JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
파리 검찰이 유로폴과 함께 X 프랑스 본사를 압수수색하고 머스크와 전 CEO 야카리노를 소환함. 알고리즘 조작 혐의로 시작된 수사가 Grok AI의 아동 성착취물, 성적 딥페이크, 홀로코스트 부정 등으로 확대됨. 유럽 전반에서 소셜미디어 규제 강화 움직임이 가속화되고 있음.
중국 정부 연계 APT 그룹 Lotus Blossom이 Notepad++ 업데이트 서버를 해킹해 'Chrysalis'라는 신규 백도어를 배포. DLL 사이드로딩 기법으로 정상 Bitdefender 바이너리를 이용한 정교한 공격 체인.
1Password 연구원이 OpenClaw의 스킬 레지스트리 ClawHub에서 macOS 인포스틸링 맬웨어를 발견. 가장 다운로드 수가 많았던 'Twitter' 스킬이 맬웨어 전달 수단이었고, 수백 개의 스킬이 같은 방식으로 악용되고 있었음.
프랑스 당국이 이탈리아 여객선에 원격 접근 악성코드를 설치한 라트비아 승무원을 외국 세력 공모 혐의로 체포. 러시아 개입을 시사하며, 별도로 내무부 이메일 서버 해킹 사건도 발생
리눅스 커널 보안팀의 운영 방식을 상세히 설명한 글. 리액티브 방식의 버그 수정, 엠바고 최대 7일 정책, '버그는 버그일 뿐' 철학, 하드웨어 보안 이슈 대응, 그리고 사전 공지 리스트를 두지 않는 이유까지 다룸.
아일랜드가 Meta 출신 로비스트를 데이터보호위원장에 임명함. 문제는 Meta 퇴직 임원들이 비방금지·비공개·강제중재 조항에 묶여 있다는 것. 5억 유럽인의 개인정보 보호가 Meta 눈치를 봐야 하는 사람 손에 넘어간 셈.
Anthropic 연구팀이 SCONE-bench 벤치마크로 AI 에이전트의 스마트 컨트랙트 공격 능력을 측정. Opus 4.5가 지식 컷오프 이후 취약점에서 370만 달러어치 익스플로잇 생성. 신규 제로데이 2건도 발견하여 자율적 실세계 공격이 기술적으로 가능함을 증명.
39C3에서 EntrySign 취약점을 활용한 AMD Zen 1~5 CPU 커스텀 마이크로코드 로드 방법과 오픈소스 도구(AngryTools)가 공개됨. 전자현미경으로 ROM을 추출하고 마이크로코드 인코딩을 분석한 결과도 포함.
인도 정부가 모든 스마트폰에 삭제 불가능한 사이버 보안 앱 Sanchar Saathi 선탑재를 의무화함. Apple은 협상을 통해 절충안을 모색할 전망.
독일 상공에 출현한 군용급 드론의 출처를 저널리즘 학생 7명이 OSINT로 추적. AIS 데이터 분석으로 러시아 연결 선박 3척을 특정하고, 직접 드론으로 촬영까지 수행한 조사 보도.
광고 차단기와 VPN을 쓰는 사용자가 CAPTCHA에 의해 봇 취급받는 현실. Cloudflare Turnstile이 특히 문제이며, JS 없이 완전 실패하는 보안 도구는 방어적 설계가 아니라는 주장.
SimpleX Chat의 철학 선언문. 전화번호, 사용자 이름, 계정 없이 작동하는 메신저의 존재 이유를 설명함.
Firefox 보안 엔지니어가 텔레메트리 무용론에 반박하며, eval 제거, 사이트 격리, 캔버스 노이즈 최적화 등 실제 사례를 들어 기술적 텔레메트리가 브라우저 보안과 성능에 어떻게 기여하는지 설명함.
Microsoft Authenticator가 탈옥/루팅 폰에서의 사용을 3단계(경고→차단→데이터 삭제)로 차단함. Entra 고객 대상이며 Android는 이미 롤아웃 시작, iOS는 4월부터. 옵트아웃 불가.
봇, 헤드리스 브라우저, 비전 AI 에이전트까지 탐지하는 셀프호스팅 CAPTCHA 시스템. 40개 이상의 행동 시그널, SHA-256 Proof of Work, 비전 AI의 스크린샷-API-클릭 패턴 탐지 등을 결합하며 Go/Python/Node.js 서버를 지원함.
ETH Zurich와 Anthropic 연구진이 LLM 기반 4단계 파이프라인으로 익명 온라인 사용자의 신원을 대규모로 식별할 수 있음을 증명함. HN→LinkedIn 매칭에서 99% 정밀도에 45.1% 재현율을 달성했고, 완전 자율 에이전트로는 건당 1~4달러에 90% 정밀도로 67% 사용자를 식별함.
AI 코딩 에이전트의 실제 실행 내역을 eBPF로 OS 레벨에서 추적하는 리눅스 CLI 도구. 관찰만 하고 차단하지 않는 설계로, cgroup v2 기반 실행 단위별 이벤트 기록과 내장 탐지 규칙을 제공함.
국세청이 체납자로부터 압수한 81억 원 상당 암호화폐의 레저 지갑 사진을 보도자료에 올렸는데, 시드 구문이 선명하게 찍혀 있어서 약 480만 달러 상당의 토큰이 탈취됨. 2021년 강남경찰서 비트코인 유출 사건에 이은 반복적 실수임.
CVE-2025-4275 Hydroph0bia 취약점의 패치를 리버스 엔지니어링으로 분석한 결과, NVRAM 변수 보호를 강화하는 방식의 조건부 수정이었다. Dell만 패치를 배포했고 대부분 OEM은 미대응 상태이며, 근본적 해결(NVRAM 미사용)은 6개월 뒤 예정.
golang.org/x/crypto를 복제한 악성 Go 모듈이 ReadPassword 함수에 백도어를 심어 비밀번호를 탈취하고, 리눅스 호스트에 Rekoobe 백도어를 설치함. Go 모듈 프록시에서는 차단됐지만 이미 벤더링한 프로젝트는 여전히 취약.