최근 보안 취약점 사고, CVE 정보 및 업계 동향을 다룹니다.
마지막으로 업데이트되었습니다:
뉴스 로드 중...
Wiz Research는 두 개의 하위 도메인에서 인증 없이 공개적으로 접근 가능한 DeepSeek의 ClickHouse 데이터베이스를 발견했습니다. 100만 개가 넘는 로그 항목에는 일반 텍스트 채팅 기록, API 비밀 키, 백엔드 운영 메타데이터가 포함되어 있었습니다. 공격자는 서버에서 직접 비밀번호와 로컬 파일을 훔칠 수 있었습니다. 책임감 있는 공개 이후, 딥시크는 즉시 데이터베이스를 보호했습니다. 1월 27일에는 API와 웹 채팅 인터페이스에 대한 대규모 디도스 공격도 발생했습니다.
출처 Wiz 블로그
공격자가 Dell의 파트너 포털에 가짜 파트너 계정을 등록하고 48시간 이내에 액세스 권한을 얻었습니다. 포털의 API에는 권한 확인이나 속도 제한이 없었습니다. 공격자는 3주 동안 분당 약 5,000건의 요청을 전송하여 이름, 주소, 서비스 태그, 주문 정보가 포함된 4,900만 개의 레코드를 훔쳤습니다. 이 데이터는 해킹 포럼에서 판매되었습니다.
공격자는 이메일 주소로 인증되지 않은 쿼리를 허용하는 Trello의 보호되지 않은 REST API를 악용했습니다. 공격자는 이전에 침해된 데이터베이스에서 이메일 주소를 제출하여 1,500만 개 이상의 사용자 프로필(이메일, 성명, 사용자 이름, 게시판 정보)을 스크랩하여 해킹 포럼에 게시했습니다. 이후 Atlassian은 해당 엔드포인트를 제한했습니다.
미국 정부효율성부(DOGE) 직원이 xAI의 비공개 API 키가 포함된 스크립트(agent.py)를 공개 GitHub 리포지토리에 커밋했습니다. 이 키는 불과 4일 전에 생성된 'grok 4-0709'를 포함하여 52개 이상의 LLM 모델에 대한 무제한 액세스를 제공했습니다. GitGuardian이 유출을 감지했지만 키는 즉시 취소되지 않았습니다. 2025년 5월에도 비슷한 유출이 발생했습니다.
출처 크렙스 온 시큐리티
ChatGPT의 pictureproxy.php 구성 요소의 서버 측 요청 위조(SSRF) 취약점입니다. 인증되지 않은 공격자가 위조된 URL을 삽입하여 서버가 승인되지 않은 내부 요청을 강제로 실행하도록 할 수 있습니다. 단일 IP 주소에서 10,000건 이상의 공격 시도가 기록되었으며, 공격 대상의 33%가 미국 조직(금융, 정부 및 의료 부문)이었습니다. 이 취약점은 인증 없이 대규모로 악용될 수 있기 때문에 특히 위험합니다.
출처 SecurityWeek
CVE-2024-27564는 OWASP API7(SSRF)의 교과서적인 예시입니다. 외부 소스로부터 URL 입력을 허용하는 API는 내부 네트워크에 대한 액세스를 방지하기 위해 엄격한 유효성 검사가 필요합니다. OWASP Top 10 → API7를 참조하세요.
Wallarm의 2025 API 위협 통계 보고서에 따르면 2024년에는 전년 대비 1,025% 증가한 439건의 AI 관련 CVE가 기록되었습니다. CISA의 알려진 익스플로잇 취약점(KEV) 카탈로그 항목 중 50% 이상이 API 관련 취약점입니다. 액세스 제어 실패는 전체적으로 40% 증가했으며, 중요 권한 부여 실패는 36% 증가했습니다.
Wallarm 2025Salt Security의 2025년 1분기 보고서에 따르면 조사 대상 조직의 99%가 지난 12개월 동안 최소 한 번 이상의 API 보안 문제를 경험한 것으로 나타났습니다. 주요 위험은 인젝션 공격과 BOLA(깨진 개체 수준 인증)로, 전체 사고의 3분의 1 이상을 차지했습니다. API 공격의 95%는 인증된 세션에서 발생했습니다.
Salt Security Q1 2025보안 연구원들은 보안 제어 없이 공개적으로 노출된 30,000개의 Postman 작업 공간을 발견했습니다. 여기에는 라이브 API 키, 액세스 토큰, 민감한 페이로드가 포함되어 있었으며, 이 중 상당수는 프로덕션 환경에 직접 액세스할 수 있었습니다. 이 사례는 개발자 협업 도구에서 '섀도 API' 자격 증명의 위험성을 강조합니다.
Wallarm 2025ChatGPT, DeepSeek와 같은 AI 기반 API의 취약점이 급증하고 있습니다. 프롬프트 인젝션, SSRF, 데이터 노출이 주요 위협입니다. 보안 조치가 AI의 빠른 도입 속도를 따라가지 못하고 있습니다.
브로큰 오브젝트 수준 인증(BOLA)은 계속해서 가장 널리 퍼져 있는 취약점입니다. 델과 트렐로 사례에서 볼 수 있듯이, 기본적인 권한 확인이 부족하면 대규모 데이터 유출로 이어집니다.
공격의 95%는 인증이 통과된 후에 발생합니다. 합법적인 액세스 토큰을 가진 공격자는 인증 결함을 악용하여 측면으로 이동하기 때문에 이것이 주된 공격 기법입니다.
GitHub, Postman과 같은 개발자 도구에서 API 키 유출이 심각한 문제로 대두되고 있습니다. 자동화된 탐지 도구(예: GitGuardian)와 엄격한 비밀 관리 관행을 채택하는 것이 필수적입니다.
이 페이지의 정보는 2025년부터 공개적으로 이용 가능한 데이터를 기반으로 합니다. 최신 취약점 정보는 위의 참조 링크에서 확인하세요.