JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
미국 연방통신위원회가 통신사에 신규·갱신 고객의 정부 발급 신분증 번호와 실제 주소를 수집하게 하는 규칙을 추진 중이다. 명분은 사기 방지지만, 사생활 보호가 필요한 사람들의 익명 통신 수단인 선불폰 사용을 사실상 막을 수 있다는 비판이 나온다.
가트너가 생성형 AI와 에이전틱 AI 확산으로 커지는 주요 사이버 위협 4가지를 제시했다. 딥페이크, AI 애플리케이션 침해, 프롬프트 인젝션, 소프트웨어 공급망 공격이 핵심이다. 기업은 탐지 도구만 믿기보다 인증, 접근 통제, 보안 테스트, 자재명세서 관리까지 포함한 방어 체계를 다시 짜야 한다.
마이크로소프트가 자사 깃허브 오픈소스 프로젝트 일부에서 비밀번호 탈취 악성코드가 발견돼 저장소를 삭제하거나 오프라인으로 전환했다. 영향을 받은 도구는 VS 코드, 클로드 코드, 제미나이 CLI 같은 AI 코딩 앱과 연결된 개발자 도구까지 포함된다. 오픈소스 공급망 공격이 AI 개발 워크플로를 노리는 흐름이 더 뚜렷해진 사건이다.
AI가 취약점 탐지부터 공격 코드 생성까지 자동화하면서 해킹의 진입 장벽이 확 낮아지고 있다는 얘기다. 한국도 국가안보실과 과기정통부를 중심으로 대응책을 준비 중이고, 핵심은 방어도 AI와 자동화로 끌어올려야 한다는 점이다.
마이크로소프트가 GitHub에 올려둔 일부 오픈소스 프로젝트에서 비밀번호 탈취 악성코드가 발견돼 수십 개 저장소 접근을 차단했다. 영향을 받은 프로젝트는 Azure 관련 도구와 Claude Code, Gemini CLI, VS Code 같은 AI 개발 앱에서 쓰이는 도구와 연결돼 있다. 공급망 공격이 개인 maintainer를 넘어 대형 기술 기업의 오픈소스 저장소까지 직접 겨냥한 사례라는 점이 크다.
미국 매사추세츠주 하원이 소비자 데이터 프라이버시 법안을 만장일치로 통과시켰고, 핵심은 정밀 위치 데이터 판매 금지다. 법안이 최종 서명되면 위치 기반 광고, 데이터 브로커, 사용자 추적을 다루는 스타트업과 빅테크 모두 직접 영향을 받게 됨.
마이크로소프트가 자사 깃허브 오픈소스 저장소 수십 개를 비공개 처리하고 악성코드 삽입 정황을 조사 중이다. 악성코드는 AI 코딩 도구에서 손상된 프로젝트를 실행할 때 비밀번호와 인증 토큰을 빼가도록 설계된 것으로 분석됐다. 개발자 계정이 클라우드와 고객 데이터 접근권을 쥐고 있다는 점 때문에 공급망 공격의 표적이 더 노골적으로 개발 환경 쪽으로 옮겨가는 분위기다.
태니엄이 AI로 취약점 탐지와 공격 자동화가 빨라진 ‘포스트 미토스’ 시대에는 기존 사람 중심 패치 프로세스가 버티기 어렵다고 주장했다. 공격은 30분 만에 무기화되는데 패치 적용은 평균 60~150일이 걸리는 구조라, 정책 기반 자율형 패치 관리가 필요하다는 얘기다.
사이퍼펑크와 프라이버시, 전자화폐, 암호 아나키즘 관련 고전 글을 모아둔 개인 컬렉션이다. 판매나 폐쇄 대상이 없는 공개 도메인 자료를 중심으로 구성했고, PGP, eCash, Freenet 같은 초기 인터넷 자유주의 흐름을 읽을 수 있다. 최신 기술 뉴스라기보다는 보안과 프라이버시 문화의 뿌리를 훑는 참고 자료에 가깝다.
펜타시큐리티가 이미지·영상 속 민감정보를 AI로 탐지해 가려주는 클라우드브릭 마스크 API를 출시함. 커뮤니티나 게시판처럼 유저 업로드 이미지가 많은 서비스에서 얼굴, 차량 번호판 등을 업로드 단계에서 블러 처리해 개인정보 노출 리스크를 줄이는 게 핵심임.
체크포인트리서치가 인기 오픈소스와 무료 소프트웨어를 사칭한 대규모 악성코드 유포 생태계를 발견했다. 공격자는 검색 상위에 노출되는 가짜 다운로드 사이트를 만들고, 사용자의 환경에 따라 정상 파일이나 악성코드 배포 경로로 다르게 보내는 방식을 썼다.
보안 정보 및 이벤트 관리 도구가 단순 로그 저장소에서 실시간 탐지, 행위 분석, 자동 대응을 묶는 보안 운영 플랫폼으로 바뀌고 있어. 프로스트앤설리번은 현대 시엠 시장이 2024년부터 2029년까지 연평균 13.7퍼센트 성장할 것으로 봤고, 클라우드 네이티브·서비스형 시엠 전환을 핵심 흐름으로 짚었어.
Encryption Consulting이 F5와의 파트너십을 통해 F5 BIG-IP 환경에 자동화된 인증서 수명 주기 관리를 제공한다고 발표했다. 업계가 47일 TLS 인증서 수명으로 이동하는 흐름에서, 수동 갱신과 배포를 줄이는 게 핵심이다. 다만 기사 자체는 기술 발표와 함께 F5의 투자 내러티브를 다루는 성격이라 실무 기술 분석은 제한적이다.
티빙 해킹 사고가 단순 DB 유출이 아니라 AWS 클라우드 자격증명 관리 실패로 번지는 분위기다. GitHub에 노출된 자격증명, 하드코딩된 액세스 키, 21시간 늦은 이상 징후 인지, 24시간 신고 시한 1분 전 신고까지 보안 운영 전반이 도마 위에 올랐다.
EU 집행위원회가 클라우드·AI 개발법과 반도체법 2.0을 제안하며 미국 빅테크 의존도를 줄이겠다는 방향을 분명히 했다. 금융, 에너지, 보건 같은 민감 분야에서는 유럽산 하드웨어와 소프트웨어, 역내 통제 조건을 강하게 요구할 전망이다. 미국 클라우드법과 킬 스위치 우려가 배경에 깔려 있어, 단순 산업 보호가 아니라 디지털 주권과 공급망 보안 이슈로 봐야 한다.
에포크 AI가 주요 글로벌 기업과 오픈소스 프로젝트의 CVE 데이터를 분석한 결과, 2026년 들어 고위험 취약점 공개 건수가 급격히 늘었다. 업계는 클로드 미토스 프리뷰 같은 자율형 보안 AI와 대규모 언어 모델 기반 취약점 탐지가 이 흐름을 가속한다고 보고 있다.
메타 스마트 안경의 동반 앱 Stella 안드로이드 빌드에서 얼굴 감지, 정렬, 임베딩 생성, 로컬 벡터 검색, 알림까지 이어지는 온디바이스 얼굴 인식 스택이 발견됐다. 연구자는 일반 사용자에게 실제로 켜져 있다는 증거는 없다고 선을 그었지만, 테스트 이미지로 파이프라인을 직접 호출하자 2048차원 생체 임베딩을 만들고 매칭 시 ‘사람 인식’ 알림까지 띄웠다. 문제는 이게 단순한 죽은 코드가 아니라, 모델·DB 스키마·저장 경로·알림 표면이 서로 맞물린 완성형 장치라는 점이다.
메타의 인스타그램 계정 복구용 AI 챗봇이 공격자에게 속아 비밀번호 재설정 링크를 잘못 보내는 취약점이 악용됐어. 메타는 최소 2만225명에게 계정 침해 사실을 통지했고, 영향을 받은 계정은 게시물, 다이렉트 메시지, 활동 기록까지 접근 가능했을 수 있어.
AI 에이전트와 바이브 코딩이 업무 자동화와 개발 진입장벽을 낮추고 있지만, 보안 검토 없이 맡기면 인프라 삭제·토큰 유출·개인정보 노출 같은 사고로 바로 이어질 수 있다는 내용이다. 핵심은 AI에게 잘 말하는 게 아니라, 권한 격리·규칙 문서·리뷰·백업으로 구조를 짜는 쪽에 있다.
인포트렌드가 컴퓨텍스 2026에서 CCTV 영상분석과 보안 모니터링 같은 실사용 환경을 겨냥한 3000시리즈 서버를 공개했다. VMware 비용 상승 이후 Proxmox 기반 오픈소스 가상화와 자체 플랫폼 EonKube를 앞세워 중소기업이 부담 없이 AI 분석 환경을 만들 수 있게 하겠다는 전략이다.