모의해킹 (WAPT)206 728x90 AI가 취약점 ‘스스로’ 찾고 있다, Claude 4.7과 Mythos가 바꾼 보안의 기준 Claude Opus 4.7과 Claude Mythos Preview,그리고 Project Glasswing: Anthropic이 던진 메시지Anthropic은 2026년 4월 16일, 범용 플래그십 모델 Claude Opus 4.7을 일반 공개했습니다. 이번 모델은 고난도 소프트웨어 엔지니어링과 장기 실행형 에이전틱 작업에서 이전 세대보다 더 강해졌고, 스스로 출력을 검증하는 성향과 더 높은 해상도의 비전 처리 능력을 강조합니다. 같은 시기 Anthropic은 제한 공개 연구 프리뷰인 Claude Mythos Preview에 대한 고위험 사이버 보안 분석과 함께 Project Glasswing도 공개했습니다. 이 세 가지 발표를 함께 보면, Anthropic이 단순히 “더 똑똑한 모델”을 내놓은 것이 .. 2026. 4. 17. Trivy 공급망 침해와 LiteLLM·KICS 확산 연쇄 공격이 퍼지는 방식 사건 개요 (Executive Summary)이번 사건은 단순 취약점이 아니라 CI/CD 및 개발 생태계를 노린 “공급망 연쇄 공격”입니다.시작점: Trivy (취약점 스캐너) 배포 경로 침해확산LiteLLM (Python 패키지)Checkmarx KICS (IaC 스캐너, GitHub Action, VSCode 플러그인)공격 방식악성 코드가 정상 패키지/이미지/Action으로 위장설치 즉시 자격증명 탈취 + 지속성 확보결과CI/CD 환경 전체 탈취 가능수십만 시스템의 API Key / 클라우드 계정 / SSH 키 노출 가능성“보안 도구를 신뢰하는 구조 자체를 공격”공격 흐름 (Kill Chain)[1] Trivy 공급망 침해 ↓[2] GitHub Action / Docker 이미지 / 바이너리 .. 2026. 4. 3. AI Agent 시대의 새로운 위협: Bedrock 공격 벡터 8가지와 방어 가이드 AWS Bedrock에서 발견된 8가지 AI 공격 벡터 분석(AI Agent / Code Interpreter 기반 공격 모델)왜 Bedrock이 공격 표면이 되는가?AWS Bedrock Agent + Code Interpreter 구조는 다음 특징을 가짐LLM이 코드를 생성 → 실행실행 환경은 Sandbox (격리 환경)IAM Role 기반으로 AWS 리소스 접근즉, 단순 AI가 아니라 “코드를 실행하는 자동화된 클라우드 사용자”로 동작핵심 문제LLM 입력 → 코드 생성 → 실제 실행잘못된 입력 = 실행 가능한 공격 코드기존 웹 취약점 + AI 특성 결합된 신종 공격 표면8가지 공격 벡터 (핵심 구조별 정리)Prompt Injection (입력 기반 코드 오염)개념AI가 처리하는 데이터(예: CSV, .. 2026. 3. 24. 엔터프라이즈 LLM 보안: 프롬프트 인젝션 및 에이전트 오남용 ‘탐지·보호’ “LLM 보안”을 일반 AppSec처럼 만들기엔터프라이즈에서 LLM 보안을 현실적으로 운영하려면, LLM을 “특수한 AI”로 보기보다 (1) 입력-처리-출력 파이프라인을 가진 애플리케이션으로 보고,예방(Prevent): 설계/권한/데이터 경계탐지(Detect): 입력·출력·행위·세션 단위 탐지대응(Respond): 차단·격리·증거수집·재발방지검증(Validate): 레드팀/모의해킹을 CI/CD로 “상시화”이 네 축을 계층별 통제(Defense-in-Depth)로 배치하는 게 핵심입니다. OWASP는 LLM01(프롬프트 인젝션)을 최상단 리스크로 두고, “지시(instruction)와 데이터(data)가 섞이는 구조” 자체가 취약점의 뿌리라고 정리합니다.NIST AI 600-1(생성형 AI 프로파일)은 “.. 2026. 2. 23. LLM·생성형 AI 환경을 위한 자동 침투 테스트(Auto PenTest)와 거버넌스 AI 기반 자동 침투 테스트란 무엇인가취약점 스캐너(VA)가 “취약점 후보를 찾아 목록화”하는 데 중심이 있다면,침투 테스트(PT)는 “그 취약점이 실제로 악용 가능한지(Exploitability) + 악용 시 어디까지 확장되는지(공격 경로/권한상승/내부확장) + 실제 영향(데이터 접근/업무 영향)”을 검증합니다.AI 자동 펜테스트는 이 PT 흐름을 에이전트(목표 기반 계획/실행) + 도구 오케스트레이션(스캔/검증/증거 수집) + 지식(룰/그래프/히스토리)로 엮어 사람 개입을 크게 줄이고 반복 실행 가능한 “지속 검증(continuous validation)” 형태로 확장합니다.왜 ‘스캐너 이상’인가?스캐너는 흔히 “발견(Discovery)” 단계에 강하고,자동 펜테스트는 “검증(Validation)” .. 2026. 1. 28. 이전 1 2 3 4 ··· 42 다음 728x90 728x90
