엘에스웨어 아카이브

TeamPCP 사태로 본 오픈소스 공급망 위협과 실전 방어 전략 by. 엘에스웨어 오픈소스사업본부

2026년 상반기, GitHub 내부 저장소 3,800여 개 유출, 유럽 집행위원회 클라우드 침해, Meta의 AI 파트너사 협력 중단, 시스코 소스코드 탈취, 1,000개 이상 SaaS 환경 피해 — 이 모든 사건의 중심에 하나의 해킹 그룹이 있습니다. TeamPCP. 이들은 개별 서버를 직접 공략하기보다, 전 세계 개발자들이 신뢰하는 오픈소스 도구와 공식 릴리스 경로 자체를 무기로 전환하는 방식을 택했습니다. 보안 스캐너, AI 프레임워크, VS Code 확장 프로그램 등 "정상적으로 보이는 배포물"이 그 매개체가 되었습니다.1. 왜 오픈소스 공급망이 위험한가현대 소프트웨어의 오픈소스 활용률은 90%를 상회합니다. npm, PyPI, Maven 등 외부 패키지를 조립하는 방식은 개발 속도를 높이지만,..

미토스 와 보안 최근 AI 보안 뉴스를 보다가 미토스 쇼크라는 말을 자주 보게 됐다. 처음에는 또 새로운 AI 모델이 나왔나 보다 하고 넘기려고 했다. 그런데 내용을 보니 단순한 챗봇 이야기가 아니었다. 앤트로픽이 만든 Claude Mythos라는 AI가 소프트웨어 취약점을 찾아낼 수 있고, 심지어 오래된 보안 버그까지 발견했다는 내용이다.미토스가 27년 묵은 OpenBSD 취약점과 애플 맥OS 취약점을 찾았다는 뉴스가 나왔다. OpenBSD는 보안이 강한 운영체제로 알려져 있는데, 그런 곳에서도 오래된 버그를 찾았다는 점 때문에 관심을 받은 것 같다. 맥OS의 경우 공격이 전적으로 미토스에 의해 이뤄진 것은 아니고 미국보안업체 캘리프 내 보안 전문가들의 역량을 함께 활용했다. 처음 이 내용을 보면 "..

최근 거대 언어 모델(LLM)과 고도화된 AI 시스템이 산업 전반에 도입되면서, 방대한 크기의 모델을 효율적으로 운영하기 위한 '모델 경량화' 기술이 주목받고 있습니다. 그중에서도 지식 증류(Knowledge Distillation)는 무거운 AI 모델의 성능을 유지하면서 크기를 줄이는 핵심 기술로 자리 잡았습니다. 하지만 이러한 혁신적인 기술이 기업의 핵심 자산인 'AI 모델'을 탈취하는 데 악용될 수 있다는 사실을 아시나요? 이번 아티클에서는 지식증류의 기본 개념과 올바른 활용법을 짚어보고, 이를 악용한 보안 위협(공격)과 엘에스웨어의 관점에서 바라본 대응 방안까지 심도 있게 다루어 보겠습니다. 1. 지식 증류 기술이란? 지식 증류 기술은 크고 복잡한 모델(Teacher Model, 교사 모델)..

N2SF·제로트러스트·AI 코딩 에이전트가 만난 2026년, 보안 담당자가 답해야 할 단 하나의 질문 한국 보안의 좌표가 바뀌었다 2026년 5월, 국가정보원이 19년간 유지해온 획일적 망분리 정책을 사실상 폐지하고 국가 망 보안체계(N2SF)를 본격 가동한다. 데이터 중요도(C/S/O)에 따른 차등 보안 시대의 개막이다. 같은 시기 한국의 개발 현장은 클로드 코드·커서·코파일럿 같은 AI 코딩 에이전트로 빠르게 재편되고 있다. 단순 자동완성을 넘어 에이전트가 스스로 패키지를 설치하고 빌드를 실행하는 단계다. 그리고 그 위에 제로트러스트가 새로운 보안 패러다임으로 자리 잡았다.세 변화는 하나로 수렴한다. “경계는 사라지고, 검증만 남았다.” 그런데 무엇을 검증할 것인가? 사용자 신원·디바이스·트래픽은 ..

AI 개발 패러다임의 진화: Prompt → context → Harness Engineering. 저는 C/C++로 일하는, 말하자면 전형적인 레거시 쪽 프로그래머입니다. 트렌드를 넓게 쫓아가는 편도 아니고, 기술 블로그 요청이 와서 한참 고민하다가, 요즘 제가 겪는 개발 적응기 정도를 솔직히 옮겨 적어 보려고 합니다. 다 제가 느낀 것이고, 제가 아는 범위에서 쓰는 글이라 내용이 빗나갈 수 있다는 점만 미리 말씀드립니다.회사에서 ChatGPT를 권장했을 때의 감정은 대략 이렇습니다. 처음엔 “오, 이런 것도 다 알려주네”였다가, 곧 “왜 자꾸 엉뚱한 소리를 하지”로 바뀌었습니다. 저는 그때 프롬프트 연구에 깊게 매달리기보다는, 엉뚱한 답이 나오면 제가 끼어들어 고치는 쪽에 가까웠습니다. 대신 주변에서..

3월 23일부터 26일까지 미국 샌프란시스코 모스콘 센터(Moscone Center)에서 세계 최대 사이버보안 컨퍼런스인 RSAC 2026이 개최되었습니다. 올해 행사는 'Power of Community'라는 핵심 주제 아래 진행되었으며, 저희는 보안 업체의 관점에서 현장을 참관하며, 취약점 진단, 서버보안, SBOM(소프트웨어 자재명세서), 그리고 AI 기술이 보안 업계를 어떻게 바꾸고 있는지를 살펴보았습니다. 이번 포스팅에서는 현장에서 확인한 핵심변화와 우리에게 던지는 시사점에 대해서 공유합니다. 1. 모든 보안 솔루션에 AI가 들어오다 한 문장으로 요약하면, 올해 RSAC의 핵심 메시지는 "보안에서 AI는 더 이상 선택이 아니라 기본"이라는 것입니다. 전시장에 참여한 600개 이상의 부스 중 AI..

개발자 역할별 생성형 AI 개발 활용 전략개요: 본 문서는 다양한 생성형 AI 도구를 활용한 개발 시, 주니어 개발자와 시니어 개발자가 취해야 할 역할과 접근 방식의 차이를 정의합니다. "무엇을 만들어줘" 식의 단순 요청이 아닌, 기획-설계-구현-테스트의 전체 소프트웨어 생명 수명 주기 내에서 AI를 효과적으로 활용하여 재작업을 최소화하고 품질을 극대화하는 것을 목표로 합니다.1. 도입: 생성형 AI 개발의 현주소와 문제점최근 개발팀 내에서 생성형 AI 도구의 활용도가 높아지고 있습니다. 그러나 단순히 "이 기능을 구현해줘"라는 식의 추상적인 프롬프트에 의존하는 경향이 관찰됩니다. 이러한 '선 구현, 후 검토' 방식은 다음과 같은 심각한 부작용을 초래하고 있습니다.설계 부재로 인한 전면 수정: 초기 구조..

2026 OSSRA 리포트 :: AI 시대의 소프트웨어 거버넌스Black Duck Blog 생성형 AI는 소프트웨어가 구축되는 방식을 근본적으로 변화시켰습니다. Cursor, Windsurf, GitHub Copilot과 같은 AI 코딩 어시스턴트는 불과 18개월 만에 단순한 실험적 도구에서 필수적인 인프라로 진화했습니다. 이는 개발 속도를 전례 없는 수준으로 가속화했으나, 그 대가는 가혹했습니다. 소프트웨어가 생성되는 속도가 조직이 이를 보안 처리할 수 있는 속도를 앞지르고 있습니다.블랙덕은 오픈소스 소프트웨어의 현황을 다룬 업계의 결정판인 2026 오픈소스 보안 및 리스크 분석(OSSRA) 리포트를 발표했습니다. 17개 산업 분야의 947개 상업용 코드베이스를 분석한 올해의 결과는 소프트웨어 진화의..

1. ‘SBOM’ 기반의 SW 공급망 관리가 필요한 이유 AI 기반 개발, DevOps 자동화, 클라우드 네이티브 아키텍처가 일반화되면서 현대 소프트웨어의 70~90%는 오픈소스 컴포넌트로 구성된다. 문제는 “우리가 작성하지 않은 코드”가 서비스의 보안·법적 리스크를 좌우한다는 점이다. 2025년 Black Duck OSSRA 리포트 기준, 전 세계 엔터프라이즈 코드베이스의 86%에서 오픈소스 취약점이 발견되었으며, 이는 더 이상 선택이 아닌 필수 관리 영역임을 의미한다. 공급망 리스크는 대표적으로 다음 세 가지 축에서 발생한다.CVE 기반 보안 취약점 노출라이선스 컴플라이언스 위반서버·운영환경의 패키지 취약점 방치이 세 가지를 개별적으로 대응하는 방식은 한계가 있다. 이제는 SBOM 기반의 통합 거버넌..

보안취약점 진단분야는 보안에 있어서는 오래된 이야기 같지만 여전히 현재 진행형입니다. 국내 정보보호 분야 초창기부터 지금까지 꾸준히 진화해 왔지만, 최근 보안 위협의 수준이 달라지면서 우리의 접근법도 업그레이드가 필요한 시점입니다.전통적으로 IT 부서는 서버, 네트워크 장비, PC 같은 물리적 장비를 '자산으로 관리해 왔습니다. 재무 관점에서는 합리적이지만, 보안 관점에서는 충분하지 않다고 생각합니다.2025년 CISA KEV 분석 결과를 보면, VPN과 이메일 게이트웨이가 랜섬웨어 공격의 68%와 연관되어 있었습니다. 흥미로운 건, 이 취약점 대부분이 하드웨어 자체의 문제가 아니라 소프트웨어 구성, 관리 인터페이스 노출, 인증 설정 등의 허점에서 시작되었다는 겁니다. 이제는 전통적 IT자산 개념을 넘어..