JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
미국 이민단속국이 사용하는 Mobile Fortify 앱이 설계상 신원을 '확인'하지 못하고 후보만 반환하는데도, 충분한 검증 없이 전국에서 10만 회 이상 사용됨. 프라이버시 보호 정책은 트럼프 2기 출범 직후 해체됨.
LLM과 각종 서비스를 연결하는 플러그앤플레이 도구 OpenClaw이 설계부터 보안이 엉망이라는 기사. 평문 인증정보 저장, 인증 없는 WebSocket, 악성 플러그인 등 문제가 산적하고 21,000개 이상의 인스턴스가 인터넷에 공개 노출됨.
Kademlia 기반 P2P 구조를 사용하는 KadNap 봇넷이 주로 Asus 라우터 14,000대를 감염시킴. DHT로 C2를 은닉해 기존 테이크다운 방식이 통하지 않으며, 감염 장비는 Doppelganger 프록시 서비스에 악용됨.
이란 혁명수비대가 아마존, 구글, 엔비디아 등 미국 빅테크 기업의 중동 시설 29곳을 공식 공격 대상으로 지정함. 이미 AWS 데이터센터 3곳을 드론으로 타격한 상태이며, 상업용 클라우드 인프라가 군사 표적이 되는 전례 없는 상황이 전개되고 있음.
EFF가 EU의 디지털 옴니버스 패키지를 분석한 글로, 개인정보 정의 축소·AI 특권 부여·투명성 요건 완화 등 GDPR을 크게 약화시키는 내용이며, 유일하게 긍정적인 브라우저 쿠키 동의 신호 제안도 모바일 OS 제외 등 허점이 있다고 비판
DOGE 소속 소프트웨어 엔지니어가 SSA의 Numident·Master Death File 데이터베이스(5억 명 이상 기록)를 USB에 저장해 유출한 혐의. 이직 후 새 직장에서 데이터 활용 계획을 밝힘. SSA 감찰관실 수사 중.
미국 CLOUD Act에 따른 디지털 주권 우려를 배경으로, 스위스 2,000개 지자체의 공식 도메인 DNS 레코드를 분석해 이메일 제공업체를 분류한 프로젝트.
프론티어 AI 시스템을 국가급 사이버 위협으로부터 보호하기 위한 SL5 보안 표준 첫 번째 버전이 공개됨. NIST SP 800-53 오버레이 형식으로, 시설 건설과 하드웨어 조달 등 리드타임이 긴 요구사항에 집중함.
영국 하원이 아동복지법을 통해 장관들에게 새 법안 없이도 18세 미만의 웹사이트·앱·게임 접근을 제한할 수 있는 광범위한 권한을 부여함. 피해 입증 의무가 없어 이념적 검열 우려가 제기되고, 모든 성인이 ID/생체인증을 해야 하는 상황이 됨.
EFF가 Meta 레이밴 스마트 글래스의 프라이버시 문제를 상세히 분석한 글을 발표함. 촬영 영상이 Meta 서버로 전송되어 AI 훈련에 사용되고, 민감한 영상을 사람이 직접 검토하는 사례가 드러났으며, 안면인식 기능 추가 계획까지 밝혀져 심각한 우려를 제기함.
Notepad++ 업데이트 인프라가 호스팅 제공업체 수준에서 침해되어 2025년 6월~12월간 공격자가 악성 업데이트를 배포함. 7월부터 10월까지 세 가지 서로 다른 감염 체인이 관찰되었으며, 매달 C2 서버, 다운로더, 페이로드를 교체하는 고도화된 공격이었음.
FBI가 도청·감시 시스템 침해를 조사 중이며 Salt Typhoon 연관 가능성이 있음. Europol이 Tycoon2FA 피싱 플랫폼과 LeakBase를 동시 폐쇄했고, Phobos 랜섬웨어 운영자가 유죄를 인정함. 제재 대상의 암호화폐 거래가 694% 급증한 것으로 나타남.
로컬 실행 AI 에이전트 OpenClaw이 한 달 만에 GitHub 스타 7만 개를 달성하며 폭발적 인기를 끌고 있음. 이메일, 웹, 앱 등 디지털 라이프 전반을 자동화해주지만, Cisco와 Snyk 등 보안 전문가들은 비밀번호와 신용카드 정보를 넘겨야 하는 구조적 문제와 프롬프트 인젝션 취약점을 경고하고 있음. 프로젝트 문서 자체가 '완벽하게 안전한 설정은 없다'고 인정하는 상황임.
파리 검찰이 유로폴과 함께 X 프랑스 본사를 압수수색하고 머스크와 전 CEO 야카리노를 소환함. 알고리즘 조작 혐의로 시작된 수사가 Grok AI의 아동 성착취물, 성적 딥페이크, 홀로코스트 부정 등으로 확대됨. 유럽 전반에서 소셜미디어 규제 강화 움직임이 가속화되고 있음.
중국 정부 연계 APT 그룹 Lotus Blossom이 Notepad++ 업데이트 서버를 해킹해 'Chrysalis'라는 신규 백도어를 배포. DLL 사이드로딩 기법으로 정상 Bitdefender 바이너리를 이용한 정교한 공격 체인.
1Password 연구원이 OpenClaw의 스킬 레지스트리 ClawHub에서 macOS 인포스틸링 맬웨어를 발견. 가장 다운로드 수가 많았던 'Twitter' 스킬이 맬웨어 전달 수단이었고, 수백 개의 스킬이 같은 방식으로 악용되고 있었음.
프랑스 당국이 이탈리아 여객선에 원격 접근 악성코드를 설치한 라트비아 승무원을 외국 세력 공모 혐의로 체포. 러시아 개입을 시사하며, 별도로 내무부 이메일 서버 해킹 사건도 발생
리눅스 커널 보안팀의 운영 방식을 상세히 설명한 글. 리액티브 방식의 버그 수정, 엠바고 최대 7일 정책, '버그는 버그일 뿐' 철학, 하드웨어 보안 이슈 대응, 그리고 사전 공지 리스트를 두지 않는 이유까지 다룸.
아일랜드가 Meta 출신 로비스트를 데이터보호위원장에 임명함. 문제는 Meta 퇴직 임원들이 비방금지·비공개·강제중재 조항에 묶여 있다는 것. 5억 유럽인의 개인정보 보호가 Meta 눈치를 봐야 하는 사람 손에 넘어간 셈.
Anthropic 연구팀이 SCONE-bench 벤치마크로 AI 에이전트의 스마트 컨트랙트 공격 능력을 측정. Opus 4.5가 지식 컷오프 이후 취약점에서 370만 달러어치 익스플로잇 생성. 신규 제로데이 2건도 발견하여 자율적 실세계 공격이 기술적으로 가능함을 증명.