JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
2019년부터 유럽 대륙, 그린란드, 캐나다에서 반복적으로 관측된 강력한 광역 GNSS 교란 사건을 분석한 논문이다. 연구진은 2019~2026년 지상 GNSS 기준국 네트워크 데이터를 바탕으로 수신 전력과 도착 시간 차이를 결합해, 교란원이 몰니야 궤도의 러시아 조기경보 위성군일 가능성이 높다고 결론냈다.
벡트라 AI가 AWS, 애저, GCP, OCI 전반의 클라우드 네트워크 관측성을 확장했어. 핵심은 클라우드 네트워크, 제어 평면, 아이덴티티, 온프레미스 신호를 따로 보지 말고 하나의 공격 흐름으로 묶어 보자는 거야.
앤트로픽이 Claude를 이용해 코드 취약점을 찾고, 검증하고, 리포트하고, 패치까지 이어가는 참조 구현을 공개했다. 핵심은 정적 리뷰만 던지는 게 아니라, C/C++ 타깃을 Docker와 ASAN으로 빌드한 뒤 여러 에이전트가 재현 가능한 크래시를 찾고 별도 에이전트가 검증하는 파이프라인이다. 다만 저장소 자체는 제품이 아니라 참고용이며, 유지보수와 기여도 받지 않는다고 못 박았다.
보안 연구자가 일부러 취약한 리액트 네이티브 앱과 파이썬 백엔드를 만들고, 여러 대규모 언어 모델(LLM)이 실제 취약점을 찾아낼 수 있는지 실험했어. 핵심 취약점은 API 자체가 아니라 앱에 들어 있는 파이어베이스 설정을 이용해 직접 가입하고 파이어스토어 데이터를 읽는 접근제어 실패였어. 결과는 GPT 5.5가 10회 중 7회 성공으로 가장 좋았고, 다른 모델들은 보안 거부, 엉뚱한 API 분석, 비용 폭발에 많이 막혔어.
토론토대, 벡터 연구소, 케임브리지대 연구진이 오픈웨이트 AI 모델만으로 자율형 AI 웜 프로토타입을 구현했다고 공개했음. 실험 환경에서 웜은 인간 개입 없이 취약점을 찾고, 공격 전략을 바꾸고, 침해한 GPU 자원을 이용해 네트워크로 확산했음.
IBM이 소프트웨어 배포 라이프사이클 파트너 ‘Bob’을 소개하면서 개발 생산성 45% 향상, 앱 현대화 최대 93% 개선을 내세웠어. 기사 전반은 AI 코딩 도구가 생산성을 올리는 동시에 공급망 공격과 보안 검증 부담을 키우는 현실을 짚고, Bob이 사람 승인과 시프트 레프트 보안으로 이 문제를 풀겠다는 내용이야.
한국정보보호산업협회가 AI 기반 취약점 대응 체계인 K-글래스윙 출범을 추진한다. 해외 보안 특화 AI 프로젝트에만 기대기 어렵기 때문에, 국내 보안기업·AI 기업·공공기관이 함께 취약점 진단과 한국형 보안 AI 모델 개발을 맡는 구조다.
오픈AI, 앤트로픽, 구글 딥마인드 등 주요 AI 기업 리더들이 미국 의회에 합성 핵산 판매 규제를 요구했다. AI가 바이러스학 같은 전문 영역의 지식 장벽을 낮추면서, 악의적 세력이 생물학무기 개발에 활용할 수 있다는 우려가 핵심임.
캘리포니아 백 앤 페인 스페셜리스트의 서버에서 환자 의료기록 133GB가 공개된 정황이 보고됐다. 제보자는 2026년 3월 31일 병원 측에 알렸지만 응답을 받지 못했고, 5월 20일 AWS에 신고한 뒤 6일 만에 서버가 조치됐다고 밝혔다. 이후 환자와 규제기관에 통지할 계획이 있는지 물었지만 답변은 없었다.
레드햇 관련 npm 패키지가 악성코드에 감염돼 개발자 PC, 깃허브 토큰, 클라우드 자격증명, 쿠버네티스 설정, CI/CD 비밀정보까지 노린 사건이 드러났어. 이번 미아즈마 변종은 패키지 설치만으로 실행되고, VS 코드와 클로드 코드 설정까지 건드려 지속성을 확보하려 했다는 점이 특히 위험해.
치포틀라이 맥스는 치폴레의 고객지원 챗봇 페퍼를 오픈코드의 기본 모델처럼 붙인 밈성 프로젝트다. 핵심은 누군가 페퍼의 웹소켓 기반 백엔드를 역공학해 오픈에이아이 호환 프록시를 만들었고, 이를 코딩 에이전트에 연결해 무료 추론처럼 쓰게 했다는 점이다.
멀바드는 소셜 미디어 연령 확인이 아이 보호라는 명분으로 전 세계에 퍼지고 있지만, 실제로는 신원 확인 기반 인터넷 통제 인프라가 될 수 있다고 주장한다. 특히 앱스토어, 운영체제, 브라우저, 가상 사설망까지 통제 범위가 넓어지면 익명 표현과 온라인 프라이버시가 크게 훼손될 수 있다는 경고가 핵심이다.
애드어프루트가 플럭스 측 법률대리인으로부터 명예훼손 가능성과 컴퓨터 사기 및 남용법 위반 주장을 담은 요구서를 받았다고 공개했어. 애드어프루트는 공개된 서버 설정 오류로 노출된 정보만 확인했고, 보안상 공익이 있는 사안을 책임 있는 공개 방식으로 다뤘다는 입장이야.
보안 연구팀은 ChatGPT for Google Sheets에서 간접 프롬프트 인젝션 하나로 여러 워크북 유출, 피싱 팝업, 공격자 제어 사이드바, 시트 수정까지 가능했다고 공개했다. 사용자가 자동 편집을 꺼두고 승인 요구 설정을 해도, 모델이 Apps Script 코드를 생성·실행하면서 권한을 우회하는 흐름이 문제였다.
레드펜소프트가 개발·반입·운영 단계의 소프트웨어 자산과 보안 정보를 한 워크플로우에서 관리하는 ‘엑스스캔 시큐어 에셋’을 출시했다. 오픈소스 취약점 점검만으로는 실제 운영 서버의 위험을 보기 어렵다는 문제를 겨냥한 제품이다.
인스타그램에서 일부 계정이 탈취된 사건의 핵심은 공격자가 사용자명과 대략적인 위치만 맞춘 뒤, 메타 지원 AI에게 본인 소유 이메일로 인증 코드를 보내게 만들었다는 주장임. 이 흐름에서는 2단계 인증도 계정 복구 절차 안에서 우회됐고, 고가의 짧은 핸들을 노린 블랙마켓 거래까지 이어졌다고 해.
레드햇 클라우드 서비스 관련 npm 패키지 다수에서 악성으로 보이는 버전들이 한꺼번에 지목됐어. 프론트엔드 컴포넌트, 클라이언트 SDK, ESLint 설정, MCP 관련 패키지까지 범위가 넓어서 의존성 잠금 파일을 바로 확인할 필요가 있어.
에스투더블유가 안보 AI 플랫폼 자비스와 보안 AI 솔루션 퀘이사에 대해 클라우드 서비스 보안인증을 받았다. 공공기관 납품과 조달청 디지털서비스몰 등록에 필요한 문턱을 넘었다는 점에서, 국내 보안 SaaS 시장에 꽤 실질적인 뉴스다.
레드펜소프트가 2026 상반기 기술 파트너 세미나에서 XSCAN Secure Asset을 공식 공개했어. 개발 단계의 구성요소 점검부터 외부 반입 소프트웨어 검증, 운영 서버의 실제 실행 구성요소 확인까지 하나의 워크플로우로 묶겠다는 방향이 핵심이야.
레드펜소프트가 소프트웨어 공급망 보안을 개발·반입·운영 단계까지 하나의 워크플로우로 관리하는 X스캔 시큐어 애셋을 출시했다. 단순 오픈소스 취약점 점검을 넘어, 실제 운영 서버에서 어떤 구성요소가 실행 중이고 어떤 취약점이 진짜 위험한지까지 연결해 보겠다는 방향이다.