JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
NetSec-KR 2026에서 부산대 최윤호 교수가 클라우드 환경에서 경계형 보안은 무너졌다며 제로트러스트 전환을 강조했다. 지속 검증·최소 권한·침해 전제·세분화 관리 네 축과 함께 IAM·PAM·RBAC·ABAC·ZTNA·SASE/SSE를 통합해야 실제 사고를 막을 수 있다고 지적했다. 실제 공격의 상당수가 인증 이후의 권한 악용·측면 이동 단계에서 벌어진다는 점이 핵심이다.
시스코 탈로스가 n8n 웹훅 기능을 악용한 피싱·악성코드 배포 캠페인을 포착했다. 2024년 10월부터 지속 중인 이 공격은 n8n 클라우드 도메인의 신뢰를 훔쳐 보안 필터를 우회하며, 정상 원격관리도구(RMM)의 변조 버전을 설치해 시스템 원격 제어권을 탈취한다. 올해 3월 기준 n8n URL 포함 피싱 이메일이 1년 전 대비 686% 증가.
미국 하원의원 Josh Gottheimer가 발의한 H.R. 8250(Parents Decide Act)은 애플, 구글 등 모든 OS 벤더가 기기 설정 시 사용자 나이를 검증하도록 강제한다. 아동 보호를 명분으로 내걸었지만, 성인 예외가 없고 생체 스캔·ID 업로드 등의 인프라가 OS 레벨에 깔리게 되어 사실상 국가 신원 확인 시스템이 된다는 비판이 나온다.
Citizen Lab이 폭로한 미국 애드테크 감시 시스템 Webloc은 전 세계 최대 5억 대의 모바일 기기 위치를 추적 가능하며 미 국토안보부·ICE·외국 정보기관이 고객이다. 같은 주 Gambit 보고서는 단독 해커가 Claude Code와 GPT-4.1로 몇 주 만에 멕시코 정부기관 9곳을 털고 수억 건의 기록을 탈취한 사례를 상세 분석했다. 핵심은 AI가 새로운 기법을 만든 게 아니라 1명이 소규모 팀 속도로 움직이게 만들었다는 점이다.
사이버 보안 기업 티오리가 AI 해커 솔루션 '진트'로 정부 클라우드 바우처 사업 공급기업에 선정됨. 중소기업 60곳에 기업당 최대 6,910만원 지원, 기존 2주 보안 분석을 12시간으로 단축하는 AI 기반 취약점 탐지 제공.
이더리움 재단의 '켓맨' 프로젝트가 6개월간 웹3 프로젝트에 침투한 북한 IT 인력 100명을 식별하고, 53개 프로젝트에 경고를 발송함. 깃허브 활동 패턴 분석 기반 오픈소스 탐지 도구도 공개.
정부가 SW 공급망 보안 강화 로드맵을 이달 말~내달 초 공개 예정. 개발 중 SW의 90%가 오픈소스를 사용하는 가운데, 매년 공급망 공격이 50%+ 증가하는 상황에서 2027년까지 공공 IT 시스템 SBOM 제출 제도화를 추진함.
Firebase 프로젝트에 AI Logic을 활성화한 직후, 제한 없는 브라우저 API 키를 통해 자동화된 Gemini API 호출이 13시간 동안 발생해 €54,000 이상 과금됨. 예산 알림은 수 시간 지연되었고, Google은 '유효한 사용'으로 판단해 요금 조정을 거부함.
마이크로소프트가 '제로 데이 퀘스트 2026' 해킹 대회에서 클라우드·AI 취약점 약 700건을 접수받아 230만 달러(34억원)를 포상함. 80건 이상의 고위험 취약점이 확인됐고, 전체 버그바운티 규모도 연간 251억원으로 확대 추세.
오픈소스 및 AI 생성 코드 비중이 늘면서 SBOM 기반 공급망 보안이 글로벌 규제 대응의 핵심으로 부상함. 쿠도커뮤니케이션과 Black Duck이 실제 위험 기반 AppSec 모델과 통합 보안 체계를 제시함.
데일리시큐 주최 AI 보안 컨퍼런스 AIS 2026이 11월 3일 서울에서 열림. LLM 보안, AI 공급망 공격 대응 등이 핵심 의제이며 700명 이상 참석 예상.
미국 이민세관집행국(ICE)이 구글에 행정 소환장을 보내 학생 활동가의 데이터를 요청했고, 구글은 당사자에게 사전 통보 없이 데이터를 넘겼다. 거의 10년간 유지해온 사전 통보 약속이 깨진 사건으로, EFF가 기만적 거래 관행 조사를 요청했다.
2026년 첫 100일간 이란 국가 해커의 의료기기 기업 와이퍼 공격, 북한의 Axios npm 하이재킹(주간 1억 다운로드), ShinyHunters 연합의 15억 건 Salesforce 유출, AI 학습 데이터 벤더 Mercor 침해 등 전례 없는 사이버 사건이 쏟아졌다. 가장 이상한 건 이 모든 일이 벌어지는데도 공론장이 놀라울 만큼 조용하다는 것.
형식 검증 언어 Lean 4의 런타임에서 힙 버퍼 오버플로우가 발견됐다. lean_alloc_sarray 함수에서 정수 오버플로우가 발생해 156바이트짜리 조작된 ZIP 파일로 트리거 가능하며, lean-zip에서도 별도의 DoS 취약점이 확인됐다.
라온시큐어 공채 130:1 경쟁률 기록하며 AI 보안 사업 확대하고, 에스에스알-디딤 클라우드 보안 MOU 체결함. 한창민 의원 개인정보 유출기업 영업정지법 발의했고, KISA 정보보호 제품 성능평가 지원 및 금보원 핀테크 보안점검 서비스도 시작됨.
솔트웨어가 K-ISMS 기준 AWS 보안 점검 서비스 SCR을 업그레이드했음. 기존 최대 1개월 걸리던 점검 과정을 권한 동의만으로 수분 이내 즉시 점검 가능하게 개선. AWS 마켓플레이스에서 4월부터 구매 가능.
8년간 운영된 WordPress 플러그인 브랜드 'Essential Plugin'이 Flippa에서 매각된 뒤, 구매자가 30개 이상 플러그인에 백도어를 심었음. 백도어는 8개월간 잠복하다 활성화되어 wp-config.php에 SEO 스팸을 주입했고, C2 도메인을 이더리움 스마트 컨트랙트로 리졸빙하는 정교한 기법을 사용함.
김승주 교수가 정보기관의 클라우드 보안인증(CSAP) 독점이 AI 시대에 혁신을 억누르고 한국 시장을 갈라파고스화할 수 있다고 경고함. 미국 FedRAMP처럼 보안 정책·인증·운영을 분리하고 다양한 주체가 참여하는 구조를 설계해야 한다고 제언.
카카오엔터프라이즈가 판교에서 카카오뱅크·카카오페이 등 주요 계열사 보안 담당자를 대상으로 클라우드 보안 세미나를 개최함. 팔로알토네트웍스 등 글로벌 보안 기업 4곳이 참여해 제로 트러스트, AI 런타임 보안 등을 공유.
지니언스 시큐리티 센터가 북한 APT37의 새로운 침투 작전을 분석함. 페이스북으로 표적 신뢰를 구축한 뒤 텔레그램에서 변조된 PDFelement 설치파일을 전달하고, dism.exe 프로세스 주입과 JPG 위장 C2를 거쳐 Zoho WorkDrive로 문서·녹음파일을 유출하는 다단계 구조.