⚡ 주간 요약: 인스타그램 계정 해킹, 안드로이드 제로데이, 깃허브 웜 등

출처: The Hacker News

Ravie Lakshmanan2026년 6월 8일 · 사이버 보안 / 해킹

월요일이 또 돌아왔습니다. 주말은 조용할 예정이었지만, 그렇지 않았습니다. 지난 주에는 독성 패키지, 고장 난 AI 도우미, 그리고 저장소를 뒤흔든 웜이 있었습니다. 안타까운 점은 기본적인 트릭들이 아직도 통한다는 사실이었습니다.

채팅봇이 속았고, 악성코드 내부에 봇 토큰이 유출되었습니다. 같은 실수가 다시 나타났습니다. 그리고 모두가 화제의 사건을 쫓는 사이, 조용히 활동하던 공격자들은 수개월 동안 메일함에 숨어 들어가 메일을 하나씩 훔쳐갔습니다.

다룰 내용이 많습니다. 커피 한 잔 준비하고, 읽어보세요.

⚡ 이번 주 위협

Miasma 웜, 공급망 공격으로 73개의 Microsoft GitHub 저장소를 타격 – Microsoft의 GitHub 저장소가 진행 중인 Miasma 자체 복제 공급망 공격 캠페인의 최신 표적이 되었습니다. 이번 사건은 Azure, Azure‑Samples, Microsoft, MicrosoftDocs 등 네 개의 GitHub 조직에 속한 73개의 Microsoft 저장소에 영향을 미쳤으며, GitHub은 해당 저장소에 대한 접근을 차단했습니다. Miasma는 2026년 5월 중순 TeamPCP가 공개한 Mini Shai‑Hulud 웜의 변종으로 평가됩니다.

🔔 주요 뉴스

• Google, 악용 중인 Android 프레임워크 결함 수정 – Google은 2026년 6월에 Android 운영체제에 영향을 미치는 124개의 보안 취약점을 패치했으며, 그 중 프레임워크 구성 요소에 존재하는 고위험 결함이 활발히 악용되고 있었습니다. CVE‑2025‑48595( CVSS 점수: 8.4)로 추적되는 이 취약점은 사용자 상호작용 없이 권한 상승을 가능하게 합니다. Android 14, 15, 16 및 16 QPR2(Quarterly Platform Release 2)를 실행 중인 기기에 영향을 미칩니다. Google은 CVE‑2025‑48595가 “제한적이고 표적화된 악용” 아래에 있다는 징후를 확인했다고 밝혔으며, 공격 주체, 대상 및 규모에 대한 구체적인 내용은 공개하지 않았습니다.

• 미국, 투자 사기 스킴 차단 작전 발표 – 미국 법무부는 정부 기관과 민간 기업이 협력해 사이버 기반 및 암호화폐 사기를 근절하기 위한 대대적인 작전 결과를 발표했습니다. “Disruption Week” 작전으로 동남아시아에 기반을 둔 초국가 사이버 범죄 조직이 사용하던 수백만 개의 소셜 미디어, 이메일 및 인터넷 접속 계정이 차단되었습니다. 민간 기업들은 미국인으로부터 탈취된 자금을 세탁하는 데 사용된 암호화폐 380만 달러 이상을 자발적으로 동결했습니다. 이번 조치는 “Scam Center Strike Force”라는 미국 정부의 지속적인 이니셔티브의 일환으로, 동남아시아에 위치한 범죄 조직이 운영하는 사이버 사기와 ‘돼지 도살’(연애 유인) 사기, 인신매매 및 자금 세탁 활동을 근절하는 것을 목표로 합니다.

• 중국 연계 TA4922, 유럽·아프리카로 활동 영역 확대 – 새로운 중국어 기반 사이버 범죄 그룹이 동아시아에서 유럽과 아프리카로 진출했으며, 기업 네트워크 침투에 사용하는 악성코드를 급속히 개편했습니다. TA4922로 추적되는 이 조직은 금전적 동기를 가지고 있으며, 데이터 절도, 사기 및 접근 권한 재판매를 위해 원격 접근을 확보하려 합니다. 일부 전술은 Silver Fox와 Void Arachne과 겹칩니다. 이들의 공격은 악성코드 배포, 자격 증명 피싱, 신용카드 절도 등 다양한 방식으로 전개됩니다. 과거에는 일본을 주 타깃으로 했지만, 현재는 대만, 한국, 싱가포르, 인도, 영국, 독일, 이탈리아, 남아프리카공화국 등에도 표적을 두고 있습니다. 사기 메일은 현지 세무당국, 재무팀, 인사팀 등을 사칭해 Atlas RAT, RomulusLoader, SilentRunLoader 등을 DLL 사이드로드 방식으로 배포합니다.

• OP-512, 맞춤형 웹 쉘 프레임워크로 Microsoft IIS 서버 공격 – 아직 보고되지 않은 위협 클러스터 OP-512가 Microsoft Internet Information Services(IIS) 서버를 표적으로 삼아 맞춤형 웹 쉘 프레임워크를 배포하고 있는 것이 관찰되었습니다. 이 스파이 활동은 중국에서 기원한 것으로 평가됩니다. ReliaQuest는 “OP-512는 조직의 부문 및 지리적 특성이 중국 연계 정보기관의 우선순위와 일치하는 경우, 침해된 IIS 웹 서버를 통해 스파이 활동을 수행했을 가능성이 높다”고 밝혔습니다. 해당 웹 쉘은 파일 관리와 인증된 명령 실행을 지원합니다.

• 해커, 증권거래소 임원 Outlook 메일함을 5개월간 감시 – 알려지지 않은 위협 행위자가 이름이 공개되지 않은 글로벌 증권거래소의 고위 임원을 최소 5개월 동안 감시했습니다. 누가 공격했는지, 초기 접근을 어떻게 얻었는지는 아직 밝혀지지 않았지만, 공격자는 Outlook 메일함에 장기간 머물며 민감한 정보를 열람했을 가능성이 높습니다. 이번 작전은 사이버 스파이 활동이 주 목적이었을 것으로 보이며, 구체적인 대상 거래소는 공개되지 않았습니다. 악의적인 활동은 2025년 10월 10일에 처음 포착되었으며, 메일함 스틸러가 2~4주 간격으로 실행돼 이메일 데이터를 수집했습니다. 수집된 데이터는 Dropbox와 Microsoft OneDrive Personal을 통해 소량씩 전송돼 의심을 최소화했으며, 데이터 유출은 2026년 3월까지 지속되었습니다.

‎️🔥 최신 CVE 트렌드

버그는