이번 주 보안 씬에서 가장 충격적인 사건은 취약점 발견이 아니다. 당신이 고용한 랜섬웨어 협상가가 실제로는 공격자와 공모하고 있었다는 사실의 공개다. Florida 주 Angelo Martino(41세)는 피해 기업을 위해 협상하는 척하면서 BlackCat/ALPHV에게 보험 한도·협상 전략·내부 평가를 넘겼다. 그 결과 BitCoin $120만이 공격자들에게 흘러들어갔다. 같은 주, Microsoft는 ASP.NET Core에서 CVSS 9.1 권한 상승 취약점을 아웃오브밴드 패치로 긴급 수정했고, Cisco SD-WAN Manager 3개 CVE의 패치 기한이 오늘이다. CISA는 8개 취약점을 새로 KEV에 추가했다. 지금 당장 해야 할 것들이 쌓여있다.
🚨 위협 인텔리전스
🔴 CVE-2026-40372 | Microsoft ASP.NET Core 권한 상승 (CVSS 9.1) — 아웃오브밴드 긴급 패치
| 항목 | 내용 |
|---|---|
| CVE | CVE-2026-40372 |
| CVSS | 9.1 (Critical) |
| 벡터 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| 제품 | Microsoft.AspNetCore.DataProtection 10.0.0~10.0.6 |
| 유형 | CWE-347: 암호화 서명 부적절 검증 → 인증 쿠키 위조 → 권한 상승 |
| 공격 벡터 | 네트워크, 인증 불필요, 사용자 인터랙션 불필요 |
| 패치 버전 | Microsoft.AspNetCore.DataProtection 10.0.7 |
공격 메커니즘: Microsoft.AspNetCore.DataProtection 10.0.0~10.0.6 패키지의 암호화 서명 검증 버그로 공격자가 인증 쿠키를 위조해 특권 사용자로 인증할 수 있다. 위조된 페이로드로 인증 성공 시 애플리케이션이 해당 사용자 명의로 합법적 토큰(세션 갱신·API 키·비밀번호 재설정 링크 등)을 발급하며, 이 토큰들은 패치 후에도 키 링을 교체하지 않으면 계속 유효하다.
2010년 MS10-070(ASP.NET padding-oracle 공격)과 구조적으로 유사하다.
영향 확인 조건 (모두 해당 시 영향):
- NuGet에서
Microsoft.AspNetCore.DataProtection10.0.6 직접 또는 전이적 참조 - 런타임에 실제 영향받는 바이너리 로드
Microsoft.NET.Sdk.Web또는Microsoft.AspNetCore.App프레임워크 참조 없음
대응:
# NuGet 버전 확인
dotnet list package | grep DataProtection
# 즉시 업그레이드
dotnet add package Microsoft.AspNetCore.DataProtection --version 10.0.7
# ⚠️ 중요: 패치 후 DataProtection 키 링 교체 필수!
# (이전에 위조 토큰이 발급됐을 가능성 대비)
# appsettings.json 또는 키 저장소에서 기존 키 무효화
🔴 Cisco SD-WAN Manager CVE × 3 — 오늘(4/23)이 패치 기한
| CVE | CVSS | 유형 | 영향 |
|---|---|---|---|
| CVE-2026-20133 | High | 정보 노출 | 원격 비인증 공격자가 기밀 네트워크 데이터 열람 |
| CVE-2026-20122 | High | 특권 API 오용·파일 덮어쓰기 | vManage 관리자 권한 획득 |
| CVE-2026-20128 | Medium | 복구 가능한 형식으로 비밀번호 저장 | 로컬 저권한 공격자 → DCA 사용자 권한 상승 |
공격 체인 시나리오: CVE-2026-20133으로 원격에서 네트워크 구성 정보 수집 → CVE-2026-20122로 시스템 파일 덮어쓰기·vManage 권한 획득 → SD-WAN 전체 네트워크 제어권 장악.
Cisco Catalyst SD-WAN Manager는 기업 WAN 인프라 전체를 제어하는 관리 콘솔이다. 침해 시 기업 전체 네트워크 트래픽 라우팅을 공격자가 통제하는 최악의 시나리오.
대응:
1. Cisco SD-WAN Manager 최신 보안 업데이트 즉시 적용 (오늘 4/23 기한)
2. vManage 관리 인터페이스에 대한 네트워크 접근 제한 (IP 화이트리스트)
3. 관리자 계정 로그 감사 — 비정상 API 호출 패턴 확인
4. 비밀번호 저장 형식 감사 및 자격증명 교체
🟠 CISA KEV 신규 8개 추가 (4/22 기준)
| 패치 기한 | 주요 제품 | 비고 |
|---|---|---|
| 4/23 (오늘) | Cisco SD-WAN Manager (3개 CVE) | 위 상세 참조 |
| 5/4 | 기타 엔터프라이즈 제품 5개 | CISA KEV 카탈로그 확인 |
CISA 경고: “공격자들은 최신 제로데이만이 아니라 2~3년 된 구버전 취약점을 지속적으로 악용하고 있다. 패치 관리 프로그램이 미흡한 조직이 우선 표적이다.”
🕵️ 침해 사고
사건: 랜섬웨어 협상가가 공격자와 공모 — Angelo Martino 유죄 인정
사건 개요: Florida 주 Angelo Martino(41세)가 BlackCat/ALPHV 랜섬웨어 그룹과 공모해 자신이 고용된 피해 기업들의 기밀 정보를 넘긴 혐의로 유죄를 인정했다. 2023년 4월부터 활동. 피해 기업 5곳, Bitcoin $120만 갈취 후 수익 분배·세탁. 법무부가 Martino로부터 암호화폐·차량·푸드트럭·고급 낚시보트 포함 $1,000만 몰수.
공범: Ryan Goldberg(조지아, Sygnia 사이버보안 IR 매니저), Kevin Martin(텍사스, DigitalMint 협상가) — 2025년 12월 유죄 인정, 4월 30일 선고 예정(각 최대 20년).
공격 수법: Martino는 DigitalMint(랜섬웨어 협상·피해자 대리 회사)의 협상가로 일하면서 피해 기업의 ① 보험 한도 ② 협상 전략 ③ 내부 보안 평가 결과를 BlackCat에 실시간으로 넘겼다. 공격자들은 이 정보를 바탕으로 협상 전략을 조정하고 최대한의 몸값을 받아냈다.
교훈:
- 제3자 랜섬웨어 협상 서비스 실사 강화: 협상사 직원의 신원·이해충돌 검토 없이 기밀 전략을 공유하는 것은 공격자에게 내부 정보를 넘기는 것과 같을 수 있다.
- 협상 중 정보 격리 원칙: 보험 한도, 협상 BATNA(최악의 대안)는 협상 팀 내부에서도 최소 공개 원칙 적용.
- IR 벤더 접근 최소화: 인시던트 대응 벤더에게 필요 최소한의 정보만 제공. 특히 전체 보험 정책, 재무 노출도는 공유 금지.
- 공급망 보안 검토는 사람도 포함: 도구·소프트웨어뿐 아니라 외부 전문가·벤더 개개인에 대한 신원조회와 이해충돌 점검이 필수.
🛠️ 보안 도구 & 패치 요약
| 우선순위 | 제품 | 조치 | 기한 |
|---|---|---|---|
| 🔴 긴급 | Microsoft ASP.NET Core DataProtection | NuGet 10.0.7 업그레이드 + 키 링 교체 | 즉시 |
| 🔴 긴급 | Cisco SD-WAN Manager (3개 CVE) | 최신 보안 업데이트 + vManage 접근 제한 | 오늘(4/23) |
| 🟠 높음 | CISA KEV 신규 5개 (기타 제품) | 각 제품별 패치 적용 | 5/4 |
| 🟡 중요 | IR·협상 서비스 벤더 실사 | 계약서·접근 권한 재검토 | 이번 달 |
🗞️ 한 줄 보안 뉴스
- Forescout, Lantronix·Silex IoT 20개 신규 취약점 발견: 시리얼-이더넷 컨버터 등 산업용 IoT 장비 — 원격 코드 실행·기밀 정보 노출 가능
- GPT-5.4-Cyber + Claude Mythos, 사이버 방어 AI 레이스 가속: 두 모델 모두 사이버 취약점 리서치 특화 접근 확대 중 — 공격자도 동일 AI 악용 가능
- LiteLLM 공급망 공격 여파 지속: Mercor AI 데이터 유출 관련 추가 피해 기관 조사 중 — AI 인프라 공급망 보안 감사 수요 급증
- Samsung Pay 보안 업데이트: 결제 데이터 암호화 강화 업데이트 — 즉시 최신 버전으로 업데이트 권고
- 미 DoJ, 랜섬웨어 수익 $1,000만 몰수: Martino 사건 — 암호화폐 추적 기술 발전으로 랜섬 자금 세탁이 점점 어려워지고 있음
✅ CISO 체크리스트 (이번 주 즉시 실행)
오늘(4/23) 기한
- Cisco SD-WAN Manager CVE-2026-20133/20122/20128 패치 완료 확인
- SD-WAN 관리 인터페이스 접근 로그 이상 여부 점검
긴급 (48시간 이내)
- ASP.NET Core 10.x 사용 서비스 — DataProtection 10.0.7 업그레이드
- 업그레이드 후 DataProtection 키 링 교체 (이전 발급 토큰 무효화)
- NuGet 전이적 의존성 포함 영향 범위 전수 조사
이번 주 내
- 외부 IR/랜섬웨어 협상 벤더 계약서 재검토 — 기밀 정보 접근 범위 명시 여부
- 협상·IR 벤더 직원 신원 조회 기록 확인
- IoT/OT 환경 Lantronix·Silex 장비 목록 확인 후 Forescout 취약점 보고서 대조
이번 달
- AI 기반 사이버 방어 도구 도입 검토 (GPT-5.4-Cyber TAC, Claude Mythos Glasswing 신청 자격 확인)
- AI 코딩 도구(LiteLLM, Cursor 등) 오픈소스 의존성 SBOM 점검
📋 컴플라이언스 업데이트
- CISA BOD: FCEB 기관은 오늘(4/23) 기한 Cisco SD-WAN CVE와 5/4 기한 나머지 8개 KEV 취약점 의무 패치.
- GDPR/개인정보: 랜섬웨어 피해 시 협상 과정에서 제3자에게 공유되는 정보(보험 한도·내부 평가)가 개인정보를 포함할 경우 정보 처리 위탁 계약 점검 필요.
- 내부자 위협 컴플라이언스: Martino 사건은 NIST SP 800-53 “내부자 위협 프로그램(PS-8)” 요구사항의 실제 적용 필요성을 재확인. 외부 벤더 포함 내부자 위협 정의 확장 권고.
📎 출처
- Microsoft Security Advisory CVE-2026-40372 – ASP.NET Core Elevation of Privilege — GitHub / dotnet/announcements
- Microsoft out-of-band updates fixed critical ASP.NET Core privilege escalation flaw — Security Affairs
- CISA Alerts Defenders to Exploited Cisco Catalyst SD-WAN Manager Security Flaws — GBHackers
- Ransomware negotiator admits role in attacks he was hired to resolve — Help Net Security
- Florida Man Working as a Ransomware Negotiator Pleads Guilty — U.S. DOJ
- CISA Adds 8 Exploited Flaws to KEV — The Hacker News
본 뉴스레터는 HoneyHive 뉴스레터벌이 자동 수집·요약했습니다. 패치 및 보안 조치 전 공식 벤더 권고를 반드시 확인하세요.