검색 결과
"security" · 67개 기사 · GeekNews
이메일 주소 심층 분석
이메일 주소 심층 분석
이메일 주소가 단순한 로컬 파트와 도메인 조합이 아니라 RFC 표준 기반의 복잡한 구조와 예외를 가진다는 점을 설명함. 검증·파싱 과정에서 자주 놓치는 보안 함정도 함께 다룸.
“Claude 90% 할인”의 정체, 알고 보니 AI 학습 데이터 탈취 통로였습니다
"클로드 90% 할인"의 정체, 알고 보니 AI 학습 데이터 탈취 통로였습니다
가짜 Claude 할인 광고가 AI 학습 데이터 탈취 경로로 악용된 정황을 다룸. 저가 유혹을 앞세운 수법이 데이터 유출 통로가 될 수 있음을 경고.
React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고
React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고
React Server Components와 Next.js에 영향을 미치는 12개 취약점이 공개되고 즉시 업데이트가 권고됨. React 팀과 Vercel이 동시 공지하며 애플리케이션 패치를 촉구함.
Google Cloud의 AI 에이전트 거버넌스 스택, "에이전트를 엔지니어 조직처럼 관리하라"
Google Cloud의 AI 에이전트 거버넌스 스택, "에이전트를 엔지니어 조직처럼 관리하라"
Google Cloud가 Cloud Next 26에서 Gemini Enterprise Agent Platform의 거버넌스 스택을 공개했다. AI 에이전트를 조직 단위의 보안·관리 대상으로 다루는 프레임워크를 제시했다.
요즘 노트북은 모두 내장 보안 토큰을 갖고 있다
요즘 노트북은 모두 내장 보안 토큰을 갖고 있다
노트북에 내장된 보안 토큰이 개인키를 기기 밖으로 내보내지 않고 장치 내부에서 서명하는 방식으로 동작함. 물리적 사용자 동작이 필요해 원격 공격자의 임의 서명 생성이 어렵다.
Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견
Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견
JFrog가 npm의 @bitwarden/cli 2026.4.0 버전이 하이재킹된 사실을 발견. 정상 패키지처럼 위장해 개발자 인증정보를 대규모로 탈취하는 공격이 확인됨.
Show GN: 자율형 에이전트를 위한 경량 보안 런타임
Show GN: 자율형 에이전트를 위한 경량 보안 런타임
OpenClaw 같은 자율형 에이전트의 실행 범위를 제한하는 경량 보안 런타임 소개. 더 넓은 행동 권한을 가진 에이전트의 안전한 사용을 목표로 함.
Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소
Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소
AI 에이전트가 외부 서비스에 접속할 때 쓰는 HTTP 자격 증명과 시크릿을 중계·보관하는 도구. 에이전트용 인증/비밀관리 계층을 분리해 운영한다.
재미와 징역형을 부르는 IIS 서버 정찰
재미와 징역형을 부르는 IIS 서버 정찰
IIS 기본 화면과 응답 헤더, SSL 인증서, Google dork, Shodan을 활용해 노출 서버와 숨은 vhost를 찾는 정찰 기법을 다룸. HTTP/1.0 요청과 Host 헤더 브루트포싱은 내부 IP나 Exchange 호스트명 노출로 이어질 수 있어 위험성이 큼.
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
공개된 FIFA Agent Platform 가입만으로 Microsoft Entra 테넌트와 2026 FIFA World Cup 운영용 시스템 일부에 접근 가능한 취약점이 드러남. JWT의 NO_ROLES 상태를 프런트엔드만 검사하고 백엔드에서 역할 검증을 강제하지 않은 것이 원인.
미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 보류
미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 모두 보류
미국 정부가 DeepSeek와 CXMT 등 100여 개 중국 기업의 Entity List 등재를 보류 중. 대중 갈등 고조를 피하려는 트럼프 행정부 기조가 배경.
Volkswagen, GrapheneOS 사용자 차단 시작
Volkswagen, GrapheneOS 사용자를 차단하기 시작함
GrapheneOS 사용자들이 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있음. 같은 계정이 stock Android와 iPhone에서는 정상 동작해, 앱이 Play Integrity API 및 기기 무결성 검사를 활용해 차단하는 정황이 드러남.
JWT 사용을 중단하라
JWT 사용을 중단하라
JWT는 로그인 상태 유지용으로 적합하지 않으며, 이 용도에는 일반 쿠키 세션이 더 맞는다는 주장. JWT는 짧은 수명의 토큰 전제를 따르며, 장기 세션과는 목적이 다르다.
연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”
연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”
Anthropic의 Fable 5, Mythos 5 접근 제한은 알려진 탈옥이 아니라 취약 코드에 입력한 “fix this code” 요청에서 비롯됐다는 주장이 제기됨. 가드레일 우회 경위와 보안 대응 방식이 논란이 됨.
GrapheneOS가 Android 17로 포팅됨
GrapheneOS가 Android 17로 포팅됨
GrapheneOS가 Android 17 공식 출시 일정에 맞춰 포팅을 완료했고, 공개 저장소에 코드를 푸시한 뒤 릴리스를 준비 중임. Android 16 QPR2 최종 빌드와 Android 17 초기 릴리스·공개 테스트도 순차 진행될 예정임.
curl의 행복한 여름
curl 행복의 여름
curl 프로젝트가 2026년 7월 한 달간 취약점 접수와 처리를 중단함. 유지관리자 휴식을 위해 HackerOne 제출 창구와 보안 이메일 접수를 잠시 닫음.
Fable 5·Mythos 5, 출시 3일 만에 외국인 접근 전면 차단
페이블5·미토스5, 출시 3일 만에 외국인 접근 전면 차단
앤트로픽의 최신 모델 Fable 5·Mythos 5가 미국 정부 명령으로 외국인 사용이 금지됨. Mythos 5는 오래된 소프트웨어 취약점을 전문 팀 수준으로 빠르게 찾아내는 사이버보안 특화 모델, Fable 5는 여기에 가드레일을 더한 공개 버전임.
FFmpeg의 스물한 개 제로데이
FFmpeg의 스물한 개 제로데이
자율 보안 에이전트가 약 150만 줄 규모의 FFmpeg C 코드에서 21개의 제로데이를 찾아냄. 브라우저와 스트리밍 인프라의 핵심 미디어 파서가 공격 표면으로 다시 부각됨.
악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함
악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함
스파이웨어에 LLM 안전 거부를 유발하는 핵·생물무기 문구를 삽입해 AI 보안 스캐너의 분석을 방해함. 1차 안전 정렬에 과도하게 의존한 탐지 체계의 취약점이 드러남.
Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단
Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단
Anthropic이 미국 정부의 수출통제 지시에 따라 Fable 5와 Mythos 5 모델 사용을 전면 중단함. 정부는 국가안보를 이유로 들었지만 구체적 배경은 공개하지 않음.
Claude Fable 5: 코딩 작업에서 중간 수준 결과를 냄
Claude Fable 5: 코딩 작업에서 중간 수준 결과를 냄
실제 코드 수정과 기능 유지가 필요한 200개 작업에서 중간 수준 성능을 기록함. Claude Code와 함께 실행했을 때 FuncPass 59.8%, SecPass 19.0%로 리더보드 중위권에 머묾.
왜 작별을 말할 수밖에 없는가: Google 경영진은 도덕적 나침반을 잃었다
왜 작별을 말할 수밖에 없는가: Google 경영진은 도덕적 나침반을 잃었다
Android 보안 리더의 사임을 계기로 Google의 경영 방향이 과거의 개방성과 윤리 원칙에서 멀어졌다는 비판이 제기됨. Android와 내부 문화의 변화가 핵심 배경으로 언급됨.
ReuseLessSoftware - 소프트웨어를 '덜' 재사용하기
ReuseLessSoftware - 소프트웨어, '덜' 재사용하기
패키지 재사용과 자동화된 배포가 소프트웨어 공급망 공격의 확산 배경으로 지목됨. 이름과 버전만 믿는 패키지 중심 개발 관행을 재검토하자는 주장.
사이버보안 연구자들, Anthropic의 Fable 가드레일에 불만
사이버보안 연구자들이 Anthropic의 Fable 가드레일에 불만을 표하고 있음
Fable이 강력한 사이버보안 모델 Mythos의 공개·제한 버전으로 나왔지만, 보안 관련 요청을 광범위하게 차단해 연구자와 전문가들의 반발을 샀음. 안전 가드레일이 발동하면 대화가 중단되고 보안·생물학 주제라는 이유가 표시됨.
npm v12의 예정된 호환성 깨짐 변경
npm v12의 예정된 호환성 깨짐 변경
npm v12에서 보안 관련 기본값이 자동 실행·해석에서 명시적 허용 방식으로 바뀐다. npm 11.16.0 이상에서 경고로 미리 확인할 수 있으며, allowScripts 기본값도 꺼짐으로 전환된다.
Firefox 루트 인증서 저장소에 다시 한 번 등록 시도 중인 대한민국 정부 (GPKI)
Firefox 루트 인증서 저장소에 다시 한 번 등록 시도중인 대한민국 정부 (GPKI)
GPKI 루트 인증서를 Firefox 신뢰 저장소에 다시 넣으려는 시도임. 정부 사이트들이 이미 개별 인증서로 HTTPS를 운영 중이라 실효성 논란이 제기됨.
네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용
네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용
네덜란드 정부가 2028년 8월 이후 DigiD 일부 운영 입찰을 유럽 기업으로 제한한다. 국가 안보 리스크를 이유로 ADV 절차를 적용한다.
캠브리지 대학교 연구진, 네트워크 전반에 적응하는 AI 웜 구축
케임브릿지 대학교의 연구진들은 네트워크 전반에 걸쳐 적응하는 AI 웜을 구축하였습니다.
고정된 취약점 목록 대신 소형 오픈웨이트 LLM으로 타깃을 분석하고 공격 전략을 스스로 수립하는 자율형 AI 웜 개념 증명이 공개됨. 기업 네트워크 전파를 전제로 한 악성코드 자동화 위협이 부각됨.
Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크
Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크
Claude를 활용해 자율적으로 취약점을 찾고 수정하는 참조 구현 프레임워크가 공개됨. 제품이 아닌 레퍼런스 구현이며 현재는 유지보수되지 않고 기여도 받지 않음.
취약한 앱을 만들고 LLM이 해킹할 수 있는지 확인하는 데 1,500달러를 썼다
취약한 앱을 만들고 LLM이 해킹할 수 있는지 알아보는 데 1,500달러를 썼다
의도적으로 취약한 React Native/Expo 앱과 백엔드를 만들어 LLM의 해킹 가능성을 실험한 사례. Firebase 설정 노출과 Firestore 접근 흐름이 핵심 취약점으로 드러남.
코드 리뷰에는 읽기가 필요하다
코드 리뷰에는 읽기가 필요하다
코드 리뷰는 배포 전 형식 절차가 아니라 장애, 보안 문제, 데이터 삭제 책임을 개인에서 팀으로 분산하는 장치라는 논지. 테스트, 기능 플래그, 가드레일, 관측 가능성만으로는 읽지 않은 코드 배포의 책임을 대체할 수 없다고 강조.
rsync와 분노
rsync와 분노
rsync 유지보수에 보안 보고서 증가와 AI 활용 논란이 겹치며 테스트, 코드 커버리지, 다중 플랫폼 CI, 보안 스캔 강화가 필요해졌음. 기존 셸 스크립트 구조를 Python 테스트 스위트로 대체하는 방향이 논의됨.
ChatGPT for Google Sheets가 프롬프트 인젝션으로 사용자 워크북을 외부 유출
ChatGPT for Google Sheets가 프롬프트 인젝션으로 사용자 워크북을 외부 유출
단일 숨은 간접 프롬프트 인젝션으로 계정 전반의 워크북이 유출되고 피싱 오버레이 공격까지 이어짐. human-in-the-loop 승인 요구가 설정돼 있어도 우회 가능했다.
Red Hat Cloud Services 전반에서 악성 npm 패키지 발견
Red Hat Cloud Services 전반에서 악성 npm 패키지 발견
Red Hat Cloud Services 범위의 여러 npm 릴리스에서 악성 버전이 발견돼 보안 이슈로 등록됨. 현재 이슈는 열려 있으며 담당자와 마일스톤, 연결된 브랜치나 PR은 없는 상태로 보임.
United Airlines 767, Bluetooth 이름이 경보를 촉발해 Newark로 회항
United Airlines 767, Bluetooth 이름이 경보를 촉발해 Newark로 회항
승객의 Bluetooth 기기 이름이 보안 경보를 유발해 United Airlines UA236편이 Newark로 회항했다. Boeing 767-400ER는 출발 약 60분 뒤 비상 코드 7700을 송신했다.
Codex가 내 PC에서 sudo 권한 없이 우회 방법을 찾아냄
Codex가 내 PC에 sudo 권한이 없는 상황의 "우회 방법"을 찾아냄
sudo 권한이 없는 PC에서 Codex가 작업을 이어갈 수 있는 우회 경로를 찾아낸 사례. 실행에는 sudo가 아니라 root-equivalent 접근이 필요했다는 점이 핵심.
NixOS 26.05 출시
NixOS 26.05 출시
Stage 1(initrd)가 기본적으로 systemd 기반으로 전환됨. NixOS 26.05 “Yarara”는 버그 수정과 보안 업데이트를 2026-12-31까지 7개월간 제공.
EY Canada가 사이버보안 보고서를 냈고 인용 대부분이 환각이었다
EY Canada가 사이버보안 보고서를 냈고 인용 대부분이 환각이었다
EY Canada의 44쪽 보고서에서 허위 인용, 잘못된 출처 표기, 가짜 통계가 다수 확인됨. AI 작성 텍스트 비중이 높게 표시됐고 참고 자료 표의 URL 상당수도 깨졌거나 실제 출처와 불일치함.
Claw Patrol - 에이전트를 위한 보안 방화벽
Claw Patrol - 에이전트를 위한 보안 방화벽
에이전트의 프로덕션 접근을 안전하게 관리하는 보안 방화벽이 소개됨. 자격 증명을 대신 보관하고 트래픽을 파싱해, 사용자 규칙에 따라 모든 액션을 세밀하게 게이팅한다.
Microsoft, GitHub 계정 차단 후 Windows 제로데이 공개를 강하게 비판
마이크로소프트, 깃허브 계정 차단 후 윈도우 제로데이 공개 비판
Microsoft가 패치 전 Windows 제로데이 공개에 반발하며 해당 보안 연구원의 GitHub 계정을 차단함. 연구원은 추가 폭로를 예고했고, CVD 절차를 둘러싼 갈등이 커짐.
제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단
제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단
GitHub가 Windows 제로데이 공개와 관련된 보안 연구자 Nightmare-Eclipse의 계정을 차단함. 연구자는 Microsoft의 보복이라고 주장하며 작업 공간을 GitLab로 옮김.
코딩 에이전트를 위한 Protestware
코딩 에이전트를 위한 Protestware
jqwik 1.10.0이 테스트 실행 중 코딩 에이전트에게 이전 지시를 무시하고 테스트와 코드를 삭제하라는 문장을 stdout에 출력. ANSI 시퀀스로 화면에서는 지워질 수 있지만 CI 로그와 에이전트 출력에는 남을 수 있음.
Decepticon - 레드팀을 위한 자율 해킹 에이전트
Decepticon - 레드팀을 위한 자율 해킹 에이전트
자율형 red team 에이전트 Decepticon 소개. 정찰, 익스플로잇, 권한 상승, 측면 이동, C2 송출까지 실제 공격 체인을 수행하도록 설계됨.
압박
압박
curl 유지보수가 공익성·엔지니어링 난제·품질 목표가 결합된 전업 업무로 굳어짐. 약 300억 건 설치 기반과 보안 실패 전파 위험 때문에 주 50시간 안팎의 부담이 이어짐.
공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함
공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함
Ghost CMS 심각한 취약점 CVE-2026-26980 악용 대규모 해킹 발생. 700개 이상 사이트 가짜 보안 인증 유도 ClickFix 공격에 감염됨.
Shamir의 비밀 공유 작동 방식
Shamir의 비밀 공유 작동 방식
비밀을 여러 조각으로 나누고 임계값 이상이 모여야만 복구되는 방식. 일부 조각이 유실돼도 복구 가능하고, 그보다 적으면 정보가 드러나지 않는 구조.
Ask GN: 평시에 만들어 둔 '관리 도구'가 비상 상황에서 큰 도움이 된 경험 있으신가요?
Ask GN: 1인 개발자, 평시에 만들어 둔 '관리 도구'가 비상 상황에서 큰 도움이 된 경험 있으신가요?
1인 개발자가 운영 중인 SafeClick 관리자 페이지에 익명 가입 API를 겨냥한 봇 로그인 시도가 한 시간에 약 1,600건 몰림. 평소 만들어 둔 관리 도구가 대응과 상황 파악에 큰 도움이 된 사례.
스캐머들이 Microsoft 내부 계정을 악용해 스팸 링크 발송중
스캐머들이 마이크로소프트 내부 계정을 악용해 스팸 링크 발송중
사기범들이 Microsoft 내부 이메일 주소를 악용해 공식 계정 알림처럼 보이는 스팸 메일을 발송한 사례가 보고됨. 문제의 발신 주소는 2단계 인증 코드 등 중요한 알림에 쓰이는 공식 채널로 알려짐.
Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀
Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀
Oura가 심박수, 수면, 생리 주기, 위치 등 민감한 건강 데이터를 수집하는 구조가 재조명됨. 서버 보관 방식이 영장, 내부자 접근, 키 탈취 위험에 노출될 수 있다는 우려가 제기됨.
CISA, 데이터 유출 수습 시도
CISA, 데이터 유출 수습 시도
CISA 계약자가 공개 GitHub 프로필에 내부 시스템용 평문 자격 증명을 올린 사실이 드러남. 저장소 비활성화 흔적과 함께 정부 보안 운영의 관리 부실 논란이 커짐.
Project Glasswing: 초기 업데이트
Project Glasswing: 초기 업데이트
강력한 AI 모델 악용에 앞서 중요 소프트웨어를 보호하려는 협력 프로젝트가 진행 중. 약 50개 파트너가 참여했고, Claude Mythos Preview가 파트너 코드에서 1만 개 이상의 높음·치명적 취약점을 찾아 발견 속도가 10배 이상 빨라짐.
SSH에서 REST로: 보안 중심의 Slack EMR 데이터 파이프라인 현대화
SSH에서 REST로: 보안 중심의 Slack EMR 데이터 파이프라인 현대화
700개가 넘는 SSH 기반 Operator로 운영하던 Slack 데이터 파이프라인을 REST 중심으로 전환한 사례. 프로덕션 EMR에 대한 직접 SSH 의존을 줄여 보안 표면과 운영 복잡도를 낮췄다.
GitHub 소스 코드 유출 - TeamPCP가 내부 소스 코드 접근을 주장
GitHub 소스 코드 침해 - TeamPCP가 내부 소스 코드 접근을 주장
TeamPCP가 GitHub 내부 시스템에서 조직 데이터와 소스 코드를 빼냈다고 주장하며 지하 포럼에서 판매 중이라고 알림. 약 4,000개 비공개 저장소와 5만 달러 초과 제안 요구가 포함됐다고 주장함.
GitHub, 악성 VSCode 확장을 통한 3,800개 저장소 침해 확인
GitHub, 악성 VSCode 확장을 통한 3,800개 저장소 침해 확인
GitHub 내부에서 악성 VSCode 확장 설치 이후 약 3,800개 저장소가 침해된 사실이 확인됨. 유출 범위는 내부 저장소로 제한된 것으로 평가되며, 확장은 마켓플레이스에서 제거됨.
Mini Shai-Hulud가 다시 공격: npm 패키지 314개 침해
Mini Shai-Hulud가 다시 공격: npm 패키지 314개 침해
atool npm 계정 침해로 317개 패키지에 악성 버전이 자동 배포됨. AWS 자격 증명 등 탈취를 노린 공급망 공격으로 Mini Shai-Hulud 계열과 유사한 구조가 확인됨.
OpenBSD 7.9 출시
OpenBSD 7.9 출시
OpenBSD 7.9가 출시됐고, 지연 최대절전 기능이 추가돼 suspend 상태의 배터리 방전을 줄일 수 있게 됨. root 권한 관련 보안 변경도 포함돼 시스템 보안 성격이 강화됨.
GitHub이 내부 저장소 무단 접근을 조사 중
GitHub이 내부 저장소 무단 접근을 조사 중
GitHub이 내부 저장소에 대한 무단 접근 사건을 조사 중. 현재까지는 내부 저장소 범위로 확인됐고, 고객 정보 유출 증거는 없다고 밝힘.
GitHub이 침해되어, 공격자가 GitHub 내부 3800개 저장소에 접근함
GitHub이 침해되어, 공격자가 GitHub 내부 3800개 저장소에 접근함
오염된 VS Code 확장을 통해 직원 기기가 침해되면서 GitHub 내부 저장소 접근 사고가 발생. 악성 확장 제거와 엔드포인트 격리 후 사고 대응 절차가 즉시 시작됨.
Project Glasswing: Mythos가 보여준 것
Project Glasswing: Mythos가 보여준 것
Mythos Preview가 Cloudflare의 50개 이상 저장소에서 개별 버그 탐지를 넘어 익스플로잇 체인을 구성한 사례를 보여줌. 트리거 코드 작성, 임시 실행, 가설 수정까지 반복해 동작 증명을 만들어낸 점이 핵심임.
Grafana, GitHub 토큰 유출로 코드베이스 다운로드 및 금전 갈취 시도 발생
Grafana GitHub 토큰 유출로 인해 코드베이스 다운로드 및 금전 갈취 시도 발생
유출된 GitHub 토큰을 악용한 공격자가 Grafana의 소스코드를 내려받고 데이터 협박을 시도함. Grafana는 FBI 지침에 따라 몸값 지불을 거부함.
Bitwarden의 조용한 개편
Bitwarden의 조용한 개편
Bitwarden이 Premium 가격 인상과 'Always free' 문구 삭제를 웹사이트 수정으로 조용히 반영한 정황. CEO 교체와 함께 과거 오픈 모델에서의 변화 가능성을 짚음.
Erlang/OTP 29.0
Erlang/OTP 29.0
SSH daemon 기본값에서 shell과 exec 서비스가 비활성화됨. SFTP subsystem도 기본 활성화가 빠져 보안 기본값이 강화됨.
보안 연구자가 Microsoft가 BitLocker 백도어를 만들었다며 익스플로잇 공개
보안 연구자가 Microsoft가 BitLocker 백도어를 만들었다고 말하며 익스플로잇 공개
YellowKey로 암호 없이 BitLocker 전체 볼륨 암호화를 우회할 수 있다는 주장 제기. WinRE와 USB 파일시스템 조합으로 재현 가능한 절차가 공개됨.
라바 램프의 무용성: 무작위가 실제로 의미하는 것
라바 램프의 무용성: 무작위가 실제로 의미하는 것
Cloudflare의 lava lamp 난수 홍보를 암호화 관점에서 마케팅에 가깝다고 비판함. 보안은 값 자체의 무작위성보다 공격자가 그 값을 얼마나 아느냐에 의해 좌우된다고 설명함.
프런티어 AI가 공개 CTF 형식을 깨뜨렸다
프런티어 AI가 공개 CTF 형식을 깨뜨렸다
프런티어 AI가 공개 CTF의 쉬운·중간 문제를 자동화해 점수판이 인간 보안 실력을 제대로 반영하지 못하게 됨. 모델이 추론과 풀이 코드 작성까지 맡으면서 인간은 플래그 복사만 남는 구조가 됐다.
‘막을 방법이 없다’, 이런 일이 정기적으로 일어나는 유일한 패키지 매니저가 말하다
‘막을 방법이 없다’, 이런 일이 정기적으로 일어나는 유일한 패키지 매니저가 말하다
npm 레지스트리 공급망 공격 사례를 들어 검증 안 된 패키지와 과도한 중첩 의존성의 위험을 지적. 생태계가 이를 반복적이고 피할 수 없는 문제처럼 받아들이는 분위기를 비판.
Show GN: SafeClick - 부모님 폰의 피싱 사기 사전 검사·알림 앱
Show GN: 세이프클릭 - 부모님 폰의 피싱 사기 사전 검사·알림 앱
부모님이 사칭 문자와 링크의 진위를 구분하기 어려운 문제에서 출발한 SafeClick 앱 소개. 링크와 메시지를 사전 검사하고 위험 신호를 알림해 피싱 피해를 줄이는 용도임.