2026년 2분기 취약점 동향 요약
- 2026년 2분기 신규 CVE는 총 20,701건이다.
- 이 중 CVSS 9.0 이상 Critical 취약점은 2,317건으로 전체의 11.2%를 차지했다.
- High 등급을 포함한 중·고위험군은 전체의 51.7%였다.
- 1분기 대비 전체 규모는 비슷했지만, 즉각적 피해를 유발하는 Critical 취약점은 1분기 1,426건에서 62.5% 증가했다.
실제 악용이 확인된 CISA KEV 동향
- 2026년 2분기 CISA KEV(Known Exploited Vulnerabilities, 실제 악용이 확인된 취약점 목록) 신규 등재 취약점은 75건이다.
- 이 중 Critical은 39건으로 약 52%를 차지했다.
- High까지 포함하면 65건으로 약 87%에 달했다.
- KEV에서는 CWE-20(Improper Input Validation)과 CWE-306(Missing Authentication for Critical Function)이 자주 악용되었다.
- KEV 등재 취약점은 실제 공격이 진행 중이라는 의미이므로, 사실상 최고 수준의 위협으로 취급해야 한다.
주요 공격 경향
- 공격은 방화벽, VPN, 엔터프라이즈 관리 패널, 인증 포털 같은 외부 접점 시스템에 집중되었다.
- 공식 설치 패키지 침해와 npm 등 오픈소스 패키지 관리자를 노린 공급망 공격도 다수 보고되었다.
- 생성형 AI와 자동화된 취약점 탐지 도구의 발전으로 고위험 취약점이 더 빠르게 발견되고, 공격자도 AI를 악용해 익스플로잇 코드를 더 빠르고 정교하게 제작하는 양상이 나타났다.
- 취약점 공개 후 실제 악용까지의 유예 기간이 매우 짧아졌다.
주요 취약점 사례
- CVE-2026-10520. Ivanti Sentry의 Command Injection 취약점으로, 인증되지 않은 공격자가 root 권한 수준의 RCE(원격 코드 실행)를 달성할 수 있다.
- CVE-2026-48172. LiteSpeed User-End cPanel Plugin의 권한 상승 취약점으로, 실제 환경에서 악용 사례가 보고되었다.
- CVE-2026-34908. Ubiquiti UniFi OS의 접근 제어 미흡 취약점으로, 관리자 인증 없이 설정을 변경할 수 있다.
- CVE-2026-35616. Fortinet FortiClientEMS의 접근 제어 미흡 취약점으로, 인증되지 않은 공격자가 원격 공격을 수행할 수 있다.
- CVE-2026-20253. Splunk Enterprise의 PostgreSQL 사이드카(sidecar, 보조 구성 요소) 엔드포인트 취약점으로, 인증 없이 파일 작업을 호출하고 RCE로 이어질 수 있다.
- CVE-2026-8398. DAEMON Tools Lite의 공급망 공격 사례로, 공식 설치 패키지에 트로이 목마가 삽입되었다.
- CVE-2026-41940. cPanel & WHM의 인증 우회 취약점으로, 인증되지 않은 원격 공격자가 제어 패널에 접근할 수 있다.
- CVE-2026-0300. Palo Alto Networks PAN-OS의 버퍼 오버플로우 취약점으로, User-ID 인증 포털(Captive Portal, 사용자 인증용 웹 포털)을 통해 root 권한 코드 실행이 가능하다.
- CVE-2026-5281. Google Chrome의 Dawn(WebGPU, 그래픽 처리 구성 요소)에서 발생한 Use After Free(UAF, 해제된 메모리를 다시 사용하는 결함) 취약점으로, 렌더러 장악과 샌드박스 우회가 연계될 수 있다.
- CVE-2026-42897. Microsoft Exchange Server의 XSS(Cross-Site Script, 웹 페이지에 악성 스크립트를 주입하는 공격) 취약점으로, 악성 메일이나 링크를 통한 초기 침투와 관리자 권한 탈취에 악용되었다.
방어 관점의 핵심 시사점
- 단순한 정보 노출보다 RCE와 권한 상승 같은 파괴적 결함이 더 두드러졌다.
- 외부 노출 장비와 관리 솔루션이 집중 공격 대상이 되었다.
- 랜섬웨어 유포와 봇넷 구축으로 이어질 수 있는 고위험 취약점의 무기화 속도가 매우 빨라졌다.
- 방어 측면에서는 CISA KEV 등재 여부를 우선적으로 확인하고, 실제 공격 텔레메트리를 기준으로 가장 위험한 자산부터 패치하는 대응이 필요하다.
- 관리자 제어 패널과 내부 인증 포털은 퍼블릭 인터넷 노출을 차단하고, 내부 IP 제한과 다중 인증(MFA)을 적용하는 공격 표면 관리(ASM, 외부 공격 노출면 관리)가 중요하다.