안녕하세요,그로메트릭 입니다. 🐸 최근 AI를 활용해 취약점 탐지 및 악용 속도를 극단적으로 앞당기는 '미토스(Mythos) 시대'가 도래하면서, 소프트웨어 공급망의 핵심인 리포지토리(Repository)를 향한 공격이 그 어느 때보다 거세지고 있습니다.단순히 오래된 시스템을 유지하는 것을 넘어, 최근 구버전 Sonatype Nexus Repository에서는 원격 코드 실행(CVSS 9.4) 및 하드코딩된 자격 증명 노출(CVSS 9.2)과 같은 치명적인 취약점들이 연이어 보고되었습니다. 이는 공격자에게 개발 환경의 자격 증명, 빌드 아티팩트, 배포 권한 등 가장 민감한 정보로 향하는 프리패스를 쥐여주는 것과 같습니다.과거의 레거시 아키텍처(OrientDB 등)와 구버전 OSS 인프라에 머물러 있는 ..

안녕하세요,그로메트릭 입니다. 🐸 최근 소프트웨어 개발 영역에서 인공지능(AI)의 역할은 개발자의 코드 작성을 돕는 단순한 '보조 도구’' 수준을 넘어섰습니다. 이제 AI는 스스로 시스템의 숨겨진 보안 취약점을 찾아내고, 심지어 이를 악용하는 복잡한 해킹 공격까지 자율적으로 수행할 수 있는 임계점을 돌파했습니다.이러한 거대한 패러다임 전환의 중심이자, 현재 전 세계 사이버 보안 생태계에 전례 없는 충격을 안겨주고 있는 주인공은 바로 앤스로픽(Anthropic)이 4월 새롭게 발표한 최신 대형 언어 모델, '클로드 미토스 프리뷰(Claude Mythos Preview)'입니다.보안의 판도를 바꾼, Claude Mythos 의 등장미토스는 인간의 개입 없이도 현존하는 모든 주요 운영체제(OS)와 웹 브라우..

안녕하세요,그로메트릭 입니다. 🐸 최근 AI 연구 및 개발 현장에서 필수적인 프레임워크로 자리 잡은 PyTorch Lightning을 사칭한 악성 패키지들이 PyPI 리포지토리에서 잇달아 발견되었습니다.글로벌 보안 파트너 Sonatype의 긴급 분석에 따르면, 공격자들은 개발자들이 흔히 저지르는 오타(Typosquatting)를 악용하여 정상적인 패키지인 것처럼 위장한 뒤 시스템 정보를 탈취하는 악성 코드를 유포했습니다. 이번 사고는 단순히 하나의 패키지 침해를 넘어, AI 개발 환경 자체가 공급망 공격의 핵심 타겟이 되고 있음을 극명하게 보여줍니다. 특히 AI 모델 개발 프로세스에서는 수많은 외부 라이브러리에 대한 의존성이 높기 때문에, 사람이 직접 패키지 하나하나를 검증하는 것에는 한계가 따를 수밖..

안녕하세요,그로메트릭 입니다. 🐸 지난 4월 14일 Sonatype이 발표한 '2026년 1분기 오픈소스 악성코드 지수(Q1 2026 Open Source Malware Index)'에 따르면, 전 세계적으로 누적된 악성 패키지는 이제 134만 개를 넘어섰습니다. 특히 이번 1분기에만 21,764개의 새로운 악성 패키지가 발견되었으며, 이는 전년 동기 대비 21% 증가한 수치입니다.가장 경계해야 할 점은 이런 공급망 공격이 고도화 되었다는 점입니다. 발견된 악성 코드 중 75%가 npm 생태계에 집중되어 있으며, 단순히 코드를 심는 것을 넘어 기밀 탈취(19%)와 호스트 정보 유출(22%)을 목적으로 하는 '트로이목마'형 공격이 주를 이루고 있습니다. 특히 axios 침해 사고나 Trivy 하이재킹 사..

붉은 말의 기운이 가득했던 병오년의 2월은 유독 쉴 틈 없이 빠르게 지나간 것 같습니다.소중한 분들과 함께한 설 명절은 모두 따뜻하게 보내셨나요.한걸음 가까이 다가온 봄바람 따라서 저희 그로메트릭도 한 계단 도약할 준비를 마쳤습니다! 유난히 짧게 느껴졌던 이번 달, 우리 그로메트릭에는 어떤 다채로운 이야기들이 쌓였을까요?그로메트릭의 생생한 소식과 인사이트를 놓치지 않도록 네이버 블로그 구독과 팔로우 잊지 마세요!그럼, 2월의 주요 소식들을 지금 바로 소개해 드립니다. 당신이 몰랐던 Https 자물쇠의 5가지 비밀 -4 : ServerAuth와 ClientAuth의 분리https://m.blog.naver.com/grometric/224171323601 당신이 몰랐던 Https 자물쇠의 5가지 비밀 -4..

2026년 병오년의 시작을 알린 첫 번째 그로밋업!여러분의 뜨거운 성원 덕분에 100석 매진이라는 놀라운 기록을 세웠습니다. 🎉최근 급증하는 '오픈소스 공급망 위협'부터, AI 개발의 핵심인 'Hugging Face' 보안까지.현업의 고민이 깊은 만큼 현장의 열기도 그 어느 때보다 대단했는데요.이 뜨거웠던 현장이 IT 전문 매체 주요 기사로도 소개되었습니다! 📰 아쉽게 참석하지 못한 분들을 위해, 언론이 주목한 핵심 인사이트를 블로그에 꾹꾹 눌러 담았으니지금 바로 그로메트릭 네이버 블로그에서 확인해 보세요.[아이티데일리 보도]http://www.itdaily.kr/news/articleView.html?idxno=237613 그로메트릭, AI 오픈소스 취약점 및 공급망 공격 대응 전략 제시 - 아이..

그로메트릭 네이버 블로그에 IT기술보안 관련 주요 소식들이 올라왔습니다.25년도 12월 마지막까지 안전하게 프로젝트를 관리하실 수 있도록 네이버 블로그를 구독해보시는 것은 어떨까요? [긴급 보안 이슈] 주요 npm 패키지 490여 개 감염! 'Shai-Hulud 2.0' 공급망 공격 분석 및 대응 당신이 몰랐던 HTTPS 자물쇠의 5가지 비밀 -1

그로메트릭 네이버 블로그에서 자세한 내용을 참고하세요!https://m.blog.naver.com/grometric/224001485214 [긴급공지] npm Chalk 및 Debug 패키지가 소프트웨어 공급망 공격에 노출됨안녕하세요 그로메트릭 입니다. 🐸 npm 공급망 공격 사건에 대하여 sonatype 보안 연구팀이 제공한 블로...blog.naver.com 연관 시리즈 글이 궁금하시다면 아래 그로메트릭 네이버 블로그를 참고하세요!내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요? 내 프로젝트의 npm 패키지, 정말 안심하고 사용하시나요?안녕하세요 그로메트릭 입니다. 🐸 최근 개발자 커뮤니티가 chalk, debug 등 유명 npm 패키지를 겨냥한 ...blog.naver.com [sona..

아래 링크로 그로메트릭 네이버 블로그를 방문해매주 IT 인사이트를 얻으세요! [sonatype 블로그 발췌] npm Chalk 및 Debug 패키지가 소프트웨어 공급망 공격에 노출됨https://m.blog.naver.com/grometric/224001485214 [긴급공지] npm Chalk 및 Debug 패키지가 소프트웨어 공급망 공격에 노출됨안녕하세요 그로메트릭 입니다. 🐸 npm 공급망 공격 사건에 대하여 sonatype 보안 연구팀이 제공한 블로...blog.naver.com npm 공급망 공격 사건 정리: 패키지 악성 코드 삽입https://m.blog.naver.com/grometric/224001430811 npm 공급망 공격 사건 정리: 패키지 악성 코드 삽입안녕하세요 그로메트릭 입니..

더보기그로메트릭 네이버 블로그 바로가기!https://m.blog.naver.com/grometric/223976714985 안녕하세요그로메트릭 입니다. 🐸​그로메트릭 x 맨텍솔루션 콜라보! 지난 8월 19일, 저희 그로메트릭은 클라우드 네이티브 전문 기업 맨텍솔루션과 함께 특별한 온라인 웨비나를 진행했습니다.'클라우드 네이티브 환경에서 완벽한 DevSecOps 구현하기' 라는 주제로 진행된 이번 웨비나는, 글로벌 No.1 소프트웨어 공급망 보안 솔루션 'Sonatype'과 컨테이너 통합 관리 플랫폼 '아코디언'이 만나 어떻게 강력한 시너지를 만들어내는지 직접 보여드리는 뜻깊은 자리였습니다.바쁘게 진행된 웨비나의 핵심만 쏙쏙 뽑아 여러분께 소개해 드립니다! 🙋‍♀️ Sonatype x 아코디언, 왜..