이번 주 정보보안 뉴스레터는 국가 수준의 인프라부터 엔터프라이즈 AI 플랫폼까지 전방위적 보안 위협을 다룹니다. ShinyHunters 랜섬웨어 갱단의 Council of Europe 대규모 침입, Microsoft 365 Copilot의 혁신적인 데이터 유출 공격 경로, 그리고 Google의 생체인식 기반 인증 기술 도입이 현재 위협 환경과 방어 기술의 급변을 보여줍니다.
🚀 빅테크 & 스타트업
Google, reCAPTCHA에 손동작 생체 인증 기능 추가
Google이 Cloud Fraud Defense 제품군의 일부로 reCAPTCHA에 손동작 인증 기능을 추가했다. 사용자가 카메라 앞에서 손동작을 수행하면 시스템이 21개의 손가락 관절 좌표를 추출하여 실제 사람임을 확인한다. Google은 비디오가 사용자 신원과 연결되지 않으며, 오디오는 포함되지 않고, 챌린지 완료 후 자동 삭제되며, 제3자에게 절대 전달되지 않는다고 명시했다. 이는 봇 탐지 기술을 카메라 기반 생체 신호로 전환하는 것으로, 도입을 검토하는 조직은 카메라 권한 요청의 사용자 마찰도와 비디오 캡처의 개인정보 영향을 신중히 평가해야 한다.
- Google Cloud Fraud Defense의 새로운 기능, 생체 인증으로 봇 탐지 강화
- 손동작 카메라 인증으로 21개 손가락 관절 좌표 기반 진정성 검증
- 비디오 자동 삭제 및 사용자 신원 비연결 보장, 오디오 미포함
- 카메라 접근권한 요청과 개인정보 보호 정책 간 상충 검토 필수
Anthropic의 안전 정책, 상업적 전략과의 일치성 지적
Anthropic의 안전 관련 정책과 기업의 상업적 이익이 과도하게 일치한다는 분석이 나왔다. 너무 위험하다고 판단한 Mythos Preview를 가드레일로 강화한 Fable 출시, 해킹 이후 정부 수출 통제로 외국인의 Fable 5/Mythos 5 접근 차단, 엔터프라이즈 플랜의 영점 데이터 보존 보장 폐지 및 30일 보존 정책 도입 등을 포함한다. 특히 Fable 출시 당일 frontier LLM 개발 용도의 성능 저하 계획이 존재했으나 나중에 Opus 4.8으로의 공개 이전으로 변경된 점은 Anthropic이 자신의 정책 선호도에 따라 모델을 조용히 조종할 수 있음을 보여준다. frontier AI의 단독 개발권을 추구하는 조직이 모든 자기중심적 결정을 안전 필요성으로 정당화하는 패턴을 드러낸다.
- Mythos Preview를 가드레일로 강화한 Fable 모델 출시 전략
- 정부 수출 통제 발동 후 외국인 접근 차단 및 데이터 보존 정책 변경
- Fable 출시 시 frontier LLM 성능 저하 계획, 나중에 Opus 4.8 이전으로 변경
- 안전 메시징과 상업적 이익의 부합성, 정책 조종 가능성 지적
💻 프로그래밍
LiteLLM 취약점 체인으로 인한 AI 게이트웨이 서버 장악
LiteLLM 프록시의 버그 체인을 통해 기본 내부 사용자가 광범위한 API 키를 생성하고 프록시 관리자로 권한 상승한 뒤 임의의 Python 가드레일 코드를 실행하여 서버를 완전히 장악할 수 있는 취약점이 발견되었다. 공격자는 모든 AI 제공자 키를 덤프하고 저장된 자격증명을 복호화하며 게이트웨이를 통해 흐르는 프롬프트, 응답 및 기타 민감한 데이터를 읽을 수 있다.
LiteLLM Vulnerability Chain Lets Low-Privilege Users Take Over AI Gateway Servers
- 버그 체인을 통한 권한 상승: 기본 사용자에서 프록시 관리자를 거쳐 서버 완전 장악까지 진행
- AI 제공자 키 덤프, 저장된 자격증명 복호화, 민감한 데이터 접근 가능
- 콜백 훅을 이용한 에이전트 응답 변조 및 역셀 생성 위험
- v1.83.14-stable 이상 업그레이드 필수, 관리자/콜백 감사 및 시크릿 교체 권장
Shannon - AI 기반 웹 애플리케이션 자동 보안 검증 도구
Shannon Lite는 웹 애플리케이션과 API용 자율형 AI 펜테스터로, 소스 코드를 분석하고 공격 벡터를 식별한 후 실제 익스플로잇을 실행하여 프로덕션 배포 전 취약점을 증명한다. 개발 파이프라인 내 보안 검증을 자동화할 수 있는 개발자 도구다.
- 소스 코드 분석을 통한 자동 공격 벡터 식별 및 백박스 보안 검증
- 실제 익스플로잇 실행으로 취약점 존재 여부 증명
- 프로덕션 배포 전 보안 문제 자동 발견 및 검증
- GitHub에서 오픈소스로 제공되는 개발자 친화적 도구
Varonis Threat Labs는 Microsoft 365 Copilot Enterprise Search의 3단계 버그 연쇄를 발견했으며, 공격자가 단 하나의 악의적 링크로 피해자의 이메일, 캘린더, SharePoint, OneDrive 데이터를 훔칠 수 있음을 확인했습니다.
AI 시스템의 급속한 확대, 지능형 공격 기법의 고도화, 그리고 공급망 보안의 복잡성 증가 속에서 조직들은 다층 방어와 사전 위협 탐지의 중요성을 인식해야 합니다. 기술적 방어와 함께 운영 규율, 직원 교육, 그리고 지속적인 감시가 결합될 때만 효과적인 보안 태세를 구축할 수 있습니다.
타로신박: 마음이 복잡할 때 오마카세 타로 - Google Play 앱
매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료
play.google.com
| Security: 보안의 핵심을 빠르게 파악하세요! 정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다. 최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다. #_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다! 원문 : TLDR |
 |
'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글
| 주간 정보보안 뉴스레터: Splunk 원격코드 실행, Novo Nordisk 임상시험 데이터 침해, LangGraph RCE 취약점 (0) | 2026.06.16 |
|---|---|
| 노팅엄 대학 454만 명 개인정보 유출, Exchange 이메일 스푸핑 취약점, npm 자동 실행 금지 - 2026년 6월 보안뉴스 (0) | 2026.06.13 |
| AI 위협 시대, 보안의 패러다임 전환: Ivanti 버그부터 자동화된 공격까지 (0) | 2026.06.12 |
| 리눅스 커널 제로데이부터 하데스 PyPI 웜까지, 2026년 6월 정보보안 위협 현황 (0) | 2026.06.11 |
| 마이크로소프트 오픈소스 도구 해킹, Cursor 샌드박스 탈출, Dashlane 비밀번호 저장소 도난 - 2026년 6월 정보보안 위협 분석 (0) | 2026.06.10 |
