유니앱으로 찍어낸 투자 사기 사이트가 20만 개 넘게 발견됨

아마존 Q 개발자 확장에 고위험 취약점, 악성 저장소만 열어도 클라우드 키 털릴 뻔

보안기업 위즈가 아마존 Q 디벨로퍼 확장 프로그램에서 개발자의 클라우드 자격 증명과 API 키가 유출될 수 있는 심각한 취약점을 발견했다. 악성 저장소를 열고 아마존 Q를 활성화하면 설정 파일 자동 실행, 쉘 생성, 환경 상속이 맞물려 민감 정보가 외부로 빠져나갈 수 있는 구조였다.

세일포인트, 레거시 아이덴티티 시스템 클라우드 이전을 AI로 며칠 안에 끝내겠다고 나섬

세일포인트가 온프레미스 아이덴티티 시스템을 클라우드로 이전하는 작업을 자동화하는 AI 기반 방법론을 출시했다. 구성 변환, 워크플로우, 정책 이전 같은 까다로운 작업을 자동화해 기존 수개월짜리 전환 프로젝트를 수일 단위로 줄이는 게 핵심이다.

중국 오픈소스 AI가 취약점 탐지에서 미소스급으로 올라왔다는 얘기

지푸AI의 GLM-5.2가 사이버보안 벤치마크에서 앤트로픽의 보안 특화 모델 미소스에 근접했다는 보도가 나왔다. 문제는 이 모델이 오픈소스라 누구나 내려받아 자체 환경에서 돌릴 수 있고, 방어자뿐 아니라 공격자도 같은 속도로 취약점을 찾을 수 있다는 점이다. 미국의 AI 접근 제한이 오히려 중국 오픈웨이트 모델 확산을 밀어준다는 비판도 같이 커지고 있다.

세온이앤에스, 임베디드 코드에서 숨은 오픈소스까지 잡는 SBOM 분석 도구 출시

세온이앤에스가 임베디드 소스코드 안에 직접 복사돼 들어간 오픈소스까지 찾아내는 Seon Code Analyzer를 출시했다. 의존성 파일만 보는 일반 소프트웨어 구성 분석(SCA)과 달리 코드 자체의 디지털 지문을 대조해 CycloneDX SBOM, CVE 취약점, SPDX 라이선스 리포트를 한 번에 만든다는 게 핵심이다.

사이버보안 시험이 ‘정답 하나짜리 암기’로 망가지는 방식

한 보안 자격증 문제를 예로 들어, 위협 행위자 분류를 단순 암기식으로 가르치는 방식이 얼마나 빈약한지 비판하는 글이다. ‘돈 많고 최신 공격 기법을 쓰며 금전 이득을 노리는 집단’의 정답을 조직범죄로 고정하지만, 실제로는 국가 지원 공격자나 내부자 위협도 충분히 들어맞을 수 있다는 지적이 핵심이다.