Topic · filter: security
보안
사이버 보안 · 해킹 · 취약점 · 암호화 · 보안 사고 동향.
-
[개발자 도구 | 보안]
USB, 스피커, VSCode까지: 개발자를 노리는 기상천외한 공격들
스피커를 통한 PC 해킹, VSCode 버그를 이용한 GitHub 토큰 탈취 등 개발 환경을 위협하는 기발한 보안 취약점과 공격 방식들이 공개됐다.
[개발자 도구 | 보안] -
[AI | 개발자 도구 | 생산성 | 커뮤니티 | 보안]
AI 코딩 에이전트, 편리함 뒤에 숨겨진 코드 유출과 학습의 딜레마
AI 코딩 에이전트 사용 시 소스 코드 유출 위험과 AI 의존으로 인한 개발자의 학습 및 성장의 어려움에 대한 Reddit 토론을 정리했다. 편리함과 보안, 성장의 균형이 중요해졌다.
[AI | 개발자 도구 | 생산성 | 커뮤니티 | 보안] -
[개발자 도구 | 보안]
GitHub, 악성 VS Code 확장으로 내부 리포지토리 3,800개 유출 확인
GitHub이 악성 VS Code 확장 프로그램을 통해 내부 직원 기기가 침해되어 약 3,800개의 내부 리포지토리에 무단 접근이 발생했음을 확인했다. 고객 데이터 유출 증거는 아직 없다.
[개발자 도구 | 보안] -
[보안]
라바 램프 난수, 마케팅일까 진짜일까? 무작위성의 본질
Cloudflare의 라바 램프 기반 난수 생성은 마케팅에 가깝다는 지적이다. 암호화 보안은 값의 본질적 무작위성보다 공격자의 지식 차이에 달려있다는 논지를 다룬다.
[보안] -
[보안 | 인프라·클라우드]
호텔 체크인 시스템, 100만 개 여권/면허증 데이터 공개 유출 사고
한 호텔 체크인 시스템의 클라우드 스토리지가 공개 설정되어 100만 건 이상의 개인 신분증 정보가 비밀번호 없이 노출되는 사고가 발생했다.
[보안 | 인프라·클라우드] -
[정책·법률 | 보안]
내 차에서 모뎀과 GPS를 제거한 용감한 이야기
한 개발자가 2024년형 RAV4 하이브리드 차량에서 프라이버시 침해 우려로 모뎀과 GPS 모듈을 직접 제거한 경험을 공유했다.
[정책·법률 | 보안] -
[AI | 보안]
클로드 90% 할인? 알고 보니 AI 학습 데이터 탈취 통로였다
Anthropic의 Claude가 중국 암시장에서 90% 할인된 가격으로 유통되고 있다. 이는 AI 학습 데이터 탈취를 위한 미끼이며, 동시에 Claude를 사칭한 Mac 스틸러 공격까지 등장했다.
[AI | 보안] -
[빅테크 | 보안]
아이폰과 안드로이드, 드디어 RCS로 종단간 암호화 문자 주고받는다
오랜 기다림 끝에 아이폰이 RCS를 지원하면서, 아이폰-안드로이드 간 문자 메시지도 종단간 암호화가 가능해졌다. 이제 '초록색 말풍선' 놀림은 옛말이 될지도 모른다.
[빅테크 | 보안] -
[개발자 도구 | 보안]
Obsidian 플러그인 악용된 트로이목마 공격, 마크다운의 양날의 검
Obsidian 커뮤니티 플러그인이 악성코드 배포에 악용된 사례가 발생했다. 마크다운의 간편함이 보편화되면서 보안 취약점과 일반 사용자의 접근성 문제가 동시에 부각되고 있다.
[개발자 도구 | 보안] -
[AI | 빅테크 | 보안]
Google, AI로 개발된 제로데이 공격 최초로 포착 및 차단
Google이 AI를 활용해 개발된 것으로 추정되는 제로데이 공격을 처음으로 탐지하고 차단했다. AI가 사이버 보안의 양면에서 강력한 도구가 되고 있음을 보여주는 사례다.
[AI | 빅테크 | 보안] -
[보안]
사람을 들이받은 로봇 잔디깎이 Yarbo, 진짜 문제는 인증 없는 서버였다
로봇 잔디깎이 Yarbo가 인증 없는 서버 탓에 원격 조종당해 기자를 들이받았다. 이 사건이 IoT 보안의 구조적 문제를 어떻게 드러내는지 짚어본다.
[보안] -
[AI | 보안]
AI 에이전트를 위한 스텔스 브라우저, Camoufox: 봇 탐지 우회 시대가 오나?
AI 에이전트의 웹 크롤링 및 자동화 작업을 클라우드플레어 같은 봇 탐지 시스템으로부터 숨겨주는 스텔스 헤드리스 브라우저 Camoufox가 등장했다. 이는 Puppeteer나 Playwright의 한계를 넘어선 새로운 시도로 평가된다.
[AI | 보안] -
[보안]
학습 플랫폼 Canvas, 또다시 해킹 피해… ShinyHunters가 학교 로그인 페이지 변조
학습 관리 플랫폼 Canvas를 운영하는 Instructure가 해킹 그룹 ShinyHunters의 공격을 받아 학교 로그인 페이지가 변조되고 학생 데이터 유출이 우려되는 상황이다. 이는 Instructure에 대한 ShinyHunters의 두 번째 공격으로 알려졌다.
[보안] -
[AI | 보안]
Google Cloud, reCAPTCHA 넘어 'AI 에이전트'까지 막는다
Google Cloud가 새로운 'Fraud Defense'를 출시하며 기존 reCAPTCHA의 한계를 넘어 AI 에이전트까지 식별하고 차단하는 신뢰 플랫폼을 선보인다.
[AI | 보안] -
[AI | 보안]
제미나이가 추천한 사이트에서 '로봇 아님' 누르다 백도어 깔린 개발자
구글 제미나이가 추천한 사이트에서 '로봇 아님' 인증을 하려다 해킹당한 사례가 공유됐다. 클립보드에 악성 명령어가 복사되고 터미널 실행을 유도하는 방식이다.
[AI | 보안] -
[보안]
cPanel 취약점 대규모 악용, 수천 개 웹사이트 해킹 비상
인기 웹 호스팅 소프트웨어 cPanel 및 WHM의 심각한 취약점이 공개된 지 며칠 만에, 해커들이 이를 대규모로 악용하여 수천 개의 웹사이트를 장악하고 있다.
[보안] -
[오픈소스 | 보안]
리눅스에 'CopyFail' 버그 비상: 미 정부, 심각한 취약점 경고
미국 정부가 리눅스 주요 버전에 영향을 미치는 'CopyFail' 버그에 대해 경고했다. 서버와 데이터센터에 심각한 위험을 초래하며, 해킹 캠페인에 적극적으로 활용되고 있다.
[오픈소스 | 보안] -
[AI | 보안]
GPT-4o의 '게이 Jailbreak' 논란: AI 안전장치, 이대로 괜찮을까?
GPT-4o에서 성소수자 정체성을 연기해 안전장치를 우회하는 '게이 Jailbreak' 기법이 발견되며 AI 윤리 및 보안 논란이 불거졌다. 이는 AI 모델의 취약점과 안전장치 설계의 어려움을 시사한다.
[AI | 보안] -
[보안 | 인프라·클라우드]
수백만 웹사이트 쓰는 cPanel에 심각한 버그, 해커들 이미 공격 중
수백만 웹사이트가 사용하는 cPanel에서 심각한 보안 취약점이 발견되었고, 해커들이 이를 적극적으로 악용하고 있어 웹 호스팅 업체들이 비상이다.
[보안 | 인프라·클라우드] -
[AI | 개발자 도구 | 커뮤니티 | 보안]
AI, 개발 커뮤니티에 논쟁의 불씨를 지피다: r/programming의 LLM 콘텐츠 금지령
Reddit의 r/programming이 LLM 관련 콘텐츠를 일시적으로 금지하며 AI가 개발 커뮤니티에 미치는 영향에 대한 논쟁이 뜨겁다. 주니어 개발자의 AI 의존성, 코드 품질 저하, 보안 문제 등 다양한 우려가 제기되고 있다.
[AI | 개발자 도구 | 커뮤니티 | 보안]