지난주 정보보안 업계는 개발자 도구 생태계를 겨냥한 심각한 위협들로 떠들썩했습니다. 마이크로소프트의 약 70개 오픈소스 프로젝트가 해킹되어 Azure, Claude Code, Gemini CLI, VS Code 관련 도구를 사용하는 AI 개발자들의 비밀번호가 탈취되었습니다. 동시에 인기있는 AI 코드 에디터 Cursor에서 사용자 상호작용 없이 원격 코드 실행을 가능하게 하는 심각한 샌드박스 탈출 취약점이 발견되었으며, 비밀번호 관리 서비스 Dashlane의 API 악용을 통해 20개 미만의 계정에서 암호화된 비밀번호 저장소가 다운로드되었습니다.
🚀 빅테크 & 스타트업
마이크로소프트 오픈소스 도구 해킹, AI 개발자 자격증명 탈취
마이크로소프트는 악성코드가 발견된 약 70개의 GitHub 오픈소스 프로젝트를 삭제했습니다. Azure, Claude Code, Gemini CLI, VS Code와 연관된 감염된 패키지들은 개발자들이 도구를 열 때 비밀번호와 자격증명을 탈취하기 위해 사용되었으며, 마이크로소프트의 Durable Task 프로젝트 이전 침해와 연관되어 있을 가능성이 있습니다.
- Azure, Claude Code, Gemini CLI, VS Code 관련 약 70개의 GitHub 오픈소스 프로젝트 악성코드 감염
- 개발자들이 도구를 열 때 비밀번호와 자격증명 탈취 목적
- 마이크로소프트의 Durable Task 프로젝트 이전 침해와 동일 접근 경로로 추정
마이크로소프트 Build 2026, 신규 플랫폼 독립 MXC 샌드박스 시스템 발표
마이크로소프트는 Build 2026에서 MXC(eXecution Containers)를 새로운 플랫폼 독립 샌드박스 시스템으로 공식 발표했습니다. 기존 Codex나 Claude Code의 애플리케이션 수준 샌드박스와 달리 OS 수준에서 신뢰할 수 없는 agentic 코드를 실행하며, 각 OS와 사용 가능한 기능에 따라 다양한 백엔드를 유연하게 지원합니다.
- OS 수준의 플랫폼 독립 샌드박스 시스템으로 Codex, Claude Code와 차별화
- AppContainer, Windows.AI.IsolationBroker, 임시 Windows VM, WSL microVM, NanVix microVM, bubblewrap namespace, macOS Seatbelt 등 다양한 백엔드 지원
- 신뢰할 수 없는 agentic 코드 실행 환경의 안정성과 격리 강화
Offroad 제품 론칭, 자율 보안 에이전트로 ID 위험 자동 보정
Offroad는 사용자, 머신, AI 에이전트, SaaS/OAuth 앱 전반의 ID 위험을 식별하고 분산된 시스템에서 컨텍스트를 수집한 후 자동으로 접근 제어를 보정 또는 관리하는 자율 보안 에이전트 플랫폼입니다. 필요한 경우 인간의 감시 하에 의사결정을 수행합니다.
- 사용자, 머신, AI 에이전트, SaaS/OAuth 앱 전반의 ID 위험 자동 식별
- 분산 시스템에서 컨텍스트 수집 및 통합으로 포괄적 위험 관리
- 자동 보정 및 접근 제어 관리와 인간 감시 병행 모델
Dashlane 보안 브리치, 공격자의 API 악용 방식 공개
Dashlane이 보안 침해 경위를 설명했습니다. 공격자들은 디바이스 등록 API를 악용하여 여러 계정에 2FA 코드를 무차별 대입하고 유효한 토큰을 확보한 후, 20개 미만의 계정에서 새로운 디바이스를 등록하고 암호화된 비밀번호 저장소를 다운로드했습니다. 마스터 암호는 Argon2로 강화되어 있지만, 약하거나 재사용된 비밀번호는 여전히 노출될 수 있습니다.
- 디바이스 등록 API를 악용한 2FA 코드 무차별 대입 공격으로 토큰 확보
- 20개 미만의 계정에서 새 디바이스 등록 및 암호화된 저장소 다운로드
- 마스터 암호는 Argon2로 보호되나, 약하거나 재사용된 자격증명은 노출 위험
- 영향받은 사용자는 마스터 암호와 저장된 모든 자격증명 변경 권장
Delinea Platform, 200개 고객 대상 연 $2.2M ROI 달성
Delinea가 독립 연구 기관 UserEvidence와 파트너십으로 200개 이상의 고객을 대상으로 연간 ROI를 평가한 결과를 발표했습니다. ID 보안 중앙화와 권한 있는 접근 제어의 가시성·제어 향상, 워크플로우 자동화를 통해 고객당 평균 연 $2.2M의 ROI를 달성했습니다.
- 200개 이상의 Delinea Platform 고객 대상 독립적 ROI 평가 수행
- ID 보안 중앙화를 통한 권한 있는 접근 제어의 가시성 및 제어 향상
- 워크플로우 자동화 및 효율화로 고객당 평균 연 $2.2M ROI 달성
- 비용 절감, 위험 감소, 운영 효율성 개선의 종합적 이점 증명
VS Code, 공급망 공격 제한을 위해 확장 자동 업데이트 2시간 지연
마이크로소프트는 VS Code 확장 프로그램 자동 업데이트에 2시간 지연을 추가했습니다. 이는 악의적인 패키지가 개발자 환경에 빠르게 확산되는 것을 차단하기 위한 조치입니다. 마이크로소프트, GitHub, OpenAI 같은 신뢰할 수 있는 게시자들은 여전히 즉시 업데이트되며, 사용자는 수동 업데이트와 대기 이유 확인이 가능합니다.
- VS Code 확장 프로그램 자동 업데이트에 2시간 지연 적용으로 공급망 공격 완화
- 마이크로소프트, GitHub, OpenAI 등 신뢰할 수 있는 게시자는 즉시 업데이트 유지
- 사용자는 수동 업데이트 트리거 및 업데이트 대기 이유 확인 가능
- Bundler, Bun, npm, pnpm, Yarn 등의 유사 냉각 제어 메커니즘으로 업계 표준화 진행
💻 프로그래밍
uv 파이썬 패키지 매니저의 취약점 및 악성코드 검사
Astral은 uv 파이썬 패키지 매니저에 두 가지 보안 기능을 추가했습니다. uv audit는 알려진 취약점과 부정적 프로젝트 상태를 스캔하며 pip-audit보다 4~10배 빠릅니다. 선택적 OSV 기반 악성코드 검사(UV_MALWARE_CHECK=1로 활성화)는 매 동기화마다 MAL 권고를 조회하여 설치 전에 악성 배포판을 자동으로 차단합니다.
- uv audit는 고정된 해석으로 pip-audit보다 4~10배 빠른 성능 제공
- OSV 기반 악성코드 검사로 잠금파일 참조 배포판의 보안 격차 해결
- PyPI 인덱스에서 제거된 악성 배포판도 설치 전 차단 가능
GitLab CI/CD 보안 감시 도구 GoGatoZ를 통한 공격 사슬 분석
Black Hills Information Security는 Go 기반 GitLab CI/CD 감시 도구 GoGatoZ를 출시했으며, 3,757개의 공개 gitlab.com 프로젝트 스캔을 통해 7,331개의 발견사항을 도출했습니다. 약 2/3의 프로젝트에서 최소 1개 이상의 보안 설정 오류가 확인되었으며, 주요 공격 벡터와 방어 전략이 제시되었습니다.
- 3,757개 프로젝트 스캔으로 1,580개의 HIGH 심각도 문제 포함 7,331개 발견사항 도출
- 미보호 포크 병합 요청 파이프라인(1,971개), 권한 있는 Docker 러너(259개), curl | bash 패턴(150개) 등 주요 공격 벡터 식별
- include 지시문과 컨테이너 이미지를 커밋 SHA로 고정, 비밀 정보를 마스크 CI 변수로 이동, 자체 호스트 러너를 보호 브랜치로 제한하는 방어 전략 권장
⚡️ 퀵 링크
UK 요크시의회, 메일 발송 실수로 장애인 주민 개인정보 노출
City of York Council이 Blue Badge 소유자들을 대상으로 메일을 발송할 때 BCC를 사용하지 않아 수백 명의 수신자 이메일 주소와 암묵적으로 장애인 신분이 노출되었습니다. 기본적인 이메일 보안 관행의 부재로 인한 개인정보 유출 사례입니다.
- 수백 명의 Blue Badge 소유자 이메일 주소 공개
- BCC 미사용으로 인한 개인정보 보호 기본 원칙 위반
- 수신자들의 장애인 신분 암묵적 노출
도시바, 무지 등 주요 사이트에 의심스러운 Polyfill 로그인 프롬프트 발생
2024년 중국 단체에 의해 탈취된 polyfill[.]io 도메인이 5월 말 재활성화되어 도시바, 무지, 삼성 등 주요 브랜드 웹사이트에 HTTP 401 응답을 통한 브라우저 자체 인증 프롬프트를 표시하고 있습니다. 공급망 공격의 형태로, 기존 스크립트 참조를 제거하지 않은 사이트들이 피해를 입고 있습니다.
- Polyfill 도메인 2024년 이후 탈취, 5월 말 재활성화
- 도시바, 무지, 삼성 등 다수 주요 브랜드 영향
- 미제거 스크립트 참조로 인한 공급망 공격 활용
삼성, LG 스마트TV 무료 앱이 기기를 AI 프록시 노드로 무단 전환
Include Security가 Bright Data SDK가 삼성, LG, Roku 파트너 앱에 내장되어 스마트TV를 주택용 프록시 출구 노드로 무단 전환하고 있음을 공개했습니다. PlayWorks Digital, CloudTV, Viber 등의 무료 앱들이 영향을 받으며, 월 200GB 대역폭 제한이 설정되어 있습니다.
- Bright Data SDK가 삼성, LG, Roku 앱에 무단 내장
- 스마트TV가 사용자 동의 없이 프록시 노드로 이용됨
- PlayWorks Digital, CloudTV, Viber 등 파트너 앱 광범위 영향
마이크로소프트는 GitHub 호스팅 오픈소스 프로젝트에서 악성코드를 발견했고, 공격자들은 감염된 패키지를 통해 개발자들이 도구를 열 때 비밀번호와 자격증명을 캡처했습니다. 이는 마이크로소프트의 Durable Task 프로젝트 이전 침해와 같은 액세스 권한을 악용한 것으로 보입니다.
이번 주간 보안 사건들은 개발자 도구, 클라우드 인프라, 비밀번호 관리 서비스 등 소프트웨어 개발 생태계 전반의 취약성을 노출시켰습니다. 조직들은 즉시 의존성 스캔 강화, GitLab CI/CD 파이프라인 보안 강화, 포크 MR 파이프라인 보호, 마스터 비밀번호 교체 등의 방어 조치를 취해야 합니다. 또한 VS Code의 2시간 자동 업데이트 지연과 같은 공급망 공격 방어 메커니즘의 도입과 함께, uv audit 같은 보안 스캔 도구의 통합이 개발 워크플로우에 필수적이 되었습니다.
타로신박: 마음이 복잡할 때 오마카세 타로 - Google Play 앱
매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료
play.google.com
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글
| 2026년 6월 정보보안 위협 리포트: C0XMO 봇넷 확산, UniFi 인증 우회 취약점, OpenAI 록다운 모드 (0) | 2026.06.09 |
|---|---|
| Zapier 공격 체인부터 Redis 취약점까지: 2026년 6월 정보보안 주요 위협 분석 (0) | 2026.06.06 |
| 2026년 6월 정보보안 주요 위협 정리: Oracle WebLogic 공격, HTTP/2 Bomb, AI 악용 사례 (0) | 2026.06.05 |
| 2026년 6월 정보보안 주요 위협 - Red Hat npm 백도어, GitHub 토큰 1클릭 탈취, MS 안드로이드 토큰 누출 (0) | 2026.06.04 |
| 보안 위협과 방어: Codex UI 토큰 탈취, Meta AI 계정 탈취, 공급망 공격 최신 분석 (0) | 2026.06.03 |
