공격의 영향은 접근 이후에 결정된다 공격의 영향은 어떻게 접근이 발생했는지보다, 공격자가 환경 내부에 들어온 이후 얼마나 멀리 이동할 수 있는지에 의해 결정되는 경우가 많습니다. 예방 중심의 보안 통제도 여전히 중요하지만, 그것만으로 최종적인 결과가 결정되지는 않습니다. 실제 영향을 좌우하는 것은 공격자가 얼마나 오래 내부에 머무를 수 있는지와, 얼마나 많은 영역에 도달할 수 있는지입니다. 많은 조직에서 이 시간은 예상보다 길게 유지됩니다. 공격자는 여러 시스템을 이동하면서 중요 자산을 식별하고, 장기간에 걸쳐 지속성을 확보합니다. 활동이 인지되는 시점에는 이미 초기 침투 지점을 넘어 공격이 확장된 경우가 많습니다. Lateral movement가 공격 확장을 만든다 취약점이나 계정 탈취를 통해 접근을 확보한 이후, 공격자는 환경 내부를 이동하기 위해 정상적인 도구와 시스템 기능을 활용합니다. 원격 관리, credential 재사용, 일반적인 시스

Cisco Secure Firewall Management Center (Secure FMC)에서 확인된 원격 코드 실행 취약점 CVE-2026-20131 이 실제 공격에 악용되고 있는 것으로 확인되었습니다. Cisco는 2026년 3월 4일 해당 취약점을 공개하고 패치 버전을 제공했지만, Amazon Threat Intelligence에 따르면 Interlock 랜섬웨어 그룹은 이미 2026년 1월 26일부터 이 취약점을 악용해 온 것으로 보고되었습니다. 해당 취약점은 공개 이전부터 이미 공격에 사용되고 있었습니다. Cisco Secure FMC 취약점 개요 문제는 Secure FMC의 웹 관리 인터페이스에서 외부로부터 전달되는 Java 직렬화 데이터를 안전하게 처리하지 못한다는 점에서 발생합니다. Cisco와 NVD에 따르면, 공격자는 조작된 직렬화 객체를 전송하여 인증 없이 임의의 Java 코드를 원격 실행 할 수 있으며, 최종적으로 root

이번 사례는 접근 권한과 비밀정보가 한곳에 집중될 때, 공급망 공격의 영향이 어떻게 확대될 수 있는지를 보여줍니다. PyPI에 배 포된 litellm 패키지의 1.82.7, 1.82.8 버전 이 악성 코드로 변조된 사실이 확인됐습니다. LiteLLM 측은 2026년 3월 24일 보안 공지를 통해 해당 두 버전이 침해되었으며, 이후 PyPI에서 제거됐다고 밝혔습니다. 이번 사건은 개발자가 정상 패키지라고 믿고 설치한 오픈소스 구성요소가 실제로는 악성 코드가 포함된 상태로 배포된 공급망 공격 사례(Supply Chain Attack) 로 볼 수 있습니다. LiteLLM은 여러 LLM 서비스의 API를 하나의 공통 방식으로 연결해 주는 Python 라이브러리이자 프록시로, 서로 다른 AI 서비스의 호출 방식을 중간에서 맞춰 개발자가 보다 일관된 형태로 연동하고 사용할 수 있게 해줍니다. 보안 기업 Wiz 분석 기준으로 클라우드 환경의 36% 에서

Elementor 기반 WordPress 환경에서 사용되는 Ally – Web Accessibility & Usability 플러그인에서 무인증 SQL Injection 취약점 (CVE-2026-2413) 이 확인되었습니다. 이 플러그인은 전 세계적으로 400,000개 이상의 사이트에서 사용되고 있어 잠재적인 영향 범위가 큰 이슈입니다. 다만, 모든 WordPress 사이트에서 즉시 악용 가능한 유형은 아니며, 특정 조건이 충족된 환경에서만 실제 공격이 가능합니다. 따라서 영향을 받는 플러그인, 취약점 발생 원인, 그리고 보안 운영팀이 확인해야 할 사항을 중심으로 정리했습니다. CVE-2026-2413 - 영향을 받는 취약한 플러그인 Ally는 Elementor에서 제공하는 WordPress 플러그인으로, 현재 WordPress.org 기준 400,000개 이상의 사이트에서 사용되고 있습니다. 이 플러그인은 웹사이트 접근성을 개선하기 위해 글자

Broadcom의 Symantec 및 Carbon Black Threat Hunter Team은 북한 연계 Lazarus 그룹과 Medusa 랜섬웨어 공격 사이의 연관 정황을 포착했다. 주요 표적에는 미국 의료기관이 포함되어 있으며, 중동 지역에서도 관련 사례가 언급되고 있다. 이 캠페인을 주의 깊게 살펴볼 필요가 있는 이유는 랜섬웨어 자체보다 그 이전 단계에서 전개되는 활동에 있다. Symantec과 Carbon Black이 확인한 도구들은 일반적인 범죄용 툴이 아니라 Lazarus가 사용하는 커스텀 악성코드이며, 실제 공격은 암호화가 실행되기 전 여러 단계에 걸쳐 체계적으로 진행된다. Medusa: Ransomware-as-a-Service (RaaS), 그리고 이중 갈취 모델 CISA, FBI, MS-ISAC은 Medusa를 Ransomware-as-a-Service 형태의 랜섬웨어로 분류한다. Medusa의 특징은 이중 갈취 모델이다. 피해

최근 OpenClaw 관련 이슈는 한 줄로 정리하면 로컬에서 동작하는 실행형 에이전트가 새로운 공격 표면이 되고 있다 는 점이다. OpenClaw 공식 보안 문서에 따르면, 이 에이전트는 설정에 따라 임의 쉘 명령 실행, 파일 읽기/쓰기, 네트워크 서비스 접근, 메시지 발송 까지 수행할 수 있다. 즉 일반적인 챗봇 수준이 아니라, 로컬 시스템과 외부 서비스 사이를 실제로 연결하고 동작시키는 실행형 도구 에 가깝다. 따라서 침해가 발생하면 단순 정보 노출을 넘어 명령 실행, 자격증명 접근(credential access), 데이터 수집, 외부 전송(exfiltration) 까지 연쇄적으로 이어질 수 있다. 이번 이슈는 크게 두 갈래 로 나뉜다. 첫째는 OpenClaw core 취약점 인 ClawJacked 이다. Oasis Security와 관련 보도에 따르면, 사용자가 OpenClaw Gateway를 localhost에 띄운 상태에서 악성 웹사

React Native 개발 환경에서 사용되는 Metro Development Server에서 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점이 발견되었습니다. 최근 이 취약점을 악용해 페이로드를 배포하는 공격 흐름이 관측되고 있습니다. 해당 취약점은 CVE-2025-11953, 일명 Metro4Shell로 명명되었습니다. 이는 개발 편의를 위해 제공되는 `/open-url` 엔드포인트의 OS Command Injection 문제에서 기인합니다. 이번 이슈는 운영 서버가 아닌 개발 환경을 공격 표적으로 삼았다는 점에서 주목할 필요가 있습니다. Metro Dev Server는 설정에 따라 외부 인터페이스에 바인딩될 수 있으며, 구성 미흡 시 인터넷에 노출될 수 있습니다. 공격자는 이러한 환경을 노려 인증 없이 OS 명령을 실행할 수 있으며, 실제 악성 페이로드 배포까지 이어진 사례가 확인되었습니다. 취약점 개요 (M