보안 연구원이 핀테크 기업의 모바일 API를 테스트하던 중 URL 끝에 슬래시(/) 하나를 추가해 AWS API Gateway의 인증을 우회할 수 있는 취약점을 발견했습니다. AWS HTTP API의 탐욕적 경로 매칭(Greedy path matching) 과정에서 경로 재작성(Path rewrite) 시 인증 컨텍스트가 소실되는 설계적 모순이 원인으로, 이를 통해 계좌 정보 탈취 및 무단 이체까지 가능했습니다. 해당 기업은 다음 날 REST API로 전환하고 백엔드에 userId 검증 로직을 추가하여 문제를 신속히 해결했으며, 연구원은 1만 2천 달러의 포상금을 받았습니다.
프랑스 파리의 한 공항에서 외부에 무방비로 노출된 온도 센서에 헤어드라이기를 사용해 온도를 조작하고, 이를 이용해 예측 시장 플랫폼인 폴리마켓(Polymarket)에서 약 34,000달러의 부당 이득을 챙긴 사건이 발생했습니다. 이 사건은 실제 세계의 물리적 데이터에 의존하는 예측 시장이 얼마나 쉽게 해킹이나 조작에 노출될 수 있는지를 적나라하게 보여줍니다. 또한 전쟁이나 핵무기 같은 민감한 현실 이벤트에 돈을 거는 것이 가진 근본적인 위험성과 플랫폼의 규제 필요성을 제기하는 중요한 계기가 되었습니다.
최근 공개된 리눅스 커널 취약점(CVE-2026-31431, CopyFail)은 시스템 권한을 루트(root)로 완전히 상승시킬 수 있는 매우 심각한 보안 이슈입니다. 문제는 이 심각한 취약점이 주요 리눅스 배포판 개발자들에게 사전에 통지되지 않아, 구형 장기 지원(LTS) 커널에 대한 보안 패치가 지연되고 있다는 점입니다. 당장 패치를 적용하기 어려운 배포판들은 취약한 암호화 모듈을 비활성화하는 임시 방편을 사용하고 있습니다.
이번 주 팟캐스트에서는 테크크런치(techCrunch) 기자 로렌조 프란체스키-비키에라이(Lorenzo Franceschi-Bicchierai)와 함께 최근 사이버보안 업계를 뒤흔든 대형 사건을 다룹니다. 오직 '선한' 정부 기관에만 판매해야 할 악성코드 업체 '트렌찬트(Trenchant)'의 직원이 해킹 도구를 러시아 기업에 몰래 판매한 사건으로, 이 도구들은 러시아 정부와 중국 범죄자들에게까지 확산되며 막대한 보안 위협을 초래했습니다.
보안 업체 Eclypsium은 관리자가 원격으로 서버에 접속할 때 사용하는 저렴한 IP KVM 기기 4개 제품군에서 총 9개의 취약점을 발견했습니다. 공격자가 이를 악용하면 인증 없이 시스템 제어 권한을 획득하고, OS가 로딩되기 전 레벨(BIOS/UEFI)에서 네트워크를 통째로 장악할 수 있어 기업 보안에 큰 위협이 됩니다.