지난 3월 10일 공포된 개인정보보호법 개정안에 묻혀 있는 한 줄이 있다. "대통령령으로 정하는 기준에 해당하는 개인정보처리자는 개인정보보호 인증을 받아야 한다.
운영 서버의 /healthz/admin 엔드포인트에 인증을 걸어놨는데, 브라우저에서 토큰 없이 접근이 됐다. 처음엔 Spring Security 설정을 잘못 한 줄 알았다.
작년 11월부터 올해 초까지 한국 테크 업계를 뒤흔든 쿠팡 개인정보 유출 사태. 3370만 건이라는 숫자도 충격이지만, 기술적으로 뜯어보면 더 씁쓸하다.
3월 19일 오후 6시 24분(UTC). 전 세계 수천 개 CI/CD 파이프라인에서 docker pull aquasec/trivy:latest가 실행됐다.
개인정보보호법 개정안이 지난 2월 국회를 통과했다. 뉴스 헤드라인은 전부 "매출 10% 과징금"에 꽂혀 있다.
Spring Security가 설정한 보안 헤더를 조용히 삼켜버리는 CVE-2026-22732가 3월에 공개됐는데, 영향 범위가 5.7부터 7.