이번 주 정보보안 분야에서는 학습관리시스템 Canvas의 275만 사용자 데이터 노출 사건이 전 세계 교육기관을 흔들었습니다. 동시에 cPanel과 WHM의 심각한 취약점이 패치되었고, DoD 계약업체의 API 결함으로 군사 교육 데이터가 노출되었습니다. 긍정적으로는 AI 기반 보안 도구들이 대규모 취약점 발견에서 놀라운 성과를 거두고 있으며, Vercel의 Deepsec 같은 혁신적인 보안 스캐너들이 등장하고 있습니다.
🚀 빅테크 & 스타트업
Vercel, AI 기반 보안 스캐너 'deepsec' 오픈소스로 공개
Vercel이 deepsec을 오픈소스로 공개했습니다. 이는 코딩 에이전트 기반의 보안 도구로 로컬 실행 또는 1,000개 이상의 Vercel Sandbox 병렬 처리를 지원하며, Claude Opus 4.7과 GPT-5.5를 활용해 대규모 코드베이스에서 취약점을 자동 발견하고 수정하는 데 최적화되었습니다.
- Claude Opus 4.7과 GPT-5.5를 활용한 AI 기반 보안 스캐너로 대규모 코드베이스 분석 가능
- 로컬 실행 또는 1,000개 이상의 Vercel Sandbox 병렬 처리를 통한 확장성 지원
- 정적 분석에서 취약점 조사, 재검증, 데이터 포맷팅까지 자동화된 워크플로우
- 10-20% 오탐율 감소 및 팀별 맞춤 정규식 플러그인 시스템 제공
Meta, Instagram DM 엔드투엔드 암호화 기능 제거
Meta가 낮은 채택률로 인해 Instagram DM의 엔드투엔드 암호화 옵션을 제거하고 사용자들을 WhatsApp으로 유도하기로 결정했습니다. 아동 보호 단체들의 반발과 개인정보보호 우려가 정책 변경의 주요 배경이며, Meta의 광고 타겟팅을 위한 메시지 활용 가능성도 지적되고 있습니다.
- 사용자 유도 전략 변화로 암호화된 Instagram DM 기능 완전 폐기
- 아동 보호 단체들의 광범위한 암호화 반대로 인한 경영 정책 변경
- Meta의 개인정보 기반 AI 상호작용을 통한 광고 타겟팅 활용 가능성 우려
- 과거 암호화된 채팅 데이터의 처리 방식 미명시로 사용자 보호 공백 발생
Mozilla, Anthropic의 Mythos AI로 Firefox 보안 취약점 271개 발견
Mozilla가 Anthropic의 Mythos AI 모델을 활용해 2개월 동안 Firefox의 보안 취약점 271개를 발견했습니다. 거의 오탐이 없는 높은 정확도로 메모리 안전 문제를 포함한 다양한 보안 결함을 자동 식별했으며, 이는 AI 기반 보안 연구의 규모 확대를 입증하는 사례입니다.
- Mythos AI 모델과 Firefox 빌드 도구를 통합한 커스텀 하네스 개발로 자동화된 취약점 발견
- 메모리 안전 문제 분석 시 Firefox 새니타이저 빌드 활용으로 테스트 케이스 자동 생성
- 271개 취약점 중 180개는 보안 심각(sec-high), 80개는 보안 중간(sec-moderate), 11개는 보안 낮음(sec-low) 등급
- AI 기반 자동화 도구로 보안 연구 규모 확대 및 거의 오탐이 없는 높은 정확도 달성
🎁 기타
Mythos 시대의 보안: AI 도구의 역할과 취약점 관리
Anthropic의 Mythos 같은 강력한 AI 도구는 보안 연구자들이 새로운 취약점을 발견하기 위해 운영을 대규모로 확대할 수 있도록 지원합니다. 하지만 취약점 관리의 핵심은 버그 발견이 아니라 버그 수정이며, 현재 AI 도구는 이 영역에서 뒤떨어져 있습니다. 위협 모델링은 AI 도구가 탁월한 분야이므로, 보안 팀은 이를 적극적으로 활용해야 합니다.
Security in a Post-Mythos World
- AI 기반 도구를 통한 대규모 취약점 발견 가능
- 버그 수정이 취약점 관리의 진정한 과제
- 위협 모델링에서 AI 도구의 우수한 성능 입증
Meta, Instagram DM 암호화 중단 및 평문 전송 전환
Meta는 낮은 사용자 채택률로 인해 Instagram DM의 엔드-투-엔드 암호화 옵션을 제거하고 사용자를 WhatsApp으로 유도하기로 결정했습니다. 아동 보호 단체들이 광범위한 암호화에 반대했으나, 개인정보 보호 옹호자들과 Proton은 사용자들이 더 큰 노출 위험을 마주하게 되었고 과거 암호화된 메시지의 처리 방식이 불분명하다고 경고합니다. Meta는 이미 광고 타게팅을 위해 개인정보를 활용하고 있으며, Instagram 메시지에 대해서도 유사한 용도를 배제하지 않았습니다.
Meta U-turns on encryption push for Instagram as DMs go plaintext
- 엔드-투-엔드 암호화 옵션의 제거
- 아동 보호와 낮은 사용률이 결정에 영향
- 개인정보 보호 우려 증가 및 데이터 활용 방식 불명확성
Mozilla, Mythos AI로 발견한 271개 취약점 거의 오탐 없음
Mozilla는 Anthropic의 Mythos AI 모델을 활용하여 2개월간 271개의 Firefox 보안 결함을 발견했습니다. 이같은 획기적인 성과는 LLM을 래핑하여 Firefox 빌드 도구에 접근권을 부여하고 명확한 성공 신호와 함께 반복 실행하는 커스텀 하네스를 통해 달성되었습니다. 메모리 안전 문제 분석 시 Mythos는 Firefox sanitizer 빌드에 대한 테스트 케이스를 작성하며, 충돌 발생 시 두 번째 LLM이 발견을 검증합니다. 271개 버그 중 180개는 일반 브라우징을 통해 악용 가능한 sec-high, 80개는 sec-moderate, 11개는 sec-low 등급입니다.
Mozilla says 271 vulnerabilities found by Mythos have "almost no false positives"
- 2개월간 271개의 Firefox 보안 결함 발견
- 커스텀 하네스와 반복 검증을 통한 높은 정확도
- 180개 sec-high, 80개 sec-moderate, 11개 sec-low 등급으로 분류
⚡️ 퀵 링크
AI 거버넌스로 8개 CPE 크레딧 획득하기 - GRC Now 2026
Optro의 GRC Now 2026은 AI 거버넌스, 엔터프라이즈 리스크, 컴플라이언스에 중점을 두고 진행되는 무료 가상 이벤트입니다. 15,000명 이상의 정보보안 전문가들이 참여하며, 최대 8개의 CPE 크레딧을 획득할 수 있는 기회를 제공합니다.
- 15,000명 이상의 보안 전문가와 함께 AI 거버넌스 전략 습득
- 최대 8개의 CPE 크레딧 획득 가능
- 어디서나 참여 가능한 무료 가상 이벤트
GM, 캘리포니아 운전자 개인정보 판매 건으로 1,275만 달러 합의
General Motors가 캘리포니아 주 검사장 Rob Bonta와 개인정보 보호 위반으로 1,275만 달러에 합의했습니다. OnStar를 통해 수집한 수십만 명의 캘리포니아 운전자의 이름, 연락처, 지리적 위치, 운전 행동 데이터를 데이터 브로커에 판매한 혐의입니다.
- OnStar 수집 데이터를 Verisk Analytics, LexisNexis Risk Solutions에 약 2,000만 달러에 판매
- 운전자 개인정보 유출에 따른 $1,275만 달러 합의금
- 지리적 위치, 운전 행동 데이터 등 민감한 정보 포함
독일 경찰, 사이버범죄 마켓플레이스 Crimenetwork 재구축 버전 적발
독일 당국(BKA, ZIT, 프랑크푸르트 검찰청)이 재구축된 Crimenetwork 사이버범죄 마켓플레이스를 성공적으로 폐쇄했습니다. 22,000명의 사용자, 100명 이상의 판매자, 최소 360만 유로(420만 달러)의 범죄 수익을 확보했습니다.
- 22,000명의 가입자를 보유한 사이버범죄 마켓플레이스 폐쇄
- 100명 이상의 벤더 활동 중단 및 관리자 체포
- 최소 €360만(약 $420만) 규모의 범죄 수익 적발
폴란드 정부, 수처리 시설 해킹 공격 적발 - 미국도 동일 위협 노출
폴란드 국가안보청이 5개의 수처리 시설에 대한 대규모 해킹 공격을 탐지했습니다. 해커들이 산업 제어 장비에 접근하여 수질 안전을 위협할 수 있는 단계까지 진행되었으며, 미국도 동일한 위협에 노출되어 있습니다.
- 5개 수처리 시설의 산업 제어 장비 접근 성공
- 해커의 수질 안전 훼손 행동 가능성 확인
- 미국 등 다른 국가도 동일한 SCADA 시스템 위협에 노출
ShinyHunters가 Canvas 로그인 페이지를 변조하면서 9,000개 기관의 275만 사용자 정보 유출을 위협했으며, Mozilla의 Mythos AI 모델은 단 2개월 만에 Firefox의 271개 보안 결함을 거의 오탐 없이 발견했습니다. 이는 AI 기반 보안 연구의 미래를 보여주는 획기적인 사례입니다.
오늘날 정보보안 위협은 매우 복잡해졌지만, AI 기반 도구와 LLM 에이전트들이 대규모 취약점 발견과 위협 탐지에서 새로운 가능성을 보여주고 있습니다. 그러나 Canvas 사건처럼 대규모 데이터 브리치는 여전히 조직의 기본적인 보안 관리의 중요성을 강조합니다. 기업들은 AI 기반 공격 도구의 대두에 대응하면서도, 기본적인 API 보안, 접근 제어, 그리고 데이터 검증 메커니즘을 강화해야 합니다.
 |
타로신박: 마음이 복잡할 때 오마카세 타로 매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료 |
|
정보보안 위협에 대한 사이버 공격 사례 분석과 효율적 대응 전략을 제공합니다. |
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글
| 정보보안 주간 동향 - 공급망 공격 심화, AI 보안 도구 확산 (0) | 2026.05.14 |
|---|---|
| 2026년 5월 정보보안 위협 종합: ScarCruft 공급망 공격, Ollama 0-Day 취약점, 197K 규모 Zara 데이터 유출 (0) | 2026.05.13 |
| 2026년 5월 주요 보안 위협: Daemon Tools 백도어 공급망 공격, 산업용 라우터 루트 권한 취약점, OpenEMR 38개 CVE 발견 (0) | 2026.05.09 |
| 2026년 5월 7일 정보보안 위협 리포트: 팔로알토 제로데이, 프로톤 패스 우회, FTC 위치정보 규제 (0) | 2026.05.08 |
| 정보보안 주간 브리핑: WhatsApp 스푸핑, Stripe 웹훅 우회 공격, AI 모델 규제 논의 (1) | 2026.05.07 |
