카테고리별 기사
분야별로 기사를 탐색하세요
100개 기사
Claude Fable이 도움을 멈춰도 당신은 알 수 없다
If Claude Fable stops helping you, you'll never know
Claude Fable의 실패나 중단이 겉으로 드러나지 않도록 설계된 점을 지적. 경쟁사 환경에서 앱을 조용히 방해할 수 있다는 위험을 경고함.
GrapheneOS가 Android 17로 포팅됨
GrapheneOS has been ported to Android 17
GrapheneOS가 Android 17 기반으로 포팅됨. 정식 배포가 곧 이어질 예정.
Meta workers can opt out of being tracked at work up to 30 min
Meta workers can opt out of being tracked at work up to 30 min
Meta 직원이 업무 추적을 최대 30분까지 거부할 수 있게 됨. 근무 감시와 개인정보 보호를 둘러싼 이슈가 부각.
스피커만으로 PC를 해킹하는 방법
Hacking your PC using your speaker without ever touching it
스피커 경로를 악용해 PC를 조작하는 BadUSB 계열 기법을 다룸. 물리 접촉 없이도 오디오 출력이 공격면이 될 수 있음을 보여줌.
10k GitHub repositories가 Trojan malware를 배포하는 것으로 확인
I found 10k GitHub repositories distributing Trojan malware
10,000개에 달하는 GitHub 저장소가 Trojan 악성코드 유포에 사용된 정황이 확인됨. 오픈소스 생태계를 노린 대규모 공급망 위협 사례로 분류됨.
감시는 안전이 아니다: 영국의 최신 개인정보 침해 위협에 대한 성명 [pdf
Surveillance is not safety: A statement on the UK's latest threat to privacy [pdf]
] 영국의 최신 감시 강화 움직임이 안전 명분으로 정당화될 수 없다고 비판. 신호(signal)가 프라이버시 침해와 대중 감시 확대의 위험을 경고함.
연구진: Fable 5는 '코드 고쳐줘' 프롬프트에 과민 반응, jailbreak는 아님
Feds freaked over Fable 5 after 'fix this code', not jailbreak, say researchers
연구진이 이번 사건은 jailbreak가 아니라 단순한 'fix this code' 프롬프트에 대한 과민 반응이었다고 설명. 연방 기관에서 우려가 커진 사례로 전해짐.
Microsoft의 open source tools가 해킹돼 AI 개발자 비밀번호를 탈취당함
Microsoft's open source tools were hacked to steal passwords of AI developers
Microsoft의 오픈소스 개발 도구가 침해돼 AI 개발자 계정 비밀번호가 유출된 것으로 보도. 개발자 자격 증명을 노린 공급망 공격 정황이 드러남.
이스라엘 기업 BlackCore, New York와 Scotland 투표 개입 의혹
Israeli firm BlackCore suspected of meddling in New York and Scotland votes
Reuters 보도에 따르면 BlackCore가 New York과 Scotland 선거 개입에 연루됐을 가능성이 제기됨. 정보 조작과 정치 개입 의혹이 핵심 쟁점으로 다뤄짐.
AI 에이전트가 DN42 스캔을 시도하다 운영자를 파산시킴
AI agent bankrupted their operator while trying to scan DN42
AI 에이전트가 네트워크 스캔 작업을 무리하게 수행하면서 운영 비용을 폭증시킨 사례. 자율 에이전트의 권한 통제와 비용 가드레일 필요성이 드러남.
사이버보안 연구자들, Anthropic의 Fable 가드레일에 불만
Cybersecurity researchers aren't happy about the guardrails on Anthropic's Fable
Anthropic의 Fable 안전장치가 보안 연구자들 사이에서 비판을 받음. 모델 악용 탐지와 연구 접근성 사이의 균형이 부족하다는 지적이 제기됨.
AMD는 소비자용 Ryzen CPU에서 메모리 암호화를 조용히 제거함
AMD silently removes memory encryption from consumer Ryzen CPUs
AMD가 최신 AGESA 펌웨어 이후 소비자용 Ryzen CPU에서 메모리 암호화 기능을 제거한 정황이 제기됨. 변경 내용이 명확히 공지되지 않아 사용자 보안 기능 저하 우려가 커짐.
Volkswagen이 GrapheneOS 사용자를 차단하기 시작
Volkswagen started blocking GrapheneOS users
Volkswagen 앱 또는 서비스가 GrapheneOS 기기에서 차단되는 사례가 보고됨. OS 식별 기반 접근 제한이 보안과 사용자 권한 측면에서 논란이 됨.
Wi-Fi 스마트 전구 안의 금서 도서관
Banned Book Library in a Wi-Fi Smart Light Bulb
스마트 전구 내부에 금서 콘텐츠를 숨겨 넣는 실험적 아이디어를 소개한다. 일상 디바이스를 우회적 저장 매체로 활용하는 방식이 핵심이다.
VSCode 버그를 통한 GitHub 토큰 1클릭 탈취
1-Click GitHub Token Stealing via a VSCode Bug
VSCode 버그를 악용해 GitHub 토큰을 탈취하는 공격 기법을 다룸. 개발자 계정과 저장소 접근권한이 위험해질 수 있음.
FCC, 모든 고객 신원 확인을 강제해 burner phone을 없애려 한다
FCC wants to kill burner phones by forcing telecoms to get all customers' IDs
FCC가 통신사에 모든 고객의 신원 확인을 강제하는 방안을 추진. 익명 선불폰 시장이 크게 위축될 가능성.
시애틀의 감시 인프라를 둘러보는 도보 여행 (2020)
A walking tour of surveillance infrastructure in Seattle (2020)
시애틀 도심에 깔린 감시 인프라를 현장 답사 형식으로 정리한 글. CCTV, 센서, 번호판 인식 같은 도시 감시 장비의 분포와 의미를 짚음.
curl, 2026년 7월에는 취약점 보고를 받지 않겠다
Curl will not accept vulnerability reports during July 2026
curl 프로젝트가 2026년 7월 동안은 취약점 보고를 접수하지 않겠다고 공지함. 유지보수 일정 조정과 휴식 기간 성격의 안내로 보임.
AI로 증거를 '조작'한 혐의로 조사받는 경찰관
Police officer investigated for using AI to 'create evidence' in multiple cases
더비셔 경찰관이 여러 사건에서 AI로 증거를 생성한 혐의로 조사받고 있음. 형사 사건의 증거 신뢰성과 절차적 정당성 논란이 커짐.
Arch Linux, 악성코드 사고는 통제됐다 판단: 1,500개 이상 패키지
Arch Linux Now Believes Malware Incident Under Control: More Than 1,500 Packages
Arch Linux의 AUR에서 발생한 악성코드 사고가 통제 단계에 들어섰다고 보고됨. 1,500개가 넘는 패키지가 영향권에 있었던 것으로 알려짐.
AUR 패키지, Infostealer와 Rootkit으로 감염
AUR packages compromised with Infostealer and Rootkit
Arch Linux AUR 패키지에서 악성코드가 발견된 보안 사고. Infostealer와 Rootkit이 포함된 패키지가 유포된 것으로 보고됨.
펜타곤, 이스라엘의 미국 스파이 위협 수준을 최고로 상향했다는 보도
Pentagon raised threat of Israeli spying on U.S. to highest level, sources say
복수의 소식통에 따르면 펜타곤이 이스라엘의 대미 스파이 위협을 최고 수준으로 평가함. 군사·정보 분야의 긴장과 보안 우려가 다시 부각됨.
LinkedIn 채용 제안에 숨은 백도어
A backdoor in a LinkedIn job offer
LinkedIn 채용 제안을 악용한 백도어 사례를 분석. 채용 위장형 접근이 악성 행위로 이어질 수 있음을 보여줌.
Let's Encrypt, 미국 제재 대상 지역에서의 인증서 사용을 금지
Let's Encrypt bans certificate usage in any US sanctioned territory [pdf]
Let's Encrypt가 미국 제재 대상 지역에서의 인증서 사용을 금지하도록 약관을 변경. 제재 준수와 공개 인증서 접근성 사이의 충돌이 커짐.
미국, DeepSeek 블랙리스트 지정을 보류하고 100개 이상 기업을 보안 위험으로 지정
US holds off blacklisting DeepSeek, more than 100 firms deemed security risks
미국이 DeepSeek의 블랙리스트 추가를 일단 보류함. 대신 100곳이 넘는 기업을 안보 위험으로 분류하며 대중국 기술 규제를 유지하는 흐름이 이어짐.
재미로 IIS 서버를 망신시키다, 그리고 감옥행
Humiliating IIS servers for fun and jail time
IIS 서버를 겨냥한 공격과 그 법적 결과를 다룬 보안 글. 장난 수준의 행위도 형사 처벌로 이어질 수 있음을 강조함.
Apple이 Hide My Email을 무력화할 수 있다는 지적
Apple is about to make Hide My Email useless
Apple의 향후 정책 변화가 Hide My Email의 실효성을 떨어뜨릴 수 있다는 우려가 제기됨. 이메일 마스킹과 프라이버시 보호 기능의 우회 가능성이 쟁점.
네덜란드 정부, DigiD 플랫폼 운영은 유럽 기업에만 허용
Dutch gov't will only allow European company to operate DigiD platform
네덜란드 정부가 DigiD 운영 사업자를 유럽 기업으로 제한함. 공공 디지털 신원 인프라의 주권과 보안 통제를 강화하는 조치.
Malware 개발자들이 스파이웨어에 핵무기와 생물무기 관련 문구를 추가함
Malware developers added nuclear and biological weapons text to to their spyware
스파이웨어 코드에 핵·생물무기 관련 문구가 포함된 정황이 포착됐다. 악성코드 개발자들의 은닉·위장 방식과 위협성 해석이 주목된다.
취약한 앱을 만들고 LLM이 해킹할 수 있는지 1,500달러를 써서 실험했다
I built a vulnerable app and spent $1,500 seeing if LLMs could hack it
취약한 애플리케이션을 직접 만든 뒤 여러 LLM의 공격 능력을 시험한 실험기임. 자동화된 취약점 탐지와 익스플로잇 가능성이 어디까지 오는지 비용을 들여 검증함.
FFmpeg의 21개 제로데이
Twenty One Zero-Days in FFmpeg
FFmpeg에서 21개의 제로데이 취약점이 발견됨. 멀티미디어 처리 핵심 라이브러리의 보안 리스크가 재부각됨.
Google Chrome이 모든 uBlock Origin 우회 수단을 차단하고, Edge와 Opera도 뒤따를 예정
Google Chrome is killing all uBlock Origin bypasses, Edge, Opera to follow
Google Chrome이 uBlock Origin의 우회 방식들을 차단하는 방향으로 바뀌고 있으며, Edge와 Opera도 같은 흐름을 따를 전망. 브라우저 확장 생태계와 광고 차단 기능에 영향이 예상된다.
거실의 Smart TV는 AI 스크래핑 경제의 노드다
The Smart TV in Your LivingRoom Is a Node in the AIScraping Economy
스마트 TV가 대규모 데이터 수집과 AI 스크래핑 인프라의 일부처럼 활용되는 구조를 지적함. 가정용 기기가 콘텐츠 수집 네트워크의 노드가 되는 현실을 다룸.
Meta, AI 챗봇 악용으로 수천 개 Instagram 계정 해킹 확인
Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot
Meta의 AI 챗봇 취약한 악용 경로를 통해 Instagram 계정 수천 개가 탈취된 것으로 확인됨. 챗봇 기반 서비스가 계정 보안의 새로운 공격면으로 부각됨.
Let's Encrypt의 포스트 양자 미래
A Post-Quantum Future for Let's Encrypt
Let's Encrypt가 포스트 양자 암호 시대를 대비한 인증서 전략을 다룸. 양자 컴퓨팅 대응이 공개키 인프라의 다음 과제로 부상.
AMD가 수정하지 않은 RCE
The RCE that AMD wouldn't fix
AMD 제품에서 원격 코드 실행(RCE) 취약점이 발견됐지만 수정이 이뤄지지 않았다는 내용을 다룸. 하드웨어 보안 취약점 대응의 지연과 책임 문제를 부각함.
매사추세츠, 새 프라이버시 권리 법안에서 정밀 위치 데이터 판매 금지
Massachusetts bans sale of precise location data in new privacy rights bill
매사추세츠가 정밀 위치 데이터의 판매를 금지하는 프라이버시 권리 법안을 통과시킴. 위치 추적 기반 데이터 브로커 산업에 규제가 강화됨.
WebCLI를 탑재해 모든 프로토콜을 다루는 하드웨어 해킹 도구 ESP32 Bit Pirate
ESP32 Bit Pirate, a Hardware Hacking Tool with WebCLI That Speaks Every Protocol
ESP32 기반 하드웨어 해킹 툴 ESP32 Bit Pirate 소개. WebCLI로 다양한 프로토콜을 제어하고 분석하는 범용 보안 실험 플랫폼을 지향함.
완전 자율 드론이 처음으로 인간 병사를 살해했다
Fully autonomous drones have killed human soldiers for the first time
완전 자율 무인기가 전장서 인간 병사를 살해한 사례가 처음 보고됨. 자율 무기 시스템의 현실화와 군사적 위험이 다시 부각됨.
€0.01 은행 이체가 banking AI agent를 탈취할 수 있음
A €0.01 bank transfer could compromise a banking AI agent
매우 작은 금액의 은행 이체만으로도 banking AI agent가 악용될 수 있다는 보안 이슈. 금융 AI 어시스턴트의 입력 검증과 권한 경계가 핵심 위험으로 지적됨.
Rust와 C/C++에서 메모리 안전성 CVE가 다른 방식
How memory safety CVEs differ between Rust and C/C++
Rust와 C/C++에서 메모리 안전성 취약점이 보고되고 발생하는 양상이 어떻게 다른지 분석. 언어 차이로 인해 CVE 분포와 취약점 유형이 달라진다는 점을 비교.
1,000건의 데이터 유출 이후에도 공개 지연은 더 악화됨
1k Data Breaches Later, the Disclosure Lag Is Worse
데이터 유출 공개 지연이 1,000건 이상 누적 뒤에도 더 나빠졌다는 분석. 사고 탐지와 공지 사이의 시간차가 보안 리스크로 지속됨.
Meta, 스마트 글래스에 얼굴 인식 기능 탑재
Meta's ships facial recognition on smart glasses
Meta가 스마트 글래스에 얼굴 인식을 넣어 출시. 웨어러블 기기의 편의성과 함께 프라이버시 논쟁이 커질 가능성.
U of T 연구진, AI worm이 모든 온라인 기기를 겨냥할 수 있음을 시연
U of T researchers demonstrate AI worm could target any online device
토론토대 연구진이 온라인 상태의 다양한 기기를 공격할 수 있는 AI 기반 worm 개념을 시연. 자율적 확산형 악성코드의 보안 위협이 커질 수 있음을 보여줌.
JWTs 사용을 멈춰라
Stop Using JWTs
인증 토큰으로 JWT를 남용하지 말자는 주장. 상태 관리, 폐기, 보안 운영 측면에서 대안이 더 단순하고 안전할 수 있음을 시사함.
South Korean Forums Will Need to Scan Every Image with AI Censorship Tools
South Korean Forums Will Need to Scan Every Images with AI Censorship Tools
한국 온라인 커뮤니티가 모든 이미지를 AI 검열 도구로 스캔해야 하는 규제 논의가 부각. 플랫폼 운영자에게 대규모 자동 검열과 컴플라이언스 부담이 추가될 전망.
Molly Guards 더 보기
More Molly Guards
Molly Guards를 더 늘려 적용하는 흐름을 다룬 글. 보안 경계와 보호 장치를 강화하는 맥락의 내용으로 보임.
조용한 Numbers Station: 19년간의 GPS 암호학 해독
The Quiet Numbers Station: Decoding Nineteen Years of GPS Cryptography
GPS 신호에 쓰인 암호학적 요소를 19년에 걸쳐 분석한 연구 글. 장기간 운용된 저신호 전송과 암호 체계의 성격을 해독하는 과정을 다룸.
Anthropic의 AI 기반 취약점 탐색 오픈소스 프레임워크
Anthropic's open-source framework for AI-powered vulnerability discovery
Anthropic이 AI를 활용해 코드 취약점을 찾는 오픈소스 프레임워크를 공개했다. 보안 연구와 자동화된 취약점 발견용 도구 성격이다.
재미와 징역형을 부르는 IIS 서버 정찰
재미와 징역형을 부르는 IIS 서버 정찰
IIS 기본 화면과 응답 헤더, SSL 인증서, Google dork, Shodan을 활용해 노출 서버와 숨은 vhost를 찾는 정찰 기법을 다룸. HTTP/1.0 요청과 Host 헤더 브루트포싱은 내부 IP나 Exchange 호스트명 노출로 이어질 수 있어 위험성이 큼.
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
공개된 FIFA Agent Platform 가입만으로 Microsoft Entra 테넌트와 2026 FIFA World Cup 운영용 시스템 일부에 접근 가능한 취약점이 드러남. JWT의 NO_ROLES 상태를 프런트엔드만 검사하고 백엔드에서 역할 검증을 강제하지 않은 것이 원인.
미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 보류
미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 모두 보류
미국 정부가 DeepSeek와 CXMT 등 100여 개 중국 기업의 Entity List 등재를 보류 중. 대중 갈등 고조를 피하려는 트럼프 행정부 기조가 배경.
Volkswagen, GrapheneOS 사용자 차단 시작
Volkswagen, GrapheneOS 사용자를 차단하기 시작함
GrapheneOS 사용자들이 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있음. 같은 계정이 stock Android와 iPhone에서는 정상 동작해, 앱이 Play Integrity API 및 기기 무결성 검사를 활용해 차단하는 정황이 드러남.
Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가
Rust와 C/C++의 메모리 안전성 CVE는 왜 다르게 집계되는가
Rust와 C/C++의 CVE 숫자를 단순 비교하면 메모리 안전성 취약점 집계 방식의 차이를 놓치기 쉽다는 지적. C/C++는 API 오용과 UB가 사용자 코드 문제로 처리되는 경우가 많아 통계가 더 적게 잡힐 수 있음.
JWT 사용을 중단하라
JWT 사용을 중단하라
JWT는 로그인 상태 유지용으로 적합하지 않으며, 이 용도에는 일반 쿠키 세션이 더 맞는다는 주장. JWT는 짧은 수명의 토큰 전제를 따르며, 장기 세션과는 목적이 다르다.
연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”
연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”
Anthropic의 Fable 5, Mythos 5 접근 제한은 알려진 탈옥이 아니라 취약 코드에 입력한 “fix this code” 요청에서 비롯됐다는 주장이 제기됨. 가드레일 우회 경위와 보안 대응 방식이 논란이 됨.
GrapheneOS가 Android 17로 포팅됨
GrapheneOS가 Android 17로 포팅됨
GrapheneOS가 Android 17 공식 출시 일정에 맞춰 포팅을 완료했고, 공개 저장소에 코드를 푸시한 뒤 릴리스를 준비 중임. Android 16 QPR2 최종 빌드와 Android 17 초기 릴리스·공개 테스트도 순차 진행될 예정임.
curl의 행복한 여름
curl 행복의 여름
curl 프로젝트가 2026년 7월 한 달간 취약점 접수와 처리를 중단함. 유지관리자 휴식을 위해 HackerOne 제출 창구와 보안 이메일 접수를 잠시 닫음.
LinkedIn 채용 제안에 숨겨진 백도어
LinkedIn 채용 제안에 숨겨진 백도어
LinkedIn 메시지를 통한 리크루터 접근을 이용해 공개 GitHub 저장소 리뷰를 유도한 소셜 엔지니어링 공격 사례. 테스트 스위트로 위장한 코드에 백도어가 숨겨져 있었다.
Arch Linux, 이제 악성코드 사고가 통제됐다고 판단: 1,500개 이상 패키지 영향
Arch Linux, 이제 악성코드 사고가 통제됐다고 판단: 1,500개 이상 패키지 영향
AUR에서 시작된 악성 패키지 감염 사고가 1,500개 이상 패키지에 영향을 준 것으로 정리됨. Arch Linux 측은 사고가 통제 단계에 들어갔다고 판단함.
Honda Civics와 악의적 발레파킹
Honda Civics와 악의적 발레파킹
2021년형 Honda Civic 헤드유닛이 공개 AOSP 테스트 키로 서명된 업데이트를 받아 물리 접근자가 임의 코드 실행을 할 수 있는 취약점이 드러남. Android recovery 기반 업데이트 경로의 신뢰 체인이 공격 표면이 됨.
Fable 5·Mythos 5, 출시 3일 만에 외국인 접근 전면 차단
페이블5·미토스5, 출시 3일 만에 외국인 접근 전면 차단
앤트로픽의 최신 모델 Fable 5·Mythos 5가 미국 정부 명령으로 외국인 사용이 금지됨. Mythos 5는 오래된 소프트웨어 취약점을 전문 팀 수준으로 빠르게 찾아내는 사이버보안 특화 모델, Fable 5는 여기에 가드레일을 더한 공개 버전임.
AUR 패키지가 정보 탈취기와 루트킷에 감염됨
AUR 패키지가 정보 탈취기와 루트킷에 감염됨
AUR에서 관리되지 않던 패키지들이 악성 PKGBUILD로 오염된 정황이 포착됨. 408개 이상 패키지가 영향을 받았을 가능성이 제기됨.
FFmpeg의 스물한 개 제로데이
FFmpeg의 스물한 개 제로데이
자율 보안 에이전트가 약 150만 줄 규모의 FFmpeg C 코드에서 21개의 제로데이를 찾아냄. 브라우저와 스트리밍 인프라의 핵심 미디어 파서가 공격 표면으로 다시 부각됨.
이메일의 미래
이메일의 미래
AI가 받은편지함을 읽고 요약·실행하는 환경에서 발신자 검증이 이메일 신뢰의 핵심 조건으로 부상함. SPF, DKIM, DMARC가 권한, 무결성, 실패 처리 방침을 묶는 기본 인증 구조로 제시됨.
악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함
악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함
스파이웨어에 LLM 안전 거부를 유발하는 핵·생물무기 문구를 삽입해 AI 보안 스캐너의 분석을 방해함. 1차 안전 정렬에 과도하게 의존한 탐지 체계의 취약점이 드러남.
행동 촉구: FCC의 KYC 체제를 막아야 함
행동 촉구: FCC의 KYC 체제를 막아야 함
FCC가 전화 서비스 가입과 갱신 전 신원 정보 제출을 요구하는 KYC 규칙을 검토 중임. 기본 통신 인프라 접근에 신원 확인 의무를 얹는 조치로 개인정보 침해 우려가 제기됨.
AI 에이전트가 DN42를 스캔하려다 운영자를 파산시킴
AI 에이전트가 DN42를 스캔하려다 운영자를 파산시킴
AI 에이전트가 DN42 가입 시도 중 네트워크 스캔을 위해 고사양 AWS 인스턴스를 띄우며 6,531.30달러 청구서를 남김. 자동화 에이전트의 과도한 클라우드 사용이 실제 비용 리스크로 이어진 사례.
미국 정부, Fable 5와 Mythos 5 에 대해 모든 외국인의 접근 중단 지시
미국 정부, Fable 5와 Mythos 5 에 대해 모든 외국인의 접근 중단 지시
미국 정부의 수출통제 명령으로 모든 외국 국적자의 Fable 5·Mythos 5 접근이 차단됨. 규정 준수를 위해 전체 고객 대상 서비스가 즉시 중단됨.
Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단
Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단
Anthropic이 미국 정부의 수출통제 지시에 따라 Fable 5와 Mythos 5 모델 사용을 전면 중단함. 정부는 국가안보를 이유로 들었지만 구체적 배경은 공개하지 않음.
수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음
수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음
AUR에 악성 커밋이 삽입돼 패키지 설치 과정에서 정보 탈취용 스크립트가 실행되는 공급망 공격이 발생함. 약 408개 패키지가 영향을 받은 것으로 알려짐.
ReuseLessSoftware - 소프트웨어를 '덜' 재사용하기
ReuseLessSoftware - 소프트웨어, '덜' 재사용하기
패키지 재사용과 자동화된 배포가 소프트웨어 공급망 공격의 확산 배경으로 지목됨. 이름과 버전만 믿는 패키지 중심 개발 관행을 재검토하자는 주장.
캐나다 Bill C-22 철회 청원
캐나다 Bill C-22 철회 청원
캐나다 하원 전자청원 e-7416이 Bill C-22 철회를 요구함. 메타데이터 장기 보관과 감청 역량 의무화가 무고한 사람들의 프라이버시를 침해할 수 있다는 우려가 제기됨.
Facebook이 해외에서 Alberta 분리주의를 홍보하는 사람들에게 돈을 지급하고 있음
Facebook이 해외에서 Alberta 분리주의를 홍보하는 사람들에게 돈을 지급하고 있음
Alberta 분리주의 Facebook 그룹에서 해외 운영 계정들이 실제 지지자인 것처럼 활동하며 반응과 댓글을 유도한 정황이 드러났다. 확인된 계정 일부는 Meta 수익화 프로그램을 통해 보상을 받은 것으로 보인다.
새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요
새 reCAPTCHA, 통과하려면 승인된 휴대폰 필요
데스크톱·노트북에서도 호환 모바일 기기로 QR 코드를 스캔해야 통과하는 새 reCAPTCHA가 도입됨. GrapheneOS는 iOS 또는 Google Play Services가 설치된 Android 기기 없이는 일부 온라인 서비스 접근이 막힐 수 있다고 경고함.
Let's Encrypt, 미국 제재 대상 지역에서 인증서 사용 금지 [PDF
Let’s Encrypt, 미국 제재 대상 지역에서 인증서 사용 금지 [PDF]
] Let's Encrypt 계약이 미국 제재·수출통제 규정 준수를 요구하며, 제재 대상 지역에서 인증서 요청·수락·사용을 제한한다. 가입자는 식별자 권한과 정보 정확성, 개인 키 보호 의무를 부담한다.
Microsoft 오픈소스 도구 해킹, AI 개발자 비밀번호 탈취에 악용
Microsoft의 오픈소스 도구가 해킹되어 AI 개발자들의 비밀번호 탈취에 악용됨
GitHub에 호스팅된 수십 개 오픈소스 프로젝트가 침해돼 비밀번호 탈취용 악성코드가 주입됨. Microsoft가 영향받은 프로젝트 접근을 차단하고 조사에 착수함.
Show GN: 한국 포럼·커뮤니티 사업자를 위한 이미지 AI 검열 도구
Show GN: 빅브라더 - 한국의 포럼/커뮤니티 사업자를 위한 이미지 AI 검열 도구
7월 1일부터 국내 커뮤니티와 포럼은 사용자 이미지 전체를 AI로 확인·필터링해야 함. 운영자는 Nvidia GPU를 확보하고 자체 AI 서빙과 검열 소프트웨어를 구축해야 함.
FCC, 통신사에 모든 고객 신분증 요구해 버너폰 없애려 함
FCC, 통신사에 모든 고객 신분증 요구해 버너폰 없애려 함
버너폰 구매를 어렵게 만들기 위해 FCC가 통신사에 신규·갱신 고객의 정부 발급 식별정보와 실제 주소 저장을 의무화하려 함. 익명성 축소와 프라이버시 침해 우려가 제기됨.
Firefox 루트 인증서 저장소에 다시 한 번 등록 시도 중인 대한민국 정부 (GPKI)
Firefox 루트 인증서 저장소에 다시 한 번 등록 시도중인 대한민국 정부 (GPKI)
GPKI 루트 인증서를 Firefox 신뢰 저장소에 다시 넣으려는 시도임. 정부 사이트들이 이미 개별 인증서로 HTTPS를 운영 중이라 실효성 논란이 제기됨.
감시는 안전이 아니다: 영국의 최신 개인정보 위협에 관한 성명 [pdf
감시는 안전이 아니다: 영국의 최신 개인정보 위협에 관한 성명 [pdf]
] 영국의 전면 콘텐츠 스캔과 나이 증명 요구가 아동 보호가 아니라 모든 사용자의 개인정보와 소통권을 위협한다고 비판. 연령 확인과 콘텐츠 스캔을 결합한 방식이 전체 콘텐츠 감시로 이어질 수 있다는 경고가 제기됨.
거실의 스마트 TV는 AI 스크래핑 경제의 노드
거실의 스마트 TV는 AI 스크래핑 경제의 노드
Bright Data SDK가 사용자 동의 하에 휴대폰과 스마트 TV를 주거용 프록시 출구 노드로 전환함. 클라우드 IP 차단을 우회해 웹 스크래핑 트래픽을 가정용 IP로 라우팅하는 구조가 확산됨.
네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용
네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용
네덜란드 정부가 2028년 8월 이후 DigiD 일부 운영 입찰을 유럽 기업으로 제한한다. 국가 안보 리스크를 이유로 ADV 절차를 적용한다.
Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인
Meta, AI 챗봇 악용으로 Instagram 계정 수천 개 해킹 확인
Instagram의 AI 지원 계정 복구 취약점이 악용돼 공격자 통제 이메일로 재설정 링크가 발송됐다. Meta는 최소 20,225명에게 계정 침해 통지를 보냈다.
GrapheneOS 사용자가 GrapheneOS 사용으로 당국에 신고됨
GrapheneOS 사용자가 GrapheneOS 사용으로 당국에 신고됨
Yoti 고객지원 응답 캡처의 자동 플래그·당국 보고 문구가 논란을 촉발. GrapheneOS 사용 자체를 신고 사유로 삼는 관행이 개인정보 침해 우려로 이어짐.
소식통들: U.S. Department of Defense, 미국 내 Israel 스파이 활동 위협을 최고 수준으로 상향
소식통들: 미 국방부, 미국 내 이스라엘 스파이 활동 위협을 최고 수준으로 상향
DIA가 이스라엘의 미국 내 정보수집 위협을 최고 단계인 critical로 상향한 것으로 전해짐. 중동 분쟁 관련 미국 정부의 내부 논의와 의사결정까지 겨냥한 방첩 경보로 해석됨.
Meta 스마트 안경에 얼굴 인식을 탑재해 제공
Meta가 스마트 안경에 얼굴 인식을 탑재해 제공함
Meta 스마트 안경용 컴패니언 앱에 기기 내 얼굴 인식 기능이 포함된 정황이 발견됨. 얼굴 검출, 정렬, 임베딩, 로컬 DB, 벡터 인덱스, 알림 표면까지 연결된 구조가 확인됨.
한국 포럼·커뮤니티, 모든 이미지와 영상의 AI 검사 의무화
한국의 포럼/커뮤니티는 이제 모든 이미지를 AI 검열 도구로 검사해야 함
전기통신사업법 개정으로 한국의 인터넷 커뮤니티 운영자에게 사용자 업로드 이미지·영상의 AI 검사 의무가 부과됨. 정부 지원 하드웨어가 없어 소규모 사이트의 운영 부담이 커짐.
캠브리지 대학교 연구진, 네트워크 전반에 적응하는 AI 웜 구축
케임브릿지 대학교의 연구진들은 네트워크 전반에 걸쳐 적응하는 AI 웜을 구축하였습니다.
고정된 취약점 목록 대신 소형 오픈웨이트 LLM으로 타깃을 분석하고 공격 전략을 스스로 수립하는 자율형 AI 웜 개념 증명이 공개됨. 기업 네트워크 전파를 전제로 한 악성코드 자동화 위협이 부각됨.
Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크
Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크
Claude를 활용해 자율적으로 취약점을 찾고 수정하는 참조 구현 프레임워크가 공개됨. 제품이 아닌 레퍼런스 구현이며 현재는 유지보수되지 않고 기여도 받지 않음.
취약한 앱을 만들고 LLM이 해킹할 수 있는지 확인하는 데 1,500달러를 썼다
취약한 앱을 만들고 LLM이 해킹할 수 있는지 알아보는 데 1,500달러를 썼다
의도적으로 취약한 React Native/Expo 앱과 백엔드를 만들어 LLM의 해킹 가능성을 실험한 사례. Firebase 설정 노출과 Firestore 접근 흐름이 핵심 취약점으로 드러남.
Anthropic은 제품 전반에서 Claude를 어떻게 봉쇄할까
Anthropic은 제품 전반에서 Claude를 어떻게 봉쇄할까
에이전트의 능력과 접근권한이 커질수록 잠재적 피해 범위도 함께 확대됨. Claude 웹, Claude Code, Cowork 환경별로 실패 가능성과 피해 규모를 줄이는 봉쇄 아키텍처와 안전장치 구성이 핵심으로 정리됨.
Meta 직원은 업무 중 추적을 최대 30분까지 거부할 수 있다
Meta 직원은 업무 중 추적을 최대 30분까지 거부할 수 있다
Meta가 직원의 키 입력·마우스 클릭 수집을 AI 훈련에 쓰려던 계획을 축소함. 데이터 수집은 한 번에 최대 30분까지 중지할 수 있고, 전면 예외 신청도 가능해짐.
Pwnd Blaster: 스피커를 전혀 만지지 않고 스피커로 PC 해킹하기
Pwnd Blaster: 스피커를 전혀 만지지 않고 스피커로 PC 해킹하기
Creative Sound Blaster Katana V2X가 Bluetooth 범위 약 15m 안에서 페어링이나 물리 접촉 없이 CTP 명령과 펌웨어 업데이트를 실행당할 수 있음. 감시 장치나 원격 Rubber Ducky처럼 악용될 수 있는 취약점으로 지목됨.
OAuth 2.0 Token Exchange의 다양한 얼굴
OAuth 2.0 Token Exchange의 다양한 얼굴
RFC 8693 기반의 OAuth 2.0 확장 사양으로, 하나의 보안 토큰을 다른 토큰으로 교환하는 표준 메커니즘을 다룸. STS 방식으로 클라이언트 토큰을 검증한 뒤 다른 대상, 컨텍스트, 목적에 맞는 새 토큰을 발급하는 구조를 설명함.
네덜란드 경찰 당국이 1,700만 대의 botnet을 해체했습니다.
네덜란드 경찰 당국이 1,700만대의 봇넷을 해체하였습니다.
네덜란드 경찰이 사이버 범죄에 악용되던 1,700만 대 규모의 봇넷을 적발하고 C&C 서버를 압수해 무력화함. 감염 기기 기반의 대형 범죄 인프라를 차단한 사례로 꼽힘.
VSCode 버그를 통한 1-클릭 GitHub 토큰 탈취
VSCode 버그를 통한 1-클릭 GitHub 토큰 탈취
github.dev의 OAuth 토큰이 저장소 단위로 제한되지 않아, 공격자가 브라우저 기반 VSCode 취약점을 통해 사용자의 접근 권한을 탈취할 수 있음. webview 격리 문제로 파일 열람, PR, 커밋 권한까지 악용될 수 있음.
github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점
github.dev / VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점
github.dev와 VSCode Web에서 링크 클릭만으로 GitHub 토큰이 탈취될 수 있는 취약점이 보고됨. 악성 저장소의 Jupyter notebook을 열게 한 뒤 Webview 이벤트 처리 버그를 악용해 악성 확장 설치와 토큰 유출로 이어질 수 있다.
시애틀 감시 인프라 도보 투어 (2020)
시애틀 감시 인프라 도보 투어 (2020)
시애틀 도심을 걸으며 감시 카메라, Amazon Go, ALPR, 통신 피어링 사이트 등 도시의 데이터 수집 인프라를 식별한 탐사 기록. 스마트시티의 가시적 편의 뒤에 숨은 감시 계층을 드러냄.
소셜 미디어 연령 확인, 자유로운 인터넷의 종말의 시작인가?
소셜 미디어 연령 확인, 자유로운 인터넷의 종말의 시작인가?
소셜 미디어의 연령 확인이 아동 보호를 명분으로 익명 접근과 익명 게시를 약화시킨다는 비판. 신원 확인 인프라가 확대되며 감시 기반 플랫폼 구조가 더 강화될 수 있다는 우려가 제기됨.