공격의 영향은 접근 이후에 결정된다 공격의 영향은 어떻게 접근이 발생했는지보다, 공격자가 환경 내부에 들어온 이후 얼마나 멀리 이동할 수 있는지에 의해 결정되는 경우가 많습니다. 예방 중심의 보안 통제도 여전히 중요하지만, 그것만으로 최종적인 결과가 결정되지는 않습니다. 실제 영향을 좌우하는 것은 공격자가 얼마나 오래 내부에 머무를 수 있는지와, 얼마나 많은 영역에 도달할 수 있는지입니다. 많은 조직에서 이 시간은 예상보다 길게 유지됩니다. 공격자는 여러 시스템을 이동하면서 중요 자산을 식별하고, 장기간에 걸쳐 지속성을 확보합니다. 활동이 인지되는 시점에는 이미 초기 침투 지점을 넘어 공격이 확장된 경우가 많습니다. Lateral movement가 공격 확장을 만든다 취약점이나 계정 탈취를 통해 접근을 확보한 이후, 공격자는 환경 내부를 이동하기 위해 정상적인 도구와 시스템 기능을 활용합니다. 원격 관리, credential 재사용, 일반적인 시스

Anthropic의 Mythos Preview 관련해서 나온 최근 이야기들을 보면, 단순히 모델 성능이 좋아졌다는 얘기보다는 취약점이 발견된 이후 실제로 활용되기까지의 속도가 어떻게 달라질 수 있는지가 더 중요하게 느껴집니다. 이걸 그냥 AI 성능이 한 단계 더 올라갔다고 볼 수도 있지만, 실제로 의미 있는 변화는 타이밍 쪽에 있는 것 같습니다. 취약점 식별부터 익스플로잇 개발, 그리고 검증까지 이어지는 과정은 그동안 높은 수준의 전문성과 함께 일정한 시간이 필요했던 영역인데, Mythos는 이 시간 자체가 꽤 줄어들 수 있다는 가능성을 보여주고 있습니다. 공개된 사례를 보면 차이가 꽤 분명합니다. 기존 모델은 특정 취약점에 대해 수백 번 시도하는 과정에서 실제로 동작하는 익스플로잇을 만들어낸 경우가 2회 수준에 그쳤던 반면, Mythos는 181개의 working exploit을 만들어냈고 추가로 29건에서는 register control까지 달

몇 년 전만 해도 Managed Detection and Response 는 이를 실제로 운영할 수 있는 성숙도를 갖춘 일부 기업에 한정된 개념이었다. 그러나 RSAC 2026에서는 이 인식이 바뀌었고, 이제 MDR은 플랫폼, 클라우드, 서비스 기업을 막론하고 모든 벤더가 자신을 설명하는 중심 개념이 되었다. 이러한 확산은 하나의 전환점을 만든다. 모든 벤더가 MDR을 내세우는 상황에서는, 그 용어 자체의 의미가 흐려진다. 이제 중요한 것은 MDR을 실제로 어떻게 수행하는가이다. 바로 이 지점에서 시장의 차이가 드러나기 시작한다. MDR이 널리 사용되면서 그 의미는 다양한 방향으로 확장되고 있다. 일부 서비스는 여전히 Managed EDR이나 Managed XDR에 가까운 형태로, 특정 도구나 환경에 기반한 알림, 대시보드, 대응 권고에 초점을 둔다. 반면 또 다른 모델이 등장하고 있다. 이 모델은 공격의 전체 맥락을 이해하고, 여러 도메인에서

Cisco Secure Firewall Management Center (Secure FMC)에서 확인된 원격 코드 실행 취약점 CVE-2026-20131 이 실제 공격에 악용되고 있는 것으로 확인되었습니다. Cisco는 2026년 3월 4일 해당 취약점을 공개하고 패치 버전을 제공했지만, Amazon Threat Intelligence에 따르면 Interlock 랜섬웨어 그룹은 이미 2026년 1월 26일부터 이 취약점을 악용해 온 것으로 보고되었습니다. 해당 취약점은 공개 이전부터 이미 공격에 사용되고 있었습니다. Cisco Secure FMC 취약점 개요 문제는 Secure FMC의 웹 관리 인터페이스에서 외부로부터 전달되는 Java 직렬화 데이터를 안전하게 처리하지 못한다는 점에서 발생합니다. Cisco와 NVD에 따르면, 공격자는 조작된 직렬화 객체를 전송하여 인증 없이 임의의 Java 코드를 원격 실행 할 수 있으며, 최종적으로 root

이번 사례는 접근 권한과 비밀정보가 한곳에 집중될 때, 공급망 공격의 영향이 어떻게 확대될 수 있는지를 보여줍니다. PyPI에 배 포된 litellm 패키지의 1.82.7, 1.82.8 버전 이 악성 코드로 변조된 사실이 확인됐습니다. LiteLLM 측은 2026년 3월 24일 보안 공지를 통해 해당 두 버전이 침해되었으며, 이후 PyPI에서 제거됐다고 밝혔습니다. 이번 사건은 개발자가 정상 패키지라고 믿고 설치한 오픈소스 구성요소가 실제로는 악성 코드가 포함된 상태로 배포된 공급망 공격 사례(Supply Chain Attack) 로 볼 수 있습니다. LiteLLM은 여러 LLM 서비스의 API를 하나의 공통 방식으로 연결해 주는 Python 라이브러리이자 프록시로, 서로 다른 AI 서비스의 호출 방식을 중간에서 맞춰 개발자가 보다 일관된 형태로 연동하고 사용할 수 있게 해줍니다. 보안 기업 Wiz 분석 기준으로 클라우드 환경의 36% 에서

Broadcom의 Symantec 및 Carbon Black Threat Hunter Team은 북한 연계 Lazarus 그룹과 Medusa 랜섬웨어 공격 사이의 연관 정황을 포착했다. 주요 표적에는 미국 의료기관이 포함되어 있으며, 중동 지역에서도 관련 사례가 언급되고 있다. 이 캠페인을 주의 깊게 살펴볼 필요가 있는 이유는 랜섬웨어 자체보다 그 이전 단계에서 전개되는 활동에 있다. Symantec과 Carbon Black이 확인한 도구들은 일반적인 범죄용 툴이 아니라 Lazarus가 사용하는 커스텀 악성코드이며, 실제 공격은 암호화가 실행되기 전 여러 단계에 걸쳐 체계적으로 진행된다. Medusa: Ransomware-as-a-Service (RaaS), 그리고 이중 갈취 모델 CISA, FBI, MS-ISAC은 Medusa를 Ransomware-as-a-Service 형태의 랜섬웨어로 분류한다. Medusa의 특징은 이중 갈취 모델이다. 피해

"개발 도구는 민감한 자원과 운영 시스템과 직접적으로 연결되어 있기 때문에, 이러한 도구 내의 취약점이 공격자에게 실제 침투 경로가 될 수 있습니다". 최근 널리 사용되는 Visual Studio Code 확장 프로그램 4종에서 개발자 워크스테이션에 영향을 줄 수 있는 보안 취약점 이슈가 보고되었다. 이번 사례는 일반적으로 논의되는 서버 취약점과는 성격이 다르다. 운영 서버나 외부에 노출된 인프라가 아니라 개발 환경 자체가 공격 표면으로 활용될 수 있다는 점이 핵심이다. 현대의 개발 도구는 로컬 시스템과 매우 긴밀하게 연결되어 있다. VS Code 확장 프로그램은 워크스페이스 파일, 설정 파일, 미리보기 렌더링 기능, 그리고 로컬 개발 서버(localhost) 등 다양한 요소와 상호작용한다. 이러한 구조 때문에 개발 편의를 위해 제공된 기능이 공격자에게는 새로운 접근 경로로 활용될 가능성이 존재한다. 이번에 보고된 취약점들은 공통적으로 “개발 편의

Phishing 은 오랫동안 커뮤니케이션 문제로 인식되어 왔습니다. 공격자는 기만적인 메시지를 발송하고, 사용자는 실수를 하며, 조직은 필터링 통제와 보안 인식 교육으로 대응합니다. 그러나 기술적 방어와 사용자 교육에 대한 지속적인 투자에도 불구하고, 피싱은 여전히 보고되는 사이버 침해 사고에서 가장 일관된 초기 침투 경로 중 하나로 남아 있습니다. FBI 인터넷 범죄 신고 센터(IC3)는 피싱과 비즈니스 이메일 침해를 재정적 피해 규모 기준 상위 범주로 지속적으로 분류하고 있으며, Microsoft와 Google의 주요 위협 인텔리전스 보고서 또한 아이덴티티 기반 침해를 지배적인 침투 경로로 반복적으로 강조하고 있습니다.¹ ² 피싱(Phishing)이란 피싱은 공격자가 은행, 클라우드 서비스 제공자, 내부 경영진 등 신뢰받는 조직을 사칭하여 사용자가 민감한 정보를 제공하도록 유도하는 사이버 공격의 한 유형입니다. 여기에는 로그인 자격 증명, 금융

React Native 개발 환경에서 사용되는 Metro Development Server에서 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점이 발견되었습니다. 최근 이 취약점을 악용해 페이로드를 배포하는 공격 흐름이 관측되고 있습니다. 해당 취약점은 CVE-2025-11953, 일명 Metro4Shell로 명명되었습니다. 이는 개발 편의를 위해 제공되는 `/open-url` 엔드포인트의 OS Command Injection 문제에서 기인합니다. 이번 이슈는 운영 서버가 아닌 개발 환경을 공격 표적으로 삼았다는 점에서 주목할 필요가 있습니다. Metro Dev Server는 설정에 따라 외부 인터페이스에 바인딩될 수 있으며, 구성 미흡 시 인터넷에 노출될 수 있습니다. 공격자는 이러한 환경을 노려 인증 없이 OS 명령을 실행할 수 있으며, 실제 악성 페이로드 배포까지 이어진 사례가 확인되었습니다. 취약점 개요 (M

현대의 조직은 고객 포털부터 내부 운영 시스템까지 다양한 업무를 웹 애플리케이션에 의존하고 있습니다. 그러나 이러한 의존도는 동시에 웹 애플리케이션을 사이버 공격의 주요 표적으로 만들고 있습니다. 정기적인 침투 테스트는 이제 신뢰를 유지하고, 데이터를 보호하며, 디지털 서비스의 안정성을 보장하는 핵심 기반이 되었습니다. 오늘날 개발자들은 빠른 기능 출시 압박 속에서 일하고 있으며, 보안 검토를 거친다 하더라도 작은 실수가 남을 수 있습니다. 침투 테스트는 자동화된 스캐너나 코드 리뷰로는 발견하기 어려운 취약점을 찾아냅니다. 실제 공격 시나리오를 모의 실행하여 논리적 결함, 약한 설정, 새로운 업데이트나 시스템 통합에서 생긴 보안 공백을 식별합니다. 이러한 결과는 보안팀과 개발팀이 공격자보다 앞서 위험 요소를 해결할 수 있도록 우선순위가 명확한 실행 계획을 제공합니다. 불과 1년 전까지 안전하다고 여겨졌던 시스템이 오늘날에는 취약할 수 있습니다. 공

몇 달 전, 보안 연구자들은 한 해커 그룹이 AI 시스템을 훈련시켜 스스로 랜섬웨어 공격을 수행하도록 만든 사실을 밝혀냈습니다. 그 시스템은 공격 대상을 선택하고, 어떤 데이터를 탈취할지 결정했으며, 협상 과정에서 피해자의 반응에 따라 어조를...

디지털 커뮤니케이션에 대한 신뢰가 그 어느 때보다도 약해졌습니다. 최근 몇 주 동안 호주 당국은 기계 학습 기반 세금 사기가 급증했다는 경고음을 울렸습니다. 이들은 세금 시즌을 노린 피싱 캠페인이 전년 대비 300% 증가했다고 보고했습니다....

최근 개최된 2025 PAGO Security Summit 이후, SharedIT의 장두환 이사는 기업 보안 전략과 MDR(Managed Detection and Response) 의 미래에 대한 3편의 분석 기사를 연재했습니다. 단순한 행사...

사이버 보안 위협은 점점 더 빠르고 정교하며, 특정 대상을 노리는 방식으로 진화하고 있습니다. 이에 많은 기업이 방어 체계를 강화하기 위해 Managed Detection and Response(MDR) 서비스를 도입하고 있습니다. MDR은...

파고네트웍스는 Managed Detection and Response (MDR) 시장에서 성장 속도를 높이며, 아시아-태평양, 일본, 중국(APJC) 지역을 대표하는 보안 서비스 기업으로 입지를 공고히 하고 있습니다. 최근 데이터넷코리아 ...