2026년 2분기 공격기법 동향보고서

2026년 2분기 공격기법 동향보고서

개요.


2026년 2분기는 공개 자산, 신원, AI 스택을 겨냥한 실제 악용이 두드러진 분기이다.
CISA KEV 등재는 75건으로 2025년 동기 대비 약 27% 증가했다.
주요 대상은 웹과 서버 애플리케이션, 엔드포인트, 네트워크 경계 장비, 원격관리 도구이며, AI와 공급망 관련 취약점도 포함되었다.
랜섬웨어 연관 등재 비율은 2025년 동기 8.5%에서 16.0%로 상승했다.

분석.


공격자는 인터넷에 노출된 공개 애플리케이션과 경계 장비를 인증 우회로 침투하는 T1190(Exploit Public-Facing Application, 공개 애플리케이션 악용) 방식을 자주 사용했다.
SimpleHelp, Check Point, Ivanti Sentry, Oracle PeopleSoft, Cisco, Splunk 관련 취약점이 KEV에 포함되었다.
신원과 자격증명 영역에서는 OAuth 디바이스 코드 피싱, AitM(중간자 공격), 탈취한 토큰과 세션 악용이 두드러졌다.
Microsoft Entra ID를 겨냥한 디바이스 코드 피싱과 Kali365 같은 PhaaS(Phishing-as-a-Service, 피싱 서비스형 공격) 활동이 언급되었다.
방어 회피 측면에서는 Microsoft Defender 관련 제로데이 3건이 KEV에 등재되었고, 공격자는 정상 프로세스와 텔레메트리 차단으로 은신을 시도했다.
AI 관련 공격도 확대되었다.
SearchLeak(CVE-2026-42824)은 M365 Copilot Enterprise를 대상으로 한 데이터 탈취 취약점이며, Microsoft Semantic Kernel의 CVE-2026-26030과 CVE-2026-25592는 프롬프트 인젝션이 원격 코드 실행으로 이어질 수 있음을 보였다.
BerriAI LiteLLM의 CVE-2026-42271도 KEV에 실제 악용으로 등재되었다.
OpenClaw/ClawHub 같은 악성 skill 공급망 공격도 지속되었다.

예방 및 진단 정보.


방어는 시그니처 중심보다 IoA(행위 지표) 기반 탐지로 전환할 필요가 있다.
특히 메모리 인젝션, 보안 센서 텔레메트리 단절, 비정상 인증 세션, 토큰 이상 발급 같은 행위를 중점적으로 봐야 한다.
신원 보호를 위해 단기 수명 토큰, 게이트웨이 MFA, 조건부 접근, 세션 토큰 바인딩, ITDR(신원 위협 탐지) 적용이 강조되었다.
AI 시스템은 입출력 검증 및 정제(sanitize), 최소권한, 도구 호출 범위 제한, 고위험 작업의 사람 승인(human-in-the-loop), MCP와 의존성 공급망 검증이 필요하다.
공개 애플리케이션, 경계 장비, 신원 인프라는 CISA KEV와 EPSS를 기준으로 우선순위를 두고 점검해야 한다.
보유 EDR/XDR의 ATT&CK 커버리지 점검과 로그-경보 전환율 확인도 권고되었다.