoe | 26.3 | ~50개 취약점 수정 |
| tvOS | 26.3 | dyld 수정 포함 |
| watchOS | 26.3 | dyld 수정 포함 |
| visionOS | 26.3 | dyld 수정 포함 |
권장 조치:
- 모든 Apple 기기 즉시 최신 버전 업데이트
- MDM(Mobile Device Management) 정책으로 강제 업데이트 적용
- 고위험 인물(경영진, 보안 담당자) 기기 우선 패치
- Apple Lockdown Mode 활성화 검토 (고위험 대상)
- iOS/macOS 기기 보안 로그 모니터링 강화
1.3 Ivanti EPMM: CVSS 9.8 RCE, 대규모 익스플로잇 진행 중 🔴
| 심각도: 🔴 Critical (CVSS 9.8) | 출처: The Hacker News, GreyNoise, Help Net Security |
Ivanti EPMM(Endpoint Manager Mobile)에서 발견된 사전 인증 RCE 취약점 2건이 대규모로 악용되고 있습니다. 특히 83%의 공격이 단일 방탄 호스팅(bulletproof hosting) IP에서 발생하고 있어, 조직적인 공격 캠페인이 진행 중입니다.
취약점 정보
| CVE | CVSS | 유형 | 인증 필요 | 악용 상태 |
|---|---|---|---|---|
| CVE-2026-1281 | 9.8 | Code Injection (RCE) | 불필요 (Pre-Auth) | 활발히 악용 중 |
| CVE-2026-1340 | - | Code Injection | 불필요 | 악용 확인 |
공격 인프라 분석
실제 피해 사례:
- 네덜란드 데이터보호청(DPA) 및 사법위원회 EPMM 인스턴스 침해
- 공격자가
/mifs/403.jsp경로에 메모리 상주형 WebShell 배치 - “Sleeper” WebShell - 파일 시스템을 회피하여 디스크 기반 탐지 무력화
MITRE ATT&CK 매핑:
- T1190 - Exploit Public-Facing Application
- T1505.003 - Web Shell
- T1027.011 - Fileless Storage
권장 조치:
- Ivanti EPMM 즉시 최신 버전 패치 적용 (수초 소요, 다운타임 없음)
/mifs/403.jsp경로 및 비정상 JSP 파일 존재 여부 확인- 네트워크 로그에서 방탄 호스팅 IP 대역 차단
- EPMM 서버 메모리 포렌식 수행 (파일리스 WebShell 탐지)
- WAF에 Ivanti EPMM 관련 익스플로잇 시그니처 추가
1.4 SAP CVE-2026-0488: CVSS 9.9 SQL Injection - 전체 DB 탈취 가능 🔴
| 심각도: 🔴 Critical (CVSS 9.9) | 출처: SAP Security, Pathlock, NVD |
SAP CRM과 S/4HANA의 Scripting Editor에서 CVSS 9.9라는 거의 만점에 가까운 SQL Injection 취약점이 발견되었습니다. 인증된 공격자가 임의 SQL 문을 실행하여 전체 데이터베이스를 장악할 수 있습니다.
위협 분석
권장 조치:
- SAP Security Note 즉시 적용
- SAP CRM/S/4HANA Scripting Editor 접근 권한 최소화
- DB 활동 모니터링(DAM) 강화 - 비정상 SQL 실행 탐지
- SAP 시스템 DB 백업 및 무결성 검증
1.5 BeyondTrust CVE-2026-1731: Pre-Auth RCE, PoC 공개 후 공격 급증 🔴
| 심각도: 🔴 Critical (CVSS 8.5+) | 출처: BeyondTrust, Help Net Security, Arctic Wolf |
BeyondTrust Remote Support(RS)와 Privileged Remote Access(PRA)에서 사전 인증 RCE 취약점이 발견되었으며, PoC(Proof-of-Concept) 코드 공개 이후 글로벌 센서에서 활발한 익스플로잇 시도가 관측되고 있습니다.
위협 컨텍스트: BeyondTrust는 특권 접근 관리(PAM) 솔루션으로, 이 취약점이 악용되면 조직의 가장 민감한 시스템에 대한 원격 접근 통로가 됩니다.
권장 조치:
- BeyondTrust RS/PRA 즉시 최신 버전 업데이트
- 외부 노출된 BeyondTrust 인스턴스 접근 제한 (IP 화이트리스트)
- BeyondTrust 세션 로그 집중 모니터링
- 임시 완화: WAF 규칙으로 익스플로잇 패턴 차단
1.6 Warlock 랜섬웨어: SmarterMail 서버 침해
| 심각도: 🟠 High | 출처: SecurityWeek |
SmarterTools는 Warlock 랜섬웨어 조직이 패치되지 않은 SmarterMail 인스턴스를 악용해 2026년 1월 29일 네트워크를 침해했다고 확인했습니다.
2026년 랜섬웨어 전망:
| 지표 | 2025년 | 2026년 전망 | 변화 |
|---|---|---|---|
| 글로벌 피해 금액 | $57B | $74B | +30% |
| AI 기반 침입 자동화 | 60% | 90% | +30%p |
| RaaS 생태계 | 성장 | 산업화 | 질적 변화 |
| 평균 몸값 | $1.2M | $1.8M | +50% |
권장 조치:
- 이메일 서버 패치 상태 긴급 점검
- 3-2-1 백업 규칙 준수 확인 (오프라인 백업 필수)
- 랜섬웨어 대응 플레이북 최신화
- 사이버 보험 보장 범위 검토
2. AI/ML 보안 뉴스
2.1 UNC2970: 북한 해커, Google Gemini AI 정찰 악용 🟠
| 심각도: 🟠 High | 출처: Google TAG, The Hacker News |
Google Threat Analysis Group(TAG)은 북한 연계 위협 행위자 UNC2970이 Google Gemini AI를 표적 정찰에 악용하고 있다고 보고했습니다. 다양한 국가 후원 해킹 그룹들이 AI를 사이버 공격 수명 주기의 여러 단계를 가속화하는 데 무기화하고 있습니다.
AI 악용 단계:
MITRE ATT&CK 매핑:
- T1593 - Search Open Websites/Domains
- T1589 - Gather Victim Identity Information
- T1598.003 - Spearphishing Service
2.2 AI 기반 사이버 범죄의 산업화 🟠
| 심각도: 🟠 High | 출처: Quorum Cyber, Cybersecurity Ventures |
Quorum Cyber의 2026 Global Cyber Risk Outlook 보고서에 따르면, AI 기반 자동화와 RaaS(Ransomware-as-a-Service) 생태계의 급속한 확장으로 사이버 범죄가 산업화 단계에 진입했습니다.
| 위협 지표 | 수치 | 의미 |
|---|---|---|
| AI 기반 침입 자동화 | 90% | 국가 행위자 침입 활동의 90%가 AI 자동화 |
| DDoS 최대 규모 | 31 Tbps | 역대 최대 볼류메트릭 DDoS 기록 |
| 피싱 생성 속도 | 10x | AI로 피싱 콘텐츠 생성 10배 가속 |
| 사칭 사기 증가 | 1,400% | 전년 대비 사칭 스캠 14배 증가 |
2.3 GitHub Copilot AI 플랫폼 취약점 경고 🟡
| 심각도: 🟡 Medium | 출처: SecurityWeek |
2월 Patch Tuesday에서 AI 플랫폼 취약점이 함께 발견되었습니다. GitHub Copilot에서 프롬프트 인젝션을 통해 유해한 명령을 실행하거나 민감 정보에 접근할 수 있는 취약점이 확인되어, AI 시스템 보안의 중요성이 다시 한번 강조되었습니다.
권장 조치:
- AI 코딩 어시스턴트 사용 시 출력 코드 보안 리뷰 필수화
- AI 도구의 권한 범위 최소화 (Least Privilege)
- AI 생성 코드에 대한 SAST/DAST 파이프라인 구축
3. 클라우드 & 인프라
3.1 Kubernetes 1.32 보안 강화 및 SBOM 의무화 🟡
| 심각도: 🟡 Medium | 출처: CNCF, ARMO, Chainguard |
2026년 초 공개된 Kubernetes 1.32는 공급망 보안과 런타임 보호에 대한 혁신적인 보안 강화를 포함합니다. 동시에 SBOM(Software Bill of Materials)이 규제 의무로 전환되는 추세가 가속화되고 있습니다.
K8s 1.32 보안 주요 변경사항
| 기능 | 상태 | 설명 |
|---|---|---|
| SBOM 생성/검증 | Stable | 컨테이너 이미지 의존성 완전 가시성 |
| Enhanced Pod Security Standards | Stable | 강화된 Pod 보안 정책 |
| Image Signing (Sigstore/Cosign) | GA | 이미지 서명/검증 업계 표준화 |
| Provenance Attestation | Beta | 빌드 출처 증명 (SLSA) |
SBOM 의무화 트렌드
권장 조치:
- K8s 클러스터 1.32 업그레이드 계획 수립
- CI/CD 파이프라인에 SBOM 생성 단계 추가 (Syft/Trivy)
- Sigstore/Cosign 기반 이미지 서명 도입
- Admission Controller에서 서명 검증 정책 활성화
3.2 Platform Engineering: 내부 개발자 플랫폼(IDP) 확산 🟡
| 심각도: 🟡 Medium | 출처: CNCF, Pulumi |
2026년 Platform Engineering이 핵심 운영 모델로 자리잡고 있습니다. CNCF 연간 조사에 따르면 93%의 기업이 Kubernetes를 사용, 파일럿, 또는 평가 중이며, 80%가 프로덕션에서 운영하고 있습니다.
핵심 트렌드:
- Golden Path: 보안 정책과 컴플라이언스가 내장된 사전 구성 경로
- Self-Service Portal: 개발자가 직접 환경을 프로비저닝
- Beyond YAML: IaC 자동화 시대 (Pulumi, CDK, Crossplane)
- AIOps + FinOps: AI 기반 컨테이너 자원 최적화
3.3 Lazarus 그룹: npm/PyPI 공급망 공격 캠페인 🟠
| 심각도: 🟠 High | 출처: The Hacker News |
북한 연계 Lazarus 그룹이 가짜 채용 테마 캠페인(graphalgo)을 통해 npm과 PyPI 저장소에 악성 패키지를 배포하고 있습니다. 특히 bigmathutils 패키지는 정상 버전으로 10,000+ 다운로드를 유도한 후 악성 페이로드가 포함된 두 번째 버전을 배포하는 전략을 사용했습니다.
공격 전략 분석:
권장 조치:
npm audit/pip audit즉시 실행- 의존성 잠금 파일(lock file) 무결성 검증
- Socket.dev, Snyk 등 공급망 보안 도구 도입
- 패키지 업데이트 자동화 시 버전 고정(pinning) 적용
- 개발 환경에서 네트워크 격리(sandbox) 적용
4. DevOps 뉴스
4.1 AIOps 기반 FinOps: 컨테이너 비용 최적화 시대 🟡
| 심각도: 🟡 Medium | 출처: DEVOPSdigest, CloudKeeper |
2026년 FinOps의 핵심은 AI 기반 자동 최적화입니다. AIOps가 Kubernetes 환경의 자원 사용량을 지속적으로 모니터링하고, 자동으로 right-sizing하여 낭비를 줄입니다.
| FinOps 성숙도 | 접근 방식 | 절감률 |
|---|---|---|
| Level 1: 가시성 | 비용 대시보드, 태그 기반 추적 | 5-10% |
| Level 2: 최적화 | Reserved/Spot 인스턴스, 자원 조정 | 15-30% |
| Level 3: 자동화 | AIOps 기반 자동 right-sizing | 30-50% |
| Level 4: 예측 | AI 예측 기반 선제적 자원 관리 | 40-60% |
4.2 CNCF KCD 및 커뮤니티 업데이트 🟡
| 심각도: 🟡 Medium | 출처: CNCF |
CNCF가 2026년 Top 28 Kubernetes 리소스를 발표하며, 보안, 관측성, Platform Engineering이 핵심 주제로 부각되었습니다. KCD(Kubernetes Community Day) New Delhi가 2026년 2월 21일 개최 예정입니다.
5. 블록체인 뉴스
5.1 2025-2026 크립토 보안 위기: $3.4B 도난, Lazarus $2.02B 🟠
| 심각도: 🟠 High | 출처: Chainalysis, TRM Labs, Yahoo Finance |
Chainalysis 보고서에 따르면 2025년 암호화폐 도난 금액이 $3.4B(약 4.6조 원)에 달했으며, 2026년 1월에만 $400M(약 5,400억 원)이 탈취되었습니다.
주요 위협 지표
| 지표 | 수치 | 컨텍스트 |
|---|---|---|
| 2025년 총 도난 | $3.4B | Bybit $1.5B 포함 |
| 2026년 1월 도난 | $400M | 피싱 + 트레저리 침해 |
| 북한 해커 도난 | $2.02B | YoY +51%, 누적 $6.75B |
| 사칭 사기 증가 | 1,400% | YoY 증가율 |
| 최대 단일 피해 | $284M | 하드웨어 지갑 피싱 |
핵심 변화: 2025-2026년 크립토 보안 위협의 본질은 스마트 컨트랙트 취약점에서 소셜 엔지니어링과 인간 취약점으로 이동했습니다. 코드가 아닌 사람이 가장 약한 고리입니다.
권장 조치:
- 하드웨어 지갑 펌웨어 최신 상태 유지
- 다중 서명(Multi-sig) 지갑 사용 의무화
- 고객 지원 사칭 피싱 인식 교육
- 핫 월렛 보유량 최소화 정책 수립
5.2 Flow 블록체인 보안 사고: $3.9M 익스플로잇과 롤백 논란 🟡
| 심각도: 🟡 Medium | 출처: The Block |
Flow 블록체인에서 $3.9M 규모의 익스플로잇이 발생했으며, 이를 되돌리기 위한 체인 롤백 결정이 논란을 불러일으켰습니다. FLOW 토큰은 40% 이상 급락했으며, 일부 파트너들은 사전 통보 없이 진행된 롤백에 “blindsided” 되었다고 밝혔습니다.
시사점: 블록체인의 불변성(immutability) 원칙과 보안 사고 대응 사이의 근본적인 딜레마를 보여주는 사례입니다.
트렌드 분석
2026년 2월 2주차 주요 트렌드
| 트렌드 | 빈도 | 방향 | 영향 |
|---|---|---|---|
| Zero-Day 동시다발 악용 | 매우 높음 | ↑ 급증 | Microsoft+Apple+Ivanti 동시 |
| AI 기반 공격 자동화 | 높음 | ↑ 산업화 | 90% 침입 활동 AI 자동화 |
| Pre-Auth RCE 취약점 | 높음 | ↑ 증가 | Ivanti, BeyondTrust, SAP |
| 공급망 공격 (npm/PyPI) | 중간 | → 지속 | Lazarus 그룹 주도 |
| SBOM 규제 의무화 | 중간 | ↑ 가속 | K8s 1.32 + 정부 규제 |
| 랜섬웨어 피해 규모 | 높음 | ↑ $74B | AI+RaaS 시너지 |
| 크립토 보안 위협 이동 | 높음 | → 변화 | 코드→사람 취약점 |
| Platform Engineering | 중간 | ↑ 주류화 | 93% K8s 사용/평가 |
조치 체크리스트
P0: 즉시 조치 (24시간 이내)
- Microsoft: Windows Update 즉시 적용 (6건 Zero-Day)
- Apple: 모든 기기 iOS 26.3 / macOS 26.3 업데이트
- Ivanti: EPMM 최신 패치 적용 +
/mifs/403.jsp점검 - SAP: CVE-2026-0488 Security Note 적용 + Scripting Editor 권한 제한
- BeyondTrust: RS/PRA 즉시 업데이트 + 외부 접근 제한
P1: 7일 이내 조치
- EDR/SIEM에 이번 주 Zero-Day 관련 탐지 룰 추가
- 이메일 게이트웨이 .lnk 파일 차단 규칙 적용
npm audit/pip audit전 프로젝트 실행- AI 코딩 도구 사용 정책 보안 리뷰
- 랜섬웨어 대응 플레이북 최신화
P2: 30일 이내 조치
- K8s 1.32 업그레이드 계획 수립 및 SBOM 파이프라인 구축
- 공급망 보안 도구(Socket.dev, Snyk) 도입 검토
- AIOps 기반 FinOps 도구 평가
- Sigstore/Cosign 이미지 서명 파일럿
- 사이버 보험 보장 범위 재검토
- 보안 인식 교육 프로그램 업데이트 (AI 사칭, 피싱 강화)
참조
표준 참조
- CISA KEV (Known Exploited Vulnerabilities)
- MITRE ATT&CK Framework
- FIRST EPSS (Exploit Prediction Scoring System)
- NVD (National Vulnerability Database)
이번 주 주요 출처
- Microsoft Security Response Center
- Tenable - February 2026 Patch Tuesday
- BleepingComputer - February 2026 Patch Tuesday
- CrowdStrike - February 2026 Patch Tuesday Analysis
- Apple Security Updates
- SecurityWeek - Apple Zero-Day
- Help Net Security - Ivanti EPMM
- GreyNoise - Ivanti Exploitation
- Chainalysis - 2026 Crypto Crime Report
- Quorum Cyber - 2026 Global Cyber Risk Outlook
- CNCF - Kubernetes Security 2026
Discussion 0
GitHub 계정으로 로그인하여 댓글을 작성하세요
```로 감싸주세요