안녕하세요,그로메트릭 입니다. 🐸 오늘은 오픈소스 생태계의 신뢰 구조 자체를 노린 새로운 공급망 공격 사례를 소개합니다. 지난 6월 11일, 소나타입(Sonatype) 보안 연구팀은 Arch Linux 사용자 저장소(AUR)에서 방치된 패키지를 탈취해 npm 악성 패키지를 설치시키는 신종 캠페인 Atomic Arch를 발견했습니다. 공격자는 관리자가 손을 놓은 오픈소스 패키지의 소유권을 넘겨받은 뒤, 빌드 스크립트(PKGBUILD)에 설치 후 스크립트를 추가해 npm 패키지 atomic-lockfile을 자동으로 내려받도록 조작했습니다.문제는 이 패키지 안에 들어 있던 페이로드입니다. 분석 결과 자격 증명 탈취, 은닉, 디버깅 방지, 데이터 유출 기능을 갖춘 리눅스 실행 파일이 함께 설치되는 것으로 확..

안녕하세요,그로메트릭 입니다. 🐸 오픈소스 생태계를 겨냥한 대규모 공급망 공격이 다시 돌아왔습니다. 'Shai-Hulud Miasma'로 명명된 이번 캠페인은 npm 패키지 생태계 전반에 300개가 넘는 악성 패키지 버전을 유포하며, 개발자 환경과 CI/CD 파이프라인을 침투 경로로 삼아 자격 증명을 탈취하고 스스로 퍼져나가는 웜(worm) 형태의 공급망 공격입니다. 이번 변종이 특히 주목받는 이유는 기존 탐지 방식을 교묘히 우회했기 때문입니다. 대부분의 보안 가이드라인은 package.json의 preinstall·postinstall 스크립트를 검사하는 방식에 초점을 맞춰왔습니다. 그러나 이번 공격은 native Node.js 모듈 빌드에 정상적으로 사용되는 binding.gyp 파일을 악용해, n..

안녕하세요그로메트릭 입니다. 🐸​지금까지 3편의 연재를 통해 우리는 클라우드 요금 폭탄을 피해 N100 미니 PC로 '방구석 서버실'을 구축하고(1편), 그 위에 프라이빗 AI를 올려 Tailscale로 안전하게 연결하며(2편), 무분별한 포트 포워딩 대신 '제로 트러스트(Zero Trust)' 기반의 인바운드 제로 환경을 완성하는 법(3편)을 단계별로 살펴보았습니다.아마 이 글을 읽고 실제로 홈랩(Home Lab)을 구축해 보신 분들이라면, 내 손으로 직접 IP를 할당하고 방화벽 규칙을 깎아가며 인프라를 통제하는 과정에서 짜릿한 성취감을 느끼셨을 겁니다.그렇다면 이제 한 가지 근본적인 질문이 남습니다. "이제 퍼블릭 클라우드(AWS, GCP, Azure)는 더 이상 배울 필요가 없는 걸까요?" 시리즈..

안녕하세요,그로메트릭 입니다. 🐸 최근 소프트웨어 개발 영역에서 인공지능(AI)의 역할은 개발자의 코드 작성을 돕는 단순한 '보조 도구’' 수준을 넘어섰습니다. 이제 AI는 스스로 시스템의 숨겨진 보안 취약점을 찾아내고, 심지어 이를 악용하는 복잡한 해킹 공격까지 자율적으로 수행할 수 있는 임계점을 돌파했습니다.이러한 거대한 패러다임 전환의 중심이자, 현재 전 세계 사이버 보안 생태계에 전례 없는 충격을 안겨주고 있는 주인공은 바로 앤스로픽(Anthropic)이 4월 새롭게 발표한 최신 대형 언어 모델, '클로드 미토스 프리뷰(Claude Mythos Preview)'입니다.보안의 판도를 바꾼, Claude Mythos 의 등장미토스는 인간의 개입 없이도 현존하는 모든 주요 운영체제(OS)와 웹 브라우..

안녕하세요그로메트릭 입니다. 🐸​지난 2편에서는 값비싼 퍼블릭 클라우드 API 대신, 개인용 미니 PC에 로컬 LLM을 올려 '나만의 프라이빗 AI'를 구축하는 방법과 Tailscale을 활용한 혁신적인 원격 접속 환경을 살펴보았습니다. 이제 막 홈랩(Home Lab)을 구축한 개발자라면, 내가 만든 서비스가 외부 인터넷 환경에서도 매끄럽게 동작하는 것을 보며 큰 성취감을 느끼고 계실 것입니다.하지만 인프라를 외부와 연결하는 순간, 우리는 가장 중요하고도 치명적인 관문에 직면하게 됩니다. 바로 '보안'입니다."개인 토이 프로젝트용 서버인데, 해커가 굳이 내 방구석 PC를 털어가겠어?"라고 생각하기 쉽습니다. 그러나 자동화된 해킹 툴이 지배하는 2026년의 인터넷 환경에서는 가장 위험하고 안일한 착각입니..

안녕하세요그로메트릭 입니다. 🐸​매달 통장에서 빠져나가는 클라우드 구독료 영수증을 볼 때마다 "이게 정말 최선일까?"라는 의문이 들지 않으신가요?무한한 자유를 약속했던 클라우드가 어느새 예측 불가능한 '비용의 늪'이 되어버린 지금, 2026년의 많은 엔지니어와 스마트 유저들은 다시금 자신의 책상 위 '로컬 인프라'에 주목하고 있습니다. 지난 1편에서는 클라우드 요금 폭탄에 지친 개발자들이 N100과 같은 고효율 미니 PC를 활용해 '나만의 방구석 서버실(Home Lab)'을 구축하는 트렌드를 살펴보았습니다. 값비싼 클라우드 대여 비용 대신 하드웨어를 직접 소유함으로써 얻는 경제적 이점과 학습 효과는 주니어 엔지니어들에게 엄청난 무기가 되고 있죠.그렇다면 이렇게 구축한 나만의 서버에 어떤 서비스를 가장 ..

안녕하세요,그로메트릭 입니다. 🐸 최근 AI 연구 및 개발 현장에서 필수적인 프레임워크로 자리 잡은 PyTorch Lightning을 사칭한 악성 패키지들이 PyPI 리포지토리에서 잇달아 발견되었습니다.글로벌 보안 파트너 Sonatype의 긴급 분석에 따르면, 공격자들은 개발자들이 흔히 저지르는 오타(Typosquatting)를 악용하여 정상적인 패키지인 것처럼 위장한 뒤 시스템 정보를 탈취하는 악성 코드를 유포했습니다. 이번 사고는 단순히 하나의 패키지 침해를 넘어, AI 개발 환경 자체가 공급망 공격의 핵심 타겟이 되고 있음을 극명하게 보여줍니다. 특히 AI 모델 개발 프로세스에서는 수많은 외부 라이브러리에 대한 의존성이 높기 때문에, 사람이 직접 패키지 하나하나를 검증하는 것에는 한계가 따를 수밖..

안녕하세요,그로메트릭 입니다. 🐸 개발을 처음 배우거나 토이 프로젝트를 시작할 때, 우리는 자연스럽게 "일단 AWS EC2 인스턴스 하나 띄우지 뭐"라고 생각하곤 합니다. 지난 10여 년간 '클라우드 퍼스트(Cloud-First)'는 IT 업계의 절대적인 진리였으니까요.하지만 다음 달 신용카드 명세서에 찍힌 '예상치 못한 클라우드 요금 폭탄'을 마주한 경험, 개발자라면 한 번쯤 있으실 겁니다. 깜빡하고 켜둔 RDS 데이터베이스나 NAT Gateway 때문에 10만 원이 훌쩍 넘는 비용을 지불하고 나면 깊은 현타가 찾아오죠.이러한 비용의 역설은 비단 개인 학습자만의 문제가 아닙니다. 최근 IT 업계 전반에 걸쳐 퍼블릭 클라우드에서 벗어나 자신만의 물리적 인프라로 회귀하는 '탈 클라우드(Cloud Repa..

안녕하세요,그로메트릭 입니다. 🐸 지난 4월 14일 Sonatype이 발표한 '2026년 1분기 오픈소스 악성코드 지수(Q1 2026 Open Source Malware Index)'에 따르면, 전 세계적으로 누적된 악성 패키지는 이제 134만 개를 넘어섰습니다. 특히 이번 1분기에만 21,764개의 새로운 악성 패키지가 발견되었으며, 이는 전년 동기 대비 21% 증가한 수치입니다.가장 경계해야 할 점은 이런 공급망 공격이 고도화 되었다는 점입니다. 발견된 악성 코드 중 75%가 npm 생태계에 집중되어 있으며, 단순히 코드를 심는 것을 넘어 기밀 탈취(19%)와 호스트 정보 유출(22%)을 목적으로 하는 '트로이목마'형 공격이 주를 이루고 있습니다. 특히 axios 침해 사고나 Trivy 하이재킹 사..

붉은 말의 기운이 가득했던 병오년의 2월은 유독 쉴 틈 없이 빠르게 지나간 것 같습니다.소중한 분들과 함께한 설 명절은 모두 따뜻하게 보내셨나요.한걸음 가까이 다가온 봄바람 따라서 저희 그로메트릭도 한 계단 도약할 준비를 마쳤습니다! 유난히 짧게 느껴졌던 이번 달, 우리 그로메트릭에는 어떤 다채로운 이야기들이 쌓였을까요?그로메트릭의 생생한 소식과 인사이트를 놓치지 않도록 네이버 블로그 구독과 팔로우 잊지 마세요!그럼, 2월의 주요 소식들을 지금 바로 소개해 드립니다. 당신이 몰랐던 Https 자물쇠의 5가지 비밀 -4 : ServerAuth와 ClientAuth의 분리https://m.blog.naver.com/grometric/224171323601 당신이 몰랐던 Https 자물쇠의 5가지 비밀 -4..