⚠️ 이번 주 보안 뉴스: 아웃룩-add-in 탈취, 0-Day 대란, AI 악용까지

⚡ 위협의 주간: Outlook add-in이 피싱 도구로 탈취

가장 충격적인 사건은 Outlook:add-in이 피싱 키트로 변모한 것입니다. AgreeTo라는 합법적인 Outlook:add-in이 해커들에게 탈취당했고, 4,000개 이상의 Microsoft 계정 인증 정보가 도난당했어요. 이건 Abandon된 프로젝트의 도메인을 점령해 가짜 Microsoft 로그인 페이지를 Serv한 것인데, Microsoft는 문제를 발견한 후 해당:add-in을 스토어에서 삭제했어요.

“Office:add-in이 특히 우려되는 이유는 사용자가 가장 민감한 커뮤니케이션을 처리하는 Outlook 내부에서 실행되고, 이메일 읽기/수정 권한을 요청할 수 있고, Microsoft 자체 스토어에서 배포되어 암묵적 신뢰를 가지고 있기 때문입니다”

— Koi Security의 Idan Dardikman

🔔 주요 0-Day 취약점 대란

Google Chrome

• CVE-2026-2441 (CVSS 8.8): CSS의 use-after-free 버그로 Arbitrary Code Execution 가능
• 올해 첫 번째 actively exploited Chrome 취약점

Apple

• CVE-2026-20700 (CVSS 7.8): dyld의 memory corruption 취약점
• iOS 26.3, macOS Tahoe 26.3 등에서 패치됨
• Google Threat Analysis Group이 발견 및 보고

BeyondTrust

• CVE-2026-1731 (CVSS 9.9): 인증 없이 RCE 가능
• PoC 공개 후 24시간 이내에 실제 공격 발생
• GreyNoise 데이터: single IP가 Reconnaissance의 86% 차지

🦠새로운 봇넷 등장: SSHStalker와 TeamPCP

SSHStalker

• IRC 프로토콜을 Command-and-Control로 사용
• nmap으로 가장한 Go 바이너리로 SSH 스캐닝 및 브루트포싱
• 취약한 호스트를 Worm처럼 확산
• 15년 된 CVE들로 Privilege Escalation
• AWS Key 탈취 및 암호화폐 채굴 수행

TeamPCP

• Docker API, Kubernetes, Redis, Ray 대시보드 노출 서버를 목표로
• React2Shell 취약점 악용
• 감염된 서버를 프록시, 채굴, 데이터 유출 노드로 활용

“Kubernetes 클러스터는 단순히 해킹당하는 게 아니라, 분산 봇넷으로 전환됩니다”

— Flare

🤖 국가 지원 해커들의 AI 악용

Google은 국가급 해킹 그룹들이 Gemini를 거의 모든 공격 단계에서 활용하고 있다는 증거를 발견했어요. 특히 주목할 만한 것은 HONESTCUE라는 새로운 맬웨어로, Gemini API를 직접 악성 코드에 임베드해서 무해한 프롬프트로 안전 필터를 우회하고 작동하는 코드를 생성시킨답니다.

또한 방위 산업 기지(DIB) 대상으로 한 공격이 증가하고 있어요. 중국, 이란, 북한, 러시아 위협 단체들이 공급망 공격, 인력 침투, 제로 데이 취약점을 활용한 사전 배치 등을 진행하고 있죠.

📊 이번 주 주요 CVE 목록

공격자들은 이제 새로운 취약점뿐 아니라 우리가 신뢰하는 도구, 클라우드 설정, 워크플로우도 노립니다. 작은 구멍이 큰 침입 포인트가 되는 시대, 방어도全方位으로 해야 합니다.