F5 BIG-IP CVE-2025-53521 RCE 재분류 - 중국 연계 소스코드 탈취와 취약점 분류 오류
2025년 10월 DoS로 분류됐던 CVE-2025-53521이 2026년 3월 CVSS 9.8 RCE로 재분류되며 CISA KEV에 등재된 사건을 분석한다. 중국 연계 위협 행위자의 F5 소스코드 탈취가 재분류의 배경이 되었으며, 취약점 분류 오류가 초래하는 패치 우선순위 결정 실패를 다룬다.
Week 12
HackerOne Navia BOLA API 침해 - 버그바운티 플랫폼 직원 개인정보 270만 명 노출
2025년 12월부터 2026년 1월까지 복리후생 관리 플랫폼 Navia의 BOLA 취약점으로 270만 명 이상의 개인정보가 노출된 사건을 분석한다. 피해 조직 중 하나가 버그바운티 플랫폼 HackerOne이라는 점이 서드파티 보안 관리의 핵심 교훈을 제공한다.
네덜란드 재무부 침해 사건 - 정책 부서 내부 시스템 침해와 외부 탐지 의존
2026년 3월 19일 네덜란드 재무부 정책 부서 내부 시스템이 침해된 사건으로, 외부 제3자 알림에 의존해 침해를 인지한 구조적 탐지 역량 부재와 망 분리의 실효성을 분석한다. 공격자 귀속 및 탈취 데이터는 현재까지 미공개 상태다.