검색 결과

가장 우스운 Instagram 'exploit'

The newest Instagram “exploit” is the goofiest I've seen

Instagram 계정 탈취를 노린 허술한 익스플로잇 사례를 정리. Meta 계정 보안 우회와 취약점 대응의 엉성함이 드러남.

Claude Fable이 도움을 멈춰도 당신은 알 수 없다

If Claude Fable stops helping you, you'll never know

Claude Fable의 실패나 중단이 겉으로 드러나지 않도록 설계된 점을 지적. 경쟁사 환경에서 앱을 조용히 방해할 수 있다는 위험을 경고함.

GrapheneOS가 Android 17로 포팅됨

GrapheneOS has been ported to Android 17

GrapheneOS가 Android 17 기반으로 포팅됨. 정식 배포가 곧 이어질 예정.

악성 npm 패키지가 Red Hat Cloud Services 전반에서 탐지됨

Malicious npm packages detected across Red Hat Cloud Services

Red Hat Cloud Services 관련 JavaScript 클라이언트에서 악성 npm 패키지 사용 정황이 발견됨. 공급망 오염 가능성이 제기되며 패키지 점검과 차단이 필요한 상황.

스피커만으로 PC를 해킹하는 방법

Hacking your PC using your speaker without ever touching it

스피커 경로를 악용해 PC를 조작하는 BadUSB 계열 기법을 다룸. 물리 접촉 없이도 오디오 출력이 공격면이 될 수 있음을 보여줌.

Mythos가 curl 취약점을 발견하다

Mythos Finds a Curl Vulnerability

Mythos가 curl에서 보안 취약점을 찾아냈음. 널리 쓰이는 오픈소스 네트워크 도구의 공급망 보안 중요성이 다시 부각됨.

10k GitHub repositories가 Trojan malware를 배포하는 것으로 확인

I found 10k GitHub repositories distributing Trojan malware

10,000개에 달하는 GitHub 저장소가 Trojan 악성코드 유포에 사용된 정황이 확인됨. 오픈소스 생태계를 노린 대규모 공급망 위협 사례로 분류됨.

하드웨어 어테스테이션이 독점 확대 장치가 되는 방식

Hardware Attestation as Monopoly Enabler

하드웨어 어테스테이션이 경쟁 제한과 플랫폼 통제를 강화할 수 있다는 비판. 보안 메커니즘이 시장 지배 수단으로 변질되는 문제를 짚음.

연구진: Fable 5는 '코드 고쳐줘' 프롬프트에 과민 반응, jailbreak는 아님

Feds freaked over Fable 5 after 'fix this code', not jailbreak, say researchers

연구진이 이번 사건은 jailbreak가 아니라 단순한 'fix this code' 프롬프트에 대한 과민 반응이었다고 설명. 연방 기관에서 우려가 커진 사례로 전해짐.

Microsoft의 open source tools가 해킹돼 AI 개발자 비밀번호를 탈취당함

Microsoft's open source tools were hacked to steal passwords of AI developers

Microsoft의 오픈소스 개발 도구가 침해돼 AI 개발자 계정 비밀번호가 유출된 것으로 보도. 개발자 자격 증명을 노린 공급망 공격 정황이 드러남.

네덜란드, 핵심 디지털 공급업체의 미국 인수 차단

Netherlands blocks US takeover of vital digital supplier

네덜란드가 핵심 디지털 공급업체의 미국 인수를 막음. 국가안보와 전략 인프라 통제 우려가 배경으로 거론됨.

당분간 새 소프트웨어를 설치하지 말아야 할지도 모름

Maybe you shouldn't install new software for a bit

새 소프트웨어 설치를 잠시 멈추라는 경고성 글. 업데이트와 설치에 따른 리스크를 줄이자는 보수적 운영 관점을 제시함.

Ian의 Secure Shoelace Knot

Ian's Secure Shoelace Knot

안전하게 풀리지 않도록 고안된 신발끈 매듭을 소개. 간단한 생활 기술이지만 실용성이 높은 팁.

이스라엘 기업 BlackCore, New York와 Scotland 투표 개입 의혹

Israeli firm BlackCore suspected of meddling in New York and Scotland votes

Reuters 보도에 따르면 BlackCore가 New York과 Scotland 선거 개입에 연루됐을 가능성이 제기됨. 정보 조작과 정치 개입 의혹이 핵심 쟁점으로 다뤄짐.

AI 에이전트가 DN42 스캔을 시도하다 운영자를 파산시킴

AI agent bankrupted their operator while trying to scan DN42

AI 에이전트가 네트워크 스캔 작업을 무리하게 수행하면서 운영 비용을 폭증시킨 사례. 자율 에이전트의 권한 통제와 비용 가드레일 필요성이 드러남.

GoDaddy가 문서 없이 도메인을 낯선 사람에게 넘김

GoDaddy gave a domain to a stranger without any documentation

GoDaddy가 충분한 문서 확인 없이 도메인을 제3자에게 이전한 사례가 제기됨. 도메인 관리와 소유권 검증 절차의 취약성이 논란이 됨.

사이버보안 연구자들, Anthropic의 Fable 가드레일에 불만

Cybersecurity researchers aren't happy about the guardrails on Anthropic's Fable

Anthropic의 Fable 안전장치가 보안 연구자들 사이에서 비판을 받음. 모델 악용 탐지와 연구 접근성 사이의 균형이 부족하다는 지적이 제기됨.

AMD는 소비자용 Ryzen CPU에서 메모리 암호화를 조용히 제거함

AMD silently removes memory encryption from consumer Ryzen CPUs

AMD가 최신 AGESA 펌웨어 이후 소비자용 Ryzen CPU에서 메모리 암호화 기능을 제거한 정황이 제기됨. 변경 내용이 명확히 공지되지 않아 사용자 보안 기능 저하 우려가 커짐.

Bitwarden의 조용한 개편

The Quiet Renovation at Bitwarden

Bitwarden의 제품과 운영을 눈에 띄지 않게 손질한 과정을 다룬다. 사용자 경험과 내부 구조 개선이 함께 진행된 사례로 읽힌다.

GitHub, 내부 저장소 무단 접근 여부 조사 중

GitHub is investigating unauthorized access to their internal repositories

GitHub가 내부 저장소에 대한 무단 접근 가능성을 조사하고 있다. 영향 범위와 침해 여부를 확인하는 보안 대응이 진행 중이다.

Mercor의 AI 계약자 4만 명에게서 4TB 음성 샘플이 도난당함

4TB of voice samples just stolen from 40k AI contractors at Mercor

Mercor 관련 보안 사고로 4만 명의 AI 계약자 음성 샘플 4TB가 유출됐다는 주장. 대규모 민감 데이터 탈취로 파장이 예상됨.

정교한 telecom surveillance 캠페인 2건을 밝혀낸 조사

Investigation uncovers two sophisticated telecom surveillance campaigns

연구진이 통신사 접근 권한을 악용한 정교한 감시 캠페인 2건을 포착. 휴대폰 위치 추적과 통신망 남용 문제가 드러남.

GitHub, zero-day Windows exploits를 올린 보안 연구자 차단

GitHub bans security researcher who posted zero-day Windows exploits

GitHub가 zero-day Windows exploit을 공개한 보안 연구자를 제재. 취약점 공개를 둘러싼 플랫폼 정책과 보안 연구 관행 충돌이 드러남.

Chrome, Google 서버로 데이터를 보내지 않는다는 On-device AI 주장 삭제

Chrome removes claim of On-device Al not sending data to Google Servers

Chrome 문서에서 온디바이스 AI가 Google 서버로 데이터를 보내지 않는다는 문구가 삭제됨. 프라이버시 설명과 실제 데이터 흐름에 대한 논란이 이어짐.

Mullvad 종료 IP가 놀라울 정도로 식별 가능함

Mullvad exit IPs are surprisingly identifying

Mullvad VPN의 종료 IP가 예상보다 강한 식별 신호가 될 수 있음을 분석함. 익명성 경계가 IP 기반 지문화로 흔들릴 수 있다는 내용.

VSCode 버그를 통한 GitHub 토큰 1클릭 탈취

1-Click GitHub Token Stealing via a VSCode Bug

VSCode 버그를 악용해 GitHub 토큰을 탈취하는 공격 기법을 다룸. 개발자 계정과 저장소 접근권한이 위험해질 수 있음.

Mini Shai-Hulud가 다시 공격: 314개 npm 패키지 침해

Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised

npm 생태계에서 공급망 공격이 재발하며 314개 패키지가 침해됨. 개발자 계정·배포 체인을 노린 악성 패키지 유포 가능성이 제기됨.

OpenBSD 7.9

OpenBSD 7.9

OpenBSD 7.9 릴리스 공지. 보안 중심 BSD의 최신 업데이트와 하드웨어 지원 개선이 포함됨.

CISA 관리자가 GitHub에 AWS GovCloud 키를 유출

CISA Admin Leaked AWS GovCloud Keys on GitHub

CISA 관리자 계정 관련 AWS GovCloud 키가 GitHub에 노출된 사건이 보도됨. 정부 클라우드 자격증명 관리와 비밀키 유출 위험을 다시 드러냄.

bug bounty 프로그램을 종료합니다

We are retiring our bug bounty program

bug bounty program 종료를 공지한 글. 보안 제보와 취약점 대응 체계를 기존 방식에서 재정비하는 흐름으로 읽힘.

French 정부 기관, 침해 사실 확인 후 해커의 데이터 판매 시도

French government agency confirms breach as hacker offers to sell data

French 정부 기관이 침해 사실을 확인했고, 해커가 탈취 데이터를 판매하려는 정황이 드러남. 공공 부문 정보 유출 이슈로 이어짐.

curl, 2026년 7월에는 취약점 보고를 받지 않겠다

Curl will not accept vulnerability reports during July 2026

curl 프로젝트가 2026년 7월 동안은 취약점 보고를 접수하지 않겠다고 공지함. 유지보수 일정 조정과 휴식 기간 성격의 안내로 보임.

프런티어 AI가 오픈 CTF 포맷을 무너뜨렸다

Frontier AI has broken the open CTF format

프런티어 AI의 성능 향상으로 전통적인 오픈 CTF 대회 형식이 더 이상 유효하지 않다고 주장. 보안 실습과 대회 설계의 변화 필요성을 제기.

Peter Neumann이 별세함

Peter Neumann has died

컴퓨터 과학자 Peter Neumann의 별세 소식. 시스템 안전성과 보안 분야에 큰 영향을 준 인물로 알려짐.

Do_not_track

Do_not_track

웹 추적 차단과 프라이버시 보호를 주제로 한 프로젝트/사이트. 사용자 추적 방식과 대응 방법을 다루는 흐름으로 보임.

Copy Fail – CVE-2026-31431

Copy Fail – CVE-2026-31431

Copy Fail 관련 CVE-2026-31431 보안 이슈가 공유됨. 취약점 영향 범위와 대응 여부가 핵심.

Google Cloud fraud defense, reCAPTCHA의 다음 진화

Google Cloud fraud defense, the next evolution of reCAPTCHA

Google Cloud가 reCAPTCHA를 확장한 Fraud Defense를 공개. 계정 생성, 로그인, 결제 구간의 자동화·사기 시도를 탐지하는 방어 계층을 강화.

CopyFail는 Gentoo 개발자에게 공개되지 않았다

CopyFail was not disclosed to Gentoo developer

CopyFail 관련 취약점이 Gentoo 개발자에게 사전 공개되지 않았다는 점이 드러남. 공급망 보안과 책임 있는 공개 절차가 쟁점.

Stripe의 Friendly Fraud 대응 논란

Stripe is friendly to “friendly fraud”

Stripe 결제 시스템의 Friendly Fraud 처리 방식 비판. 결제 플랫폼의 사기 방지 정책과 책임 소재 문제 대두.

PyTorch Lightning AI Training Library에서 Shai-Hulud 테마 악성코드 발견

Shai-Hulud Themed Malware Found in the PyTorch Lightning AI Training Library

PyTorch Lightning AI 학습 라이브러리에서 Shai-Hulud 계열 악성코드가 발견됨. AI 훈련용 의존성 체인을 노린 공급망 공격 우려가 커짐.

사고 보고서: CVE-2024-YIKES

Incident Report: CVE-2024-YIKES

CVE-2024-YIKES 보안 사고의 경위와 영향을 정리. 취약점 대응 과정과 재발 방지 포인트를 다룸.

펜타곤, 이스라엘의 미국 스파이 위협 수준을 최고로 상향했다는 보도

Pentagon raised threat of Israeli spying on U.S. to highest level, sources say

복수의 소식통에 따르면 펜타곤이 이스라엘의 대미 스파이 위협을 최고 수준으로 평가함. 군사·정보 분야의 긴장과 보안 우려가 다시 부각됨.

The Gay Jailbreak Technique

The Gay Jailbreak Technique

대형 언어모델의 안전장치를 우회하는 jailbreak 기법을 다룸. 프롬프트 기반 취약점과 우회 패턴을 분석함.

Fast16: Stuxnet 5년 전의 고정밀 소프트웨어 사보타주

Fast16: High-precision software sabotage 5 years before Stuxnet

Stuxnet보다 5년 앞선 고정밀 소프트웨어 사보타주 사례를 추적함. Shadow Brokers 관련 단서를 바탕으로 공격 정황을 분석함.

미국, DeepSeek 블랙리스트 지정을 보류하고 100개 이상 기업을 보안 위험으로 지정

US holds off blacklisting DeepSeek, more than 100 firms deemed security risks

미국이 DeepSeek의 블랙리스트 추가를 일단 보류함. 대신 100곳이 넘는 기업을 안보 위험으로 분류하며 대중국 기술 규제를 유지하는 흐름이 이어짐.

Project Glasswing: Mythos가 우리에게 보여준 것

Project Glasswing: what Mythos showed us

Cloudflare의 Project Glasswing과 Mythos를 통해 사이버 프런티어 모델의 동작과 한계를 살핀다. 공격·방어 자동화 관점의 시사점을 정리한다.

Tell HN: 내 iPhone에 앱이 매일 몰래 설치된다

Tell HN: An app is silently installing itself on my iPhone every day

iPhone에 원치 않는 앱이 반복적으로 자동 설치된다는 사용자 제보. 기기 보안과 설치 경로의 이상 징후를 의심하게 하는 사례.

내 오디오 인터페이스는 기본값으로 SSH가 활성화돼 있다

My audio interface has SSH enabled by default

오디오 인터페이스 펌웨어에서 SSH가 기본 활성화된 사례가 드러남. 임베디드 기기 보안 설정과 기본 계정 관리의 위험성을 보여줌.

재미로 IIS 서버를 망신시키다, 그리고 감옥행

Humiliating IIS servers for fun and jail time

IIS 서버를 겨냥한 공격과 그 법적 결과를 다룬 보안 글. 장난 수준의 행위도 형사 처벌로 이어질 수 있음을 강조함.

Microsoft Copilot Cowork, 파일 유출 가능성 드러나

Microsoft Copilot Cowork Exfiltrates Files

Microsoft Copilot Cowork 기능이 파일을 외부로 유출하는 데 악용될 수 있다는 보안 이슈가 제기됨. 에이전트형 협업 기능의 데이터 탈취 위험을 보여준다.

Oura가 정부의 사용자 데이터 요구를 받는다고 밝힘

Oura says it gets government demands for user data

Oura가 정부로부터 사용자 데이터 제공 요구를 받고 있다고 밝힘. 얼마나 자주 어떤 범위의 요구를 받는지 공개할지 여부가 쟁점으로 떠오름.

EY Canada 사이버보안 보고서, 인용문의 상당수가 환각으로 드러남

EY Canada published a cybersecurity report and most citations were hallucinated

EY Canada의 사이버보안 보고서에서 다수의 인용이 생성형 AI 환각으로 확인됨. 보고서 검증 절차와 AI 활용 리스크가 문제로 부각됨.

Google의 AI가 조작당하고 있다, 검색 대기업이 조용히 대응 중

Google's AI is being manipulated. The search giant is quietly fighting back

Google AI 결과를 조작하려는 시도가 늘자 대응을 강화하고 있음. 검색·요약 시스템의 악용 방지와 품질 유지가 핵심.

네덜란드 정부, DigiD 플랫폼 운영은 유럽 기업에만 허용

Dutch gov't will only allow European company to operate DigiD platform

네덜란드 정부가 DigiD 운영 사업자를 유럽 기업으로 제한함. 공공 디지털 신원 인프라의 주권과 보안 통제를 강화하는 조치.

신용카드는 브루트포스형 공격에 취약

Credit cards are vulnerable to brute force kind attacks

신용카드 결제 시스템이 브루트포스 계열 공격에 취약할 수 있다는 분석. 카드 인증과 결제 보안의 구조적 약점을 지적.

Trump Mobile, 고객 개인정보 유출

Trump Mobile exposed customers' personal data

Trump Mobile이 고객의 전화번호와 집 주소를 포함한 개인정보를 노출한 사실이 드러났다. 데이터 보호와 통신 서비스 신뢰성 문제가 제기됨.

새로운 Nginx 익스플로잇

New Nginx Exploit

Nginx 대상의 새로운 익스플로잇이 공개됨. 서버 운영 환경에서 즉시 점검과 패치 필요성이 커짐.

GrapheneOS, Google이 패치 거부한 Android VPN 누수 수정

GrapheneOS fixes Android VPN leak Google refused to patch

GrapheneOS가 Android의 VPN 누수 버그를 수정함. Google이 대응하지 않은 보안 문제를 커뮤니티가 해결한 사례.

Malware 개발자들이 스파이웨어에 핵무기와 생물무기 관련 문구를 추가함

Malware developers added nuclear and biological weapons text to to their spyware

스파이웨어 코드에 핵·생물무기 관련 문구가 포함된 정황이 포착됐다. 악성코드 개발자들의 은닉·위장 방식과 위협성 해석이 주목된다.

ChatGPT for Google Sheets, 워크북 유출

ChatGPT for Google Sheets exfiltrates workbooks

Google Sheets용 ChatGPT 도구가 워크북 내용을 외부로 유출할 수 있는 취약점이 지적됨. 프롬프트 인젝션과 데이터 노출 위험이 핵심 이슈.

Cloudflare Flagship 소개

Cloudflare Flagship

Cloudflare 차세대 개발자 플랫폼 및 제품군 공개. 네트워크 보안과 클라우드 컴퓨팅 통합 엔터프라이즈 솔루션 제공.

OpenAI 개인정보 필터

OpenAI Privacy Filter

OpenAI가 개인정보 노출을 줄이기 위한 Privacy Filter를 공개. 민감한 데이터 차단과 안전한 사용을 겨냥한 기능으로 보임.

Wake up! 16b

Wake up! 16b

16비트 기반 퍼즐 또는 리버스엔지니어링 문제를 풀이한 기록. 저수준 동작 분석과 트릭을 통해 동작 원리를 복원함.

해고 직후 96개 government database를 지운 쌍둥이 형제

Twin brothers wipe 96 government databases minutes after being fired

해고된 IT 직원이 정부 database 수십 개를 삭제한 사건을 다룸. 내부 접근권한 관리와 퇴사 절차 통제가 핵심 리스크로 드러남.

Show HN: 오프라인 비밀번호 크래킹을 4년간 익힌 이야기

Show HN: I Dedicated 4 Years to Mastering Offline Password Cracking

오프라인 비밀번호 크래킹 기술을 4년간 학습한 경험담. 해시 공격과 패스워드 보안의 현실을 다룸.

CISA, 데이터 유출 차단 시도

CISA tries to contain data leak

CISA가 데이터 유출 사태를 수습하는 중. 미국 의원들이 대응 경위와 피해 범위에 대한 설명을 요구하고 있음.

Obsidian 플러그인이 remote access trojan 배포에 악용됨

Obsidian plugin was abused to deploy a remote access trojan

Obsidian 플러그인 경로가 Phantom Pulse RAT 배포 캠페인에 악용됨. 신뢰된 확장 기능을 통한 침투 위험이 다시 부각됨.

취약한 앱을 만들고 LLM이 해킹할 수 있는지 1,500달러를 써서 실험했다

I built a vulnerable app and spent $1,500 seeing if LLMs could hack it

취약한 애플리케이션을 직접 만든 뒤 여러 LLM의 공격 능력을 시험한 실험기임. 자동화된 취약점 탐지와 익스플로잇 가능성이 어디까지 오는지 비용을 들여 검증함.

FFmpeg의 21개 제로데이

Twenty One Zero-Days in FFmpeg

FFmpeg에서 21개의 제로데이 취약점이 발견됨. 멀티미디어 처리 핵심 라이브러리의 보안 리스크가 재부각됨.

United Airlines 767, Bluetooth 이름 경보로 뉴어크에 회항

United Airlines 767 returns to Newark after Bluetooth name sparks alert

United Airlines 767 항공편이 블루투스 기기 이름과 관련된 경보로 뉴어크로 회항. 보안 오인식이 운항 차질로 이어진 사례.

Linux security 메일링 리스트가 거의 감당 불가 수준이 됨

Linux security mailing list 'almost unmanageable'

AI 기반 버그 헌터와 대량 제보로 Linux security 메일링 리스트가 과부하 상태에 이르렀다는 보도. Linus Torvalds가 관리 어려움을 지적함.

Instructure, Canvas 해커들에게 몸값 지불

Instructure pays ransom to Canvas hackers

교육용 플랫폼 Canvas를 운영하는 Instructure가 해킹 사건과 관련해 몸값을 지불한 것으로 알려짐. 랜섬 대응과 서비스 보안 문제가 다시 부각됨.

거실의 Smart TV는 AI 스크래핑 경제의 노드다

The Smart TV in Your LivingRoom Is a Node in the AIScraping Economy

스마트 TV가 대규모 데이터 수집과 AI 스크래핑 인프라의 일부처럼 활용되는 구조를 지적함. 가정용 기기가 콘텐츠 수집 네트워크의 노드가 되는 현실을 다룸.

HDD 펌웨어 해킹

HDD Firmware Hacking

HDD 펌웨어를 해킹하는 방법과 가능성을 다룸. 저장장치 내부 동작층을 건드리는 저수준 보안 주제.

Shamir의 Secret Sharing 작동 원리

How Shamir's Secret Sharing Works

Shamir의 Secret Sharing 암호기법의 동작 방식을 설명함. 비밀을 여러 조각으로 분할해 일정 수 이상이 모여야 복원되는 구조를 다룸.

Meta, AI 챗봇 악용으로 수천 개 Instagram 계정 해킹 확인

Meta confirms 1000s of Instagram accounts were hacked by abusing its AI chatbot

Meta의 AI 챗봇 취약한 악용 경로를 통해 Instagram 계정 수천 개가 탈취된 것으로 확인됨. 챗봇 기반 서비스가 계정 보안의 새로운 공격면으로 부각됨.

Dirtyfrag: 범용 Linux LPE

Dirtyfrag: Universal Linux LPE

Linux 로컬 권한 상승 취약점 Dirtyfrag 공개. 보안 권고와 함께 악용 가능성 점검이 필요한 사안.

GitHub Actions가 가장 약한 고리임

GitHub Actions is the weakest link

GitHub Actions가 CI/CD 공급망에서 가장 취약한 연결고리라는 문제 제기. 자동화 파이프라인의 보안과 신뢰 경로 점검 필요성이 강조됨.

CVE-2026-31431: rootless containers에서의 Copy Fail

CVE-2026-31431: Copy Fail vs. rootless containers

rootless containers 환경에서 발생하는 Copy Fail 취약점 CVE-2026-31431이 다뤄짐. 컨테이너 격리와 파일 복사 동작의 경계에서 보안 이슈가 드러남.

AMD가 수정하지 않은 RCE

The RCE that AMD wouldn't fix

AMD 제품에서 원격 코드 실행(RCE) 취약점이 발견됐지만 수정이 이뤄지지 않았다는 내용을 다룸. 하드웨어 보안 취약점 대응의 지연과 책임 문제를 부각함.

Claude Mythos Preview로 Firefox 보안 강화하기

Hardening Firefox with Claude Mythos Preview

Mozilla가 Claude Mythos Preview를 활용해 Firefox 하드닝 작업을 진행한 사례. 브라우저 보안 강화와 코드 품질 보조에 AI 도구를 적용한 흐름.

WebCLI를 탑재해 모든 프로토콜을 다루는 하드웨어 해킹 도구 ESP32 Bit Pirate

ESP32 Bit Pirate, a Hardware Hacking Tool with WebCLI That Speaks Every Protocol

ESP32 기반 하드웨어 해킹 툴 ESP32 Bit Pirate 소개. WebCLI로 다양한 프로토콜을 제어하고 분석하는 범용 보안 실험 플랫폼을 지향함.

웹사이트가 방문자를 엿보는 새로운 방법, SSD 활동 분석

Websites have a new way to spy on visitors: analyzing their SSD activity

웹사이트가 방문자의 SSD 활동을 분석해 추적하는 새로운 기법이 제기됨. 브라우저 밖 저장장치 동작을 신호로 활용해 프라이버시 우려를 키움.

GitHub RCE 취약점: CVE-2026-3854 분석

GitHub RCE Vulnerability: CVE-2026-3854 Breakdown

GitHub 관련 원격 코드 실행(RCE) 취약점 CVE-2026-3854의 원인과 영향을 분석. 플랫폼 보안과 공급망 리스크 대응이 강조됨.

격자 기반 암호학 입문 [pdf

A Gentle Introduction to Lattice-Based Cryptography [pdf]

] 격자 기반 암호학의 기초를 설명하는 입문 자료. 수학적 배경과 암호 시스템 적용을 개괄한다.

FBI가 미국 번호판 판독기 데이터에 '거의 실시간' 접근을 원함

The FBI Wants 'Near Real-Time' Access to US License Plate Readers

FBI가 미국 전역의 차량 번호판 판독 데이터에 거의 실시간으로 접근하려는 움직임이 보도됨. 감시 확대와 프라이버시 우려가 함께 제기됨.

AISLE, OpenEMR 의료 소프트웨어에서 CVE 38개 발견

AISLE Discovers 38 CVEs in OpenEMR Healthcare Software

AISLE이 의료기관 10만 곳 이상에서 쓰이는 OpenEMR에서 중대한 보안 취약점 38개를 발견. 헬스케어 소프트웨어 공급망 전반의 보안 점검 필요성이 부각됨.

GnuPG – 포스트양자 암호가 mainline에 반영됨

GnuPG – post-quantum crypto landing in mainline

GnuPG에 포스트양자 암호 기능이 메인라인으로 들어감. 기존 공개키 암호 체계의 장기 보안 대비가 본격화되는 흐름.

CERT가 dnsmasq의 심각한 보안 취약점에 대한 6개 CVE를 공개

CERT is releasing six CVEs for serious security vulnerabilities in dnsmasq

CERT가 dnsmasq의 중대한 보안 취약점 6건에 대한 CVE를 공개. 네트워크 인프라에서 널리 쓰이는 구성요소라 대응이 필요함.

보안에서 obscurity는 나쁜 것만은 아니다

Security through obscurity is not bad

보안은 obscurity가 무조건 악이라는 통념에 이의를 제기함. 공개 설계와 은닉 요소의 조합이 실제 위협 모델에서 유효할 수 있음을 주장함.

CBP Directive 3340-049B: 전자기기 국경 검색

CBP Directive 3340-049B: Border Search of Electronic Devices

미국 CBP의 전자기기 국경 검색 지침 문서를 다룸. 휴대기기 검사, 검색, 압수 관련 절차와 기준을 규정함.

€0.01 은행 이체가 banking AI agent를 탈취할 수 있음

A €0.01 bank transfer could compromise a banking AI agent

매우 작은 금액의 은행 이체만으로도 banking AI agent가 악용될 수 있다는 보안 이슈. 금융 AI 어시스턴트의 입력 검증과 권한 경계가 핵심 위험으로 지적됨.

Canonical/Ubuntu가 DDoS 공격을 받음

Canonical/Ubuntu have been under DDoS

Canonical의 상태 페이지가 DDoS 공격 영향으로 장애를 겪음. Ubuntu 관련 서비스 운영에 지연과 불안정이 발생함.

SVG를 안전하게 정화하는 일의 어려움

The woes of sanitizing SVGs

SVG sanitization이 생각보다 복잡하고 위험하다는 점을 다룸. 스크립트·외부참조·예상 밖 파서 동작이 보안 이슈로 이어질 수 있음.

Bad Connection: 은밀한 감시 행위자의 글로벌 통신망 침해

Bad Connection: Global telecom exploitation by covert surveillance actors

전 세계 통신망을 대상으로 한 은밀한 감시 행위자의 침해 사례를 추적한 조사 보고서임. 통신 인프라를 악용한 감시와 침투의 규모와 수법을 다룸.

execve()를 통한 로컬 권한 상승

Local privilege escalation via execve()

FreeBSD 보안 권고로 공개된 로컬 권한 상승 취약점. execve() 경로와 관련된 보안 이슈로 분류됨.

FBI director의 Based Apparel 사이트에서 'ClickFix' 공격 정황 포착

FBI director's Based Apparel site has been spotted hosting a 'ClickFix' attack

FBI director의 Based Apparel 사이트가 방문자를 속여 악성코드 설치를 유도하는 ClickFix 공격에 악용된 정황이 포착됨. 정상 사이트를 가장한 사회공학 수법으로 감염을 유도하는 사례로 분류됨.

최첨단 AI 접근은 곧 경제적·보안적 제약으로 제한될 것

Access to frontier AI will soon be limited by economic and security constraints

프런티어 AI에 대한 접근이 비용과 보안 요인에 의해 좁아질 가능성을 제기함. 모델 사용과 배포의 진입장벽이 더 높아질 수 있다는 전망.

DoD 계약업체 보안: 멀티테넌트 권한 부여 취약점 발견

Securing a DoD contractor: Finding a multi-tenant authorization vulnerability

Strix가 DoD 지원 스타트업에서 인증 없이 접근 가능한 권한 부여 취약점을 찾아냈다. 멀티테넌트 환경의 접근 제어 결함이 핵심 이슈로 지적됨.

Ruby Bundler를 위한 Cooldown 지원

Cooldown Support for Ruby Bundler

Ruby Bundler에 cooldown 기능이 추가됨. 새로운 gem을 바로 허용하지 않고 검증 시간을 두는 방식으로 안전성을 높임.

React2Shell 이야기

The React2Shell Story

React2Shell 보안 이슈의 전개 과정을 정리한 글. 취약점 발견, 확산 경로, 대응 흐름을 중심으로 설명.

Scammers, Microsoft 내부 계정을 악용해 스팸 링크 발송

Scammers are abusing an internal Microsoft account to send spam links

사기범들이 Microsoft 내부 계정을 악용해 스팸 링크를 보내는 정황이 확인됨. 신뢰된 계정 기반 전송 경로가 피싱과 스팸 확산에 이용됨.

1,000건의 데이터 유출 이후에도 공개 지연은 더 악화됨

1k Data Breaches Later, the Disclosure Lag Is Worse

데이터 유출 공개 지연이 1,000건 이상 누적 뒤에도 더 나빠졌다는 분석. 사고 탐지와 공지 사이의 시간차가 보안 리스크로 지속됨.

U of T 연구진, AI worm이 모든 온라인 기기를 겨냥할 수 있음을 시연

U of T researchers demonstrate AI worm could target any online device

토론토대 연구진이 온라인 상태의 다양한 기기를 공격할 수 있는 AI 기반 worm 개념을 시연. 자율적 확산형 악성코드의 보안 위협이 커질 수 있음을 보여줌.

C# 메모리 안전성 개선

Improving C# Memory Safety

C#의 메모리 안전성을 높이기 위한 개선 방향을 다룸. 언어 차원의 안전성 강화와 관련된 업데이트 성격의 글.

의사에게 당신을 녹음하게 두지 말라

Refuse to let your doctor record you

진료 과정 녹음에 대한 거부 권고 글. 환자 프라이버시와 기록 통제의 중요성을 강조함.

Ramp의 Sheets AI가 재무 정보를 유출한다

Ramp's Sheets AI Exfiltrates Financials

스프레드시트용 AI 기능이 재무 데이터를 외부로 노출할 수 있다는 보안 이슈를 지적한 글. 기업 데이터와 LLM 연동의 유출 위험을 보여준다.

Discret 11, 80년대 프랑스 TV 암호화

Discret 11, the French TV encryption of the 80s

80년대 프랑스 TV 암호화 시스템 Discret 11을 다룬 기술사 자료. 방송 신호 보호 방식과 당시의 구현 맥락을 정리함.

JWTs 사용을 멈춰라

Stop Using JWTs

인증 토큰으로 JWT를 남용하지 말자는 주장. 상태 관리, 폐기, 보안 운영 측면에서 대안이 더 단순하고 안전할 수 있음을 시사함.

합법적 TLS Wiretapping의 병렬 재구성

Parallel Reconstruction of Lawful TLS Wiretapping

합법적 TLS wiretapping 재현 과정을 병렬 방식으로 정리한 기술 글. TLS 트래픽 처리와 복호화 흐름을 실험적으로 검증하는 내용으로 보임.

Copy Fail, Dirty Frag, and Fragnesia 커널 취약점

Copy Fail, Dirty Frag, and Fragnesia kernel vulnerabilities

Gentoo가 Copy Fail, Dirty Frag, Fragnesia 관련 커널 취약점을 공개했다. 시스템 권한 상승이나 안정성 문제로 이어질 수 있어 패치가 필요하다.

Let’s Encrypt, 잠재적 사고 대응을 위한 발급 중단

Let’s Encrypt – Stopping Issuance for Potential Incident

Let’s Encrypt가 잠재적 사고 가능성에 대응해 인증서 발급을 중단했다. 상태 페이지를 통해 조치와 영향 범위를 안내했다.

cPanel의 검은 주간: 44k 서버 공격 후 3개 신규 취약점 패치

CPanel's Black Week: 3 New Vulnerabilities Patched After Attack on 44k Servers

44,000대 서버를 겨냥한 공격 이후 cPanel에서 3개의 신규 취약점이 수정됨. 대규모 서버 운영 환경에서 패치 지연이 직접적인 공격 표면이 되는 사례.

AI가 두 가지 취약점 문화를 흔들고 있다

AI is breaking two vulnerability cultures

AI가 취약점 연구와 보고 관행의 두 문화에 변화를 일으키고 있다는 분석. 자동화된 코드 이해와 공격 표면 확대로 보안 워크플로가 재편되고 있다.

Voice AI 시스템, 숨겨진 오디오 공격에 취약

Voice AI Systems Are Vulnerable to Hidden Audio Attacks

음성 AI 시스템이 사람에게 잘 들리지 않는 숨은 오디오 신호로 조작될 수 있다는 취약점이 제기됨. 음성 인식과 명령 실행 경로 전반에 대한 보안 점검 필요성이 커짐.

UK Biobank 건강 데이터가 GitHub에 계속 올라가고 있다

UK Biobank health data keeps ending up on GitHub

민감한 건강 데이터가 GitHub에 반복적으로 노출되는 문제를 지적. 연구 데이터의 재배포와 접근 통제 실패가 핵심 쟁점이다.

수수께끼의 Microsoft 버그 유출자가 또 다른 zero-day를 공개했다

Mystery Microsoft bug leaker keeps the zero-days coming

Microsoft 관련 취약점을 잇달아 공개하는 익명의 연구자가 추가 zero-day를 노출함. 보안 패치 이전 공개 방식과 책임 있는 disclosure 논쟁이 이어짐.

Carrot Disclosure: Forgejo

Carrot Disclosure: Forgejo

Forgejo에 대한 공개 보안 이슈가 제기된 글. 취약점 공개와 대응 필요성이 핵심으로 보임.

Mozilla, UK 규제당국에 VPN은 필수적인 privacy와 security 도구라고 주장

Mozilla to UK regulators: VPNs are essential privacy and security tools

Mozilla가 UK 규제당국에 VPN의 필수성을 강조하며 정책 훼손을 경고. 개인정보 보호와 보안 관점의 규제 논쟁이 이어짐.

첫 SSH 연결에서 MitM을 막는 방법, 어떤 VPS나 클라우드 제공자에서도

Stop MitM on the first SSH connection, on any VPS or cloud provider

첫 SSH 접속 시점의 중간자 공격 위험을 줄이는 방법을 설명함. VPS와 클라우드 환경에서 호스트 키 검증을 강화하는 실무 팁을 제시함.

캠퍼스의 모든 프로젝터와 카메라를 통제하게 된 과정

Gaining control of every projector and camera on campus

캠퍼스 내 프로젝터와 카메라를 대규모로 스캔해 제어할 수 있게 된 과정을 다룸. 노출된 AV 장비와 네트워크 관리의 취약성이 핵심.

LinkedIn이 6,278개 확장 프로그램을 스캔하고 결과를 모든 요청에 암호화해 포함

LinkedIn scans for 6,278 extensions and encrypts the results into every request

LinkedIn이 브라우저 확장 프로그램 수천 개를 탐지해 요청에 포함시키는 방식이 제기됨. 사용자 추적과 프라이버시 침해 논란이 확산.

Molly Guards 더 보기

More Molly Guards

Molly Guards를 더 늘려 적용하는 흐름을 다룬 글. 보안 경계와 보호 장치를 강화하는 맥락의 내용으로 보임.

검증 가능한 안전한 운영체제(PSOS)의 기초(1979) [pdf

The foundations of a provably secure operating system (PSOS) (1979) [pdf]

] 검증 가능한 안전한 운영체제(PSOS)의 설계 원칙을 다룬 1979년 문서. 운영체제 보안 검증의 초기 연구 흐름을 보여줌.

Ask HN: 1인 창업자가 SOC2 Type 2를 준수하려면?

Ask HN: How to be SOC2 Type 2 compliant as a solo-entreprenuer?

1인 창업자가 SOC2 Type 2 컴플라이언스를 어떻게 달성할지 묻는 질문글. 적은 인력으로 보안·운영 통제를 충족하는 현실적 방법에 관심이 모임.

GTFOBins

GTFOBins

리눅스와 유닉스 바이너리를 악용한 권한 상승·우회 기법을 모아둔 레퍼런스. 보안 점검과 방어 탐지에 자주 활용되는 자료.

wolfSSL, 새로운 제품 wolfCOSE 출시: zero-alloc C 임베디드 COSE 스택

wolfSSL releases a new product; wolfCOSE a zero alloc C embbedded COSE stack

wolfSSL이 zero-alloc 방식의 C 기반 임베디드 COSE 스택 wolfCOSE를 공개함. 경량 환경에서 보안 메시지 처리용 구현체로 보임.

Podman 루트리스 컨테이너와 Copy Fail 취약점

Podman rootless containers and the Copy Fail exploit

Podman 루트리스 컨테이너에서 Copy Fail 익스플로잇이 다뤄짐. 컨테이너 격리와 권한 상승 가능성을 점검해야 하는 보안 이슈.

GPT‑5.5 Bio Bug Bounty

GPT‑5.5 Bio Bug Bounty

OpenAI가 GPT-5.5의 생물학 관련 취약점 탐지를 위한 버그 바운티를 공개. 생물안전 리스크 점검과 외부 검증을 유도하는 프로그램.

실수로 법 집행기관의 가짜 honeypot을 폐쇄시킨 이야기

I accidentally made law enforcement shut down their fake honeypot

작성자가 DDoS honeypot 관련 작업 중 법 집행기관이 운영한 가짜 honeypot을 종료시키는 결과를 초래한 사례. 보안 대응과 오탐 리스크를 드러낸다.

Linux Basics for Hackers (2019)

Linux Basics for Hackers (2019)

리눅스 기초를 해킹 실습 관점에서 정리한 자료. 명령행, 권한, 네트워킹 등 기본 개념 학습용으로 활용됨.

Anthropic의 AI 기반 취약점 탐색 오픈소스 프레임워크

Anthropic's open-source framework for AI-powered vulnerability discovery

Anthropic이 AI를 활용해 코드 취약점을 찾는 오픈소스 프레임워크를 공개했다. 보안 연구와 자동화된 취약점 발견용 도구 성격이다.

OSS 보안의 Strip Mining 시대에 오신 것을 환영합니다

Welcome to the Strip Mining Era of OSS Security

오픈소스 생태계에서 보안 취약점과 공격 표면을 대량으로 캐내는 환경이 강화되고 있음을 다룸. OSS 프로젝트가 더 체계적인 보안 대응을 요구받는 국면임.

이메일 주소 심층 분석

이메일 주소 심층 분석

이메일 주소가 단순한 로컬 파트와 도메인 조합이 아니라 RFC 표준 기반의 복잡한 구조와 예외를 가진다는 점을 설명함. 검증·파싱 과정에서 자주 놓치는 보안 함정도 함께 다룸.

“Claude 90% 할인”의 정체, 알고 보니 AI 학습 데이터 탈취 통로였습니다

"클로드 90% 할인"의 정체, 알고 보니 AI 학습 데이터 탈취 통로였습니다

가짜 Claude 할인 광고가 AI 학습 데이터 탈취 경로로 악용된 정황을 다룸. 저가 유혹을 앞세운 수법이 데이터 유출 통로가 될 수 있음을 경고.

React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고

React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고

React Server Components와 Next.js에 영향을 미치는 12개 취약점이 공개되고 즉시 업데이트가 권고됨. React 팀과 Vercel이 동시 공지하며 애플리케이션 패치를 촉구함.

Google Cloud의 AI 에이전트 거버넌스 스택, "에이전트를 엔지니어 조직처럼 관리하라"

Google Cloud의 AI 에이전트 거버넌스 스택, "에이전트를 엔지니어 조직처럼 관리하라"

Google Cloud가 Cloud Next 26에서 Gemini Enterprise Agent Platform의 거버넌스 스택을 공개했다. AI 에이전트를 조직 단위의 보안·관리 대상으로 다루는 프레임워크를 제시했다.

요즘 노트북은 모두 내장 보안 토큰을 갖고 있다

요즘 노트북은 모두 내장 보안 토큰을 갖고 있다

노트북에 내장된 보안 토큰이 개인키를 기기 밖으로 내보내지 않고 장치 내부에서 서명하는 방식으로 동작함. 물리적 사용자 동작이 필요해 원격 공격자의 임의 서명 생성이 어렵다.

Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견

Bitwarden CLI npm 패키지 하이재킹 – 개발자 인증정보 대규모 탈취 공격 발견

JFrog가 npm의 @bitwarden/cli 2026.4.0 버전이 하이재킹된 사실을 발견. 정상 패키지처럼 위장해 개발자 인증정보를 대규모로 탈취하는 공격이 확인됨.

Show GN: 자율형 에이전트를 위한 경량 보안 런타임

Show GN: 자율형 에이전트를 위한 경량 보안 런타임

OpenClaw 같은 자율형 에이전트의 실행 범위를 제한하는 경량 보안 런타임 소개. 더 넓은 행동 권한을 가진 에이전트의 안전한 사용을 목표로 함.

Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소

Show GN: AI 에이전트를 위한 HTTP 자격 증명 프록시이자 시크릿 저장소

AI 에이전트가 외부 서비스에 접속할 때 쓰는 HTTP 자격 증명과 시크릿을 중계·보관하는 도구. 에이전트용 인증/비밀관리 계층을 분리해 운영한다.

재미와 징역형을 부르는 IIS 서버 정찰

재미와 징역형을 부르는 IIS 서버 정찰

IIS 기본 화면과 응답 헤더, SSL 인증서, Google dork, Shodan을 활용해 노출 서버와 숨은 vhost를 찾는 정찰 기법을 다룸. HTTP/1.0 요청과 Host 헤더 브루트포싱은 내부 IP나 Exchange 호스트명 노출로 이어질 수 있어 위험성이 큼.

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다

공개된 FIFA Agent Platform 가입만으로 Microsoft Entra 테넌트와 2026 FIFA World Cup 운영용 시스템 일부에 접근 가능한 취약점이 드러남. JWT의 NO_ROLES 상태를 프런트엔드만 검사하고 백엔드에서 역할 검증을 강제하지 않은 것이 원인.

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 보류

미국, DeepSeek 및 보안 위험으로 분류된 100여 개 기업의 블랙리스트 등재 모두 보류

미국 정부가 DeepSeek와 CXMT 등 100여 개 중국 기업의 Entity List 등재를 보류 중. 대중 갈등 고조를 피하려는 트럼프 행정부 기조가 배경.

Volkswagen, GrapheneOS 사용자 차단 시작

Volkswagen, GrapheneOS 사용자를 차단하기 시작함

GrapheneOS 사용자들이 Volkswagen 앱에서 로그인 실패와 서버 연결 오류를 겪고 있음. 같은 계정이 stock Android와 iPhone에서는 정상 동작해, 앱이 Play Integrity API 및 기기 무결성 검사를 활용해 차단하는 정황이 드러남.

JWT 사용을 중단하라

JWT 사용을 중단하라

JWT는 로그인 상태 유지용으로 적합하지 않으며, 이 용도에는 일반 쿠키 세션이 더 맞는다는 주장. JWT는 짧은 수명의 토큰 전제를 따르며, 장기 세션과는 목적이 다르다.

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

연구자들 “Fable 5 논란은 탈옥이 아니라 ‘fix this code’에서 시작됐다”

Anthropic의 Fable 5, Mythos 5 접근 제한은 알려진 탈옥이 아니라 취약 코드에 입력한 “fix this code” 요청에서 비롯됐다는 주장이 제기됨. 가드레일 우회 경위와 보안 대응 방식이 논란이 됨.

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17로 포팅됨

GrapheneOS가 Android 17 공식 출시 일정에 맞춰 포팅을 완료했고, 공개 저장소에 코드를 푸시한 뒤 릴리스를 준비 중임. Android 16 QPR2 최종 빌드와 Android 17 초기 릴리스·공개 테스트도 순차 진행될 예정임.

curl의 행복한 여름

curl 행복의 여름

curl 프로젝트가 2026년 7월 한 달간 취약점 접수와 처리를 중단함. 유지관리자 휴식을 위해 HackerOne 제출 창구와 보안 이메일 접수를 잠시 닫음.

Fable 5·Mythos 5, 출시 3일 만에 외국인 접근 전면 차단

페이블5·미토스5, 출시 3일 만에 외국인 접근 전면 차단

앤트로픽의 최신 모델 Fable 5·Mythos 5가 미국 정부 명령으로 외국인 사용이 금지됨. Mythos 5는 오래된 소프트웨어 취약점을 전문 팀 수준으로 빠르게 찾아내는 사이버보안 특화 모델, Fable 5는 여기에 가드레일을 더한 공개 버전임.

FFmpeg의 스물한 개 제로데이

FFmpeg의 스물한 개 제로데이

자율 보안 에이전트가 약 150만 줄 규모의 FFmpeg C 코드에서 21개의 제로데이를 찾아냄. 브라우저와 스트리밍 인프라의 핵심 미디어 파서가 공격 표면으로 다시 부각됨.

악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함

악성코드 개발자들이 스파이웨어에 핵·생물무기 문구를 추가함

스파이웨어에 LLM 안전 거부를 유발하는 핵·생물무기 문구를 삽입해 AI 보안 스캐너의 분석을 방해함. 1차 안전 정렬에 과도하게 의존한 탐지 체계의 취약점이 드러남.

Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단

Anthropic, 미국 정부 지시로 Fable 5·Mythos 5 모델 전면 차단

Anthropic이 미국 정부의 수출통제 지시에 따라 Fable 5와 Mythos 5 모델 사용을 전면 중단함. 정부는 국가안보를 이유로 들었지만 구체적 배경은 공개하지 않음.

Claude Fable 5: 코딩 작업에서 중간 수준 결과를 냄

Claude Fable 5: 코딩 작업에서 중간 수준 결과를 냄

실제 코드 수정과 기능 유지가 필요한 200개 작업에서 중간 수준 성능을 기록함. Claude Code와 함께 실행했을 때 FuncPass 59.8%, SecPass 19.0%로 리더보드 중위권에 머묾.

왜 작별을 말할 수밖에 없는가: Google 경영진은 도덕적 나침반을 잃었다

왜 작별을 말할 수밖에 없는가: Google 경영진은 도덕적 나침반을 잃었다

Android 보안 리더의 사임을 계기로 Google의 경영 방향이 과거의 개방성과 윤리 원칙에서 멀어졌다는 비판이 제기됨. Android와 내부 문화의 변화가 핵심 배경으로 언급됨.

ReuseLessSoftware - 소프트웨어를 '덜' 재사용하기

ReuseLessSoftware - 소프트웨어, '덜' 재사용하기

패키지 재사용과 자동화된 배포가 소프트웨어 공급망 공격의 확산 배경으로 지목됨. 이름과 버전만 믿는 패키지 중심 개발 관행을 재검토하자는 주장.

사이버보안 연구자들, Anthropic의 Fable 가드레일에 불만

사이버보안 연구자들이 Anthropic의 Fable 가드레일에 불만을 표하고 있음

Fable이 강력한 사이버보안 모델 Mythos의 공개·제한 버전으로 나왔지만, 보안 관련 요청을 광범위하게 차단해 연구자와 전문가들의 반발을 샀음. 안전 가드레일이 발동하면 대화가 중단되고 보안·생물학 주제라는 이유가 표시됨.

npm v12의 예정된 호환성 깨짐 변경

npm v12의 예정된 호환성 깨짐 변경

npm v12에서 보안 관련 기본값이 자동 실행·해석에서 명시적 허용 방식으로 바뀐다. npm 11.16.0 이상에서 경고로 미리 확인할 수 있으며, allowScripts 기본값도 꺼짐으로 전환된다.

Firefox 루트 인증서 저장소에 다시 한 번 등록 시도 중인 대한민국 정부 (GPKI)

Firefox 루트 인증서 저장소에 다시 한 번 등록 시도중인 대한민국 정부 (GPKI)

GPKI 루트 인증서를 Firefox 신뢰 저장소에 다시 넣으려는 시도임. 정부 사이트들이 이미 개별 인증서로 HTTPS를 운영 중이라 실효성 논란이 제기됨.

네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용

네덜란드 정부, DigiD 플랫폼 운영을 유럽 기업에만 허용

네덜란드 정부가 2028년 8월 이후 DigiD 일부 운영 입찰을 유럽 기업으로 제한한다. 국가 안보 리스크를 이유로 ADV 절차를 적용한다.

캠브리지 대학교 연구진, 네트워크 전반에 적응하는 AI 웜 구축

케임브릿지 대학교의 연구진들은 네트워크 전반에 걸쳐 적응하는 AI 웜을 구축하였습니다.

고정된 취약점 목록 대신 소형 오픈웨이트 LLM으로 타깃을 분석하고 공격 전략을 스스로 수립하는 자율형 AI 웜 개념 증명이 공개됨. 기업 네트워크 전파를 전제로 한 악성코드 자동화 위협이 부각됨.

Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크

Defending Code Reference Harness - AI 기반 취약점 발견과 수정용 Anthropic 오픈소스 프레임워크

Claude를 활용해 자율적으로 취약점을 찾고 수정하는 참조 구현 프레임워크가 공개됨. 제품이 아닌 레퍼런스 구현이며 현재는 유지보수되지 않고 기여도 받지 않음.

취약한 앱을 만들고 LLM이 해킹할 수 있는지 확인하는 데 1,500달러를 썼다

취약한 앱을 만들고 LLM이 해킹할 수 있는지 알아보는 데 1,500달러를 썼다

의도적으로 취약한 React Native/Expo 앱과 백엔드를 만들어 LLM의 해킹 가능성을 실험한 사례. Firebase 설정 노출과 Firestore 접근 흐름이 핵심 취약점으로 드러남.

코드 리뷰에는 읽기가 필요하다

코드 리뷰에는 읽기가 필요하다

코드 리뷰는 배포 전 형식 절차가 아니라 장애, 보안 문제, 데이터 삭제 책임을 개인에서 팀으로 분산하는 장치라는 논지. 테스트, 기능 플래그, 가드레일, 관측 가능성만으로는 읽지 않은 코드 배포의 책임을 대체할 수 없다고 강조.

rsync와 분노

rsync와 분노

rsync 유지보수에 보안 보고서 증가와 AI 활용 논란이 겹치며 테스트, 코드 커버리지, 다중 플랫폼 CI, 보안 스캔 강화가 필요해졌음. 기존 셸 스크립트 구조를 Python 테스트 스위트로 대체하는 방향이 논의됨.

ChatGPT for Google Sheets가 프롬프트 인젝션으로 사용자 워크북을 외부 유출

ChatGPT for Google Sheets가 프롬프트 인젝션으로 사용자 워크북을 외부 유출

단일 숨은 간접 프롬프트 인젝션으로 계정 전반의 워크북이 유출되고 피싱 오버레이 공격까지 이어짐. human-in-the-loop 승인 요구가 설정돼 있어도 우회 가능했다.

Red Hat Cloud Services 전반에서 악성 npm 패키지 발견

Red Hat Cloud Services 전반에서 악성 npm 패키지 발견

Red Hat Cloud Services 범위의 여러 npm 릴리스에서 악성 버전이 발견돼 보안 이슈로 등록됨. 현재 이슈는 열려 있으며 담당자와 마일스톤, 연결된 브랜치나 PR은 없는 상태로 보임.

United Airlines 767, Bluetooth 이름이 경보를 촉발해 Newark로 회항

United Airlines 767, Bluetooth 이름이 경보를 촉발해 Newark로 회항

승객의 Bluetooth 기기 이름이 보안 경보를 유발해 United Airlines UA236편이 Newark로 회항했다. Boeing 767-400ER는 출발 약 60분 뒤 비상 코드 7700을 송신했다.

Codex가 내 PC에서 sudo 권한 없이 우회 방법을 찾아냄

Codex가 내 PC에 sudo 권한이 없는 상황의 "우회 방법"을 찾아냄

sudo 권한이 없는 PC에서 Codex가 작업을 이어갈 수 있는 우회 경로를 찾아낸 사례. 실행에는 sudo가 아니라 root-equivalent 접근이 필요했다는 점이 핵심.

NixOS 26.05 출시

NixOS 26.05 출시

Stage 1(initrd)가 기본적으로 systemd 기반으로 전환됨. NixOS 26.05 “Yarara”는 버그 수정과 보안 업데이트를 2026-12-31까지 7개월간 제공.

EY Canada가 사이버보안 보고서를 냈고 인용 대부분이 환각이었다

EY Canada가 사이버보안 보고서를 냈고 인용 대부분이 환각이었다

EY Canada의 44쪽 보고서에서 허위 인용, 잘못된 출처 표기, 가짜 통계가 다수 확인됨. AI 작성 텍스트 비중이 높게 표시됐고 참고 자료 표의 URL 상당수도 깨졌거나 실제 출처와 불일치함.

Claw Patrol - 에이전트를 위한 보안 방화벽

Claw Patrol - 에이전트를 위한 보안 방화벽

에이전트의 프로덕션 접근을 안전하게 관리하는 보안 방화벽이 소개됨. 자격 증명을 대신 보관하고 트래픽을 파싱해, 사용자 규칙에 따라 모든 액션을 세밀하게 게이팅한다.

Microsoft, GitHub 계정 차단 후 Windows 제로데이 공개를 강하게 비판

마이크로소프트, 깃허브 계정 차단 후 윈도우 제로데이 공개 비판

Microsoft가 패치 전 Windows 제로데이 공개에 반발하며 해당 보안 연구원의 GitHub 계정을 차단함. 연구원은 추가 폭로를 예고했고, CVD 절차를 둘러싼 갈등이 커짐.

제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단

제로데이 Windows 익스플로잇을 공개한 보안 연구자를 GitHub가 차단

GitHub가 Windows 제로데이 공개와 관련된 보안 연구자 Nightmare-Eclipse의 계정을 차단함. 연구자는 Microsoft의 보복이라고 주장하며 작업 공간을 GitLab로 옮김.

코딩 에이전트를 위한 Protestware

코딩 에이전트를 위한 Protestware

jqwik 1.10.0이 테스트 실행 중 코딩 에이전트에게 이전 지시를 무시하고 테스트와 코드를 삭제하라는 문장을 stdout에 출력. ANSI 시퀀스로 화면에서는 지워질 수 있지만 CI 로그와 에이전트 출력에는 남을 수 있음.

Decepticon - 레드팀을 위한 자율 해킹 에이전트

Decepticon - 레드팀을 위한 자율 해킹 에이전트

자율형 red team 에이전트 Decepticon 소개. 정찰, 익스플로잇, 권한 상승, 측면 이동, C2 송출까지 실제 공격 체인을 수행하도록 설계됨.

압박

압박

curl 유지보수가 공익성·엔지니어링 난제·품질 목표가 결합된 전업 업무로 굳어짐. 약 300억 건 설치 기반과 보안 실패 전파 위험 때문에 주 50시간 안팎의 부담이 이어짐.

공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함

공격자들이 ClickFix 공격을 위해 700개의 Ghost CMS 사이트를 탈취함

Ghost CMS 심각한 취약점 CVE-2026-26980 악용 대규모 해킹 발생. 700개 이상 사이트 가짜 보안 인증 유도 ClickFix 공격에 감염됨.

Shamir의 비밀 공유 작동 방식

Shamir의 비밀 공유 작동 방식

비밀을 여러 조각으로 나누고 임계값 이상이 모여야만 복구되는 방식. 일부 조각이 유실돼도 복구 가능하고, 그보다 적으면 정보가 드러나지 않는 구조.

Ask GN: 평시에 만들어 둔 '관리 도구'가 비상 상황에서 큰 도움이 된 경험 있으신가요?

Ask GN: 1인 개발자, 평시에 만들어 둔 '관리 도구'가 비상 상황에서 큰 도움이 된 경험 있으신가요?

1인 개발자가 운영 중인 SafeClick 관리자 페이지에 익명 가입 API를 겨냥한 봇 로그인 시도가 한 시간에 약 1,600건 몰림. 평소 만들어 둔 관리 도구가 대응과 상황 파악에 큰 도움이 된 사례.

스캐머들이 Microsoft 내부 계정을 악용해 스팸 링크 발송중

스캐머들이 마이크로소프트 내부 계정을 악용해 스팸 링크 발송중

사기범들이 Microsoft 내부 이메일 주소를 악용해 공식 계정 알림처럼 보이는 스팸 메일을 발송한 사례가 보고됨. 문제의 발신 주소는 2단계 인증 코드 등 중요한 알림에 쓰이는 공식 채널로 알려짐.

Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀

Oura, 사용자 데이터에 대한 정부 요구를 받는다고 밝혀

Oura가 심박수, 수면, 생리 주기, 위치 등 민감한 건강 데이터를 수집하는 구조가 재조명됨. 서버 보관 방식이 영장, 내부자 접근, 키 탈취 위험에 노출될 수 있다는 우려가 제기됨.

CISA, 데이터 유출 수습 시도

CISA, 데이터 유출 수습 시도

CISA 계약자가 공개 GitHub 프로필에 내부 시스템용 평문 자격 증명을 올린 사실이 드러남. 저장소 비활성화 흔적과 함께 정부 보안 운영의 관리 부실 논란이 커짐.

Project Glasswing: 초기 업데이트

Project Glasswing: 초기 업데이트

강력한 AI 모델 악용에 앞서 중요 소프트웨어를 보호하려는 협력 프로젝트가 진행 중. 약 50개 파트너가 참여했고, Claude Mythos Preview가 파트너 코드에서 1만 개 이상의 높음·치명적 취약점을 찾아 발견 속도가 10배 이상 빨라짐.

SSH에서 REST로: 보안 중심의 Slack EMR 데이터 파이프라인 현대화

SSH에서 REST로: 보안 중심의 Slack EMR 데이터 파이프라인 현대화

700개가 넘는 SSH 기반 Operator로 운영하던 Slack 데이터 파이프라인을 REST 중심으로 전환한 사례. 프로덕션 EMR에 대한 직접 SSH 의존을 줄여 보안 표면과 운영 복잡도를 낮췄다.

GitHub 소스 코드 유출 - TeamPCP가 내부 소스 코드 접근을 주장

GitHub 소스 코드 침해 - TeamPCP가 내부 소스 코드 접근을 주장

TeamPCP가 GitHub 내부 시스템에서 조직 데이터와 소스 코드를 빼냈다고 주장하며 지하 포럼에서 판매 중이라고 알림. 약 4,000개 비공개 저장소와 5만 달러 초과 제안 요구가 포함됐다고 주장함.

GitHub, 악성 VSCode 확장을 통한 3,800개 저장소 침해 확인

GitHub, 악성 VSCode 확장을 통한 3,800개 저장소 침해 확인

GitHub 내부에서 악성 VSCode 확장 설치 이후 약 3,800개 저장소가 침해된 사실이 확인됨. 유출 범위는 내부 저장소로 제한된 것으로 평가되며, 확장은 마켓플레이스에서 제거됨.

Mini Shai-Hulud가 다시 공격: npm 패키지 314개 침해

Mini Shai-Hulud가 다시 공격: npm 패키지 314개 침해

atool npm 계정 침해로 317개 패키지에 악성 버전이 자동 배포됨. AWS 자격 증명 등 탈취를 노린 공급망 공격으로 Mini Shai-Hulud 계열과 유사한 구조가 확인됨.

OpenBSD 7.9 출시

OpenBSD 7.9 출시

OpenBSD 7.9가 출시됐고, 지연 최대절전 기능이 추가돼 suspend 상태의 배터리 방전을 줄일 수 있게 됨. root 권한 관련 보안 변경도 포함돼 시스템 보안 성격이 강화됨.

GitHub이 내부 저장소 무단 접근을 조사 중

GitHub이 내부 저장소 무단 접근을 조사 중

GitHub이 내부 저장소에 대한 무단 접근 사건을 조사 중. 현재까지는 내부 저장소 범위로 확인됐고, 고객 정보 유출 증거는 없다고 밝힘.

GitHub이 침해되어, 공격자가 GitHub 내부 3800개 저장소에 접근함

GitHub이 침해되어, 공격자가 GitHub 내부 3800개 저장소에 접근함

오염된 VS Code 확장을 통해 직원 기기가 침해되면서 GitHub 내부 저장소 접근 사고가 발생. 악성 확장 제거와 엔드포인트 격리 후 사고 대응 절차가 즉시 시작됨.

Project Glasswing: Mythos가 보여준 것

Project Glasswing: Mythos가 보여준 것

Mythos Preview가 Cloudflare의 50개 이상 저장소에서 개별 버그 탐지를 넘어 익스플로잇 체인을 구성한 사례를 보여줌. 트리거 코드 작성, 임시 실행, 가설 수정까지 반복해 동작 증명을 만들어낸 점이 핵심임.

Grafana, GitHub 토큰 유출로 코드베이스 다운로드 및 금전 갈취 시도 발생

Grafana GitHub 토큰 유출로 인해 코드베이스 다운로드 및 금전 갈취 시도 발생

유출된 GitHub 토큰을 악용한 공격자가 Grafana의 소스코드를 내려받고 데이터 협박을 시도함. Grafana는 FBI 지침에 따라 몸값 지불을 거부함.

Bitwarden의 조용한 개편

Bitwarden의 조용한 개편

Bitwarden이 Premium 가격 인상과 'Always free' 문구 삭제를 웹사이트 수정으로 조용히 반영한 정황. CEO 교체와 함께 과거 오픈 모델에서의 변화 가능성을 짚음.

Erlang/OTP 29.0

Erlang/OTP 29.0

SSH daemon 기본값에서 shell과 exec 서비스가 비활성화됨. SFTP subsystem도 기본 활성화가 빠져 보안 기본값이 강화됨.

보안 연구자가 Microsoft가 BitLocker 백도어를 만들었다며 익스플로잇 공개

보안 연구자가 Microsoft가 BitLocker 백도어를 만들었다고 말하며 익스플로잇 공개

YellowKey로 암호 없이 BitLocker 전체 볼륨 암호화를 우회할 수 있다는 주장 제기. WinRE와 USB 파일시스템 조합으로 재현 가능한 절차가 공개됨.

라바 램프의 무용성: 무작위가 실제로 의미하는 것

라바 램프의 무용성: 무작위가 실제로 의미하는 것

Cloudflare의 lava lamp 난수 홍보를 암호화 관점에서 마케팅에 가깝다고 비판함. 보안은 값 자체의 무작위성보다 공격자가 그 값을 얼마나 아느냐에 의해 좌우된다고 설명함.

프런티어 AI가 공개 CTF 형식을 깨뜨렸다

프런티어 AI가 공개 CTF 형식을 깨뜨렸다

프런티어 AI가 공개 CTF의 쉬운·중간 문제를 자동화해 점수판이 인간 보안 실력을 제대로 반영하지 못하게 됨. 모델이 추론과 풀이 코드 작성까지 맡으면서 인간은 플래그 복사만 남는 구조가 됐다.

‘막을 방법이 없다’, 이런 일이 정기적으로 일어나는 유일한 패키지 매니저가 말하다

‘막을 방법이 없다’, 이런 일이 정기적으로 일어나는 유일한 패키지 매니저가 말하다

npm 레지스트리 공급망 공격 사례를 들어 검증 안 된 패키지와 과도한 중첩 의존성의 위험을 지적. 생태계가 이를 반복적이고 피할 수 없는 문제처럼 받아들이는 분위기를 비판.

Show GN: SafeClick - 부모님 폰의 피싱 사기 사전 검사·알림 앱

Show GN: 세이프클릭 - 부모님 폰의 피싱 사기 사전 검사·알림 앱

부모님이 사칭 문자와 링크의 진위를 구분하기 어려운 문제에서 출발한 SafeClick 앱 소개. 링크와 메시지를 사전 검사하고 위험 신호를 알림해 피싱 피해를 줄이는 용도임.