OpenAI가 TanStack 공급망 공격으로 인한 보안 침해를 확인했으며, 18년간 미발견된 NGINX 힙 오버플로우 취약점(CVE-2026-42945)이 발견되어 광범위한 패치가 필요합니다. 동시에 BitLocker 우회 공격인 YellowKey와 권한 상승 취약점 GreenPlasma라는 새로운 윈도우 제로데이가 공개되었습니다. 이 외에도 MCP 백엔드 취약점, AWS Cognito의 다중 SSO 공격 패턴, AI 기반 피싱 키트 등 정교한 보안 위협들이 보고되고 있습니다.
🚀 빅테크 & 스타트업
Sweet Attack 출시 - 자동화된 레드 티밍 플랫폼
Sweet Security에서 기업의 실행 환경을 자동으로 매핑하고 지속적으로 실제 공격 경로를 테스트하는 Sweet Attack 플랫폼을 출시했습니다. 인덱싱된 네트워크 토폴로지, L7 계층 노출 정보, 코드 분석, 자격 증명 매핑, 실시간 동작 분석을 활용하여 악용 가능한 공격 체인을 발굴하고 구체적인 해결 방안을 제시하는 자동화 보안 플랫폼입니다.
- 자동화된 레드 티밍으로 실제 공격 경로에 대한 지속적인 보안 테스트 수행
- 네트워크 토폴로지와 실시간 동작 데이터 기반의 정밀한 취약점 분석
- 악용 가능한 공격 체인 식별과 함께 구체적인 보안 개선 방안 제시
💻 프로그래밍
Microsoft AntiSSRF
마이크로소프트의 프로그래밍 라이브러리 Microsoft AntiSSRF는 서버측 요청 위조(SSRF) 공격을 완화하기 위한 강력한 URL 검증 도구입니다. 철저하게 테스트된 보안 코드 개발자 도구로, 프로그래밍 프로젝트에서 SSRF 공격 방어에 필수적입니다.
- 서버측 요청 위조 공격 완화를 위한 URL 검증 라이브러리
- 보안 최적화된 프로그래밍 코드 제공
- 개발자 도구로 SSRF 취약점 방지
OpenAIPot
OpenAIPot은 OpenAPI 게이트웨이로 작동하는 개발자 도구로 미인증 API 사용을 탐지하는 허니팟입니다. 프로그래밍 라이브러리로서 API 보안 테스트와 개발자의 API 모니터링이 필요한 프로젝트에서 활용될 수 있습니다.
- OpenAPI 게이트웨이로 작동하는 개발자 도구
- 미인증 API 사용 탐지를 통한 보안 강화
- 프로그래밍 프로젝트의 API 보안 테스트 라이브러리
🎁 기타
Signal, 캐나다 암호화 백도어 법안으로 서비스 중단 경고
Signal은 캐나다의 법적 접근 법안(Bill C-22)을 준수하도록 강요받을 경우 캐나다 서비스를 종료할 것이라고 경고했습니다. 이 법안은 캐나다 정부가 암호화 백도어를 생성하여 기밀 통신에 접근할 수 있도록 허용하는 조항을 포함하고 있습니다. Apple도 엔드투엔드 암호화에 백도어를 추가하지 않을 것이며, 법안이 통과될 경우 캐나다에서 특정 기능을 출시할 수 없을 수 있다고 밝혔습니다.
- Signal, 캐나다의 암호화 백도어 법안(Bill C-22) 준수 거부 선언
- 정부의 통신 감시 확대에 대한 기업 차원의 저항
- Apple도 같은 입장으로 엔드투엔드 암호화 보호 결의
⚡️ 퀵 링크
VMware Fusion 고위험 보안 취약점 패치
Broadcom이 VMware Fusion의 TOCTOU 취약점(CVE-2026-41702)을 해결하는 업데이트를 배포했습니다. SETUID 바이너리에 존재하는 이 보안 취약점은 macOS 호스트에서 로컬 비관리자 사용자가 루트 권한으로 권한 상승할 수 있게 하는 결함입니다.
- VMware Fusion CVE-2026-41702 고위험 취약점 긴급 패치
- SETUID 바이너리의 TOCTOU 경쟁 조건 버그
- macOS 로컬 사용자의 루트 권한 상승 가능
2008년부터 널리 배포된 NGINX와 F5 제품에 존재해온 힙 오버플로우 취약점은 특정 리라이트/설정 시퀀스를 통해 버퍼 길이를 잘못 계산하여 힙 데이터를 손상시키고, 공격자가 ngx_pool 정리 포인터를 부패시켜 임의 명령 실행을 가능하게 합니다.
이번 보안 위협들은 공급망 보안의 중요성, 장기간 미발견된 레거시 취약점의 위험성, 그리고 제로데이 공격의 지속적 증가 추세를 강조합니다. 조직들은 NGINX 및 윈도우 시스템에 긴급 패치를 적용하고, 공급망 모니터링을 강화하며, 정기적인 보안 감시와 다층 방어 체계 구축을 통해 이러한 위협으로부터 자신을 보호해야 합니다.
 |
타로신박: 마음이 복잡할 때 오마카세 타로 매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료 |
|
사이버 위협에 대한 조직의 전략적 대응 방안과 실무 사건 분석을 통해 정보보안 역량을 강화합니다. |
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글
| TLDR 정보보안 뉴스레터 2026년 5월 19일 - NYC 환자 개인정보 유출, 픽셀 10 0-클릭 익스플로잇, 레저 피싱 (0) | 2026.05.20 |
|---|---|
| AI 시대 보안 위협의 진화: OpenClaw 연쇄 취약점부터 JobStealer까지 (0) | 2026.05.19 |
| 포시콘 랜섬웨어 공격부터 안드로이드 스파이웨어까지 - 2026년 5월 주요 정보보안 위협 분석 (0) | 2026.05.15 |
| 정보보안 주간 동향 - 공급망 공격 심화, AI 보안 도구 확산 (0) | 2026.05.14 |
| 2026년 5월 정보보안 위협 종합: ScarCruft 공급망 공격, Ollama 0-Day 취약점, 197K 규모 Zara 데이터 유출 (0) | 2026.05.13 |
