JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
invisible_playwright는 Playwright와 호환되는 패치된 Firefox로, 브라우저 지문 탐지와 봇 탐지 테스트를 통과한다고 주장하는 오픈소스 프로젝트다. 핵심은 자바스크립트 런타임에서 값을 덮어씌우는 방식이 아니라 Firefox의 Gecko 경로를 C++ 레벨에서 패치해 탐지기가 ‘거짓말 흔적’을 잡기 어렵게 만든다는 점이다. 자동화 탐지, 크롤링 방어, 지문 일관성 설계에 관심 있는 개발자에게는 꽤 자극적인 사례다.
Remove-AI-Watermarks는 Gemini, DALL-E, Stable Diffusion, Firefly, Midjourney 등에서 생성된 이미지의 보이는 워터마크, 보이지 않는 워터마크, AI 생성 메타데이터를 제거한다고 주장하는 CLI 겸 라이브러리다. README는 SynthID, C2PA, EXIF/XMP, 플랫폼의 ‘AI로 제작됨’ 라벨까지 다루면서도, 법적·윤리적 책임과 한계를 길게 경고한다.
30년 가까이 C와 C++를 써온 개발자가 “비자명한 C/C++ 코드에는 사실상 정의되지 않은 동작이 있다”고 주장한 글이다. 흔한 메모리 버그뿐 아니라 정렬 안 된 포인터, char를 넘긴 isxdigit, float에서 int 캐스팅, NULL 포인터, printf 포맷 불일치 같은 일상적인 코드까지 위험하다는 게 핵심이다. 결론은 C/C++를 버리자는 게 아니라, 2026년에는 대규모 언어 모델(LLM)을 동원해 정의되지 않은 동작을 찾고 사람이 검토하는 프로세스가 필요하다는 쪽에 가깝다.
오픈AI가 과기정통부, 외교부, 국정원, 금융위 등 한국 정부 관계자들과 AI 보안 실무 워크숍을 열고 신뢰 기반 사이버 접근 프로그램(TAC)을 소개했다. 정부는 AI 보안 위협 대응을 위한 정보 공유와 협력을 요청했고, 양측은 AI 모델을 사이버 방어에 활용하는 실무 논의를 이어가기로 했다.
솔트웨어가 AWS 서밋 서울 2026에서 생성형 AI 사용 과정의 민감정보 유출 방지와 AWS 보안 컴플라이언스 점검 서비스를 선보인다. AI DLP 솔루션 사피가디언과 ISMS-P 2023 기반 AWS 점검 서비스 SCR을 중심으로 기업 보안 운영 방안을 소개한다.
미국 CISA 협력업체 직원이 정부용 AWS GovCloud 관리자 자격증명과 내부 시스템 비밀번호를 공개 깃허브 저장소에 노출했다. 저장소는 약 26시간 만에 비공개 처리됐지만 핵심 AWS 키는 이후에도 약 48시간 유효했다.
글쓴이는 비트워든이 가격 인상, 최고경영자 교체, 무료 플랜 문구 삭제, 가치 문구 변경을 조용히 진행하고 있다고 지적해. 특히 새 최고경영자의 인수합병·사모펀드 경력을 근거로, 비트워든이 장기 제품 운영보다 매각이나 수익성 개선 쪽으로 움직이는 게 아니냐는 의심을 던져.
가비아가 개인정보 보호와 법률 컴플라이언스 솔루션 기업 지키다에 공공기관 전용 클라우드를 공급했다. 지키다는 이 환경을 바탕으로 클라우드형 컴플라이언스 점검 서비스의 CSAP 인증을 취득하고 공공 시장 진출 기반을 마련했다.
국내 프론트엔드 개발 환경에서 많이 쓰이는 npm 패키지 323개가 약 1시간 17분 동안 악성 버전 639개로 오염됐다. 공격자는 탈취한 npm 배포 토큰과 깃허브 토큰을 이용해 정상 개발자 명의로 패키지를 재배포했고, AI 코딩 에이전트 설정 파일까지 감염 경로로 삼았다.
고려대·경기대 겸임교수인 최윤성 교수가 리눅스재단 산하 오픈소스보안재단의 초대 앰버서더 13인에 한국인으로는 유일하게 이름을 올렸다. 핵심은 단순한 개인 선정 뉴스가 아니라, 한국에서 논의 중인 AI-SBOM과 코드 기반 컴플라이언스가 글로벌 오픈소스 보안 표준 논의와 직접 맞물리기 시작했다는 점이다.
클라우드플레어가 앤트로픽의 보안 특화 모델 마이토스 프리뷰를 자사 코드 50개 이상 저장소에 돌려본 결과를 공개했어. 단일 버그 탐지를 넘어 여러 취약점을 엮어 실제 익스플로잇 가능성을 증명하는 능력이 눈에 띄었지만, 대규모 운영에는 모델 자체보다 좁은 범위의 병렬 하네스와 검증 파이프라인이 핵심이라는 결론이야.
가비아가 개인정보 보호·법률 컴플라이언스 솔루션 기업 지키다에 공공기관 전용 클라우드 서비스를 공급했다. 지키다는 이 환경을 기반으로 클라우드형 컴플라이언스 점검 서비스의 CSAP 인증을 취득하고 공공 시장 진출 기반을 마련했다.
atool npm 계정이 탈취되어 2026년 5월 19일 22분 동안 317개 패키지에 637개의 악성 버전이 배포됐다. 악성 페이로드는 Mini Shai-Hulud 계열로, npm·깃허브·AWS·쿠버네티스·볼트·패스워드 매니저·AI 코딩 에이전트까지 훑고 CI에서 OIDC와 Sigstore까지 악용한다.
auto-identity-remove는 사람 검색 사이트와 데이터 브로커 500곳 이상에 개인정보 삭제 요청을 자동 제출하는 오픈소스 도구다. Playwright로 브라우저를 돌리고, 캡차는 CapSolver로 풀며, 이미 처리한 브로커는 state.json으로 추적해 매달 재시도 주기를 관리한다.
여러 인권 단체가 메타가 사우디아라비아와 아랍에미리트 정부 요청에 따라 페이스북·인스타그램 계정 접근을 제한했다고 비판했음. 단체들은 메타가 현지 법률 준수를 이유로 들었지만, 표현의 자유와 인권 실사를 제대로 했는지 공개해야 한다고 요구함.
카스퍼스키가 Cloud Workload Security에 AI 기반 인텔리전스 기능을 추가했다. 핵심은 Kaspersky Container Security에 OpenAI API를 통합해 컨테이너 이미지 스캔 결과와 취약점 위험을 맥락 있게 설명해주는 것이다. 여기에 싱글 사인온, 멀티 도메인 액티브 디렉토리, 이미지 스캔 최적화, 라이트 에이전트 업데이트도 같이 들어갔다.
미국 사이버보안 기관 CISA의 계약자가 공개 깃허브 저장소에 AWS GovCloud 관리자 키, 내부 시스템 비밀번호, 배포 관련 파일을 노출한 사건이 드러났다. 저장소 이름은 ‘Private-CISA’였지만 실제로는 공개 상태였고, 노출된 키 일부는 신고 뒤에도 48시간가량 유효했던 것으로 전해졌다.
CTF 상위권 플레이어였던 글쓴이는 최신 대규모 언어 모델이 중급 문제는 물론 일부 어려운 문제까지 에이전트로 풀어내면서, 공개 온라인 CTF의 점수판이 더 이상 인간 보안 실력을 반영하지 않는다고 주장해. 문제는 AI 보조 자체가 아니라, 모델이 추론과 풀이를 대신해 사람이 깃발만 복사하는 구조가 됐다는 점이야.
미국 여러 주에서 플록 세이프티의 번호판 인식 카메라가 잘리고, 부서지고, 해체되는 일이 이어지고 있어. 배경에는 지역 치안용이라고 팔린 카메라 네트워크가 이민 단속과 연결됐다는 분노가 깔려 있고, 일부 도시는 카메라 위치 공개까지 막으려 하고 있어.
국정원이 국가 사이버보안 기본 지침을 시행하며 공공기관의 물리적 망 분리 중심 보안 체계를 데이터 등급 기반의 N2SF로 전환한다. 공개 데이터는 민간 클라우드와 생성형 AI 활용 길이 열리고, 보안 예산·인력·MFA·AI·클라우드 대책은 의무 조항으로 강화된다.