TheNote
RSS 슈나이어의 보안 노트
GooglePlay AppStore

RSS 슈나이어의 보안

www.schneier.com은 미국의 유명한 암호학자, 컴퓨터 보안 전문가, 작가인 브루스 슈나이어(Bruce Schneier)에게 속하는 웹사이트입니다. 이 웹사이트는 그의 글쓰기, 기사, 및 보안, 기술, 사회와 관련된 다른 출판물의 모음집입니다. 여기에는 슈나이어가 정기적으로 업데이트하고, 사이버 보안 및 정보 보안과 관련된 현재 사건 및 주제에 대한 댓글을 게시하는 블로그 섹션이 포함되어 있습니다. 웹사이트의 주요 기능 중 일부는 다음과 같습니다. - 2004년에 시작된 수백 개의 기사 및 포스트가 포함된 포괄적인 블로그, 보안, 기술, 정책과 관련된 다양한 주제를 다루고 있습니다. - 슈나이어의 출판 작품 섹션, 그의 책, 학술 논문, 에세이 등이 포함되어 있습니다. 그의 저서 중 일부는 'Applied Cryptography', 'Secrets and Lies', 'Click Here to Kill Everybody'입니다. - 슈나이어가 공공 연사, 컨설턴트, 다양한 조직 및 정부에 대한 고문으로서의 업무 및 활동을 헌정하는 페이지입니다. 이 웹사이트는 또한 슈나이어와 그의 업무에 대한 외부 기사 및 글쓰기 모음집을 포함합니다. 이 웹사이트는 심플하고 최소주의적인 디자인으로, 탐색하고 읽기가 쉽습니다. 따라서 www.schneier.com은 사이버 보안, 암호학 및 관련 주제에 대해 가장 존경받는 전문가 중 한 명으로부터 더 많은 것을 배울 수 있는 귀중한 자원입니다.
Schneier on Security schneier.com
RSS schneier.com
RSS Hunter RSS Hunter 2024년 8월 23일

노트 스레드

미국 정부의 AI 활용

4월 14일, 트럼프 행정부는 정부 프로세스를 자동화하기 위해 AI가 광범위하게 사용되고 있음을 조용히 인정했습니다. 예산관리국(OMB)은 연방 정부 전반에 걸쳐 AI의 활성 또는 계획된 사용 사례가 무려 3,611건에 달한다고 공개했습니다. 이 목록은 바이든 행정부 마지막 해에 발표된 목록보다 70% 증가했으며, 민감한 정부 기능을 AI에 넘기려는 우려스러운 계획들을 다수 포함하고 있습니다. 이 목록을 살펴보면 많은 독자들이 경각심을 느낄 만한 이유를 발견할 수 있을 것입니다. 이는 개인의 자유, 공중 보건 및 복지, 원자력 발전소 안전 등과 관련된 문제에 대해 인간에서 기계로 의사 결정 프로세스를 대규모로 이관하는 것을 나타냅니다...
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 어제

Flock 카메라가 스토킹에 사용되고 있습니다

전국적으로 12건이 넘는 사례에서 경찰관들이 Flock 감시 카메라 시스템을 사용하여 사람들을 강박적이고 불법적으로 미행하고 있습니다. 대체 링크.
Flock Cameras Are Being Used for Stalking schneier.com
RSS Hunter RSS Hunter 6월 16일

FCC, 일회용 휴대폰 근절 추진

제안된 FCC 규정은 특정 개인과 연결되지 않은 선불폰의 존재를 위협하고 있습니다. FCC는 통신 회사들에게 거의 모든 전화 사용자들에 대한 광범위한 개인 데이터를 보관하도록 의무화할 의향입니다. 이 데이터에는 정부 발행 신분증 번호와 실제 주소가 포함될 것입니다. 사생활 보호 옹호자들과 시민권 운동가들은 권위주의 정권과의 유사점을 들며 경각심을 표하고 있습니다. 이러한 정책 변화는 미국인들이 전화 요금제를 구매하는 방식을 크게 바꿀 것입니다. 또한 사생활 보호와 사이버 보안에 상당한 파장을 일으킬 것으로 예상됩니다. FCC는 부분적으로 이 데이터 수집을 사기꾼 퇴치 조치로 정당화하고 있습니다. 통신 회사들은 또한 사업체 및 해외 고객에 대한 정보, 예를 들어 전화 요금제 사용 목적 등을 수집해야 할 것입니다. 그러나 이러한 변경은 신규 및 갱신 고객 모두에게 영향을 미칠 것입니다. FCC는 수집된 데이터가 다양한 다른 조사에서 당국에 도움이 될 수 있다고 밝혔으며, 이는 추가적인 사생활 침해 우려를 제기합니다.
The FCC Wants to Eliminate Burner Phones schneier.com
RSS Hunter RSS Hunter 6월 15일

예정된 연설 참여

다음은 제가 연설할 예정인 장소와 시간의 현재 목록입니다. 2026년 6월 24일 독일 베를린에서 열리는 사이버네이션 2026(Cybernation 2026)에서 기조연설을 합니다. 독일 포츠담에 있는 하소 플래트너 연구소(Hasso Plattner Institut)에서 열리는 포츠담 국가 사이버 보안 회의(Potsdam Conference on National Cybersecurity)에서 연설합니다. 이 행사는 2026년 6월 24일부터 25일까지 진행되며, 제 강연은 6월 24일 저녁에 있을 예정입니다. 2026년 6월 25일 목요일 오스트리아 비엔나에서 열리는 오스트리아 국제 문제 연구소(Austrian Institute for International Affairs)의 패널 토론에 참여합니다. 2026년 6월 26일 금요일 오스트리아 비엔나에서 열리는 디지털 휴머니즘 컨퍼런스(Digital Humanism Conference)에서 연설합니다...
Upcoming Speaking Engagements schneier.com
RSS Hunter RSS Hunter 6월 14일

금요일 오징어 블로깅: 오징어에서 영감을 받은 유체 펌프

이 유체 펌프는 오징어가 물속에서 추진하는 방식에서 영감을 받았습니다. 평소처럼, 이 오징어 게시물을 사용하여 제가 다루지 않은 뉴스 속 보안 이야기에 대해 이야기할 수도 있습니다. 블로그 운영 정책.
Friday Squid Blogging: Squid-Inspired Fluid Pump schneier.com
RSS Hunter RSS Hunter 6월 12일

버니 샌더스의 AI 주권 부유 기금 계획

"버니 샌더스를 향해 큰 질문들을 회피한다고 비난할 사람은 아무도 없을 것입니다. 지난주 뉴욕 타임스에 글을 기고한 이 상원의원은 다음과 같이 물었습니다. "인류의 미래는 거의 민주적 참여 없이 AI를 홍보하고 개발해 온 소수의 억만장자들에 의해 결정될 것이며, 그들은 오늘날보다 훨씬 더 부유하고 강력해질 것인가?" 이것이 오늘날 세계 민주주의가 직면한 가장 강력한 질문 중 하나라는 점에 전적으로 동의합니다. 저희의 책, Rewiring Democracy는 전 세계 민주주의에서 AI의 새로운 용도와 영향을 조사하고 같은 결론에 도달했습니다. 즉, AI가 제기하는 가장 시급한 위험은..."
Bernie Sanders’ AI Sovereign Wealth Fund Plan schneier.com
RSS Hunter RSS Hunter 6월 12일

향상된 번호판 추적

감시 회사 레오나르도는 더 많은 데이터를 원합니다: 한 감시 회사는 자동 번호판 인식기(ALPR)에 센서를 추가할 계획이며, 이는 장치가 통과하는 차량의 번호판을 캡처하는 것 외에도 차량 내 휴대폰, 웨어러블 및 기타 블루투스 지원 장치의 고유 식별자를 수집하여 법 집행 기관이 특정 운전자 또는 승객을 식별할 수 있도록 할 수 있음을 의미합니다. SignalTrace라고 불리는 이 기술은 ALPR 카메라를 차량 추적에 초점을 맞춘 장치에서 특정 사람의 위치를 더 쉽게 추적할 수 있는 장치로 전환할 것입니다. ALPR 카메라는 미국 전역에서 일반적으로 배포되는 기술이 되었습니다. SignalTrace는 이러한 카메라 중 일부가 훨씬 더 많은 데이터를 수집할 수 있도록 만들 것입니다...
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 6월 11일

GPS를 핵심 분배 플랫폼으로 활용

"흥미로운 점은 다음과 같습니다. 스티븐 머독에 따르면, 미군은 거의 20년 동안 공개 GPS를 사용하여 전 세계 암호화 네트워크를 위한 코드를 조용히 방송해 왔으며, 각 위성을 숨겨진 "숫자 방송국"으로 만들었습니다. 이는 GPS를 사용하는 모든 장치가 수년간 숨겨진 정부 정보를 수신해 왔으며, 군 관계자 외에는 아무도 이를 알지 못했다는 것을 의미합니다. [...] 머독은 2011년 5월 26일 몇 시간 동안 모든 31개의 운영 위성에서 이 특정 센티넬이 전송되었으며, 이는 새로운 운영 시스템의 활성화를 예고했을 가능성이 있다고 발견했습니다. 그는 이 시점이 군의 Over-the-Air Distribution (OTAD) 및 Over-the-Air Rekeying (OTAR) 출시와 일치한다는 것을 운영 날짜에 대한 2015년 발표를 포함한 기밀 해제된 문서를 교차 참조하여 확인했습니다."
GPS As a Key Distribution Platform schneier.com
RSS Hunter RSS Hunter 6월 9일

Zcash 치명적 취약점 발견 및 수정

이 암호화폐의 사용자—소유주?—라면 이 내용은 중요합니다: 5월 29일, 보안 연구원 Taylor Hornby는 Claude Opus 4.8을 사용하여 Zcash Orchard 프라이버시 풀에서 치명적인 취약점을 발견했습니다. Zcash 팀은 이러한 종류의 문제를 찾기 위해 Hornby를 고용했습니다. 그는 너무 빨리 문제를 찾아내 당황스러울 정도였습니다. Orchard 풀은 암호화폐 Zcash에서 가장 새롭고 진보된 익명 거래 시스템입니다. 2022년에 도입된 이 시스템은 사용자가 거래 세부 정보를 비공개로 유지하면서 ZEC를 보내고 받을 수 있도록 합니다. 이는 제로 지식 증명을 사용하여 금액이나 참여자를 공개하지 않고도 거래를 검증합니다. 버그는 거래 입력값을 검증해야 하는 특정 검사가 실제로 검증하는 것처럼 보이는 규칙을 강제하지 않았다는 것입니다. 공격자는 이 결함을 악용하여 해당 검사에 잘못된 입력값을 주입하고 제로 지식 증명 시스템이 사기 거래를 유효한 것으로 승인하면서 무에서 ZEC를 생성할 수 있었습니다...
Critical Zcash Vulnerability Found and Fixed schneier.com
RSS Hunter RSS Hunter 6월 8일

Anthropic의 Project Glasswing 업데이트

4월에 앤트로픽은 프로젝트 글래스윙을 시작했습니다. 기업들이 새로운 모델을 사용하여 자체 소프트웨어의 취약점을 찾고 수정하도록 하는 것이었습니다. 이는 환상적인 PR 활동이었고, 많은 언론 매체들이 앤트로픽의 주장을 비판 없이 그대로 받아쓰면서 이제 미토스가 다른 모델보다 소프트웨어 취약점을 찾는 데 더 뛰어나다는 것이 상식이 되었습니다. 하지만 이는 사실이 아닙니다. 어쨌든 앤트로픽은 프로젝트 글래스윙 현황 보고서를 발표했습니다. 소프트웨어에서 많은 취약점을 발견하고 있습니다. 좋습니다! 그중 일부는 위험하기까지 합니다. 하지만 거의 대부분은 수정되지 않았습니다. 그것은...
Anthropic’s Project Glasswing Update schneier.com
RSS Hunter RSS Hunter 6월 8일

AI 웜

연구원들이 AI 기반 인터넷 웜의 프로토타입을 개발했습니다. 이 프로토타입의 가장 흥미로운 점은 자체 LLM을 탑재하고 있으며, 침입한 컴퓨터에서 이를 실행한다는 것입니다. 이는 제가 본 존 브루너의 1975년 컴퓨터 웜에 대한 원래 구상에 가장 가까운 것입니다.
AI Worm schneier.com
RSS Hunter RSS Hunter 6월 5일

메타의 AI 챗봇 해킹하기

해커들이 Meta의 AI 지원 챗봇을 설득하여 다른 사람들의 계정을 탈취하고 있습니다. X에 게시된 영상은 누군가의 인스타그램 계정을 해킹하는 단계별 과정을 보여주었습니다. 해커는 인스타그램의 자동 계정 보호 기능을 발동시키지 않기 위해 VPN을 사용하여 대상의 예상 위치를 속인 것으로 알려졌습니다. 그런 다음, 해커는 Meta AI Support Assistant와 채팅을 시작하고 봇에게 대상 계정에 새 이메일 주소를 추가해 달라고 요청했습니다. 챗봇은 해커가 제공한 이메일 주소로 인증 코드를 보내는 것이 보였고, 해커는 이 인증 코드를 챗봇과 공유했습니다. 그러면 챗봇은 "비밀번호 재설정" 버튼을 표시하도록 유도했습니다. 해커는 새 비밀번호를 입력하고 피해자의 계정을 탈취했습니다.
Hacking Meta’s AI Chatbot schneier.com
RSS Hunter RSS Hunter 6월 4일

암호화와 AI의 교차점

"창립 20주년 기념의 일환으로, Dark Reading은 지난 몇 년간 그들을 위해 블로그나 칼럼을 기고했던 다섯 명의 사이버 보안 업계 리더들에게 그들의 가장 좋아하는 글을 선정하고 오늘날 해당 주제에 대한 그들의 생각을 공유해 달라고 요청했습니다. 이것은 제 부분입니다. 저명한 기술자이자 작가인 Bruce Schneier는 2010년 6월 20일에 암호학이 현대 네트워크를 보호할 수 없다는 경고하는 칼럼을 기고했으며, 그는 2000년부터 이 점을 주장해 왔다고 말합니다. "한동안 저는 암호학이 오늘날의 주요 네트워크 보안 문제인 서비스 거부 공격, 웹사이트 변조, 신용카드 번호 도용, 신원 도용, 바이러스 및 웜, DNS 공격, 네트워크 침투 등을 해결하는 데는 단독으로 부적합하다는 점을 지적해 왔습니다..."
The Intersection of Encryption and AI schneier.com
RSS Hunter RSS Hunter 6월 2일

Microsoft, 보안 연구원 위협

"Nightmare Eclipse"라는 익명의 보안 연구원이 Microsoft Windows에 대한 일련의 중요한 보안 취약점을 공개해 왔으며, 여기에는 BitLocker를 무력화하는 취약점도 포함됩니다. Microsoft는 해당 연구원에 대해 법적 조치를 취하겠다고 위협했습니다. 양측 간에 많은 비난이 오가고 있습니다.
Microsoft Threatening Security Researcher schneier.com
RSS Hunter RSS Hunter 6월 2일

AI 시대의 취약점 공개

프론티어 AI 모델은 이제 전례 없는 속도와 규모로 소프트웨어 취약점을 자율적으로 찾아낼 수 있습니다. 이러한 능력은 신속한 배포를 안전한 설계보다 우선시했던 소프트웨어 산업이 축적한 상당한 기술 부채를 드러냅니다. 현재 상황은 정부, 산업, 중요 인프라에 있어 전략적 전환점을 나타냅니다. 사이버 공간에서 공격 및 방어 능력 간의 긴장이 고조되고 있습니다. 미국과 중국 모두 AI 기반 취약점 탐지 도구를 개발하고 있습니다. 지원되지 않는 레거시 시스템과 AI 지원 코드 생성은 위험을 증가시키고 있습니다. 책임 있는 공개는 수동적인 프로세스에서 조정된 국가 및 국제 복원력 노력으로 진화해야 합니다. 이러한 조정된 노력에는 정부, 소프트웨어 공급업체, 인프라 운영자, 비상 대응 조직이 참여해야 합니다. 이 기사는 신속한 복구와 대규모 패치 관리 조정을 촉구합니다. 적들이 이 기회를 악용하는 것을 방지하기 위해 자동화된 취약점 복구에 대한 지속적인 투자가 중요합니다.
Vulnerability Disclosure in the Age of AI schneier.com
RSS Hunter RSS Hunter 6월 1일

금요일 오징어 블로깅: 또 다른 오징어

"Squid"라는 이름의 누군가가 "웨스트 컨트리 전설"인 것 같습니다. 평소처럼, 이 오징어 게시물을 사용하여 제가 다루지 않은 뉴스 속 보안 이야기에 대해 이야기할 수도 있습니다. 블로그 운영 정책.
Friday Squid Blogging: Another Squid schneier.com
RSS Hunter RSS Hunter 5월 29일

Chilling Effects

젊은 미국인들은 도널드 트럼프의 두 번째 대통령 임기에 대해 부정적으로 변했지만, 시위는 하지 않고 있다. 인기 없는 이란 전쟁과 더욱 인기 없는 트럼프 행정부에도 불구하고, 전국 대학 캠퍼스의 시위는 침묵했다. 그리고 많은 학교에서 학생 활동은 사실상 존재하지 않는다. 이러한 침묵은 소송, 체포, 추방, 퇴학을 포함한 트럼프 행정부의 끊임없는 캠퍼스 발언 전쟁의 여파로 나타났다. 보고서들은 무관심부터 기술로 인한 무능력까지, 이러한 자제에 대한 복잡한 요인들을 언급한다. 하지만 ...
Chilling Effects schneier.com
RSS Hunter RSS Hunter 5월 29일

Wi-Fi 라우터를 사용하는 사람 식별

Wi-Fi 라우터 사용 여부에 따라 사람을 식별하는 것이 아니라, Wi-Fi 신호를 사용하여 사람을 식별하는 것입니다. 이는 WiFi 센싱, 즉 Wi-Fi 신호를 사용하여 물리적 환경에 대한 정보를 추론하는 것을 통해 달성됩니다. Wi-Fi와 같은 전파 신호가 공간을 통과할 때, 주변의 물체 및 사람과 상호 작용합니다. 이러한 신호는 반사, 산란 또는 흡수될 수 있습니다. 신호가 실제로 수신되는 방식과 비교하여 신호가 어떻게 동작할 것으로 예상되는지 분석함으로써, 연구자들은 주변 환경에 대한 세부 정보를 추론할 수 있습니다...
Identifying People Using Wi-Fi Routers schneier.com
RSS Hunter RSS Hunter 5월 26일

금요일 오징어 블로깅: 남태평양 오징어 어업 규제

남태평양 지역 수산 관리 기구(SPRFMO)는 남태평양의 오징어 조업을 규제해야 합니다. 평소처럼 이 오징어 게시물을 사용하여 제가 다루지 않은 뉴스 속 안보 관련 이야기에 대해 이야기할 수도 있습니다. 블로그 운영 정책.
Friday Squid Blogging: Regulating Squid Fishing in the South Pacific schneier.com
RSS Hunter RSS Hunter 5월 22일

CISA 보안 유출

믿기 힘든 이야기: 지난 주말까지 사이버 보안 및 인프라 보안국(CISA)의 계약업체가 여러 개의 최고 권한을 가진 AWS GovCloud 계정과 다수의 내부 CISA 시스템에 대한 자격 증명을 노출하는 공개 GitHub 저장소를 유지하고 있었습니다. 보안 전문가들은 공개된 아카이브에 CISA가 내부적으로 소프트웨어를 구축, 테스트 및 배포하는 방법에 대한 파일이 포함되어 있으며, 이는 최근 역사상 가장 심각한 정부 데이터 유출 중 하나를 나타낸다고 말했습니다. 뉴스 기사.
CISA Security Leak schneier.com
RSS Hunter RSS Hunter 5월 22일

AI 보안에 관하여

이 보고서는 인공지능(AI) 시스템의 보안을 측정하고 보장하는 과제를 탐구합니다. 전통적인 보안 벤치마크는 AI 기능, 특히 보안과 같은 복잡한 측면을 평가하는 데 부적절합니다. 핵심 질문은 AI 영역에서 보안을 효과적으로 측정하는 방법에 대한 것입니다. 이 보고서는 지난 30년간의 소프트웨어 보안 엔지니어링의 발전에 비견합니다. 소프트웨어 보안은 침투 테스트에서 BSIMM과 같은 프로세스 중심 표준으로 발전했습니다. AI가 비즈니스에 미칠 수 있는 더 깊은 영향은 강력한 보안 조치를 필요로 합니다. 이 보고서는 소프트웨어 보안과 유사한 접근 방식이 AI에 적합할 수 있다고 제안합니다. AI 보안의 실질적인 발전은 좋은 보증 프로세스를 식별하고 적용하여 위험을 관리하는 것을 포함합니다. 이 보고서는 AI를 위한 단일 "보안 측정기"는 없으므로 경계가 중요하다고 강조합니다. 초점은 AI 관련 보안 문제에 대한 이해와 분류를 개선하는 쪽으로 이동합니다. 궁극적으로 목표는 간단한 측정 도구가 없더라도 AI 보안을 강화하는 것입니다.
On AI Security schneier.com
RSS Hunter RSS Hunter 5월 20일

로리 앤더슨이 나를 인용하고 있다

이름은 언급되지 않았지만, 로리 앤더슨은 그녀의 새 앨범 트랙 중 하나에서 나를 인용했습니다. 제가 가장 좋아하는 인용구는 암호학자가 한 말입니다. "기술이 당신의 문제를 해결해 줄 것이라고 생각한다면, 당신은 기술을 이해하지 못하는 것이고 당신의 문제도 이해하지 못하는 것입니다." 인터뷰에서도 마찬가지입니다. "물론, 말도 안 되고, 터무니없고, 블라 블라 블라," 앤더슨은 광고에 대해 말했습니다. "하지만, 제 가장 좋아하는 인용구는 암호학자가 한 말입니다. '기술이 당신의 문제를 해결해 줄 것이라고 생각한다면, 당신은 기술을 이해하지 못하는 것이고 당신의 문제도 이해하지 못하는 것입니다.' 그리고 저는 이 말에 전적으로 동의합니다."
Laurie Anderson Is Quoting Me schneier.com
RSS Hunter RSS Hunter 5월 19일

Windows BitLocker에 대한 제로데이 익스플로잇

끔찍하지만 컴퓨터에 물리적으로 접근해야 합니다. YellowKey라는 이름의 이 익스플로잇은 이번 주 초 Nightmare-Eclipse라는 별명을 가진 연구원에 의해 공개되었습니다. 이 익스플로잇은 디스크 내용을 복호화 키 없이는 접근할 수 없도록 만드는 Microsoft의 전체 볼륨 암호화 보호 기능인 BitLocker의 기본 Windows 11 배포를 안정적으로 우회합니다. 이 복호화 키는 신뢰할 수 있는 플랫폼 모듈(TPM)이라는 보안 하드웨어 조각에 저장됩니다. BitLocker는 정부와 계약하는 기관을 포함한 많은 조직에게 필수적인 보호 기능입니다...
Zero-Day Exploit Against Windows BitLocker schneier.com
RSS Hunter RSS Hunter 5월 18일

금요일 오징어 블로깅: 빅핀 오징어

대형지느러미오징어에 대한 글. 평소처럼, 이 오징어 게시물을 사용하여 제가 다루지 않은 뉴스 속 보안 이야기에 대해 이야기할 수도 있습니다. 블로그 운영 정책.
Friday Squid Blogging: Bigfin Squid schneier.com
RSS Hunter RSS Hunter 5월 16일

예정된 연설 참여

"다음은 제가 강연할 예정인 장소와 시간의 현재 목록입니다. 2026년 5월 21일 오후 6시(동부 표준시)에 뉴욕 금융 여성 협회(Financial Women’s Association of New York)가 주최하는 "AI 시대의 신뢰 보안(The Security of Trust in the Age of AI)"에 대한 온라인 강연을 합니다. 저는 독일 포츠담에 있는 하소 플래트너 연구소(Hasso Plattner Institut)에서 열리는 포츠담 국가 사이버 보안 컨퍼런스(Potsdam Conference on National Cybersecurity)에서 강연합니다. 이 행사는 2026년 6월 24일부터 25일까지 진행되며, 제 강연은 6월 24일 저녁에 있을 예정입니다. 2026년 6월 26일 화요일, 오스트리아 비엔나에서 열리는 디지털 휴머니즘 컨퍼런스(Digital Humanism Conference)에서 강연합니다. 저는 ...에서 강연합니다."
Upcoming Speaking Engagements schneier.com
RSS Hunter RSS Hunter 5월 14일

앤트로픽의 신화 AI는 얼마나 위험한가요?

지난달, Anthropic은 새로운 모델인 Claude Mythos Preview에 대해 놀라운 발표를 했습니다. 이 모델은 소프트웨어의 보안 취약점을 찾는 데 매우 뛰어나서 일반 대중에게 공개하지 않겠다고 밝혔습니다. 대신, 선별된 기업 그룹에게만 제공하여 자체 소프트웨어를 스캔하고 수정하는 데 사용하도록 할 것이라고 합니다. 이 발표는 맥락이 필요하지만, 본질적인 진실을 담고 있었습니다. Anthropic의 모델이 소프트웨어 취약점을 찾는 데 매우 뛰어나지만, 다른 모델들도 마찬가지입니다. 영국의 AI Security Institute는 이미 일반에 공개된 OpenAI의 GPT-5.5가 기능 면에서 비교할 만하다고 밝혔습니다. Aisle이라는 회사도...
How Dangerous Is Anthropic’s Mythos AI? schneier.com
RSS Hunter RSS Hunter 5월 14일

OpenAI의 GPT-5.5는 보안 취약점 탐지에 있어 Mythos만큼 뛰어나다

영국의 AI 보안 연구소는 GPT-5.5의 보안 취약점 탐지 능력을 평가했으며, 이는 Claude Mythos와 유사한 수준이라고 밝혔습니다. OpenAI 모델은 일반적으로 사용 가능하다는 점에 유의하십시오. 다음은 연구소의 Mythos 평가입니다. 그리고 더 작고 저렴한 모델에 대한 분석입니다. 프롬프터로부터 더 많은 스캐폴딩이 필요하지만, 그만큼 성능도 좋습니다.
OpenAI’s GPT-5.5 is as Good as Mythos at Finding Security Vulnerabilities schneier.com
RSS Hunter RSS Hunter 5월 13일

Copy.Fail Linux 취약점

이는 수년간 최악의 리눅스 취약점입니다. TL;DR copy.fail은 브라우저나 클립보드 공격이 아닌 리눅스 커널 로컬 권한 상승 취약점입니다. 2026년 4월 29일 Theori에 의해 공개되었으며 작동하는 PoC가 있습니다. 이것은 커널 암호화 API(AF_ALG 소켓)와 splice()를 악용하여 공격자가 소유하지 않은 파일의 페이지 캐시에 한 번에 네 바이트씩 직접 씁니다. 이 익스플로잇은 Ubuntu, RHEL, Debian, SUSE, Amazon Linux, Fedora 및 대부분의 다른 배포판에서 수정 없이 작동합니다. 경쟁 조건이나 배포판별 오프셋이 없습니다. 디스크의 파일은 수정되지 않습니다. AIDE, Tripwire 및 체크섬 기반 모니터링은 아무것도 감지하지 못합니다. ...
Copy.Fail Linux Vulnerability schneier.com
RSS Hunter RSS Hunter 5월 12일

폴리마켓 내부자 베팅

인사이더 거래가 폴리마켓에 만연해 있습니다. 비영리 연구 및 옹호 단체인 반부패 데이터 콜렉티브(Anti-Corruption Data Collective)의 분석에 따르면, 군사 및 방위 관련 시장에서 해당 플랫폼의 장기 베팅(35% 이하의 배당률로 2,500달러 이상의 베팅으로 정의됨)의 평균 승률은 약 52%였습니다. 이는 모든 정치 관련 시장의 평균 승률 25%와 플랫폼 전체 시장의 평균 승률 14%와 비교됩니다. 이것이 합법이라는 것은 정말 말도 안 됩니다. 우리는 이미 인사이더 베팅이 스포츠를 왜곡한다는 것을 알고 있습니다. 인사이더 베팅이 정치와 군사 작전을 왜곡하는 것은 그보다 훨씬 더 심각한 문제입니다...
Insider Betting on Polymarket schneier.com
RSS Hunter RSS Hunter 5월 8일

NVIDIA 칩에 대한 Rowhammer 공격

새로운 로우해머 공격으로 NVIDIA CPU를 완전히 제어할 수 있게 되었습니다. 목요일, 두 연구팀이 독립적으로 작업하여 Nvidia의 Ampere 세대 카드 두 개에 대한 공격을 시연했습니다. 이 공격은 GPU 로우해머링을 새롭고 잠재적으로 훨씬 더 중대한 영역으로 끌어들입니다. 즉, GDDR 비트플립으로 인해 공격자가 CPU 메모리를 완전히 제어할 수 있게 되어 호스트 머신의 전체 시스템이 손상될 수 있습니다. 공격이 작동하려면 IOMMU 메모리 관리가 비활성화되어 있어야 하며, 이는 BIOS 설정의 기본값입니다. "우리의 연구는 CPU에서 잘 연구된 로우해머가 GPU에서도 심각한 위협임을 보여줍니다."라고 논문 중 하나의 공동 저자인 Andrew Kwong은 말했습니다. "..."
Rowhammer Attack Against NVIDIA Chips schneier.com
RSS Hunter RSS Hunter 5월 6일

다크소드 멀웨어

DarkSword는 iOS를 겨냥한 정교한 악성코드이며, 아마도 정부에서 설계했을 가능성이 있습니다. Google 위협 인텔리전스 그룹(GTIG)은 여러 제로데이 취약점을 활용하여 기기를 완전히 장악하는 새로운 iOS 풀체인 익스플로잇을 식별했습니다. 복구된 페이로드의 도구 흔적을 바탕으로, 우리는 이 익스플로잇 체인을 DarkSword라고 부른다고 믿습니다. 최소 2025년 11월부터 GTIG는 여러 상업용 감시 업체와 의심되는 국가 지원 행위자들이 별도의 캠페인에서 DarkSword를 사용하는 것을 관찰했습니다. 이러한 위협 행위자들은 사우디아라비아, 터키, 말레이시아, 우크라이나의 타겟을 대상으로 이 익스플로잇 체인을 배포했습니다...
DarkSword Malware schneier.com
RSS Hunter RSS Hunter 5월 5일

해킹 폴리마켓

Polymarket는 사람들이 정치적 사건을 포함한 실제 사건에 내기할 수 있는 플랫폼입니다. 이러한 윤리적 고려 사항은 차치하고 (예를 들어, 암살을 조장할 수 있다는 점), 이러한 시스템이 작동하게 하는 문제 중 하나는 실제 사건의 검증입니다. Polymarket 도박꾼들은 한 기자의 기사가 사건 검증에 사용된다는 이유로 그를 협박했습니다. 그리고 이제 도박꾼들은 날씨 센서에 헤어드라이어를 사용하여 날씨 내기를 조작하고 있습니다. 내부자 거래도 있습니다. 그것도 아주 많이요.
Hacking Polymarket schneier.com
RSS Hunter RSS Hunter 5월 4일

Fast16 멀웨어

연구원들이 Fast16이라는 악성코드 조각을 역공학했습니다. 이는 거의 확실하게 국가가 후원한 것으로, 아마도 미국에서 기원했으며, Stuxnet보다 수년 전에 이란을 상대로 배포되었습니다. “…Fast16 악성코드는 실제 사용되는 악성코드 도구에서 지금까지 본 것 중 가장 미묘한 형태의 사보타주를 수행하도록 설계되었습니다. 네트워크를 통해 자동으로 확산된 후, 고정밀 수학 계산을 수행하고 물리적 현상을 시뮬레이션하는 특정 소프트웨어 애플리케이션의 계산 프로세스를 조용히 조작함으로써, Fast16은 해당 프로그램의 결과를 변경하여 잘못된 연구 결과부터 실제 장비의 치명적인 손상에 이르기까지 다양한 실패를 야기할 수 있습니다.”
Fast16 Malware schneier.com
RSS Hunter RSS Hunter 4월 30일

클로드 미토스가 파이어폭스에서 271개의 제로데이 취약점을 발견했습니다.

정말 많네요. 아니, 이건 엄청난 숫자입니다: 2월부터 파이어폭스 팀은 최첨단 AI 모델을 사용하여 브라우저의 잠재적인 보안 취약점을 찾고 수정하기 위해 밤낮으로 노력해 왔습니다. 이전에 Anthropic과의 협력을 통해 Opus 4.6으로 파이어폭스를 스캔하여 파이어폭스 148에서 22개의 보안 관련 버그를 수정했던 것에 대해 글을 쓴 적이 있습니다. Anthropic과의 지속적인 협력의 일환으로, Claude Mythos Preview의 초기 버전을 파이어폭스에 적용할 기회를 얻었습니다. 이번 주에 출시된 파이어폭스 150에는 이 초기 평가 과정에서 발견된 271개의 취약점에 대한 수정 사항이 포함되어 있습니다...
Claude Mythos Has Found 271 Zero-Days in Firefox schneier.com
RSS Hunter RSS Hunter 4월 29일

앤트로픽의 미토스가 사이버 보안의 미래에 의미하는 바

2주 전, Anthropic은 새로운 모델인 Claude Mythos Preview가 전문가의 지도 없이도 소프트웨어 취약점을 자율적으로 찾아내 무기화하고, 이를 작동하는 익스플로잇으로 만들 수 있다고 발표했습니다. 이는 수천 명의 소프트웨어 개발자들이 발견하지 못했던 운영 체제 및 인터넷 인프라와 같은 핵심 소프트웨어의 취약점이었습니다. 이러한 능력은 우리가 매일 사용하는 장치와 서비스를 위협하며 심각한 보안상의 영향을 미칠 것입니다. 결과적으로 Anthropic은 이 모델을 일반 대중에게 공개하지 않고, 대신...
What Anthropic’s Mythos Means for the Future of Cybersecurity schneier.com
RSS Hunter RSS Hunter 4월 28일

금요일 오징어 블로깅: 오징어가 멸종 사건을 어떻게 견뎌냈는지

과학 뉴스: 과학자들은 새로 시퀀싱된 게놈과 전 세계 데이터를 분석하여 오징어와 갑오징어 진화에 대한 오랜 미스터리를 마침내 풀었습니다. 이 연구는 이 기이하고 지능적인 생물들이 1억 년 이상 전에 깊은 바다에서 기원했으며, 산소가 풍부한 심해 피난처로 후퇴하여 대량 멸종 사건에서 살아남았을 가능성이 높다는 것을 밝혀냈습니다. 수백만 년 동안 그들의 진화는 거의 변하지 않았습니다. 그러다가 멸종 후 극적인 번성으로 인해 새로운 얕은 물 서식지로 이동하면서 급격한 다양화가 촉발되었습니다. ...
Friday Squid Blogging: How Squid Survived Extinction Events schneier.com
RSS Hunter RSS Hunter 4월 24일

우편물에 블루투스 추적기 숨기기

다음은 해당 문단의 한국어 번역입니다: "이것은 네덜란드 해군 함선을 추적하는 데 사용되었습니다: 네덜란드 언론인 저스트 페르바르트(Just Vervaart)는 지역 미디어 네트워크 Omroep Gelderland에서 일하며, 네덜란드 정부 웹사이트에 게시된 지침에 따라 숨겨진 추적기가 들어있는 엽서를 우편으로 보냈습니다. 이로 인해 그들은 함선이 크레테 섬 헤라클리온에서 출발하여 키프로스 방향으로 항해하는 것을 약 하루 동안 추적할 수 있었습니다. 비록 단 하나의 함선의 위치만 보여주었지만, 그것이 지중해에서 항해하는 항공모함 타격단의 일부라는 것을 알게 되면 전체 함대가 위험에 처할 수 있습니다..."
Hiding Bluetooth Trackers in Mail schneier.com
RSS Hunter RSS Hunter 4월 24일

FBI, 아이폰 알림 데이터베이스에서 삭제된 시그널 메시지 추출

404 미디어 보도 (대체 사이트): FBI는 피고인의 아이폰에서 Signal 앱이 삭제된 후에도, 기기의 푸시 알림 데이터베이스에 내용의 사본이 저장되어 있었기 때문에, 수사적으로 들어오는 Signal 메시지의 사본을 추출할 수 있었습니다... 이 소식은 누군가가 기기에 물리적으로 접근할 수 있고, 특수 소프트웨어를 실행할 수 있을 때 이루어지는 포렌식 추출이, 예상치 못한 곳에서 보안 메시징 앱에서 파생된 민감한 데이터를 얻을 수 있다는 것을 보여줍니다. Signal은 이미 푸시 알림에 메시지 내용이 표시되지 않도록 하는 설정을 가지고 있습니다. 이 사건은 왜 일부 사용자가 이러한 기능을 켜는 것이 중요할 수 있는지를 강조합니다...
FBI Extracts Deleted Signal Messages from iPhone Notification Database schneier.com
RSS Hunter RSS Hunter 4월 23일

쿠키는 서비스 제공에 도움이 됩니다. 서비스를 이용하거나 동의함을 클릭하면 쿠키 사용 에 동의하는 것으로 간주됩니다.