보안 (4) 썸네일형 리스트형 에이전트가 강력해질수록 공격 표면도 커집니다 - 프롬프트 인젝션에 대하여 지난 1월, Anthropic이 Claude Cowork를 출시했습니다.파일을 자율적으로 분석하고 정리하는 데스크탑 에이전트입니다. 출시 4일 만에 월 20달러 Pro 플랜 전체로 확대됐습니다. 사용자들의 반응은 좋았습니다. 한 개발자는 자신의 사이트에 있는 46개의 미발행 초안을 몇 분 만에 44번의 웹 검색으로 분석했다고 공유했습니다. 사람이 했다면 오후 내내 걸렸을 작업이었습니다.출시 48시간 후, 보안 연구팀 PromptArmor가 취약점을 공개했습니다. 공격 방식은 단순합니다.공격자가 악성 명령을 숨긴 문서를 하나 만듭니다. 흰 배경에 흰 글씨, 0.1pt 줄 간격. 육안으로는 보이지 않습니다. 이 문서를 사용자가 Cowork에 연결된 폴더에 넣습니다. Cowork가 파일을 분석하는 순간, 숨겨.. AI가 버그를 찾는 시대 - Claude의 Firefox 취약점 발견이 의미하는 것 보안 연구자가 수십 년간 검토해온 코드베이스에서 AI가 20분 만에 심각한 취약점을 발견했습니다.Anthropic과 Mozilla의 협업 이야기입니다. Claude Opus 4.6은 2주 동안 Firefox 코드베이스를 분석해 22개의 CVE를 발견했고,그 중 14개는 high-severity로 분류됐습니다.이 수치는 2025년 한 해 동안 Firefox에서 패치된 high-severity 취약점의 약 5분의 1에 해당합니다. Firefox는 수억 명이 매일 사용하는 브라우저입니다.수십 년간 보안 연구자들이 검토해왔고, 지속적인 퍼징(fuzzing)과 정적 분석이 이루어진 프로젝트입니다.Anthropic이 이 프로젝트를 선택한 이유도 바로 그것입니다. Anthropic이 Firefox를 선택한 이유는 하.. XSS 패치 작업에서 놓치기 쉬운 것들 최근 알고 지내던 업체의 요청으로 XSS 취약점 패치 작업을 진행했습니다. 일회성 핫픽스가 아니라 근본적으로 코드베이스를 분석하고 문제를 막는 방향으로 작업을 진행했습니다. 서비스를 개발하다 보면 XSS 취약점 패치 작업을 마주하게 됩니다. 처음에는 단순한 시큐어 코딩 작업이라고 생각하기 쉽습니다. 취약한 입력값을 이스케이프 처리하고, 위험한 태그를 필터링하면 끝나는 작업처럼 보입니다. 그런데 공격자의 관점에서 바라보면 개발자 입장에서 쉽게 놓칠 수 있는 부분들이 추가로 눈에 들어옵니다.XSS는 크게 Stored XSS(저장형), Reflected XSS(반사형), DOM-based XSS(DOM 기반) 세 가지로 나뉩니다. 각각 발생하는 시점과 경로가 다르기 때문에 패치 방식도 달라집니다. Stored.. Claude Code Security 출시를 보며 든 생각 2008년, 저는 화이트해커로서 개발과 보안에 대한 공부를 시작했습니다. 자연스럽게 메모리 구조와 어셈블리어를 공부하게 되었고, 시스템의 취약점을 분석하고 이해하는 것에 흥미를 느꼈습니다. 시간이 많이 흘러 잊은 부분도 많지만, 그때 경험하고 학습한 보안과 시스템에 대한 이해가 이후 개발자로서 실무를 하는 과정에 큰 도움이 되었습니다. 이후 응용 소프트웨어 개발 분야로 이동하면서 익스플로잇, 취약점 분석, 시큐어 코딩 가이드 등을 서비스 개발에 자연스럽게 녹여낼 수 있었습니다. 초기에 해킹을 공부하며 익힌 공격자 관점의 시각이 실무에서 생각보다 큰 도움이 되었습니다. 2023년 GPT의 등장 이후 LLM의 발전을 지켜보며 보안과 해킹 분야에도 큰 접근성 변화가 올 것이라고 생각해왔는데, 마침 어제 Ant.. 이전 1 다음