JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
쿤텍이 소프트웨어 공급망 보안 플랫폼 이지즈 3.0을 내놨다. 기존 오픈소스 관리 중심에서 벗어나 SBOM, 레파지토리 관리, 바이너리 분석, AI-BOM까지 한 화면에서 다루는 쪽으로 확장한 게 핵심이다. AI 도입이 늘면서 모델 구성 요소와 변경 이력까지 보안 관리 대상에 들어왔다는 흐름을 보여준다.
미국 주정부 건강보험 마켓플레이스 20곳 대부분이 신청자 정보를 구글, 링크드인, 메타, 스냅 같은 광고·기술 기업과 공유한 정황이 나왔다. 픽셀 추적기가 의료·인종·성별·연락처 같은 민감 정보를 잘못 수집하면서, 정부 웹사이트의 추적 코드 관리가 얼마나 위험한지 보여준 사례다.
성소수자 정체성이나 말투를 프롬프트에 섞어 대규모 언어 모델(LLM)의 거절 정책을 흔드는 탈옥 기법이 공유됐다. 핵심은 모델의 안전장치가 차별적으로 보이지 않으려는 방향으로 튜닝된 점을 악용해, 금지된 요청을 정체성 표현이나 역할극으로 포장하는 방식이다. 실제 악성 요청 예시는 재현하지 않는 게 맞고, 방어 관점에서는 정책 우회 프레이밍 자체를 탐지해야 한다.
미국 조지아주 던우디에서 Flock 직원들이 도시와 민간 시설 카메라에 접근해 경찰 대상 영업 데모에 사용한 사실이 공개됐어. 접근 대상에는 아동 체조실, 놀이터, 학교, 유대인 커뮤니티 센터, 수영장 같은 민감한 장소가 포함됐고, 주민은 공개기록 청구로 접근 로그를 확보했어. Flock은 허가된 데모 프로그램이었다고 해명했지만, 이후 던우디 카메라를 제품 시연에 쓰는 건 중단하기로 했어.
쿤텍이 소프트웨어 공급망 보안 플랫폼 이지즈 3.0을 출시했다. 기존 오픈소스 관리 중심 보안을 넘어, SDLC 전반의 리스크를 SBOM, 저장소 관리, 바이너리 분석으로 통합 관리하는 구조다. 새 기능인 AI-BOM은 AI 모델을 구성하는 데이터, 라이브러리, 모델 구조의 출처와 변경 이력까지 추적하는 데 초점을 둔다.
최근 국내 일부 불법 만화 사이트, 해외 도박 사이트, 성인물 사이트 접속 차단이 체감되면서 인터넷 규제 방식 변화가 주목받고 있어. 단순히 사이트 주소를 막는 수준이 아니라 CDN, DNS 같은 인프라 사업자를 통해 우회 접속까지 묶는 방향으로 움직이고 있다는 분석이야.
크라우드스트라이크가 팔콘 보안 플랫폼에 앤트로픽의 클로드 오퍼스 4.7을 통합하고, 구글 클라우드와의 협업도 실시간 클라우드 탐지·대응 쪽으로 넓혔다. 기사에는 팔콘 클라우드 보안의 3년 투자수익률 264%, 매출 성장률 21.7%, 목표가 658.97달러 같은 투자 관점 수치도 함께 나온다. 핵심은 보안 플랫폼이 AI 기반 경보 분류와 클라우드 워크로드 보호를 묶어 더 큰 기업 보안 예산을 노린다는 점이다.
액티브스테이트가 AI 코딩 도구가 가져오는 오픈소스 의존성 위험을 줄이기 위해 큐레이티드 카탈로그 지원을 확대했다. 커서, 클로드 코드, 깃랩 듀오 같은 도구별 플러그인을 붙이는 대신, 패키지를 가져오는 경로 자체를 검증된 저장소로 돌리는 접근이다.
이 글은 클로드 미토스가 보여준 자율형 AI 공격 가능성을 계기로 기존 보안 전제가 흔들리고 있다고 주장한다. 알려진 패턴 탐지, 전문가 판단, 느려도 따라잡는 대응이라는 세 가지 믿음이 AI 공격 속도 앞에서 더 이상 충분하지 않다는 논지다.
영국 AI안전연구소 보고서에 따르면 클로드 미토스 프리뷰와 GPT-5.5가 숙련 보안 전문가에게 20시간 걸릴 만한 기업 네트워크 해킹 시나리오를 자율적으로 완수했다. 단일 모델의 우연한 성과가 아니라 프론티어 AI 전반이 사이버 작전 수행 능력의 새 임계점을 넘고 있다는 신호로 읽힌다.
국내 금융권 통합 AI 가이드라인 발표가 앤트로픽의 보안 특화 AI 모델 ‘클로드 미토스 프리뷰’ 공개 이후 늦어지고 있다. 금융당국과 신용정보원은 AI 개발·운영·보안 지침을 하나로 묶으려 했지만, AI가 직접 취약점을 찾고 침투 경로까지 설계할 수 있다는 우려 때문에 보안 기준을 다시 점검하는 분위기다.
알파벳 주요 투자자들이 회사의 클라우드와 AI 기술이 정부 감시나 군사적 목적에 활용될 때 어떤 통제 장치가 있는지 설명하라고 요구했다. 42개 기관과 14명의 개인 투자자가 참여했고, 이들의 운용 자산은 1조1500억 달러 규모다.
시스코가 허깅페이스 같은 저장소에서 가져온 서드파티 AI 모델의 출처와 계보를 검증하는 오픈소스 도구를 공개했다. 모델 메타데이터와 가중치 수준 신호를 분석해 지문을 만들고, 비교·스캔 모드로 모델의 공통 계보를 추적하는 방식이다.
메타가 미국 직원들의 업무용 컴퓨터에 추적 소프트웨어를 설치해 마우스 움직임, 클릭, 키 입력 등을 수집했다는 의혹이 제기됐다. 저커버그는 ‘똑똑한 직원들이 일하는 모습을 AI가 배워야 한다’는 취지로 설명했지만, 수집 범위와 민감 정보 제외 기준은 명확히 공개되지 않았다.
PyPI의 인기 딥러닝 프레임워크 패키지 `lightning` 2.6.2와 2.6.3이 공급망 공격에 감염됐어. `pip install lightning` 후 모듈 import만 해도 자격 증명, 환경변수, GitHub 토큰, 클라우드 시크릿을 훔치고 npm 패키지까지 웜처럼 전파하려는 구조였다는 게 핵심이야.
정부가 2027년 하반기까지 공공 클라우드 보안 인증을 국정원 단일 검증체계로 통합하려고 해. CSAP는 사실상 폐지 수순이지만, ISMS 안의 클라우드 보안 모듈과 국정원 검증이 나뉘면서 또 다른 이중 규제가 될 수 있다는 우려도 같이 나와.
리눅스 커널 로컬 권한 상승 취약점인 CVE-2026-31431 대응 과정에서, 배포판들이 사전에 알림을 받지 못했다는 점이 드러났어. 취약점은 2017년 리눅스 4.14에 들어간 커밋에서 시작됐고, 일부 최신 stable 커널에는 수정이 들어갔지만 여러 장기지원 커널에는 아직 깔끔한 백포트가 없는 상태야.
리비안 차량에서 모든 인터넷 연결을 끄면 차량 밖으로 데이터가 나가지 않게 할 수 있다. 대신 내비게이션, 차선 유지 보조, 무선 업데이트 같은 연결 기반 기능이 제한되거나 꺼진다.
티오리 박세준 대표는 앤트로픽의 클로드 미토스급 범용 AI 모델이 6~12개월 안에 더 등장할 수 있다고 전망했다. 이런 모델은 제로데이 취약점 탐지에 유용하지만 공격 자동화에도 악용될 수 있어, AI 생성 코드를 기계 속도로 검증하는 체계가 필요하다는 주장이다.
메타가 AI 학습을 위해 쓰던 케냐 기반 외주업체 Sama와의 대형 계약을 종료하면서 논란이 커지고 있다. Sama 노동자들은 메타 스마트 안경 이용자가 촬영한 화장실 장면이나 성관계 장면 같은 민감한 영상을 봐야 했다고 주장했고, 계약 종료로 1,108명이 해고될 예정이라고 한다. 메타는 기준 미달 때문이라고 말하지만, 노동자 단체는 폭로에 대한 보복이라고 보고 있다.