JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.
이스트시큐리티가 웹3와 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 22종을 발견했다. 공격자는 Hardhat, Ethers.js, Foundry 같은 익숙한 도구 이름을 사칭했고, 여기서 더 나아가 AI 개발도구의 프로젝트 지침과 외부 도구 호출 구조까지 공격 경로로 쓰려 했다.
앤트로픽의 클로드 미토스 프리뷰가 오픈소스 프로젝트에서 대규모 취약점 후보를 찾아내면서 금융권이 긴급 점검에 들어갔어. 2만3,019개 후보 중 1,726건이 실제 취약점으로 확정됐고, 이 중 패치 완료는 97건뿐이라는 수치가 핵심이야.
엘에스웨어가 오픈소스 통합 관리 솔루션 포세라 위드 블랙덕을 업데이트했어. 소스코드와 바이너리 중심 점검을 넘어 운영 서버 구성요소, AI 모델 반입, 취약점 우선순위 산정, 맞춤형 에스비오엠 출력까지 공급망 보안 범위를 넓힌 게 핵심이야.
이스트시큐리티가 웹3와 디파이 개발자를 겨냥한 악성 npm 패키지 22종을 포착했어. 이번 캠페인은 단순히 패키지 설치 시 악성 코드를 실행하는 수준을 넘어, MCP 도구와 프로젝트 지침 파일을 이용해 AI 개발 환경까지 공격 경로로 삼았다는 점이 핵심이야.
스캐머들이 마이크로소프트의 정상 계정 알림용 이메일 주소를 악용해 스팸·피싱 링크를 보내고 있다는 보도다. 해당 주소는 2단계 인증 코드나 계정 보안 알림에 쓰이는 주소라 사용자가 진짜 메일로 착각하기 쉽고, 스팸하우스는 이 활동이 몇 달 전부터 이어졌다고 밝혔다.
일부 모토로라 폰에서 앱 서랍으로 아마존 앱을 열면 브라우저를 잠깐 거쳐 제휴 코드가 붙은 URL로 리다이렉트되는 현상이 발견됐다. 원인은 사전 설치 앱인 스마트 피드 업데이트로 보이며, 비활성화하면 리다이렉트가 멈춘다.
샤미르 비밀 공유는 중요한 비밀을 여러 조각으로 나누되, 정해진 개수 이상이 모여야만 원래 값을 복구할 수 있게 만드는 암호학 기법이다. 핵심은 ‘풀기 어렵다’가 아니라, 임계값보다 적은 조각으로는 비밀에 대한 정보가 아예 없다는 점이다.
네덜란드 정부가 자국 온라인 신원 인증 인프라를 운영하는 Solvinity의 미국 기업 Kyndryl 인수를 막고 나섰다. DigiD처럼 시민 생활과 공공 서비스 접속에 깊게 박힌 시스템이 외국 기업 통제 아래 들어가는 걸 우려한 조치다.
탐눈이 AI 엔진 ‘타미’를 스킬 기반 클라우드 보안 수정 오케스트레이터로 확장했다. 단순히 경고를 띄우는 데서 끝나지 않고, 고객 환경별 수정 절차를 만들고 패치 적용 전 운영 중단 위험까지 검증하는 쪽으로 간다.
KISA가 2026 AI 세이프티 컴패스에서 에이전틱 AI 보안 위협과 대응 방향을 공유했다. 앤트로픽의 미토스가 시범 공개 한 달 만에 파트너사와 오픈소스 생태계에서 대규모 고위험 취약점을 찾아낸 사례를 들며, KISA는 AI 제로트러스트 성숙도 모델과 에이전트 보안 안내서 고도화를 예고했다.
마이크로소프트가 AI 에이전트 개발 과정에 보안 검증을 계속 끼워 넣기 위한 오픈소스 도구 램파트와 클래리티를 공개했다. 램파트는 레드팀 결과를 반복 가능한 테스트로 바꿔 CI/CD에 넣는 쪽이고, 클래리티는 코드 작성 전 설계 가정과 권한, 신뢰 경계를 점검하는 쪽이다.
구글 클라우드 개발자들이 공개된 API 키 도용으로 제미나이 API 무단 호출 요금을 청구받는 사례가 이어졌다. 지도용 API 키의 사용 범위가 제미나이까지 확장되고, 예산 한도보다 서비스 지속 정책이 우선되면서 30분 만에 1만 달러가 넘는 피해도 발생했다.
Ghost CMS의 심각한 SQL 인젝션 취약점 CVE-2026-26980을 악용한 대규모 클릭픽스 공격이 포착됐어. 공격자는 관리자 API 키를 탈취해 정상 사이트 페이지에 악성 JavaScript 로더를 심고, 방문자에게 가짜 CAPTCHA와 명령어 복사·붙여넣기를 유도한 것으로 알려짐.
앤트로픽의 보안 특화 인공지능 모델 ‘클로드 미토스 프리뷰’가 프로젝트 글래스윙에서 한 달 만에 주요 소프트웨어의 고위험 취약점 1만 건 이상을 찾아냈다. 오픈소스 프로젝트 1000개 이상을 스캔해 2만3019개 취약점 후보를 발견했고, 외부 검증 대상의 90.6%가 실제 취약점으로 확인됐다. 이제 보안 업계의 병목은 ‘취약점을 찾는 속도’가 아니라 ‘검증하고 패치하는 속도’로 넘어가는 분위기다.
구글클라우드가 제미나이 무단 API 호출로 고액 과금 논란을 겪은 뒤, AI 보안과 데이터 거버넌스를 처음부터 설계해야 한다고 강조했어. 특히 노출된 API 키가 제미나이 호출에 악용되면서 30분 만에 약 1500만원이 청구된 사례까지 나왔다는 점이 꽤 뼈아파.
앤트로픽의 보안 특화 AI 모델 ‘클로드 미토스’가 ‘미토스 1’이라는 제품명으로 클로드 코드와 클로드 시큐리티에 들어갈 준비를 하고 있다는 정황이 나왔다. 아직 공식 발표는 아니지만, 소스코드와 사용자 화면 단서, 프로젝트 글래스윙 업데이트가 맞물리면서 제한 운영에서 더 넓은 활용으로 방향이 바뀌는 분위기다.
금융위원회가 고성능 AI 보안 위협에 대응하기 위해 금융사의 망분리 규제를 보안 목적에 한해 긴급 완화하기로 했다. 총자산 10조원 이상, 상시종업원 1천명 이상 등 일정 규모와 보안 체계를 갖춘 49개 금융사가 신청 대상이고, 평가를 거치면 1년간 완화 적용을 받을 수 있다.
소프트캠프가 금융권 전용 원격 브라우저 격리(RBI) 기반 보안 접속 플랫폼 실드웹을 출시했다. 고객 PC에 보안 프로그램을 잔뜩 설치하던 방식에서 벗어나, 웹 코드와 API 호출을 클라우드 격리 컨테이너에서 실행해 공격면을 줄이는 구조다.
팔로알토네트웍스가 AWS 서밋 서울 2026에서 AI 서비스의 기획, 개발, 배포, 운영 전 과정에 보안을 내재화하는 'Secure AI by Design' 전략을 제시했다. 섀도우 AI, 민감 데이터 노출, 모델 무결성 저하, AI 에이전트 오작동 같은 리스크를 기존 경계 보안만으로는 잡기 어렵다는 문제의식이다.