JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
과기정통부가 앤트로픽에 국내 인공지능안전연구소 중심의 AI 안전·사이버보안 협력 체계를 제안함. 앤트로픽의 ‘프로젝트 글래스윙’은 AI로 전 세계 소프트웨어 취약점을 찾고 패치하는 글로벌 보안 이니셔티브라, 한국이 참여하면 취약점 공유와 대응 속도가 크게 빨라질 수 있음.
공격자들이 옵시디언 공유 볼트와 커뮤니티 플러그인을 미끼로 PHANTOMPULSE라는 원격 접근 트로이목마를 배포한 사례가 나왔다. 타깃은 금융·가상자산 업계 종사자였고, 링크드인과 텔레그램으로 신뢰를 쌓은 뒤 악성 볼트에 초대하는 식이었다. 특히 C2 주소를 이더리움 블록체인 트랜잭션에서 가져오는 방식이라 인프라 차단이 꽤 까다롭다.
보안 연구자 안드레아스 마크리스가 야보 로봇 잔디깎이의 심각한 취약점을 이용해 지구 반대편에서 장비를 원격 조종하는 장면을 더버지가 검증했다. 문제는 원격 조종만이 아니라 약 11,000대 기기 위치, 카메라, 이메일, 와이파이 비밀번호, 공통 루트 비밀번호, 제거 불가능한 원격 백도어까지 이어진다는 점이다. 물리 장비와 인터넷 연결이 결합될 때 보안 실패가 실제 안전 문제로 바뀌는 사례다.
야보가 로봇 잔디깎이 보안 취약점 제보를 인정하고 1,200단어짜리 대응 계획을 냈다. 공통 루트 비밀번호, 원격 진단 터널, 인증 없는 엔드포인트 같은 문제를 막기 위해 오버디에이 업데이트와 장치별 자격 증명 체계로 전환하겠다는 내용이다. 다만 처음엔 원격 백도어를 완전히 없애겠다고는 하지 않아 논란이 남았고, 이후 이를 선택형으로 바꾸겠다고 업데이트했다.
교육 플랫폼 Canvas를 운영하는 Instructure가 데이터 탈취와 협박 공격을 당했고, 공격자는 로그인 페이지에 랜섬 요구 메시지를 띄웠다. ShinyHunters는 약 9000개 교육기관의 학생과 교직원 2억7500만 명 데이터를 유출하겠다고 위협했고, Instructure는 결국 도난 데이터 파기 약속을 받는 조건으로 금전을 지급했다고 밝혔다. 사건은 기말고사 기간에 서비스 중단까지 일으켜 교육 SaaS 공급망 리스크를 크게 드러냈다.
Meta가 인스타그램 DM의 선택형 종단간 암호화 기능을 조용히 제거했다. 회사는 사용자가 적어서 없앤다고 설명하지만, 기본값으로 켜지도 않았고 설정도 깊숙이 숨겨둔 기능이었다는 점에서 프라이버시 논란이 크다.
한 사용자가 모스 부호 메시지로 Grok과 Bankrbot을 속여 Base 네트워크에서 약 20만 달러어치 DRB 토큰을 전송하게 만든 사건이야. 핵심은 인공지능 에이전트가 지갑 권한과 온체인 실행 권한을 가진 상태에서, 자연어 명령을 충분히 검증하지 않으면 실제 자산 이동까지 이어질 수 있다는 점이야.
글쓴이는 대규모 언어 모델(LLM)이 취약점 발견과 익스플로잇 제작 속도를 너무 빠르게 만들어 기존 90일 책임 공개 모델이 더 이상 안전망이 아니라고 주장해. 같은 버그를 6주 안에 11명이 찾고, 공개 패치가 30분 만에 동작하는 공격 코드로 바뀌는 사례를 들며 치명적 보안 이슈는 즉시 최우선 장애처럼 다뤄야 한다고 말해.
GrapheneOS 쪽은 최근 공개된 리눅스 커널 취약점 Copy Fail, Copy Fail 2, Dirty Frag 3종이 GrapheneOS에 적용되지 않는다고 설명했어. 핵심은 GrapheneOS만의 추가 방어 이전에, 현대적인 안드로이드 오픈소스 프로젝트(AOSP)의 SELinux 정책과 GKI 커널 설정만으로도 공격 표면이 꽤 줄어든다는 점이야.
Private Captcha는 Google Cloud Fraud Defense가 2023년 반발로 철회된 웹 환경 무결성(WEI)의 핵심 메커니즘을 상용 제품으로 되살린 것이라고 비판한다. QR 코드 챌린지는 봇을 막기보다 기기 인증을 웹 접근 조건으로 만들고, 프라이버시 브라우저와 커스텀 안드로이드 사용자를 배제할 수 있다는 주장이다.
오픈AI가 신원 확인과 제한적 승인 기반으로 보안 담당자용 GPT-5.5-사이버 프리뷰를 제공하면서, 방어자용 AI와 공격 자동화 위험 사이의 긴장이 커지고 있다. 영국 AI안전연구소 평가에서는 GPT-5.5가 95개 사이버 과제에서 평균 성공률 71.4%를 기록했고, 다중 단계 공격 시뮬레이션도 일부 완주했다.
AI가 조직의 의사결정에 직접 끼어들기 시작하면서, 보안의 범위가 시스템 침해 차단을 넘어 ‘판단의 신뢰성’을 지키는 쪽으로 넓어지고 있다는 주장이다. AI 거버넌스가 책임·투명성만 말하고 실제 프롬프트 인젝션, 데이터 포이즈닝, 권한 오남용을 다루지 않으면 반쪽짜리라는 지적이 핵심이다.
네이버클라우드가 SSL/TLS 인증서 발급·갱신·폐지를 자동화하는 ACME 기능을 Certificate Manager에 추가했다. 인증서 유효기간이 2029년 47일까지 줄어들 예정이라, 인증서 갱신 누락으로 서비스가 멈추는 리스크를 줄이는 자동화가 점점 필수가 되고 있다.
오픈AI가 검증된 방어자를 대상으로 GPT-5.5의 사이버 보안 활용 범위를 넓히고, 제한적 프리뷰 형태의 GPT-5.5-Cyber를 시작했다. 핵심은 공격 자동화가 아니라 취약점 분석, 탐지, 패치 검증 같은 방어 워크플로우를 더 잘 지원하겠다는 쪽이다.
AI 음성 사칭 공격이 개인 대상 보이스피싱을 넘어 기업 클라우드 계정 탈취 수단으로 진화하고 있어. 공격자는 IT 지원팀을 사칭해 직원에게 접근 권한을 허용하게 만들고, SaaS 로그인 정보와 인증 토큰을 빼낸 뒤 데이터 유출과 협박으로 이어가는 식이야.
TanStack이 2026년 5월 11일 6분 동안 42개 패키지에 걸쳐 84개 악성 버전이 배포된 npm 공급망 사고의 사후분석을 공개했다. 공격자는 pull_request_target, GitHub Actions 캐시 오염, OIDC 토큰 메모리 추출을 이어 붙여 npm 토큰 없이도 패키지를 배포했다. 설치한 사용자는 설치 호스트의 클라우드·깃허브·엔피엠·에스에스에이치 자격증명을 교체해야 하는 수준의 사고다.
베트남 사이버보안 및 첨단범죄예방부가 ‘사이버 범죄자 추적 작전’ 대회를 통해 디지털 수사 훈련 모델을 운영했다. 참가자들은 데이터 수집, 공개 정보 활용, 디지털 포렌식, 단서 연결을 통해 사이버 범죄자의 행동과 수법을 재구성하는 방식으로 경쟁했다.
이 웹페이지는 사용자가 접속한 첫 순간 브라우저가 기본으로 넘겨주는 정보만으로 위치, 화면, 언어, GPU, 폰트, 배터리, 브라우저 지문 같은 단서를 얼마나 많이 만들 수 있는지 보여준다. 해킹이나 취약점이 아니라 표준 자바스크립트 API와 브라우저 동작만으로 가능한 일이라는 점이 핵심이다. 페이지는 일부 위험한 기법을 실행하지 않았다고 밝히지만, 다른 사이트는 같은 기능을 추적과 광고에 얼마든지 쓸 수 있다는 메시지를 던진다.
EU 의회조사처가 온라인 연령 확인 규제를 우회하는 수단으로 VPN을 지목하며, 입법의 빈틈을 막아야 한다고 경고했어. 문제는 VPN 자체에 연령 확인을 요구하면 익명성, 감시, 개인정보 수집 리스크가 커진다는 점이라, 아동 보호와 프라이버시 사이의 충돌이 본격화되는 분위기야.
오픈AI가 사이버 보안 방어 작업에 특화된 GPT-5.5-사이버를 제한 프리뷰로 공개했다. 일반 GPT-5.5와 신뢰 기반 접근 프로그램을 기본 축으로 두고, 더 민감한 보안 실험은 검증된 방어 조직에만 허용하는 투트랙 전략이다.