JEFF NEWS에 참여하세요
북마크, 댓글, 투표 기능을 사용할 수 있습니다
© 2026 Jeff Yim
PTC Windchill/FlexPLM의 CVSS 10.0 역직렬화 취약점(CVE-2026-4681) 때문에 독일 연방범죄수사청이 전국 1,000개 이상 기업에 새벽에 경찰을 보내 핫픽스 안내문을 전달하는 전례 없는 사태가 벌어짐. PTC는 '확인된 공격 없음'이라고 하면서 구체적 침해지표를 동시에 공개하는 모순적 태도를 보임.
Sean Kavanagh가 Claude 4.5 Sonnet과 Gemini 3 Flash에서 탈옥 없이 대화 맥락 전환과 사회적 압박만으로 모델이 거짓 진술을 출력하게 만든 공격. '정렬 테스트' 프레이밍으로 모델의 판단 기준을 사실 확인에서 상황 해석으로 전환시킴.
보안 연구자 Soatok이 Matrix의 Rust 암호화 라이브러리 Vodozemac에서 X25519 DH 구현 시 항등원(all-zero 공개키)을 거부하지 않는 심각한 취약점을 발견함. 공유 비밀이 0이 되어 E2EE 기밀성이 완전히 파괴되며, 그룹 채팅에서는 서버 운영자가 전체 기록을 읽을 수 있음. 2024년 libolm에서도 같은 연구자가 취약점을 발견했으나 Matrix는 Rust 재작성으로 해결했다고 주장했고, 결국 동일한 실수를 반복함.
IcedID 봇넷 핵심 개발자가 우크라이나 경찰을 매수해 사망을 위조했으나 결국 체포됨. 이번 Risky Business 뉴스레터는 200개 공항 자격증명 유출, 네덜란드 통신사 620만 명 침해, 한국 패션 브랜드 360억 원 과징금 등 주요 침해 사고와 함께 LockBit 5.0 재기 시도, Apple 제로데이 패치, 국가 지원 APT의 LLM 활용 등 광범위한 보안 동향을 다룸.
LLM과 바이브 코딩으로 스팸 이메일의 디자인 품질이 급상승. 기존의 시각적 탐지 단서가 무력화되고 있으며, 노코드 랜섬웨어가 $1,200에 판매되는 시대. Guard.io는 이를 'VibeScamming'이라 명명.
어린이용 드로잉 로봇을 리버스 엔지니어링한 해킹기. 8비트 바코드 에뮬레이션, SPI 플래시 덤프, 좌표 기반 이미지 포맷 파싱을 거쳐 커스텀 이미지를 그리게 하는 데 성공.
Mandiant가 Net-NTLMv1 레인보우 테이블을 공개. $600 미만 소비자 하드웨어로 12시간 내 키 복구 가능. 20년 넘게 비보안으로 알려졌지만 관성 때문에 여전히 사용되는 프로토콜의 폐기를 촉진하기 위한 조치
Microsoft가 Active Directory에서 RC4 암호를 기본값에서 제거하겠다고 발표. 2026년 중반부터 Windows Server 2008 이후의 도메인 컨트롤러에서 RC4 비활성화. 26년간의 Kerberoasting 취약점에 드디어 종지부.
미국 최대 드론 제조사 Skydio가 IDF에 드론을 공급한 것으로 알려진 가운데, 미국 내 800개 이상 보안 기관과 계약하고 FAA 규정 변경 후 사용이 폭발적으로 증가. Axon 소프트웨어로 영상이 자동 업로드됨.
메모리 안전 C/C++ 구현체 Fil-C에 OpenSSH의 seccomp-BPF 샌드박스를 포팅한 과정을 다룸. 메모리 안전성과 샌드박싱은 직교하는 개념이며 둘 다 필요함. GC 스레드 충돌 문제를 zlock_runtime_threads() API로 해결하고, seccomp 필터 3건만 수정하여 기존 보안 수준을 유지하면서 메모리 안전성을 확보함.
영국 정부가 온라인 안전법 제121조에 따라 Ofcom에 종단간 암호화 메시지를 클라이언트 사이드 스캐닝으로 검열할 수 있는 권한을 부여하겠다고 확인함. 2026년 4월 시한으로 Signal, iMessage 등 모든 메시징 서비스가 대상이 될 수 있음.
IETF PLANTS 워킹그룹이 포스트-양자 시대를 대비해 CA 서명 체인을 머클 트리 기반 발급 로그로 대체하는 새로운 인증서 체계를 제안함. ML-DSA-44 서명이 Ed25519 대비 37배 크지만, 머클 증명은 384바이트로 축소 가능함.
이란 정보부 연계 해킹그룹 Handala가 미국 의료기기 대기업 Stryker(연매출 $25B) 공격을 자처. 20만 대 이상 시스템 삭제·50TB 데이터 탈취를 주장하며, 이란 학교 폭격 보복이라 밝힘. 전문가들은 규모 면에서 전례 없는 수준이라 평가.
YC W24 출신 컴플라이언스 스타트업 Delve가 가짜 증거 생성, 인도 인증공장을 통한 도장찍기 감사, AI 없는 AI 플랫폼으로 수백 개 기업의 SOC 2/HIPAA/GDPR 컴플라이언스를 위조했다는 폭로 기사.
보안업체 Malanta가 32만 8천 개 도메인을 운영하는 14년 된 도박 사이트 네트워크가 실제로는 국가 지원 APT 인프라일 가능성을 제기함. 정부 서브도메인 하이재킹, C2 트래픽 위장 등 고도화된 수법 사용.
성인 콘텐츠 회사 Flava Works가 비공개 토렌트 트래커에서 영상을 공유한 47명을 고소했는데, 28명의 신원 확인에 필요한 Gmail 가입자 정보를 Google이 수정헌법 제1조를 이유로 거부하고 있음. Microsoft는 협조 의사를 밝힌 반면 Google만 버티는 상황.
Microsoft가 Windows 11에 서명된 앱만 실행 허용하는 Baseline Security Mode와 스마트폰식 권한 요청 시스템을 도입해, 앱과 AI 에이전트의 시스템 접근을 사용자 동의 기반으로 전환하겠다고 발표함
IRS 온라인 셀프 서비스 도구 이용 시 ID.me 생체인증이 필수가 됨. 신분증 사진과 셀피 또는 영상 통화로 본인 확인을 해야 하며, 민간 업체에 생체 데이터를 제공해야 하는 구조.
Amazon 소유의 Ring이 감시 기술 논란과 슈퍼볼 광고 반발 이후 법집행 기술 업체 Flock Safety와의 통합 계획을 철회함.
CISA가 의료기기 기업 Stryker의 Microsoft 환경을 노린 사이버 공격을 기반으로 Microsoft Intune 등 엔드포인트 관리 시스템의 보안 강화를 긴급 권고함.