본문 바로가기
하루5분.짧고 굵은 테크/#_.Security

GlassWASM Open VSX 악성코드와 Homebrew 6.0 보안 강화: 2026년 6월 19일 보안 뉴스 요약

by t루핑_. 2026. 6. 20.

GlassWASM Open VSX 악성코드, Boots 피싱 캠페인, Salesforce 데이터 탈취, Homebrew 6.0 보안 강화가 이번 정보보안 뉴스의 핵심입니다. 개발 도구 확장 생태계와 SaaS 연동 계정, AI 에이전트 운영, 에이전틱 침투 테스트까지 공격 표면이 넓어지며 실행 행위 기반 탐지와 권한 통제가 중요해졌습니다.

🏢 빅테크 & 스타트업

Tenet, AI 에이전트 런타임 보안 제품 출시

Tenet은 AI 에이전트 보안을 위한 런타임 보안 제품입니다. 경량 센서를 통해 운영체제 활동, 네트워크 트래픽, API 호출, 모델 추론 과정을 관찰하고, 위험하거나 탈취된 AI 에이전트가 유해한 작업을 실행하기 전에 차단하는 데 초점을 맞췄습니다.

💡 왜 중요한가: 국내 기업도 사내 자동화와 코딩 에이전트 도입이 늘어나는 만큼, 앞으로 AI 에이전트 보안은 모델 보안이 아니라 실행 권한과 행위 통제 중심으로 재편될 가능성이 큽니다.

Tenet

  • 운영체제 활동, 네트워크, API 호출, 모델 추론을 함께 모니터링하는 AI 에이전트 런타임 보안 접근을 제시했습니다.
  • AI 에이전트가 실제 실행 환경에서 권한을 갖고 움직이는 흐름을 전제로, 실행 전 차단을 핵심 가치로 내세웁니다.

🧑‍💻 프로그래밍

Homebrew 6.0, 탭 신뢰·Linux 샌드박스·취약점 점검 기능 추가

Homebrew 6.0은 서드파티 tap이 임의의 Ruby 코드를 실행할 수 있다는 위험을 줄이기 위해 사용자가 명시적으로 동의해야 설치·실행되는 tap trust 메커니즘을 도입했습니다. Linux에서는 Bubblewrap 기반 빌드 샌드박싱이 기본 활성화되어 macOS와 보안 모델을 맞췄고, 설치된 패키지를 OSV 데이터베이스와 대조하는 brew vulns 명령과 install·upgrade 시 확인을 요구하는 ask-mode도 추가됐습니다.

💡 왜 중요한가: macOS와 Linux 개발 환경에서 널리 쓰이는 패키지 관리자의 보안 기본값이 강화되면서, 국내 개발팀도 로컬 개발환경과 CI 이미지의 공급망 리스크를 더 체계적으로 점검해야 합니다.

The Register

  • 서드파티 tap 실행 전 사용자 신뢰 확인을 요구하는 tap trust 도입
  • Linux 빌드 샌드박싱 기본 활성화로 패키지 빌드 격리 강화
  • brew vulns 명령으로 설치 패키지의 알려진 취약점을 OSV 기준으로 점검
  • Intel macOS 지원 축소 일정도 공개: 2026년 9월 이후 신규 Intel bottle 중단, 2027년 9월 완전 제거 예정

Warpgate, 클라이언트 앱 없는 투명 Bastion Host

Warpgate는 SSH, HTTPS, Kubernetes, MySQL, PostgreSQL 접속을 중계하는 오픈소스 bastion host입니다. 별도 클라이언트 앱이나 SSH wrapper 없이 투명하게 동작하도록 설계되어, 개발자와 운영자가 기존 접속 흐름을 크게 바꾸지 않고 접근 통제와 감사 체계를 붙일 수 있습니다.

💡 왜 중요한가: 쿠버네티스와 데이터베이스 접근 권한이 분산된 국내 SaaS·플랫폼 팀에게, bastion host는 보안과 개발자 경험을 동시에 조정하는 핵심 인프라 도구가 될 수 있습니다.

GitHub

  • SSH, HTTPS, Kubernetes, MySQL, PostgreSQL 접속을 단일 bastion 계층에서 처리
  • 별도 클라이언트 설치나 SSH wrapper 없이 사용할 수 있는 투명한 접근 방식
  • 인프라 접근 제어, 감사 로그, 운영 보안 체계에 활용 가능한 개발·운영 도구

🎁 기타

에이전트형 모의침투가 던지는 새로운 법적 쟁점

에이전트형 모의침투는 기존 보안 계약의 보호 조항으로 일부 위험을 다룰 수 있지만, 사람 모의침투 전문가와 달리 AI 에이전트가 속도 제한, 중단 시점, 테스트 범위를 직관적으로 판단하지 못한다는 점이 핵심 리스크로 지적됩니다. 표적 시스템의 프롬프트 인젝션, 권한 범위, 여러 고객 프로젝트 간 오염, 비결정적 실행 결과, 다중 에이전트 환경에서의 신원·감사 추적 문제가 아직 명확한 법적 선례 없이 남아 있습니다.

💡 왜 중요한가: 한국 기업도 AI 기반 보안 점검을 도입할 때 기술 성능보다 먼저 계약 범위, 책임 소재, 로그 보존 기준을 명확히 해야 분쟁 리스크를 줄일 수 있습니다.

BCS

  • AI 보안 테스트는 기존 계약 조항만으로 충분히 통제하기 어려운 새 책임 영역을 만들고 있습니다.
  • 특히 에이전트형 모의침투에서는 누가 어떤 판단으로 어떤 행위를 했는지 입증하는 감사 가능성이 중요해집니다.

AI 생성 유튜브 내레이터로 암호화폐 클리퍼 악성코드 유포

Check Point 연구진은 공격자들이 AI 생성 유튜브 내레이터와 튜토리얼 영상, 긍정 댓글, GitHub·SourceForge 배포, 암호화폐 포럼 홍보를 결합해 Rust 기반 클립보드 하이재커를 퍼뜨린 캠페인을 확인했습니다. 이 악성코드는 사용자의 클립보드에서 암호화폐 지갑 주소를 감시한 뒤 공격자 지갑 주소로 바꿔치기해 송금을 탈취합니다.

💡 왜 중요한가: 국내 암호화폐 이용자와 개발자는 영상 리뷰나 GitHub 인기 지표만 믿지 말고 설치 전 바이너리 출처와 지갑 주소 변경 여부를 별도로 검증해야 합니다.

GBHackers

  • 공격자는 가짜 계정으로 다운로드 수와 기여자 수를 부풀려 오픈소스 도구처럼 보이게 했습니다.
  • 영상 튜토리얼과 댓글까지 동원해 사용자의 신뢰를 얻는 사회공학형 악성코드 배포 방식이 강화되고 있습니다.

Operation Escaneo: 멕시코 정부·금융기관 대상 고도 침입 캠페인

CloudSEK는 노출된 오픈 디렉터리를 통해 Operation Escaneo의 전체 도구 체인을 복원했습니다. 이 캠페인은 MexicanMafia, 일명 PanchoVilla로 불리는 세력과 중간 수준의 신뢰도로 연결되며, Kimera 정찰 엔진, Fortinet·Ivanti·Cisco 경계 장비용 익스플로잇, Neo-reGeorg 웹셸, Chisel 터널, Cisco 라우터의 GRE 터널을 활용했습니다. 특히 호스트 기반 탐지를 우회하는 네트워크 계층 지속성과 온프레미스 자격증명 크래킹 등 APT급 작전 규율이 관찰됐습니다.

💡 왜 중요한가: 한국 공공기관과 금융권도 경계 장비, 라우터, 터널링 흔적까지 포함한 네트워크 기반 침해 점검 체계를 강화해야 합니다.

CloudSEK

  • 금전 목적 범죄 조직이 국가 지원 해킹 그룹 수준의 전술·기술·절차를 갖추고 있음을 보여줍니다.
  • 자격증명 교체만으로는 라우터·터널 기반 지속성을 제거하기 어렵다는 점이 드러났습니다.

⚡️ 퀵 링크

GlobalSign, 제재 대상 기업의 EV 인증서 폐기

벨기에 인증기관 GlobalSign은 CA/Browser Forum 규정에 따라 EU 제재 대상 러시아 기업에 발급된 EV TLS 인증서를 6월 13일 04:10 MSK부터 단계적으로 폐기하기 시작했습니다.

💡 왜 중요한가: 국내 기업도 글로벌 인증기관과 제재 규정의 영향을 받을 수 있어, 해외 법인·거래처의 TLS 인증서 리스크 점검이 중요해졌습니다.

Altus Intel

  • EU 제재 기업 대상 EV TLS 인증서 단계적 폐기
  • GlobalSign은 제재 대상 엔티티에 대한 인증서 발급·유지를 제한하는 업계 규칙을 근거로 제시

Kodak, ShinyHunters 해킹 주장 이후 데이터 유출 인정

Kodak은 ShinyHunters가 220만 건 이상의 고객 기록과 기업 데이터를 훔쳤다고 주장한 뒤 데이터 유출 사실을 인정했습니다. 공격자는 6월 18일까지 몸값을 내지 않으면 데이터를 공개하겠다고 위협했습니다.

💡 왜 중요한가: 브랜드 신뢰도가 높은 글로벌 기업도 대규모 고객 데이터 유출에서 자유롭지 않다는 점은 국내 개인정보 보호와 침해 대응 체계의 현실 점검을 요구합니다.

SecurityWeek

  • ShinyHunters, Kodak 고객 기록 220만 건 이상 탈취 주장
  • 6월 18일을 기한으로 데이터 공개 협박

DragonForce, Microsoft Teams TURN 릴레이로 C2 트래픽 은닉

DragonForce는 미국의 한 대형 서비스 기업을 상대로 Go 기반 RAT인 Backdoor.Turn을 배포하고, 정상 Microsoft Teams TURN 릴레이 안에 C2 트래픽을 숨겼습니다. 실제 서버와는 QUIC 세션을 유지하며 1~2개월 동안 접근 권한을 유지한 것으로 전해졌습니다.

💡 왜 중요한가: 업무용 협업 도구 트래픽을 신뢰 대상으로만 보는 보안 정책은 한계가 있어, 국내 기업도 Microsoft Teams 네트워크 행위 모니터링을 재검토해야 합니다.

The Hacker News

  • Go 기반 RAT Backdoor.Turn 사용
  • Microsoft Teams TURN 릴레이를 악용해 C2 트래픽 위장
  • QUIC 세션을 통해 실제 공격자 서버와 통신

확장 프로그램, SaaS 연동, AI 에이전트가 새 보안 경계로 떠올랐다.

이번 뉴스레터는 공격자가 신뢰된 개발 도구와 업무 플랫폼, 합법 바이너리와 클라우드 연동을 악용하는 흐름을 보여줍니다. 조직은 단순 IOC 차단보다 API 호출 패턴, 실행 체인, 통합 계정 권한, 에이전트 활동 로그를 함께 점검해야 합니다.

오늘 브리핑에서 가장 인상 깊었던 소식은 무엇인가요?

여러분의 생각을 댓글로 남겨주세요. 매일 아침, 트렌드를 5분으로 정리해 전합니다.

 

타로신박: 마음이 복잡할 때 오마카세 타로 - Google Play 앱

매일 카드 1장으로 시작하는 AI 타로 루틴 — 상담·저널·퀴즈까지, 완전 무료

play.google.com

 

Security: 보안의 핵심을 빠르게 파악하세요!
정보 보안 전문가와 IT 관리자들을 위해 복잡한 보안 정보를 간결하고 쉽게 전달하는 요약 플랫폼입니다. 최신 위협 동향, 보안 기술, 그리고 실무에 바로 적용할 수 있는 솔루션을 제공합니다.
최신 보안 트렌드 / 보안 솔루션과 도구 / 정책과 규제 / 실질적인 보안 팁 등 보안 환경의 변화를 반영한 매일 업데이트로 항상 최신 정보를 제공합니다.

#_.Security로 중요한 보안 정보를 놓치지 마세요. 당신의 데이터를 보호하는 가장 빠르고 효율적인 방법입니다!

원문 : TLDR
lassWASM,Open VSX,Homebrew 6.0,정보보안,피싱,Salesforce,AI 보안,악성코드,에이전틱 펜테스팅,공급망 보안
728x90

'하루5분.짧고 굵은 테크 > #_.Security' 카테고리의 다른 글

FortiBleed 대규모 자격 증명 유출과 27년 된 OpenBSD 인증 우회 취약점  (0) 2026.06.19
일일 정보보안 뉴스레터 - iRhythm 랜섬웨어, FIFA 월드컵 해킹, JetBrains API 키 탈취 (2026-06-17)  (0) 2026.06.18
2026년 6월 16일 정보보안 주간 핵심: 유럽 위원회 해킹, M365 Copilot 일클릭 데이터 유출, 손 제스처 인증 등장  (0) 2026.06.17
주간 정보보안 뉴스레터: Splunk 원격코드 실행, Novo Nordisk 임상시험 데이터 침해, LangGraph RCE 취약점  (0) 2026.06.16
노팅엄 대학 454만 명 개인정보 유출, Exchange 이메일 스푸핑 취약점, npm 자동 실행 금지 - 2026년 6월 보안뉴스  (0) 2026.06.13

관련글

티스토리툴바