카테고리별 기사

GitHub의 가짜 스타 경제

GitHub's fake star economy

GitHub 스타 수를 부풀리는 조작 생태계와 그 배후의 인센티브를 조사한 글. 프로젝트 인기 지표의 신뢰성 문제를 드러냄.

Vercel 2026년 4월 보안 사고

Vercel April 2026 security incident

Vercel이 최근 발생한 보안 침해 사고를 공식 확인했습니다. 해커들이 탈취한 데이터를 판매하겠다고 주장함에 따라 사용자 데이터 보호와 보안 관리에 대한 우려가 커지고 있습니다.

진행 중인 Checkmarx 공급망 캠페인에서 Bitwarden CLI가 침해됨

Bitwarden CLI compromised in ongoing Checkmarx supply chain campaign

Bitwarden CLI가 Checkmarx를 둘러싼 공급망 공격 캠페인에 연루됐다는 보고. 배포 경로와 패키지 무결성 점검 필요성이 부각됨.

Meta, AI 학습용으로 직원 마우스 움직임·키 입력 수집 시작

Meta to start capturing employee mouse movements, keystrokes for AI training

Meta가 AI 학습을 위해 직원의 마우스 움직임과 키 입력을 수집하기 시작함. 사내 데이터 활용 범위와 프라이버시 논란이 예상됨.

NSA가 Anthropic의 Mythos를 blacklist에도 불구하고 사용 중

NSA is using Anthropic's Mythos despite blacklist

NSA가 금지 목록에 오른 Anthropic의 Mythos를 사용한다는 Axios 보도. 정부·국방기관의 AI 도입과 조달 규정 충돌 이슈를 다룸.

정교한 telecom surveillance 캠페인 2건을 밝혀낸 조사

Investigation uncovers two sophisticated telecom surveillance campaigns

연구진이 통신사 접근 권한을 악용한 정교한 감시 캠페인 2건을 포착. 휴대폰 위치 추적과 통신망 남용 문제가 드러남.

French 정부 기관, 침해 사실 확인 후 해커의 데이터 판매 시도

French government agency confirms breach as hacker offers to sell data

French 정부 기관이 침해 사실을 확인했고, 해커가 탈취 데이터를 판매하려는 정황이 드러남. 공공 부문 정보 유출 이슈로 이어짐.

Notion, 공개 페이지 편집자의 이메일 주소 유출

Notion leaks email addresses of all editors of any public page

Notion의 보안 결함으로 인해 공개 페이지에 접근 권한이 있는 모든 편집자의 이메일 주소가 노출되는 사고가 발생했습니다. 이는 사용자 개인정보 보호에 대한 심각한 우려를 낳고 있습니다.

WhatsApp 단체 대화방에 폭탄 피해 사진 공유한 항공사 직원 체포

Airline worker arrested after sharing photos of bomb damage in WhatsApp group

두바이 경찰이 WhatsApp 개인 대화방을 감시하여 폭탄 피해 사진을 공유한 항공사 직원을 체포했습니다. 사적 대화의 보안과 국가의 감시 권한 사이의 논란이 제기되고 있습니다.

감시를 기본값으로 받아들였다

We accepted surveillance as default

감시가 예외가 아니라 기본값처럼 받아들여진 사회적 흐름을 짚는 글. 프라이버시 침식이 일상화된 배경을 비판적으로 다룸.

내 오디오 인터페이스는 기본값으로 SSH가 활성화돼 있다

My audio interface has SSH enabled by default

오디오 인터페이스 펌웨어에서 SSH가 기본 활성화된 사례가 드러남. 임베디드 기기 보안 설정과 기본 계정 관리의 위험성을 보여줌.

Flipper Zero로 매장 가격표 수정하기

Edit store price tags using Flipper Zero

Flipper Zero를 이용해 매장 가격표를 조작하는 방법을 다룸. 물리적 보안과 리테일 시스템 취약성을 드러냄.

양자 컴퓨터는 128비트 대칭키에 위협이 아니다

Quantum Computers Are Not a Threat to 128-Bit Symmetric Keys

양자 컴퓨팅이 128비트 대칭키 암호를 즉시 무력화하지 않는다는 논지를 설명한 글. 대칭암호의 보안 여력과 키 길이의 의미를 재정리한다.

브뤼셀, 연령 확인 앱을 출시했지만 해커들이 2분 만에 뚫었다

Brussels launched an age checking app. Hackers took 2 minutes to break it

브뤼셀의 연령 확인 앱이 공개 직후 짧은 시간 안에 우회됐다는 보도. 신원 검증·연령 확인 시스템의 보안 취약성이 드러났다.

모든 private Tor identity를 연결하는 안정적 Firefox 식별자 발견

We found a stable Firefox identifier linking all your private Tor identities

Firefox의 안정적 식별자가 private Tor identities를 연결할 수 있다는 취약점이 제기됨. 브라우저 격리와 익명성 모델에 직접적인 위험 신호.

The Vercel 침해: OAuth 공격이 플랫폼 환경 변수의 리스크를 드러냄

The Vercel breach: OAuth attack exposes risk in platform environment variables

OAuth 공격을 통한 Vercel 침해 사례 분석. 플랫폼 환경 변수와 공급망 연결부가 비밀정보 유출의 취약점으로 지적됨.

SPEAKE(a)R: 스피커를 마이크로 변환하여 도청하기

SPEAKE(a)R: Turn Speakers to Microphones for Fun and Profit [pdf] (2017)

일반적인 스피커를 마이크로 활용하여 오디오 신호를 캡처할 수 있는 보안 취약점을 다룹니다. 하드웨어의 물리적 특성을 이용한 공격 방식과 그 위험성을 경고합니다.

Apple, 경찰이 삭제된 chat 메시지를 iPhone에서 추출하는 데 쓰인 버그를 수정

Apple fixes bug that cops used to extract deleted chat messages from iPhones

Apple이 삭제된 채팅 메시지를 iPhone에서 복구 추출할 수 있게 한 버그를 수정. 해당 취약점은 수사 기관이 이용한 것으로 알려졌다.

Meta, AI 학습 데이터 확보 위해 직원의 마우스 움직임과 키 입력 수집

Meta capturing employee mouse movements, keystrokes for AI training data

Meta가 AI 학습용 데이터 확보를 위해 직원들의 마우스 움직임과 키 입력을 수집하는 것으로 알려짐. 내부 데이터 수집 범위와 프라이버시 논란이 커질 가능성.

의사에게 당신을 녹음하게 두지 말라

Refuse to let your doctor record you

진료 과정 녹음에 대한 거부 권고 글. 환자 프라이버시와 기록 통제의 중요성을 강조함.

Discret 11, 80년대 프랑스 TV 암호화

Discret 11, the French TV encryption of the 80s

80년대 프랑스 TV 암호화 시스템 Discret 11을 다룬 기술사 자료. 방송 신호 보호 방식과 당시의 구현 맥락을 정리함.

UK Biobank 건강 데이터가 GitHub에 계속 올라가고 있다

UK Biobank health data keeps ending up on GitHub

민감한 건강 데이터가 GitHub에 반복적으로 노출되는 문제를 지적. 연구 데이터의 재배포와 접근 통제 실패가 핵심 쟁점이다.

LLM이 만든 보안 리포트로 촉발된 Kernel 코드 제거

Kernel code removals driven by LLM-created security reports

LLM 생성 보안 리포트가 Kernel 코드 제거 논의를 촉발한 사례를 다뤘다. 자동 생성된 취약점 분석이 실제 코드 정리에 영향을 주는 흐름이다.

CrabTrap: 프로덕션 에이전트 보안을 위한 LLM-as-a-judge HTTP 프록시

CrabTrap: An LLM-as-a-judge HTTP proxy to secure agents in production

프로덕션 환경에서 에이전트 요청을 검사하는 HTTP 프록시 CrabTrap 소개. LLM 판정으로 유해 동작을 차단해 에이전트 보안을 강화하는 접근.

GPT‑5.5 Bio Bug Bounty

GPT‑5.5 Bio Bug Bounty

OpenAI가 GPT-5.5의 생물학 관련 취약점 탐지를 위한 버그 바운티를 공개. 생물안전 리스크 점검과 외부 검증을 유도하는 프로그램.

에이전트임을 증명하라: 에이전트를 위한 CAPTCHA

에이전트임을 증명하라: 에이전트를 위한 CAPTCHA

사람은 막고 에이전트는 통과시키는 reverse-CAPTCHA 방식의 agent-native 가입 절차를 소개. 이메일이나 OAuth 없이 프롬프트 기반 도전 과제로 인증 흐름을 구성함.

에이전트임을 증명하라: 에이전트를 위한 리버스 캡차(CAPTCHA)

에이전트임을 증명하라: 에이전트를 위한 CAPTCHA

사람은 차단하고 AI 에이전트만 통과시키는 '리버스 캡차' 기술이 등장했습니다. 이메일이나 OAuth 인증 없이 프롬프트 기반의 난독화된 문제를 해결하게 함으로써 에이전트의 정체성을 검증합니다.

Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견

Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견

JFrog가 npm의 @bitwarden/cli 2026.4.0 버전이 하이재킹된 사실을 발견. 정상 패키지처럼 위장해 개발자 인증정보를 대규모로 탈취하는 공격이 확인됨.

Vercel, 2026년 4월 보안 사고 발생 (내부 시스템 무단 접근)

Vercel, 2026년 4월 보안 사고 발생 (내부 시스템 무단 접근)

Vercel이 2026년 4월 일부 내부 시스템에 대한 무단 접근 사고를 공식 공개했고, 현재 조사 중.

Vercel, 2026년 4월 내부 시스템 무단 접근 보안 사고 발생

Vercel, 2026년 4월 보안 사고 발생 (내부 시스템 무단 접근)

Vercel이 2026년 4월 발생한 내부 시스템 무단 접근 사고를 공식 발표했습니다. 현재 외부 전문가와 함께 조사를 진행 중이며, 법 집행 기관에 통보하여 대응하고 있습니다.

Show GN: 자율형 에이전트를 위한 경량 보안 런타임

Show GN: 자율형 에이전트를 위한 경량 보안 런타임

OpenClaw 같은 자율형 에이전트의 실행 범위를 제한하는 경량 보안 런타임 소개. 더 넓은 행동 권한을 가진 에이전트의 안전한 사용을 목표로 함.

Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소

Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소

AI 에이전트가 외부 서비스에 접속할 때 쓰는 HTTP 자격 증명과 시크릿을 중계·보관하는 도구. 에이전트용 인증/비밀관리 계층을 분리해 운영한다.

PanicLock - MacBook 덮개를 닫으면 Touch ID를 비활성화하고 비밀번호로만 잠금 해제하는 유틸리티

PanicLock - MacBook 덮개를 닫으면 Touch ID를 비활성화하고 비밀번호로만 잠금 해제하는 유틸리티

MacBook의 보안을 강화하기 위해 덮개를 닫거나 단축키를 사용하면 Touch ID를 즉시 비활성화하고 비밀번호 입력을 강제하는 유틸리티입니다. macOS의 기본 보안 설정을 보완하여 물리적 보안이 필요한 상황에서 유용합니다.

WhatsApp 그룹에 폭격 피해 사진을 공유한 항공사 직원 체포

WhatsApp 그룹에 폭격 피해 사진을 공유한 항공사 직원 체포

중동 분쟁 지역의 폭격 피해 사진을 동료들과의 비공개 WhatsApp 그룹에 공유한 항공사 직원이 두바이 경찰에 체포되었습니다. 경찰은 전자 감시 작전을 통해 해당 자료를 포착했으며, 사이버 범죄 전담팀이 수사를 진행했습니다.

미국 법안, 모든 기기에 온디바이스 연령 확인 의무화

미국 법안, 모든 기기에 온디바이스 연령 확인 의무화

미국 'Parents Decide Act' 법안은 스마트폰뿐만 아니라 노트북, 콘솔, 차량 시스템 등 모든 범용 컴퓨팅 기기에서 초기 설정 시 연령 확인을 의무화합니다. 이는 운영체제 제공자가 사용자 생년월일을 필수적으로 수집하도록 강제하여 미성년자 보호를 강화하려는 목적입니다.

Show GN: Nilbox – API 토큰 노출 없이 OpenClaw를 실행하세요

Show GN: Nilbox – API 토큰 노출 없이 OpenClaw를 실행하세요

Nilbox는 에이전트 실행 시 실제 API 토큰이 환경 변수로 노출되는 문제를 해결하는 도구입니다. 가짜 플레이스홀더를 사용하여 에이전트가 실제 키에 접근하지 못하게 차단하면서도 정상적인 API 호출을 가능하게 합니다.

iTerm2를 사용한다면, 'cat readme.txt'도 안전하지 않을 수 있다

iTerm2를 사용한다면, "cat readme.txt"도 안전하지 않다

iTerm2의 SSH 통합 기능이 터미널 이스케이프 시퀀스를 처리하는 방식에서 발생하는 보안 취약점을 다룹니다. 악성 파일이나 배너가 원격 conductor 프로토콜로 해석되어 터미널 제어권을 탈취할 위험이 있음을 경고합니다.

Vercel 2026년 4월 보안 사고

Vercel 2026년 4월 보안 사고

Vercel의 내부 시스템에 대한 비인가 접근이 확인되었습니다. 공격자는 Context.ai 침해를 통해 직원의 Google Workspace 계정을 탈취하여 권한을 확대하는 방식으로 침투했습니다.

Vercel, 내부 시스템 침해 발생했다고 밝혀

Vercel, 내부 시스템 침해 발생했다고 밝혀

Vercel이 내부 시스템에 대한 무단 접근 사고가 발생했음을 공식 확인했습니다. 현재 사고 대응 전문가를 투입하여 영향을 받은 고객과 소통하며 복구 작업을 진행 중입니다.

모든 공개 Notion 페이지가 모든 편집자의 이메일 주소를 유출

모든 공개 Notion 페이지가 모든 편집자의 이메일 주소를 유출

공개된 Notion 페이지에서 인증 없이 편집자의 UUID를 통해 이름과 이메일 등 개인정보가 노출되는 취약점이 발견되었습니다. 이로 인해 회사 위키나 문서의 편집자 정보가 외부로 유출될 위험이 있습니다.