전체 보기

이번 사례는 접근 권한과 비밀정보가 한곳에 집중될 때, 공급망 공격의 영향이 어떻게 확대될 수 있는지를 보여줍니다. PyPI에 배 포된 litellm 패키지의 1.82.7, 1.82.8 버전 이 악성 코드로 변조된 사실이 확인됐습니다. LiteLLM 측은 2026년 3월 24일 보안 공지를 통해 해당 두 버전이 침해되었으며, 이후 PyPI에서 제거됐다고 밝혔습니다. 이번 사건은 개발자가 정상 패키지라고 믿고 설치한 오픈소스 구성요소가 실제로는 악성 코드가 포함된 상태로 배포된 공급망 공격 사례(Supply Chain Attack) 로 볼 수 있습니다. LiteLLM은 여러 LLM 서비스의 API를 하나의 공통 방식으로 연결해 주는 Python 라이브러리이자 프록시로, 서로 다른 AI 서비스의 호출 방식을 중간에서 맞춰 개발자가 보다 일관된 형태로 연동하고 사용할 수 있게 해줍니다. 보안 기업 Wiz 분석 기준으로 클라우드 환경의 36% 에서

Elementor 기반 WordPress 환경에서 사용되는 Ally – Web Accessibility & Usability 플러그인에서 무인증 SQL Injection 취약점 (CVE-2026-2413)  이 확인되었습니다. 이 플러그인은 전 세계적으로 400,000개 이상의 사이트에서 사용되고 있어 잠재적인 영향 범위가 큰 이슈입니다. 다만, 모든 WordPress 사이트에서 즉시 악용 가능한 유형은 아니며, 특정 조건이 충족된 환경에서만 실제 공격이 가능합니다. 따라서 영향을 받는 플러그인, 취약점 발생 원인, 그리고 보안 운영팀이 확인해야 할 사항을 중심으로 정리했습니다. CVE-2026-2413 - 영향을 받는 취약한 플러그인 Ally는 Elementor에서 제공하는 WordPress 플러그인으로, 현재 WordPress.org 기준 400,000개 이상의 사이트에서 사용되고 있습니다. 이 플러그인은 웹사이트 접근성을 개선하기 위해 글자

Broadcom의 Symantec 및 Carbon Black Threat Hunter Team은 북한 연계 Lazarus 그룹과 Medusa 랜섬웨어 공격 사이의 연관 정황을 포착했다. 주요 표적에는 미국 의료기관이 포함되어 있으며, 중동 지역에서도 관련 사례가 언급되고 있다. 이 캠페인을 주의 깊게 살펴볼 필요가 있는 이유는 랜섬웨어 자체보다 그 이전 단계에서 전개되는 활동에 있다. Symantec과 Carbon Black이 확인한 도구들은 일반적인 범죄용 툴이 아니라 Lazarus가 사용하는 커스텀 악성코드이며, 실제 공격은 암호화가 실행되기 전 여러 단계에 걸쳐 체계적으로 진행된다. Medusa: Ransomware-as-a-Service (RaaS), 그리고 이중 갈취 모델 CISA, FBI, MS-ISAC은 Medusa를 Ransomware-as-a-Service 형태의 랜섬웨어로 분류한다. Medusa의 특징은 이중 갈취 모델이다. 피해

최근 OpenClaw 관련 이슈는 한 줄로 정리하면 로컬에서 동작하는 실행형 에이전트가 새로운 공격 표면이 되고 있다 는 점이다. OpenClaw 공식 보안 문서에 따르면, 이 에이전트는 설정에 따라 임의 쉘 명령 실행, 파일 읽기/쓰기, 네트워크 서비스 접근, 메시지 발송 까지 수행할 수 있다. 즉 일반적인 챗봇 수준이 아니라, 로컬 시스템과 외부 서비스 사이를 실제로 연결하고 동작시키는 실행형 도구 에 가깝다. 따라서 침해가 발생하면 단순 정보 노출을 넘어 명령 실행, 자격증명 접근(credential access), 데이터 수집, 외부 전송(exfiltration)  까지 연쇄적으로 이어질 수 있다. 이번 이슈는 크게 두 갈래 로 나뉜다. 첫째는 OpenClaw core 취약점 인 ClawJacked  이다. Oasis Security와 관련 보도에 따르면, 사용자가 OpenClaw Gateway를 localhost에 띄운 상태에서 악성 웹사

"개발 도구는 민감한 자원과 운영 시스템과 직접적으로 연결되어 있기 때문에, 이러한 도구 내의 취약점이 공격자에게 실제 침투 경로가 될 수 있습니다". 최근 널리 사용되는 Visual Studio Code 확장 프로그램 4종에서 개발자 워크스테이션에 영향을 줄 수 있는 보안 취약점 이슈가 보고되었다. 이번 사례는 일반적으로 논의되는 서버 취약점과는 성격이 다르다. 운영 서버나 외부에 노출된 인프라가 아니라 개발 환경 자체가 공격 표면으로 활용될 수 있다는 점이 핵심이다. 현대의 개발 도구는 로컬 시스템과 매우 긴밀하게 연결되어 있다. VS Code 확장 프로그램은 워크스페이스 파일, 설정 파일, 미리보기 렌더링 기능, 그리고 로컬 개발 서버(localhost) 등 다양한 요소와 상호작용한다. 이러한 구조 때문에 개발 편의를 위해 제공된 기능이 공격자에게는 새로운 접근 경로로 활용될 가능성이 존재한다. 이번에 보고된 취약점들은 공통적으로 “개발 편의

PAGO Networks는 Great Place to Work Korea Awards에서 수상하며, 신뢰를 기반으로 한 강한 조직문화를 구축한 기업들과 함께 대한민국 일하기 좋은 기업으로 선정되었습니다. Great Place to Work Institute는 전 세계 150개국 이상의 기업을 동일한 평가 기준으로 분석합니다. 평가는 리더십에 대한 신뢰, 업무에 대한 자부심, 공정성, 동료 간 유대감, 조직의 신뢰성을 중심으로 이루어집니다. 단순한 복지 프로그램을 넘어 실제 조직 문화가 어떻게 작동하는지를 종합적으로 평가합니다. 올해 PAGO Networks는 Best Workplace, Most Respected CEO, Innovation Leader 등 여러 부문에서 동시에 수상했습니다. 이러한 성과는 특정한 하나의 프로그램이 아니라, 리더십과 구성원 모두의 노력으로 만들어진 결과입니다. 운영 원칙으로서의 신뢰 24시간 MDR 서비스 를 제공

PAGO Networks 권영목 대표의 신년 인터뷰가 ZDNet Korea에 게재되었습니다. 이번 인터뷰에서는 MDR 시장의 주요 변화와 함께, 2026년을 맞아 PAGO Networks가 중점적으로 추진할 운영 전략과 방향성이 소개되었습니다. 인터뷰의 주요 내용은 다음과 같습니다: 2026년은 진짜 MDR과 가짜 MDR이 구분되는 해: 단순 모니터링과 알림 전달에 머무르는 서비스는 더 이상 시장의 기대를 충족하기 어렵습니다. 24×7 실시간 판단과 대응을 기반으로, 탐지 이후 의사결정과 격리까지 책임지는 실행 중심 MDR 모델이 새로운 기준으로 자리 잡고 있습니다. 운영 모델로서의 Human + AI MDR: AI는 탐지 기능을 보조하는 수준을 넘어, 대규모 보안 이벤트를 구조화하고 우선순위를 정리하는 운영 인프라로 활용됩니다. 이를 통해 대응 속도와 일관성을 높이며, 최종 판단과 책임은 숙련된 보안 전문가가 수행하는 구조를 유지합니다. 탐지 중

Phishing 은 오랫동안 커뮤니케이션 문제로 인식되어 왔습니다. 공격자는 기만적인 메시지를 발송하고, 사용자는 실수를 하며, 조직은 필터링 통제와 보안 인식 교육으로 대응합니다. 그러나 기술적 방어와 사용자 교육에 대한 지속적인 투자에도 불구하고, 피싱은 여전히 보고되는 사이버 침해 사고에서 가장 일관된 초기 침투 경로 중 하나로 남아 있습니다. FBI 인터넷 범죄 신고 센터(IC3)는 피싱과 비즈니스 이메일 침해를 재정적 피해 규모 기준 상위 범주로 지속적으로 분류하고 있으며, Microsoft와 Google의 주요 위협 인텔리전스 보고서 또한 아이덴티티 기반 침해를 지배적인 침투 경로로 반복적으로 강조하고 있습니다.¹ ² 피싱(Phishing)이란 피싱은 공격자가 은행, 클라우드 서비스 제공자, 내부 경영진 등 신뢰받는 조직을 사칭하여 사용자가 민감한 정보를 제공하도록 유도하는 사이버 공격의 한 유형입니다. 여기에는 로그인 자격 증명, 금융

React Native 개발 환경에서 사용되는 Metro Development Server에서 치명적인 원격 코드 실행(Remote Code Execution, RCE) 취약점이 발견되었습니다. 최근 이 취약점을 악용해 페이로드를 배포하는 공격 흐름이 관측되고 있습니다. 해당 취약점은 CVE-2025-11953, 일명 Metro4Shell로 명명되었습니다. 이는 개발 편의를 위해 제공되는 `/open-url` 엔드포인트의 OS Command Injection 문제에서 기인합니다. 이번 이슈는 운영 서버가 아닌 개발 환경을 공격 표적으로 삼았다는 점에서 주목할 필요가 있습니다. Metro Dev Server는 설정에 따라 외부 인터페이스에 바인딩될 수 있으며, 구성 미흡 시 인터넷에 노출될 수 있습니다. 공격자는 이러한 환경을 노려 인증 없이 OS 명령을 실행할 수 있으며, 실제 악성 페이로드 배포까지 이어진 사례가 확인되었습니다. 취약점 개요 (M

2025년 기준 데이터 침해의 평균 비용은 약 444만 달러입니다. Forrester는 글로벌 사이버 보안 투자가 향후 수년간 두 자릿수 성장률을 유지할 것으로 전망하고 있다. 2024년 약 1,550억 달러에서 2025년에는 약 1,750억 달러로 증가하고, 이번 10년이 끝날 무렵에는 3,000억 달러에 근접할 것으로 예상된다. 반면, IBM과 기타 업계 분석 자료에 따르면 2025년 데이터 침해의 평균 비용은 약 444만 달러로 나타났다. 이는 2024년의 최고치보다는 소폭 감소했지만, 2023년과 거의 유사한 수준으로, 보안 예산 증가만으로는 사고의 영향이 실질적으로 줄어들지 않고 있음을 시사한다. 이 수치는 직접적인 재무 손실뿐 아니라 법률 비용, 규제 벌금, 고객 통지 비용, 매출 손실 등을 모두 포함하며, 지역과 산업에 따라 큰 차이를 보인다. 미국의 경우 2025년 평균 침해 비용이 1,000만 달러를 넘어 전 세계에서 가장 높은 수

매년 사이버 보안 논의에서 같은 질문이 반복된다. 내년에는 어떤 공격이 발생할까, 어떤 위협이 커지고 있을까, 데이터는 무엇을 말해주고 있을까. 하지만 이제는 이 질문이 과연 올바른 질문인지부터 생각해볼 필요가 있다. 그동안 사이버 보안 대화의 중심은 공격이 얼마나 정교해지고 있는지에 맞춰져 있었다. 새로운 공격 기법, 새로운 도구, 공격자 측의 자동화 확대. 익숙한 이야기이고 어느 정도는 사실이다. 하지만 최근의 침해 사고 데이터는 조금 다른 현실을 보여준다. 많은 침해 사고는 공격자가 특별히 더 영리해서 성공한 것이 아니다. 조직이 대응하기도 전에 공격이 더 빠르게 진행되었기 때문에 성공한 경우가 많다. 지난 몇 년간의 실제 침해 대응 사례를 보면 일관된 패턴이 보인다. 초기 접근부터 실질적인 피해 발생까지의 시간이 수시간, 경우에 따라서는 수분에 불과하다. 공개된 익스플로잇 코드는 거의 즉시 공격에 활용되고, 탈취된 자격증명을 이용한 접근은

PAGO Networks가 글로벌 보안 전문 매체 MSSP Alert 가 발표한 2025 MSSP Alert Top 250 에 선정되었습니다. 이번 리스트는 전 세계 관리형 보안 서비스 제공 기업 중 실제 실행력과 운영 성숙도를 갖춘 250개 기업을 선정한 것으로, PAGO에게는 글로벌 시장에서의 방향성과 운영 모델이 공식적으로 인정받았다는 점에서 의미 있는 이정표입니다. MSSP Alert는 CyberRisk Alliance 산하에서 운영되는 글로벌 보안 미디어로, 관리형 보안 서비스 제공업체와 MDR 기업을 대상으로 비즈니스 성장성, 서비스 전문성, 고객 기반, 기술 혁신성 등을 종합적으로 평가합니다. 매년 발표되는 Top 250 리스트 는 실제 운영 성숙도와 실행력을 갖춘 기업을 가려내는 대표적인 기준으로 활용되고 있습니다. 이번 선정은 단순한 순위나 숫자 이상의 의미를 갖습니다. 이는 이론이 아닌 실제 환경에서 작동하는 실행 중심형 MD