AI 에이전트가 공격 도구로 쓰이고, 오픈소스 공급망이 뚫리고, 피싱은 OAuth·디바이스 코드로 MFA를 우회한다. 이번 주 보안 위협 지형은 하나의 키워드로 수렴한다: 신뢰된 채널의 무기화(Weaponized Trust). 개발자가 믿는 PyPI 패키지, 기업이 쓰는 Microsoft 365 인증 흐름, 라우터 펌웨어 업데이트 경로 — 이 모든 “안전하다고 여겨진 통로”가 동시에 공격 벡터가 됐다.

🔎 위협 인텔리전스 1: GlassWorm — 블록체인에 숨은 C2 서버

오픈소스 에코시스템(npm, PyPI, GitHub, Open VSX)에 악성 패키지를 심어 초기 침투한 뒤, Solana 블록체인 트랜잭션 메모를 C2 Dead Drop으로 사용하는 정교한 멀웨어 캠페인이 확인됐다.

  • 무슨 일: Aikido Security가 2026년 3월 공개한 보고서에 따르면, GlassWorm은 다단계 공격 프레임워크를 배포한다. 키로거·쿠키 덤프·스크린샷·세션 토큰 탈취를 수행하는 악성 Chrome 확장(오프라인 Google Docs로 위장)을 설치하고, C2 명령은 Solana 블록체인 메모 필드에서 읽는다.
  • 왜 지금: 블록체인은 검열·차단이 불가능하다. 기존 보안 솔루션이 C2 IP/도메인을 차단하는 방식으로는 탐지 자체가 안 된다. 오픈소스 패키지 유지관리자 계정을 침해해 정상 업데이트로 위장하는 수법도 병행, 탐지 난이도를 극적으로 높였다.
  • 공격 벡터: 악성 오픈소스 패키지 → 멀웨어 설치 → Chrome 확장 배포 → 블록체인 C2 통신
  • 영향: 러시아 로케일 시스템은 의도적으로 감염 회피 → 특정 국가 타겟 가능성. 브라우저 저장 자격증명·암호화폐 지갑·기업 세션 토큰 전량 노출 위험
  • 대응: npm/PyPI 패키지 의존성 고정(lock file) 필수, 브라우저 확장 설치 정책 강화, Solana 트랜잭션 기반 C2 탐지 Rule 갱신 필요

한 줄 인사이트: C2가 블록체인에 숨으면 전통적 네트워크 차단은 무력화 — 패키지 설치 시점 행동 분석으로 방어 축을 옮겨야 한다.

🔎 위협 인텔리전스 2: Device Code 피싱 — M365 340개 조직 MFA 우회

OAuth Device Code 인증 흐름을 악용한 피싱 캠페인이 2026년 2월 19일부터 급증, 미국·캐나다·호주·뉴질랜드·독일 340개 이상 조직이 피해를 입었다.

  • 무슨 일: 공격자는 건설·의료·금융·정부 등 다양한 섹터를 대상으로 ‘건설 입찰 미끼’ 같은 맞춤형 랜딩 페이지를 사용한다. Cloudflare Workers를 리다이렉트 레이어로, Railway PaaS를 자격증명 수집 인프라로 활용한다.
  • 왜 지금: Device Code 피싱은 MFA를 우회한다. 피해자가 직접 정상 Microsoft 사이트에 코드를 입력하기 때문에 Conditional Access 정책도 무력화될 수 있다. Cloudflare/Railway 같은 합법적 클라우드 인프라를 사용해 IP 기반 차단도 어렵다.
  • 공격 벡터: 피싱 이메일 → Cloudflare Workers 랜딩 → Device Code 입력 유도 → 세션 토큰 탈취 → Railway에 저장
  • CVE/영향: CVE 없음(프로토콜 악용). 탈취된 세션으로 M365 전체(메일·파일·Teams) 접근 가능
  • 대응: Device Code 인증 흐름 비활성화(Entra ID 조건부 액세스 정책), 비정상 Device Code 요청 모니터링, Huntress 보고서 기반 IoC 차단

한 줄 인사이트: “MFA가 있으니 안전하다”는 착각 — Device Code 흐름은 MFA를 통과한 세션 자체를 탈취하므로 인증 방법 자체를 제한해야 한다.

💥 침해 사고: TeamPCP의 LiteLLM 공급망 공격 — Trivy CI/CD 연쇄 감염

2026년 3월 24일, AI/LLM 오케스트레이션 라이브러리로 널리 쓰이는 litellm의 PyPI 패키지 버전 1.82.7~1.82.8이 백도어 포함 상태로 배포됐다.

  • 사건 개요: TeamPCP는 먼저 보안 스캐너 Trivy의 CI/CD 파이프라인을 침해했고, Trivy를 사용하는 litellm의 빌드 워크플로우가 자동으로 오염됐다. Endor Labs·JFrog·Wiz 등 다수 보안 벤더가 이를 탐지, PyPI에서 해당 버전 삭제. 하지만 배포 후 수시간 동안 설치된 환경에는 위협이 잔존.
  • 공격 벡터 (3단계): SSH 키·클라우드 자격증명·Kubernetes 시크릿 수집 → 측면 이동 툴킷 실행 → 지속적 백도어 설치
  • 영향: litellm은 수만 개 AI 서비스가 의존하는 라이브러리. 1.82.7~1.82.8을 pip install litellm으로 설치한 환경 전체가 공격 대상. 특히 클라우드 AI 인프라를 운영하는 조직은 AWS/GCP/Azure 크리덴셜 유출 가능성 점검 필수.
  • 교훈: 보안 도구(Trivy) 자체가 공급망 공격의 진입점이 됐다. “보안 도구도 의심해야 한다”는 제로 트러스트 원칙의 실증 사례.

즉시 조치: pip show litellm으로 버전 확인 → 1.82.7/1.82.8이면 즉시 최신 버전으로 업그레이드 후 크리덴셜 로테이션

🛠️ 보안 도구 & 패치

Citrix NetScaler ADC/Gateway 긴급 패치 (2026-03-25)

Apple iOS/macOS 26.4 보안 업데이트

GitHub — AI 기반 취약점 탐지 베타 출시

📰 한줄 뉴스

  • LeakBase 관리자 러시아서 체포: 2021년부터 수억 건 계정 거래 포럼 운영, 러시아 MVD가 타간로그 거주자 구금 (THN)
  • TA551 봇넷 운영자 징역 2년: 러시아인 Ilya Angelov, 미국 법원에서 랜섬웨어 공격 지원 혐의 선고 (DoJ)
  • Torg Grabber 인포스틸러: 728개 암호화폐 지갑·850개 브라우저 확장 대상 신종 멀웨어 등장 (BleepingComputer)
  • FCC, 외산 라우터 신규 판매 금지: 백악관의 국가안보 위협 결정에 따라 미국 내 외국산 소비자 라우터 신규 출시 금지
  • Bubble AI 앱빌더 악용 피싱: Microsoft 계정 탈취를 위해 노코드 플랫폼 Bubble에서 악성 앱 생성·배포
  • PolyShell — Magento 취약 스토어 56% 공격 중: 오픈소스 이커머스 Magento 2 취약 버전 대상 활성 공격 캠페인
  • RSAC 2026 진행 중: 밴더 발표 요약 Day 1~2 (SecurityWeek)

🎯 CISO 체크리스트 (이번 주)

  • litellm 버전 감사: 1.82.7/1.82.8 사용 환경 즉시 확인 → 업그레이드 + 크리덴셜 로테이션
  • M365 Device Code 흐름 정책 검토: Entra ID에서 Device Code 인증 비활성화 또는 조건부 제한 설정
  • Citrix NetScaler 패치 적용: CitrixBleed 계열 유사 취약점, 즉시 패치
  • TP-Link 라우터 펌웨어 업데이트: Archer NX 시리즈 사용 조직은 즉시 조치
  • 오픈소스 의존성 감사: PyPI/npm 패키지 lock file 검토, 핀 버전 사용 확인
  • 브라우저 확장 정책 강화: 미승인 Chrome 확장 차단 (GlassWorm 대응)
  • AI 에이전트 거버넌스 검토: 에이전트에 부여된 시스템 접근 권한 최소화 원칙 재확인

🔗 이슈 연결 분석

이번 주 위협들은 신뢰 체계의 붕괴라는 하나의 흐름으로 연결된다.

GlassWorm은 개발자가 믿는 오픈소스 패키지와 블록체인의 불변성을 무기로 삼았고, TeamPCP는 보안 도구인 Trivy를 역이용해 AI 개발 생태계 전체를 오염시켰다. Device Code 피싱은 Microsoft의 합법적 인증 흐름 자체를 무기화했다. 세 공격 모두 “기존 보안 솔루션이 신뢰하는 채널”을 노린다는 점에서 동일한 진화 방향을 보인다.

여기에 FCC의 외산 라우터 금지는 하드웨어 공급망까지 신뢰 위기가 확산됐음을 국가 차원에서 인정한 것이다. 2026년 보안의 핵심 과제는 더 이상 “외부 공격자 차단”이 아니라 “내가 신뢰하는 것들을 얼마나 검증할 수 있는가”다.

🎯 오늘의 핵심 시그널

  1. 공급망 = 새로운 제로데이: Trivy→LiteLLM 연쇄 감염은 보안 도구 자체가 공격 벡터가 될 수 있음을 증명했다. 의존성 체인 전체를 신뢰할 수 없는 시대가 됐다.
  2. MFA는 이미 충분하지 않다: Device Code 피싱은 MFA 완료 후 세션을 탈취한다 — 인증 방법 제한과 세션 이상탐지가 필수 방어선이다.
  3. 블록체인 C2는 차단 불가: GlassWorm의 Solana Dead Drop 전술은 네트워크 레이어 방어의 한계를 드러냈다 — 엔드포인트 행동 분석이 유일한 탐지 경로다.

📌 다음 주 주목할 변수

  • RSAC 2026 컨퍼런스 마무리: 주요 벤더 제품 발표와 2026년 위협 보고서 전망치 확인 필요
  • TeamPCP 추가 공격 여부: Trivy→LiteLLM에 이어 Docker Hub·VS Code Marketplace 피해 확산 모니터링
  • Citrix NetScaler 패치 현황: 유사 취약점(CitrixBleed 계열)의 실제 익스플로잇 여부 추적
  • FCC 외산 라우터 금지 시행 세부안: 기업·가정용 기존 장비 처리 방침 발표 예정

📎 출처

📚 더 읽어보기

본 뉴스레터는 HoneyHive 뉴스레터벌이 자동 수집·요약했습니다.