JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
북한 위성 연결과 연관됐던 아이피 대역이 2026년 5월 기준 리투아니아 보유자로 바뀐 사례를 통해 오픈소스 인프라 연구의 시간성을 설명한 글이다. 핵심은 주소 할당, 라우팅, 레지스트리 기록이 계속 변하기 때문에 과거의 추론과 현재의 조회 결과를 섞으면 안 된다는 점이다.
오픈소스 보안 생태계가 인공지능 기반 취약점 제보의 폭증으로 새로운 피로를 겪고 있다. 오더블유에이에스피 서울 세미나에서는 인공지능이 후보를 찾는 시대에 인간 보안 실무자가 어떻게 진짜 위험한 취약점을 가려낼지 논의됐다.
현대 자동차는 인터넷에 연결된 센서 덩어리라 위치, 운전 습관, 탑승자 정보, 얼굴 표정, 체중 같은 민감한 데이터까지 수집할 수 있다. 이 데이터는 보험료 산정이나 데이터 브로커 거래에 쓰일 수 있고, 미국에서는 음주·졸음 운전 감지 의무화로 수집 범위가 더 커질 가능성이 있다.
IBM과 레드햇이 50억 달러, 약 6조8000억 원을 투입해 오픈소스 보안 공급망 프로젝트 라이트웰을 시작한다. AI 자동화와 2만 명 이상 엔지니어 조직을 결합해 취약점 분석, 검증, 패치 개발, 업스트림 공유까지 맡겠다는 구상이다.
스패로우가 베트남-아시아 DX 서밋 2026에 참가해 애플리케이션 보안 통합 솔루션 ‘스패로우 엔터프라이즈’를 소개했다. 소스코드, 오픈소스, 웹 취약점을 한 환경에서 분석하고 AI 기반 우선순위 제안과 개발 환경 연동으로 DevSecOps를 구현한다는 메시지다.
한싹이 국가망보안체계(N2SF) 전환과 AI·클라우드 확산에 맞춰 망연계 중심 회사에서 통합보안 기업으로 확장하겠다고 선언했음. 망연계, 접근제어, 가상화(VDI), 보안 관제까지 묶어 공공·금융·제조·기반시설 시장을 노리는 전략임.
마이크로소프트와 갈등을 겪던 보안 연구자 나이트메어 이클립스의 깃허브 계정이 차단됐고, 연구자는 깃랩으로 옮겨갔다. 연구자는 마이크로소프트가 취약점 제보를 무시하거나 보상하지 않았다고 주장하며 추가 제로데이 공개를 암시했고, 이미 공개된 일부 윈도우 취약점은 실제 공격에 악용 중인 것으로 확인됐다.
IBM과 레드햇이 오픈소스 소프트웨어 보안을 강화하기 위해 50억달러 규모의 프로젝트 라이트웰을 출범했다. 2만명 이상의 엔지니어와 AI 시스템을 투입해 취약점 탐지, 패치 검증, 릴리스 엔지니어링까지 묶는 기업용 보안 클리어링하우스를 만들겠다는 구상이다.
일본 중의원이 AI 모델 개발과 통계 분석 목적이라면 개인을 식별하지 않는 범위에서 민감 개인정보를 동의 없이 활용할 수 있게 하는 개인정보보호법 개정안을 통과시켰다. 병력, 전과, 민족, 종교·사상까지 포함돼 데이터 확보와 개인정보 보호 사이의 충돌이 크게 불거질 전망이다.
전 세계 주요 클라우드 저장소에서 비밀번호 없이 접근 가능한 버킷 53만5,480개와 파일 196억 개가 확인됐다. 특히 .env, 개인키, 데이터베이스 백업처럼 공격자가 바로 악용할 수 있는 파일이 대량으로 노출돼, 문제의 본질이 해킹보다 권한 설정 실수에 가깝다는 점이 드러났다.
스패로우가 베트남-아시아 DX 서밋 2026에 참가해 동남아시아 애플리케이션 보안 시장 공략을 이어갔다. 핵심 제품인 스패로우 엔터프라이즈는 소스코드, 오픈소스, 웹 취약점을 한 환경에서 분석하고 AI 기반 우선순위까지 제안하는 통합 보안 솔루션이다.
모빌리티 산업이 소프트웨어 중심으로 바뀌면서 차량, 공장, 기업 시스템 사이에서 사람이 아닌 계정이 폭증하고 있어. KPMG는 이런 비인간 식별자(NHI)를 관리하기 위해 명확성, 통제력, 신뢰를 축으로 한 3C 프레임워크를 제안했어.
오픈소스 자바 테스트 도구 jqwik 1.10.0에 AI 코딩 에이전트가 테스트와 코드를 삭제하도록 유도하는 숨은 프롬프트가 들어가 논란이 됐다. 개발자는 AI 에이전트 사용을 막으려는 의도였다고 밝혔지만, 사용자 경고 없이 파괴적 명령을 넣고 터미널 출력에서 숨긴 점 때문에 커뮤니티 비판이 커졌다.
정부가 해외 빅테크의 사이버 보안 AI에만 기대지 않고, 2027년부터 국내 독자 AI 보안 체계로 전환하겠다는 계획을 내놨다. 앤트로픽 미토스가 단기간 1만6000건 넘는 취약점을 찾아낸 사례처럼 AI가 보안 판을 뒤집는 상황에서, 취약점 정보와 내부 코드가 해외 플랫폼에 묶이는 리스크가 핵심 쟁점으로 떠올랐다.
오픈소스 소스코드 관리 플랫폼 기티에서 사설 컨테이너 이미지를 인증 없이 내려받을 수 있는 취약점이 발견됐어. 영향을 받는 건 1.26.2 미만 버전 전체이고, 전 세계 30개국 3만 개 이상 배포 환경이 위험권으로 분석됐어.
가트너는 직원들이 승인 없이 쓰는 외부 AI 서비스와 AI 코딩 도구가 기업 보안 통제의 새 변수가 됐다고 봤어. 조사에 따르면 사이버보안 리더 조직의 69%가 금지된 공개 생성형 AI 사용을 의심하거나 근거를 확보했고, 해법은 무조건 차단이 아니라 승인 도구, 접근 통제, 탐지, 교육을 함께 설계하는 쪽이야.
한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.
이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.
앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.
애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.