- The Hacker News: FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고
- The Hacker News: Oracle Identity Manager 인증되지 않은 RCE 치명적 CVE-2026-21992 패치
- The Hacker News: Trivy 공급망 공격으로 47개 npm 패키지에 자가 확산 CanisterWorm 전파
서론
안녕하세요, Twodragon입니다.
2026년 03월 22일 기준, 지난 24시간 동안 발표된 주요 기술 및 보안 뉴스를 심층 분석하여 정리했습니다.
수집 통계:
- 총 뉴스 수: 15개
- 보안 뉴스: 5개
- AI/ML 뉴스: 0개
- 클라우드 뉴스: 0개
- DevOps 뉴스: 0개
- 블록체인 뉴스: 5개
📊 빠른 참조
이번 주 하이라이트
| 분야 | 소스 | 핵심 내용 | 영향도 |
|---|---|---|---|
| 🔒 Security | The Hacker News | FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고 | 🟠 High |
| 🔒 Security | The Hacker News | Oracle, Identity Manager에서 인증되지 않은 RCE를 가능하게 하는 치명적 CVE-2026-21992 패치 | 🔴 Critical |
| 🔒 Security | The Hacker News | Trivy 공급망 공격으로 47개 npm 패키지에 자가 확산 CanisterWorm 전파 | 🟠 High |
| ⛓️ Blockchain | Cointelegraph | CFTC 직원들이 암호화폐를 담보로 사용하는 것에 대한 기대치를 명확히 하다 | 🟡 Medium |
| ⛓️ Blockchain | Cointelegraph | 브라질 재무장관, 선거로 인해 암호화폐 과세 정책 보류: 보고서 | 🟡 Medium |
| ⛓️ Blockchain | Cointelegraph | SEC 암호화폐 지침이 Gensler 시대에 ‘마지막 못’을 박는다: 애널리스트 | 🟡 Medium |
| 💻 Tech | Tech World Monitor | World Monitor - 실시간 글로벌 인텔리전스 대시보드 | 🟡 Medium |
| 💻 Tech | GeekNews (긱뉴스) | 디자인 프로세스는 죽지 않았다, 압축되었을 뿐 | 🟡 Medium |
| 💻 Tech | GeekNews (긱뉴스) | 아동 보호를 인터넷 접근 통제로 바꾸지 말라 | 🟡 Medium |
경영진 브리핑
- 긴급 대응 필요: Oracle, Identity Manager에서 인증되지 않은 RCE를 가능하게 하는 치명적 CVE-2026-21992 패치 등 Critical 등급 위협 1건이 확인되었습니다.
- 주요 모니터링 대상: FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고, CISA, KEV에 Apple·Craft CMS·Laravel 취약점 추가 및 2026년 4월 3일까지 패치 지시 등 High 등급 위협 2건에 대한 탐지 강화가 필요합니다.
- 공급망 보안 위협이 확인되었으며, 서드파티 의존성 검토와 SBOM 업데이트를 권고합니다.
위험 스코어카드
| 영역 | 현재 위험도 | 즉시 조치 |
|---|---|---|
| 위협 대응 | High | 인터넷 노출 자산 점검 및 고위험 항목 우선 패치 |
| 탐지/모니터링 | High | SIEM/EDR 경보 우선순위 및 룰 업데이트 |
| 취약점 관리 | Critical | CVE 기반 패치 우선순위 선정 및 SLA 내 적용 |
| 클라우드 보안 | Medium | 클라우드 자산 구성 드리프트 점검 및 권한 검토 |
1. 보안 뉴스
1.1 FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고
FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고
러시아 정보기관과 연계된 위협 행위자들이 Signal과 WhatsApp 같은 상업용 메시징 애플리케이션(CMA)을 타깃으로 한 피싱 캠페인을 통해 고위 정보 가치 인물들의 계정을 장악하려 하고 있습니다. 미국 CISA와 FBI는 이에 대한 경고를 발표했습니다.
원문 보기 →FBI 경고: 러시아 해커, Signal 및 WhatsApp 대상 대규모 피싱 공격 분석
1. 기술적 배경 및 위협 분석
본 공격은 러시아 정보기관 연계 위협 행위자(APT)가 고위 정보 가치를 지닌 개인(정부 관계자, 기업 임원, 언론인, 활동가 등)을 대상으로 수행하는 정교한 피싱 캠페인입니다. 공격자는 신뢰할 수 있는 출처를 사칭한 이메일을 발송하여 수신자를 유인한 후, 악성 링크 또는 첨부 파일을 통해 상업용 메시징 애플리케이션(CMA) 계정 자격 증명을 탈취합니다. Signal과 WhatsApp은 종단간 암호화로 통신 내용 자체는 보호되지만, 계정 자체가 장악되면 공격자는 피해자의 신원으로 접속하여 연락처를 대상으로 2차 공격(사회공학, 추가 정보 수집)을 수행하거나, 피해자의 신뢰망을 악용할 수 있습니다. 이는 암호화된 플랫폼의 보안 강점을 우회하여, 기술적 보호 장치보다는 ‘사용자’라는 가장 약한 고리를 공격하는 전형적인 APT 전술입니다.
2. 실무 영향 분석
DevSecOps 관점에서 이 공격은 다음과 같은 심각한 영향을 시사합니다.
- 내부 위협 면적 확대: 조직 구성원의 개인 CMA 계정이 장악될 경우, 이를 통해 회사 내부 정보에 대한 접근이나 동료를 대상으로 한 공격이 발생할 수 있습니다. 특히 원격 근무 환경에서 업무용/개인용 메신저 경계가 모호한 경우 위험이 가중됩니다.
- 공급망 공격의 전초기지화: 침해된 개인 계정은 협력사, 파트너, 고객을 대상으로 한 공급망 공격의 신뢰할 수 있는 발신지로 악용될 수 있습니다. 이는 조직의 직접적인 방어 체계를 우회하는 효과를 가집니다.
- 사고 대응의 복잡성 증가: 공격 경로가 개인 기기와 계정을 통해 이루어지기 때문에, 조직의 모니터링 및 사고 대응 범위를 벗어납니다. 증거 수집과 대응에 법적, 기술적 장벽이 발생할 수 있습니다.
- 보안 인식 교육의 중요성 재확인: 기술적 통제만으로는 이러한 표적형 피싱을 완전히 차단하기 어려우므로, 지속적이고 실제 공격 시나리오를 반영한 보안 인식 교육이 최후의 보루가 됩니다.
3. 대응 체크리스트
- 고위험군 사용자에 대한 보호 강화: 정보 보호 정책을 검토하여, 외부 메신저를 통한 업무 기밀 정보 공유를 제한하거나 관리된 엔터프라이즈 메신저로 전환을 검토합니다. 외부 협업이 불가피한 고위험 임직원에 대해서는 하드웨어 보안 키(WebAuthn/FIDO2) 기반의 2단계 인증(2FA) 사용을 의무화합니다.
- 표적형 피싱 시뮬레이션 교육 강화: 일반적 피싱이 아닌, 신뢰할 수 있는 동료나 업무 파트너를 사칭하고 시의성 높은 주제를 활용한 정교한 시나리오 기반의 훈련을 정기적으로 실시하고, 결과를 분석하여 취약 부서/개인을 대상으로 맞춤형 교육을 제공합니다.
- 사고 대응 계획에 ‘개인 계정 침해’ 시나리오 추가: 조직의 공식 자산이 아닌 직원의 개인 메신저 계정 침해가 회사에 미치는 영향을 평가하고, 내부 보고 절차, 법무팀 협의 프로세스, PR 대응 방안 등을 사고 대응 계획(IRP)에 명시적으로 포함 및 테스트합니다.
- 공급망 탐지 범위 확장: Trivy, npm, CI/CD 러너 로그를 연계해 태그 변조와 비정상 패키지 배포 징후를 조기 탐지합니다.
1.2 Oracle, Identity Manager에서 인증되지 않은 RCE를 가능하게 하는 치명적 CVE-2026-21992 패치
Oracle, Identity Manager에서 인증되지 않은 RCE를 가능하게 하는 치명적 CVE-2026-21992 패치
Oracle가 인증 없이 원격 코드 실행(RCE)이 가능한 치명적 결함 CVE-2026-21992를 패치했습니다. 이 취약점은 CVSS 점수 9.8을 받은 Identity Manager 및 Web Services Manager 보안 업데이트에서 해결되었습니다.
원문 보기 →Oracle CVE-2026-21992 원격 코드 실행 취약점 분석
1. 기술적 배경 및 위협 분석
CVE-2026-21992는 Oracle Identity Manager(OIM) 및 Web Services Manager에 영향을 미치는 인증 우회 원격 코드 실행(RCE) 취약점입니다. CVSS 9.8의 위험도는 공격자가 인증 없이도 원격에서 시스템에 대한 완전한 제어권을 획득할 수 있음을 의미합니다. Oracle Identity Manager는 기업의 사용자 생명주기 관리와 접근 제어의 핵심 시스템으로, 이 취약점이 악용될 경우 조직의 전체 ID 관리 인프라가 침해될 수 있습니다. 특히 Web Services Manager 구성 요소를 통해 노출된 취약점은 SOAP/웹 서비스 인터페이스를 통한 공격 경로를 제공할 가능성이 높습니다. 이는 방화벽 뒤에 위치한 내부 시스템도 외부에서 직접 공격당할 수 있는 시나리오를 만들어냅니다.
2. 실무 영향 분석
DevSecOps 관점에서 이 취약점은 여러 위험 요소를 동시에 포함합니다. 첫째, 무인증 RCE 특성으로 인해 공격 진입 장벽이 극히 낮아 대규모 자동화 공격에 노출될 수 있습니다. 둘째, Identity Manager는 Active Directory, HR 시스템 등 다른 핵심 시스템과 통합되어 있어 공격 확산(레터럴 무브먼트) 위험이 큽니다. 셋째, 패치 적용 시 다운타임이 불가피할 수 있어 비즈니스 연속성과 보안 사이의 트레이드오프를 고려해야 합니다. DevSecOps 팀은 즉시 영향받는 버전(아직 공개되지 않았으나 일반적으로 11g/12c 버전 영향 가능성 높음)을 식별하고, 개발/테스트/운영 환경 전체에서의 패치 롤아웃 계획을 수립해야 합니다.
3. 대응 체크리스트
- 영향받는 Oracle Identity Manager 및 Web Services Manager 버전을 인벤토리에서 즉시 식별하고 버전별 패치 가용성 확인
- 테스트 환경에서 패치 적용 테스트 수행 후, 자동화된 배포 파이프라인을 통해 운영 환경에 단계적 롤아웃(블루-그린 또는 카나리 배포 고려)
- WAF(웹 애플리케이션 방화벽)에서 해당 취약점을 탐지/차단할 수 있는 시그니처 업데이트 및 모니터링 규칙 강화
- 패치 적용 전 단기 대응조치로 네트워크 세분화를 강화하고, Identity Manager 인스턴스에 대한 불필요한 외부 접근 차단
- 취약점 스캔 도구 및 IaC(Infrastructure as Code) 템플릿을 업데이트하여 향후 동일한 유형의 취약점이 신규 환경에 배포되지 않도록 예방 조치 구현
MITRE ATT&CK 매핑
mitre_attack:
tactics:
- T1203 # Exploitation for Client Execution
- T1078 # Valid Accounts
1.3 Trivy 공급망 공격으로 47개 npm 패키지에 자가 확산 CanisterWorm 전파
Trivy 공급망 공격으로 47개 npm 패키지에 자가 확산 CanisterWorm 전파
Trivy 스캐너를 노린 공급망 공격의 위협 행위자들이 CanisterWorm이라는 자가 전파 웜을 통해 다수의 npm 패키지를 추가로 감염시킨 것으로 의심됩니다. 이 웜은 ICP canister를 활용하여 작동합니다.
원문 보기 →Trivy 공급망 공격 및 CanisterWorm 확산 사건 분석
1. 기술적 배경 및 위협 분석
이번 사건은 인기 있는 컨테이너 취약점 스캐너 Trivy를 대상으로 한 공급망 공격에서 시작되었으며, 2차 피해로 npm 패키지 47개가 추가로 감염된 복합 공격입니다. 핵심은 CanisterWorm이라는 자가 전파 웜으로, ICP(Internet Computer Protocol) 캐니스터를 악용합니다. ICP 캐니스터는 본래 탬퍼 증명(tamperproof) 스마트 컨트랙트를 실행하는 단위이지만, 여기서는 악성 코드의 C2(명령 및 제어) 서버나 페이로드 배포 플랫폼으로 악용된 것으로 보입니다. 이는 기존의 중앙 집중식 C2 서버와 달리 분산형 인프라를 활용해 탐지를 회피하고 지속성을 확보한 새로운 형태의 위협입니다. 공격자는 먼저 Trivy의 빌드 체인을 타고 정품 도구에 악성 코드를 주입한 후, 이를 신뢰하고 사용하는 개발자 환경에서 자동으로 추가 npm 패키지를 감염시키는 자가 전파 메커니즘을 작동시켰습니다.
2. 실무 영향 분석
DevSecOps 실무자에게 이 공격은 이중의 위험을 제기합니다. 첫째, 보안 도구 자체가 공격 벡터가 되었습니다. Trivy와 같은 신뢰할 수 있는 스캐닝 도구를 CI/CD 파이프라인에 무비판적으로 통합한 조직은, 오히려 악성 코드를 자동으로 실행하는 결과를 초래했을 수 있습니다. 둘째, npm 패키지 대규모 감염은 소프트웨어 공급망의 취약성을 극대화합니다. 감염된 패키지를 직접 사용하지 않더라도, 간접 종속성으로 포함될 경우 애플리케이션 전체가 위협에 노출됩니다. 이는 보안 스캔을 “마지막 검문소” 로만 믿고, 도구 자체의 무결성 검증과 공급망 계층적 보안을 소홀히 한 조직에 큰 타격을 줍니다. 또한, ICP 캐니스터와 같은 새로운 웹3 기술을 악용함으로써 기존 네트워크 차단 및 보안 모니터링 정책을 우회할 가능성이 높습니다.
3. 대응 체크리스트
- 보안 도구 무결성 강화: CI/CD 파이프라인에 통합된 모든 보안 도구(스캐너, 린터 등)의 출처와 해시 값을 엄격하게 검증하고, 가능한 경우 공기 갭(air-gapped) 환경에서의 주기적 업데이트 절차를 수립한다.
- 소프트웨어 재료 명세서(SBOM) 활성화 및 모니터링: SBOM을 정기적으로 생성하고 분석하여, 직접/간접 종속성에 포함된 모든 패키지(특히 npm)에 대한 실시간 취약점 및 악성 코드 정보 모니터링을 구현한다.
- 행위 기반 탐지 강화: 네트워크 트래픽에서 ICP 캐니스터 또는 기타 비정상적인 외부 프로토콜에 대한 아웃바운드 연결 시도를 탐지하는 규칙을 추가하고, CI/CD 환경 내부에서의 비정상적인 패키지 설치 또는 자가 전파 시도를 로깅 및 경고한다.
- 종속성 최소화 및 고정: 패키지 종속성을 최소화하고, 정확한 버전(lock 파일)을 고정하여 예기치 않은 업데이트로 인한 감염을 방지한다. 모든 업데이트는 검증 후 단계적으로 진행한다.
- 사고 대응 계획 점검: 공급망 공격을 특별히 고려한
📌 관련 보도: Trivy CI/CD 침해·Critical Langflow RCE·Google 사이드로딩 차단 Trivy 공급망 침해 대응, LiteLLM 백도어, EDR 우회 멀웨어
2. 블록체인 뉴스
2.1 CFTC 직원들이 암호화폐를 담보로 사용하는 것에 대한 기대치를 명확히 하다
CFTC 직원들이 암호화폐를 담보로 사용하는 것에 대한 기대치를 명확히 하다
CFTC 직원들이 암호화폐를 담보로 사용하는 것에 대한 기대치를 명확히 했습니다. 이들은 암호화폐 담보 파일럿 프로그램에 관한 자주 묻는 질문들에 답변을 제공했습니다.
원문 보기 →요약
CFTC 직원들이 암호화폐를 담보로 사용하는 것에 대한 기대치를 명확히 했습니다. 이들은 암호화폐 담보 파일럿 프로그램에 관한 자주 묻는 질문들에 답변을 제공했습니다.
실무 포인트: 규제 변화에 따른 컴플라이언스 영향을 법무팀과 사전 검토하세요.
2.2 브라질 재무장관, 선거로 인해 암호화폐 과세 정책 보류: 보고서
브라질 재무장관, 선거로 인해 암호화폐 과세 정책 보류: 보고서
브라질 재무부 장관이 2026년 10월 대선을 고려해 암호화폐 과세 정책을 보류했습니다. 현직 루이스 이나시우 룰라 다 시우바 대통령의 재선 도전이 예정되어 있습니다.
원문 보기 →요약
브라질 재무부 장관이 2026년 10월 대선을 고려해 암호화폐 과세 정책을 보류했습니다. 현직 루이스 이나시우 룰라 다 시우바 대통령의 재선 도전이 예정되어 있습니다.
실무 포인트: 관련 프로토콜 및 스마트 컨트랙트 영향을 확인하세요.
2.3 SEC 암호화폐 지침이 Gensler 시대에 ‘마지막 못’을 박는다: 애널리스트
SEC 암호화폐 지침이 Gensler 시대에 '마지막 못'을 박는다: 애널리스트
SEC의 디지털 자산 시장 분류 체계가 대부분의 cryptocurrency와 token을 비증권으로 규정한 것은 미국 규제 당국의 중요한 진전입니다. 이 조치는 SEC 의장 Gary Gensler의 암호화폐 규제 접근 방식에 대한 결정적인 변화로 평가받고 있습니다.
원문 보기 →요약
SEC의 디지털 자산 시장 분류 체계가 대부분의 cryptocurrency와 token을 비증권으로 규정한 것은 미국 규제 당국의 중요한 진전입니다. 이 조치는 SEC 의장 Gary Gensler의 암호화폐 규제 접근 방식에 대한 결정적인 변화로 평가받고 있습니다.
실무 포인트: 규제 변화에 따른 컴플라이언스 영향을 법무팀과 사전 검토하세요.
3. 기타 주목할 뉴스
| 제목 | 출처 | 핵심 내용 |
|---|---|---|
| World Monitor - 실시간 글로벌 인텔리전스 대시보드 | Tech World Monitor | Tech World Monitor 글로벌 대시보드 기반 기술 동향 요약입니다. 실시간 뉴스, 시장 동향, 군사·지정학적 이벤트, 인터넷 장애, 데이터센터 현황 등을 지도 위에서 한눈에 확인할 수 있습니다. |
| 디자인 프로세스는 죽지 않았다, 압축되었을 뿐 | GeekNews (긱뉴스) | AI가 디자인 작업 속도를 높이면서 “프로세스를 버려라”는 주장이 확산되고 있지만, 이는 숙련된 디자이너의 작업 방식을 오해한 결과입니다. 숙련된 디자이너가 “그냥 만들기 시작했다”고 말할 때, 실제로는 수년간 축적된 암묵지가 빠르게 작동하는 것으로, AI 시대에도 디자인 사고는 여전히 핵심입니다. |
| 아동 보호를 인터넷 접근 통제로 바꾸지 말라 | GeekNews (긱뉴스) | 전 세계에서 확산 중인 연령 확인 제도가 단순한 아동 보호를 넘어 인터넷 접근 구조 자체를 재편하고 있습니다. ‘접근 전 신원 증명’ 아키텍처로 작동하며 일부는 운영체제 수준의 신원 인프라로 확장되고 있어, 개인정보 보호와 표현의 자유 침해 우려가 커지고 있습니다. |
4. 트렌드 분석
| 트렌드 | 관련 뉴스 수 | 주요 키워드 |
|---|---|---|
| AI/ML | 8건 | FBI 러시아 해커 경고, Oracle 치명적 CVE-2026-21992 패치, Trivy 공급망 공격 |
| 클라우드 보안 | 1건 | CISA Apple·Craft CMS 취약점 경보 |
| 공급망 보안 | 1건 | Trivy 공급망 공격 경보 |
| 인증 보안 | 1건 | Oracle CVE-2026-21992 미인증 RCE 패치 |
이번 주기의 핵심 트렌드는 AI/ML(8건)입니다. FBI 러시아 해커 경고, Oracle CVE-2026-21992 미인증 RCE 패치 등이 주요 이슈입니다. 클라우드 보안 분야에서는 CISA Apple·Craft CMS 취약점 경보 관련 동향에 주목할 필요가 있습니다.
실무 체크리스트
P0 (즉시)
- Oracle, Identity Manager에서 인증되지 않은 RCE를 가능하게 하는 치명적 CVE-2026-21992 패치 (CVE-2026-21992) 관련 긴급 패치 및 영향도 확인
P1 (7일 내)
- FBI, 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격 경고 관련 보안 검토 및 모니터링
- Trivy 공급망 공격으로 47개 npm 패키지에 자가 확산 CanisterWorm 전파 관련 보안 검토 및 모니터링
- CISA, KEV에 Apple·Craft CMS·Laravel 취약점 추가 및 2026년 4월 3일까지 패치 지시 (CVE-2025-31277) 관련 보안 검토 및 모니터링
P2 (30일 내)
- 암호화폐/블록체인 관련 컴플라이언스 점검
요약 및 다음 단계
이번 주 핵심 정리
- 긴급 패치 필요: Oracle Identity Manager CVE-2026-21992 미인증 RCE 취약점은 즉시 패치가 필요한 Critical 등급입니다. Oracle 제품군 사용 조직은 패치 적용 상태를 즉시 확인하세요.
- 공급망 자가 확산 위협: Trivy 공급망 공격으로 47개 npm 패키지에 CanisterWorm이 자가 확산한 사건은 패키지 레지스트리 의존성의 위험성을 경고합니다.
npm audit과 lockfile 무결성 검증을 강화하세요. - 피싱 공격 고도화: FBI가 러시아 해커들의 Signal 및 WhatsApp 대규모 피싱 공격을 경고했습니다. 메신저 기반 소셜 엔지니어링에 대한 사용자 보안 교육을 업데이트하세요.
다음 주 주목 사항
- CISA KEV에 추가된 Apple·Craft CMS·Laravel 취약점 패치 기한(2026년 4월 3일) 모니터링
- CanisterWorm 영향 npm 패키지 전체 목록 공개 및 후속 조치
- Oracle 추가 보안 패치 릴리스 여부
이번 주 다이제스트
| 날짜 | 주제 | 링크 |
|---|---|---|
| 2026-03-23 | Gentlemen 랜섬웨어 위협, 제로트러스트 보안전략, SK쉴더스 EQST 보안 리포트 | 바로가기 |
| 2026-03-24 | 북한 해커, VS Code 자동 실행 작업, IAM 정책 유형, 주간 보안 뉴스 요약 | 바로가기 |
| 2026-03-25 | Trivy 공급망 침해 대응, LiteLLM 백도어, EDR 우회 멀웨어 | 바로가기 |
| 2026-03-26 | Kubernetes RBAC 취약점, SLSA 공급망 보안, AI 프롬프트 인젝션 방어 | 바로가기 |
| 2026-03-27 | AWS IAM Zero Trust, GCP Workload Identity, FinOps 최적화 | 바로가기 |
| 2026-03-28 | AI 에이전트 보안, 클라우드 Zero-Day, 컨테이너 공급망 공격 | 바로가기 |
| 2026-03-29 | 랜섬웨어 진화, LLM 탈옥 공격, K8s 공급망 위협 분석 | 바로가기 |
참고 자료
| 리소스 | 링크 |
|---|---|
| CISA KEV | cisa.gov/known-exploited-vulnerabilities-catalog |
| MITRE ATT&CK | attack.mitre.org |
| FIRST EPSS | first.org/epss |
작성자: Twodragon
Discussion 0
GitHub 계정으로 로그인하여 댓글을 작성하세요
아직 댓글이 없습니다. 첫 댓글을 남겨보세요.
```로 감싸주세요