2026년 5월 18일 보안 뉴스레터는 AI 에이전트와 클라우드 인프라를 노리는 정교한 공격들을 집중 조명합니다. OpenClaw의 4개 연쇄 취약점 발견, 가짜 채용 면접 앱을 통한 JobStealer 악성코드 전파, Grafana 코드베이스 탈취 사건 등 실제 공격 사례들과 함께, Pwn2Own 2026에서 드러난 129만8천 달러 규모의 보안 공백들이 보고되었습니다. 동시에 Mythos 모델의 보안 평가, AI 위협 대응 프레임워크 구축 방안 등 방어 기술도 빠르게 진화하고 있습니다.
🚀 빅테크 & 스타트업
아카마이, 이스라엘 AI 브라우저 보안 스타트업 LayerX를 2억 500만 달러에 인수
아카마이(Akamai)가 이스라엘의 AI 브라우저 보안 스타트업 LayerX를 약 2억 500만 달러의 현금으로 인수합니다. 이 인수를 통해 아카마이는 SaaS, 생성형 AI 도구, AI 에이전트에 대한 브라우저 계층 제어를 추가합니다. LayerX는 표준 브라우저 위에서 작동하여 새로운 엔터프라이즈 브라우저를 강제하지 않으며, Atlas와 Comet 같은 AI 중심 브라우저를 이미 지원하고 있습니다.
- 아카마이가 LayerX를 약 2억 500만 달러의 현금으로 인수하는 M&A 거래 체결
- SaaS 및 생성형 AI 도구, AI 에이전트에 대한 브라우저 계층 제어 기능 강화
- 표준 브라우저 위에서 작동하며 기존 브라우저 벤더 종속성 제거
- Atlas, Comet 등 신흥 AI 중심 브라우저 플랫폼 지원
🔧 프로그래밍
vmm - 경량 가상 머신으로 컨테이너 실행
macOS에서 컨테이너 이미지를 경량 가상 머신으로 실행할 수 있는 개발자 도구입니다. 익숙한 Docker 워크플로우를 유지하면서 완전한 Linux VM 격리를 제공하므로 개발 환경 구성과 배포 워크플로우를 단순화할 수 있습니다.
- macOS 환경에서 컨테이너를 경량 가상 머신으로 변환
- 기존 Docker 워크플로우와의 완벽한 호환성
- 완전한 Linux VM 격리 제공으로 보안성 강화
Frida를 이용한 Qt6 앱 런타임 계측 - Part 1: 시각화
Frida를 사용하여 Qt6 기반 클라이언트 애플리케이션을 런타임에 계측하고 분석하는 기법을 소개합니다. QMetaObject 구조 분석과 Q_INVOKABLE 직접 호출을 통해 UI를 거치지 않고도 애플리케이션 상태를 제어하고 내부 동작을 스크립트화할 수 있습니다.
- Qt6/Windows 환경에서의 런타임 계측 기법
- QString 버퍼 추적 및 신호 방출(signal emission) 로깅
- QMetaObject 구조 분석을 통한 내부 메서드 열거
- q_static_metacall을 통한 Q_INVOKABLE 직접 호출로 애플리케이션 제어
- UI를 건드리지 않은 상태에서 상호작용 스크립팅
🎁 기타
OpenAI에서 Codex를 안전하게 실행하는 방법
OpenAI는 Codex AI 에이전트를 엄격히 제어되는 샌드박스에서 운영하여 명확한 기술적 경계를 유지합니다. 저위험 작업은 빠른 처리를 가능하게 하면서 고위험 작업은 자동 승인 하위 에이전트를 통해 명시적으로 처리합니다. 엄격한 네트워크 및 인증 정책과 쉘 명령에 대한 맞춤형 규칙을 적용하며, 중앙화된 구성을 통해 모든 장치에 일관된 보안 정책을 배포합니다.
- OpenAI는 기술적 경계 내에서 Codex 에이전트를 유지하여 안전성 확보
- 자동 승인 하위 에이전트를 통해 샌드박스 경계 넘는 작업 제어
- 엄격한 네트워크 및 인증 정책으로 에이전트 보안 강화
- 쉘 명령에 대한 맞춤형 규칙으로 세밀한 보안 결정 가능
- 중앙화된 정책 배포로 일관된 보안 관리 실현
Pwn2Own Berlin 2026 3일차: DEVCORE가 'Master of Pwn' 우승, 총상금 $1,298,000
Pwn2Own Berlin 2026이 47개의 제로데이 취약점과 총 $1,298,250의 상금으로 폐막되었습니다. DEVCORE가 50.5포인트로 Master of Pwn에 우승하였고, SharePoint 체인 취약점($100,000), VMware ESXi 메모리 손상($200,000), Windows 11 정수 오버플로우 등 다양한 심각한 취약점들이 발견되었습니다. OpenAI Codex와 Anthropic Claude Code를 포함한 AI 모델들도 공격 대상이 되었습니다.
- 47개의 제로데이 취약점 발견, 총상금 $1,298,250
- DEVCORE가 50.5포인트로 Master of Pwn 우승, $505,000 상금
- SharePoint 2개 취약점 체인이 최고 상금 $100,000 획득
- VMware ESXi 메모리 손상 취약점으로 교차 테넌트 코드 실행 가능
- AI 모델들도 공격 대상 (OpenAI Codex, Anthropic Claude Code)
- 완전히 패치된 Windows 11에서 정수 오버플로우로 권한 상승
OpenClaw의 보안 향방: 다층 방어 로드맵
OpenClaw는 에이전틱 AI 어시스턴트를 위한 다층 방어 로드맵을 공개했습니다. fs-safe는 파일 시스템 순회 및 절대 경로 쓰기로부터 보호하는 공유 라이브러리이며, Proxyline은 사전 URL 유효성 검사 대신 필터링 프록시를 통해 SSRF 정책을 적용하는 라우팅 레이어입니다. ClawHub 신뢰 신호는 악의적이거나 격리된 릴리스 설치를 차단합니다. 명령 승인은 Tree-sitter를 통해 bash -c 래퍼 내부 체인을 파싱하여 허용 목록 우회를 방지하며, 상황별 승인과 OpenAI Auto Review를 통해 사용자 결정을 최적화합니다.
- 다층 방어 로드맵으로 에이전틱 AI 어시스턴트 보안 강화
- fs-safe: 파일 시스템 순회 및 절대 경로 쓰기 공격 방어
- Proxyline: 필터링 프록시를 통한 SSRF 정책 적용
- ClawHub 신뢰 신호로 악의적 릴리스 설치 차단
- Tree-sitter를 통한 명령 체인 파싱으로 허용 목록 우회 방지
- 148개 규칙의 OpenGrep과 CodeQL을 통한 회귀 및 변형 감지
⚡️ 퀵 링크
White House cyber official: 인공지능 시대 신원 보안의 중요성 강조
연방 사이버보안 담당자 닉 폴크가 루브릭 공공부문 정상회담에서 신원 제어가 AI 공격에 대한 방어의 핵심임을 강조했습니다. AI 공격은 일반적으로 손상된 자격증명을 활용합니다.
- AI 시대의 신원 보안 강화의 중요성
- 손상된 자격증명 기반 AI 공격 방어
가짜 채용 인터뷰 앱을 통한 JobStealer 맬웨어 배포
Dr.Web이 여러 웹사이트에서 가짜 화상회의 앱을 통해 배포되는 JobStealer 캠페인을 적발했습니다. Windows와 macOS 플랫폼을 대상으로 하고 있습니다.
- 가짜 채용 인터뷰 앱으로 위장한 악성 소프트웨어 배포
- Windows와 macOS 양쪽 플랫폼을 대상
Microsoft Azure 취약점 보고 거부, CVE 미발급
Azure Backup for AKS에서 발견된 권한 상승 취약점(CWE-441)으로 Backup Contributor 역할이 신뢰할 수 있는 액세스를 활성화하여 클러스터 관리자 권한을 부여할 수 있습니다. 이를 통해 암호 추출 및 악의적 워크로드 복원이 가능합니다.
- Azure Backup for AKS의 권한 상승 취약점 발견
- 클러스터 관리자 권한 획득으로 비밀 정보 추출 위험
OpenClaw는 4개의 연쇄 가능한 취약점을 포함합니다: 호스트 변경을 가능하게 하는 TOCTOU 쓰기 이스케이프, 시크릿 누출 환경변수, 소유자 권한 부여 loopback 버그, 파일 노출 TOCTOU 읽기 이스케이프. 공격자는 악성 플러그인이나 프롬프트로부터 데이터 탈취, 권한 상승, 그리고 광범위하게 노출된 OpenClaw 인스턴스에서의 지속성 확보까지 이동할 수 있습니다.
AI 에이전트와 클라우드 서비스의 확산으로 보안 위협의 범위와 심각성이 급증하고 있습니다. 특히 공급망 공격, 아이덴티티 기반 침입, 에이전트 권한 악용 등 새로운 패턴의 공격들이 탐지되면서 조직들은 전통적 엔드포인트 보안을 넘어 아이덴티티 통제와 AI 위협 대비에 집중해야 합니다. 한편 Mythos 같은 차세대 보안 모델과 자동화된 패칭, 코드 분석 도구들이 방어 역량을 강화하고 있어, 공격과 방어의 기술 경쟁이 더욱 심화될 것으로 예상됩니다.
타로신박: 마음이 복잡할 때 오마카세 타로 - Google Play 앱
매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료
play.google.com
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글
| 정보보안 주간 뉴스: Cisco CVSS 10.0 취약점, AI 기반 자동 공격 분석, CISA AWS 키 유출 (0) | 2026.05.21 |
|---|---|
| TLDR 정보보안 뉴스레터 2026년 5월 19일 - NYC 환자 개인정보 유출, 픽셀 10 0-클릭 익스플로잇, 레저 피싱 (0) | 2026.05.20 |
| 2026년 5월 정보보안 위협 분석: OpenAI 공급망 침해, 18년 된 NGINX 중대 취약점, 윈도우 제로데이 (0) | 2026.05.16 |
| 포시콘 랜섬웨어 공격부터 안드로이드 스파이웨어까지 - 2026년 5월 주요 정보보안 위협 분석 (0) | 2026.05.15 |
| 정보보안 주간 동향 - 공급망 공격 심화, AI 보안 도구 확산 (0) | 2026.05.14 |
