← 탐색

태그된 포스트: 보안

데브옵스 리얼톡 · ·2분 읽기

checkout v7이 포크 PR을 차단한다 — 남은 시간 12일

7월 16일에 CI가 조용히 깨질 수 있다. GitHub가 actions/checkout의 보안 기본값을 바꿨고, 이게 모든 메이저 버전에 백포트된다.

github-actionsci-cd보안
클라우드 네이티브 · ·2분 읽기

Kyverno 1.18 — 졸업장 받고 첫 번째로 한 일이 SSRF 틀어막기

Kyverno가 3월에 CNCF graduated 뱃지를 달았다. 그리고 졸업 후 첫 릴리스인 1.

kyvernocncfkubernetes
클라우드 네이티브 · ·2분 읽기

ingress-nginx 죽은 지 77일, 아직 프로덕션에서 돌고 있다면

3월 24일, kubernetes/ingress-nginx 레포가 읽기 전용으로 전환됐다. 더 이상 릴리스도, 버그 수정도, 보안 패치도 없다.

ingress-nginxkubernetesgateway-api
AI 실무 적용기 · ·2분 읽기

QA 통과율 99%짜리 가드레일이 프로덕션 1주차에 뚫렸다

QA 팀이 정성들여 만든 프롬프트 300개로 레드팀 테스트를 돌렸다. 차단율 99%.

가드레일프로덕션프롬프트인젝션
프론트엔드 시그널 · ·3분 읽기

'use server' 한 줄이 서버를 통째로 넘겼다

프론트엔드 개발자한테 "보안 패치 했어?"라고 물으면 대부분 npm audit 돌리고 끝이다.

reactserver components보안
데브옵스 리얼톡 · ·2분 읽기

보안 레이어 4겹 씌웠는데 732바이트에 뚫렸다

지난달 공개된 CVE-2026-31431, 일명 "Copy Fail." 한 달이 지났다.

copyfailcve-2026-31431kubernetes
K-테크 인사이더 · ·3분 읽기

퇴사한 엔지니어의 키가 5개월간 살아 있었다

쿠팡 개인정보 유출 사건의 과징금 결정이 6월로 다가왔다. 법정 최대 1조 5000억 원이 거론되지만, 금액보다 더 오래 남을 건 이 사건이 드러낸 기술 조직의 구조적 허점이다.

쿠팡개인정보유출내부통제
AI 레이더 · ·3분 읽기

27년 된 OpenBSD 버그를 AI가 하룻밤에 찾았다

Anthropic이 공개하지 않은 프론티어 모델 Claude Mythos Preview가 한 달 만에 제로데이 취약점 1만 개 이상을 쏟아냈다. 모든 주요 OS, 모든 주요 브라우저에서.

project-glasswingclaude-mythos제로데이
클라우드 네이티브 · ·2분 읽기

externalIPs, 6년 방치된 보안 구멍이 드디어 막힌다

클러스터에 externalIPs 쓰는 서비스가 있는지 마지막으로 확인해본 게 언제인가. K8s 1.

kubernetesk8s-1.36externalips
K-테크 인사이더 · ·3분 읽기

양자컴퓨터가 아직 없는데, 토스는 왜 벌써 암호를 바꿨나

양자컴퓨터 상용화까지 최소 10년은 남았다는 게 업계 중론이다. 그런데 토스페이먼츠가 4월 초, 결제 서비스 전 구간에 양자내성암호(PQC)를 적용했다.

토스페이먼츠양자내성암호pqc
클라우드 네이티브 · ·3분 읽기

Docker AuthZ 우회, 패치를 두 번 했는데 또 뚫렸다

Docker의 AuthZ 플러그인을 뚫는 취약점이 2018년에 처음 발견됐다. 2024년에 같은 구멍이 다시 열렸고(CVE-2024-41110, CVSS 10.

docker보안cve
AI 레이더 · ·3분 읽기

TanStack 42개 패키지가 합법 파이프라인으로 감염됐다 — Mini Shai-Hulud 공급망 웜의 실체

지난주 npm install을 한 번이라도 돌렸다면, 당신의 머신에 웜이 앉아 있을 가능성이 있다. 5월 11일, TanStack의 공식 릴리스 파이프라인이 통째로 하이재킹당했다.

공급망-공격npmtanstack
AI 레이더 · ·2분 읽기

프롬프트 인젝션이 야생에 풀렸다 — Google 30억 페이지 스캔 보고서

프롬프트 인젝션은 더 이상 보안 컨퍼런스 발표 주제가 아니다. Google 위협 인텔리전스 팀이 매달 20~30억 웹 페이지를 크롤링한 결과, 실제 웹사이트에 AI 에이전트를 겨냥한 악성 명령어가 심어져 있고 그 수가 빠르게 늘고 있다는 걸 확인했다.

프롬프트-인젝션ai-에이전트보안
데브옵스 리얼톡 · ·2분 읽기

SLSA Level 3을 뚫은 웜 — GitHub Actions 공급망의 5월

npm 패키지의 provenance 배지를 확인하고 안심했던 적 있는가? 5월 11일, 그 안심이 환상이었음을 증명한 공격이 터졌다.

github-actionssupply-chainslsa
AI 실무 적용기 · ·2분 읽기

"가드레일 넣었으니 안전하다"는 착각이 3개월 만에 깨졌다

운영 3개월 차에 고객이 챗봇으로부터 경쟁사 내부 전략 문서를 요약받았다는 제보가 들어왔다. 입력 필터, 출력 검증, PII 마스킹 — 안전장치는 분명히 달아놨는데.

가드레일프로덕션보안
프론트엔드 시그널 · ·2분 읽기

npm audit 돌렸더니 빨간 줄 12개, 전부 Next.js였다

월요일 아침, 습관처럼 npm audit을 돌렸다. 빨간 줄이 12개.

next.jsreact보안
클라우드 네이티브 · ·3분 읽기

컨테이너 깨고 나와봐야 root가 아니다

프로덕션 클러스터에서 컨테이너 탈출 CVE가 올라오면 제일 먼저 확인하는 게 뭘까. 해당 Pod가 root로 돌고 있었는지다.

kubernetesk8s-1.36user-namespaces
백엔드 깊이보기 · ·3분 읽기

응답은 200인데 보안 헤더가 통째로 빠져 있었다

보안팀에서 슬랙이 왔다. "API 응답에 보안 헤더가 하나도 없는데요?

spring securitycve보안
AI 레이더 · ·2분 읽기

제로데이 수천 개를 찾았는데 패치율 1% 미만 — Glasswing 한 달이 보여준 것

4월에 Anthropic이 Project Glasswing을 발표했을 때 대부분의 반응은 "와, AI가 제로데이를 찾는다고?"였다.

project-glasswingclaude-mythos보안
AI 레이더 · ·3분 읽기

환각 CVSS 점수가 단서였다 — AI가 만든 제로데이, 실전에서 처음 잡히다

올 것이 왔다. 어제 Google Threat Intelligence Group(GTIG)이 공개한 보고서에 따르면, 사이버 범죄 조직이 LLM을 사용해 제로데이 취약점을 발견하고 익스플로잇까지 자동 생성한 사례가 실전에서 처음 확인됐다.

보안제로데이llm
1 / 2 Next →