[취약점·위협 동향] • 프로토버프 자바스크립트 라이브러리(Protobufjs)에서 “type” 필드에 임의 코드 주입 취약점이 발견되었으며, 버전 8.0.1(7.5.5)에서 패치됨. 단, 한 CVE(CVE-2026-6056)는 CVE 번호가 거부(Withdrawn)되었으므로 신뢰할 수 없음. • WordPress용 “EMC – Easily Embed Calendly Scheduling Features” 플러그인에서는 사용자 입력 값에 대한 부적절한 검증으로 저장형 XSS가 발생할 수 있어, 인증받은 공격자가 칼린들 숏코드를 통해 임의 스크립트를 주입할 수 있음 (CVE-2026-0868, 위험도 6.4). • Wavlink WL-WN579A3 220323 모델의 /cgi-bin/login.cgi에서 Hostname 인자 조작으로 XSS가 발생, 원격 공격 가능함 (CVE-2026-6559, 5.3). • H3C 제품 – Magic B0(최대 100R002)에서는 /goform/aspForm 내 “param” 인자 조작을 통해 버퍼 오버플로우가 유발되어 원격 공격 위험이 있으며, 유사하게 Magic B1(최대 100R004)에서도 동일한 문제가 발생함 (CVE-2026-6560: 7.4, CVE-2026-6563: 7.4). • EyouCMS 1.7.1 이하 버전에서 관리 로고 변경 기능에서 “filename” 인자 조작으로 무제한 파일 업로드가 가능해 원격에서 악용될 위험이 있음 (CVE-2026-6561, 5.1). • Dameng100 muucmf 1.9.5에서 /index/Search/index.html 내 “keyword” 인자 변조 시 SQL 인젝션이 가능함 (CVE-2026-6562, 6.9). • KodCloud KodExplorer 4.52 이하에서는 여러 부문에서 취약점이 존재함: – Public Share Handler에서 “path” 인자 조작으로 경로 이동(Path Traversal) (CVE-2026-6568, 6.9). – 파일 다운로드 관련 fileGet 함수에서 “fileUrl” 인자 조작으로 인증 우회 (CVE-2026-6569, 6.9). – roleGroupAction 및 initInstall 함수에서 각각 “group_role”과 “path” 인자 조작으로 권한 우회 발생 (CVE-2026-6571: 5.3, CVE-2026-6570: 5.1). – Collabora KodExplorer – 파일 업로드 처리(endpoint)에서 “fileUpload” 인자 문제로 인증 오류가 유발됨 (CVE-2026-6572, 6.3). • PHPEMS 11.0에서는 /app/exam/controller/exams.master.php의 “uploadfile” 인자 조작으로 서버사이드 요청 위조(SSRF)가 가능함 (CVE-2026-6573, 5.3). • osuuu LightPicture 1.2.2 이하에서는 /public/install/lp.sql 파일 내 “key” 인자 조작으로 하드코딩된 자격증명이 노출됨 (CVE-2026-6574, 6.9). • EMQX Enterprise 6.1.0 이하에서는 세션 처리 관련 미흡으로 인한 부적절한 인증(authorization)이 발생할 수 있음 (CVE-2026-6564, 5.3).
또한 KodCloud 관련 취약점들 중 일부는 파일 경로 조작, 인증 우회 및 권한 상승과 같이 원격에서 공격이 가능하며, 다수의 취약점은 공개 익스플로잇이 존재하여 악용 위험이 크므로 해당 제품 업그레이드 및 보안패치 적용이 필요함.
[보안 관리 참고 사항] – 각 취약점마다 공격 경로(예: XSS, 버퍼 오버플로우, SQL 인젝션, SSRF 등)와 원격 공격 가능성이 있으므로, 해당 제품 및 구성 요소에 대해 신속히 패치 여부 확인 및 업데이트가 요구됨. – 프로그래밍 라이브러리 및 플러그인(예, Protobufjs, WordPress Calendly 플러그인)의 입력 검증 및 출력 이스케이프 처리 강화가 필요함. – 네트워크 장비 및 IoT 기기(예, H3C Magic 시리즈, Wavlink 제품)의 취약점은 제로데이 공격 가능성이 있으므로 제조사 공지와 관련 보안 정보를 정기적으로 모니터링할 것. – KodCloud, Collabora KodExplorer와 같은 협업 툴 관련 취약점은 사용자 권한 관리 및 접근 제어를 철저히 하고, 최신 버전으로 업데이트할 것을 권고함.
[개인정보 보호 교육 및 법제 동향] – 다수의 교육 과정이 개인정보 처리자 및 정보주체를 대상으로 온라인 및 현장교육 형식으로 운영되고 있으며, 내용은 개인정보의 중요성, 유출 위험 인식, 법령 및 관리 체계, 안전성 확보 조치(기술적·관리적), 사고 대응 및 위수탁·보관·파기 절차 등 전 과정에 걸쳐 있음. – 교육 과정은 ‘CPO 제도 이해’, ‘개인정보 처리단계별 절차(수집, 저장/관리, 파기 및 이용/제공)’, ‘아이덴티티 인텔리전스’, ‘개인정보 보호법의 흐름과 관련 법제’, ‘마이데이터 개인정보 전송요구권 및 자동화된 결정에 대한 정보주체 권리’ 등 다양한 주제를 포함하여, 관리 담당자뿐만 아니라 아동·청소년, 중·고등학생, 고령층, 장애인 및 다문화 가정을 대상으로 맞춤형 교육이 제공됨. – 현장교육 및 오프라인 교육(예: 중소기업 대상 ISMS-P 구축운영 교육 등)도 다수 진행되어, 실무 대응 역량 강화와 최신 주제에 대한 선제적 이해를 도모하고 있음. – 보안관리 담당자로서, 관련 교육과정을 통해 법·제도적 변화와 최신 보안 이슈 및 대응 방안을 지속적으로 업데이트하는 것이 중요함.
[종합] 최신 보안 기사들은 랜섬웨어 및 관련 취약점 공격이 여전히 활발하게 진행되고 있음을 보여주며, 프로그래밍 라이브러리부터 네트워크 장비, 웹 애플리케이션까지 다양한 분야에서 치명적인 취약점이 발견됨. 동시에 개인정보 보호와 관련된 법령, 관리체계, 사고 대응 및 교육 과정도 활발히 운영되고 있으므로, 보안관리 담당자는 제품 패치 적용, 취약점 모니터링, 그리고 내부 교육 및 최신 법제 동향 파악을 통한 종합적 대응 전략을 마련할 필요가 있음.
