인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

Android pKVM, SESIP 5등급 인증 획득: 모바일 보안의 새로운 시대

2025-08-18
Android pKVM, SESIP 5등급 인증 획득: 모바일 보안의 새로운 시대

구글은 Android 가상화 프레임워크를 구동하는 하이퍼바이저인 pKVM(Protected KVM)이 SESIP 5등급 인증을 획득했다고 발표했습니다. 이는 소비자 가전 제품의 대규모 배포를 위해 설계된 소프트웨어 보안 시스템으로서는 최초의 성과입니다. 이를 통해 Android는 초개인화된 데이터를 사용하는 기기 상의 AI 처리 등 차세대 고중요도 격리 워크로드를 안전하게 지원할 수 있습니다. 개인 정보 보호 및 무결성에 대한 최고 수준의 보장이 제공됩니다. Dekra에서 수행한 이 인증은 EN-17927 표준을 준수하며 최고 수준의 취약성 분석 및 침투 테스트(AVA_VAN.5)를 포함합니다. 이러한 성과는 Android의 다층 보안 전략의 초석이 되며, 기기 제조업체에 강력하고 오픈소스인 펌웨어 기반을 제공합니다.

더 보기
(security.googleblog.com)
기술 SESIP 5등급 인증

OSS Rebuild: 오픈소스 패키지 생태계에 대한 신뢰 재구축

2025-07-22
OSS Rebuild: 오픈소스 패키지 생태계에 대한 신뢰 재구축

Google의 새로운 OSS Rebuild 프로젝트는 업스트림 아티팩트를 재현하여 오픈소스 패키지 생태계에 대한 신뢰를 강화하는 것을 목표로 합니다. 공급망 공격 증가에 대응하여 OSS Rebuild는 PyPI, npm, Crates.io 등의 패키지 생태계에 대해 선언적 빌드 정의 생성을 자동화하고, 게시자의 개입 없이 SLSA 빌드 레벨 3 요구 사항을 충족하는 SLSA 출처를 제공합니다. 빌드 관찰 가능성 및 검증 도구와 조직이 자체 인스턴스를 실행하기 위한 인프라 정의를 제공합니다. 재구축, 생성, 서명, 출처 배포를 통해 OSS Rebuild는 제출되지 않은 소스 코드, 손상된 빌드 환경, 스텔스 백도어 등 다양한 공급망 손상을 감지하는 데 도움이 되어 패키지 신뢰도를 높이고 취약성에 대한 대응을 가속화합니다.

더 보기
(security.googleblog.com)
개발

잡음이 많은 큐비트 100만 개로 RSA 암호 해독 가능: Google의 새로운 추정

2025-05-24
잡음이 많은 큐비트 100만 개로 RSA 암호 해독 가능: Google의 새로운 추정

Google Quantum AI의 연구에 따르면, 잡음이 많은 큐비트 100만 개를 가진 양자 컴퓨터는 이론적으로 1주일 이내에 2048비트 RSA 암호를 해독할 수 있다고 합니다. 이는 2019년 추정치보다 20배 감소한 수치입니다. 현재 양자 컴퓨터는 수백에서 수천 개의 큐비트만 가지고 있지만, 이 결과는 대규모 양자 컴퓨팅의 위협에 대응하기 위해 양자 내성 암호(PQC) 표준으로의 이전을 서둘러야 함을 강조합니다. 알고리즘과 오류 수정의 개선이 이 업데이트된 예측의 핵심이며, RSA를 해독하는 데 필요한 큐비트 수를 크게 줄였습니다. NIST는 이미 PQC 표준을 발표했으며, 2030년 이후 취약한 시스템의 사용 중단, 2035년 이후 금지를 권장하고 있습니다.

더 보기
(security.googleblog.com)
기술 RSA 암호

Google, AI 공급망 보안 강화를 위한 안정적인 모델 서명 라이브러리 출시

2025-04-05
Google, AI 공급망 보안 강화를 위한 안정적인 모델 서명 라이브러리 출시

대규모 언어 모델(LLM)의 등장으로 AI 공급망 보안에 대한 관심이 높아지고 있습니다. 모델 변조, 데이터 포이즈닝과 같은 위협이 점점 더 우려되고 있습니다. 이에 Google은 NVIDIA, HiddenLayer와의 파트너십을 통해 Open Source Security Foundation의 지원을 받아 모델 서명 라이브러리의 첫 번째 안정 버전을 출시했습니다. 이 라이브러리는 Sigstore와 같은 디지털 서명을 사용하여 애플리케이션에서 사용되는 모델이 개발자가 만든 모델과 완전히 일치하는지 사용자가 검증할 수 있도록 합니다. 이를 통해 모델의 무결성과 출처가 보장되며, 교육부터 배포까지 모델의 전체 수명 주기 동안 악의적인 변조로부터 보호됩니다. 향후 계획에는 이 기술을 데이터 세트 및 기타 ML 아티팩트로 확장하여 더욱 견고한 AI 신뢰 생태계를 구축하는 것이 포함됩니다.

더 보기
(security.googleblog.com)
AI 모델 서명

구글, Sec-Gemini v1 공개: AI 기반 사이버 보안의 새로운 시대

2025-04-04
구글, Sec-Gemini v1 공개: AI 기반 사이버 보안의 새로운 시대

구글은 사이버 보안 AI의 한계를 넓히기 위한 실험적인 AI 모델인 Sec-Gemini v1을 발표했습니다. Gemini의 고급 기능과 거의 실시간 사이버 보안 지식 및 도구를 결합하여 Sec-Gemini v1은 인시던트 근본 원인 분석, 위협 분석, 취약점 영향 이해와 같은 주요 워크플로에서 뛰어난 성능을 발휘합니다. 주요 벤치마크에서 다른 모델들을 능가하며, CTI-MCQ에서는 최소 11%, CTI-Root Cause Mapping에서는 최소 10.5% 향상을 보였습니다. 구글은 협력을 증진하고 사이버 보안 분야에서 AI의 발전을 촉진하기 위해 Sec-Gemini v1을 선별된 조직, 기관, 전문가, NGO에 연구 목적으로 무료로 제공합니다.

더 보기
(security.googleblog.com)
AI

Chrome 루트 프로그램, 필수 MPIC 및 린팅으로 Web PKI 보안 강화

2025-03-31
Chrome 루트 프로그램, 필수 MPIC 및 린팅으로 Web PKI 보안 강화

Google Chrome팀은 Chrome 루트 프로그램에서 두 가지 중요한 보안 개선 사항인 다중 관점 발급 확인(MPIC) 및 인증서 린팅을 의무화한다고 발표했습니다. MPIC는 여러 지리적 위치에서 도메인 제어를 확인하여 BGP 공격으로 인한 부정 발급 인증서의 위험을 줄입니다. 반면 린팅은 인증서 오류를 자동으로 감지하여 보안을 향상시킵니다. 둘 다 2025년 3월 15일부터 공개적으로 신뢰할 수 있는 인증서에 의무화되어 Web PKI 생태계의 보안과 안정성을 강화하고 인증서 오발급을 줄입니다. Chrome팀은 취약한 도메인 검증 방법을 폐지하고 양자 내성 암호화 시대를 위한 솔루션을 적극적으로 모색할 계획입니다.

더 보기
(security.googleblog.com)
기술 디지털 인증서

메모리 안전성 취약점 제거: 안전한 설계를 위한 공동 노력

2025-02-26
메모리 안전성 취약점 제거: 안전한 설계를 위한 공동 노력

수십 년 동안 메모리 안전성 취약점은 기술 산업에 큰 타격을 입히며 수십억 달러의 손실과 신뢰 저하를 초래했습니다. 기존의 접근 방식으로는 충분하지 않았습니다. 이 글에서는 이러한 취약점을 제거하기 위해 '안전한 설계' 방식으로의 근본적인 전환을 촉구합니다. 메모리 안전 언어(Rust 등)와 하드웨어 기술(ARM의 MTE 등)의 최근 발전으로 이것이 가능해졌습니다. 저자들은 메모리 안전성 보장을 객관적으로 평가하기 위한 표준화된 프레임워크를 제안하여 공급업체의 투자를 유도하고 궁극적으로 고객이 보안을 요구하고 보상받을 수 있도록 하여 더 안전한 시스템 조달을 추진합니다. 여기에는 다양한 접근 방식을 지원하고 필요에 따라 보안 요구 사항을 조정하는 기술 중립적인 프레임워크가 필요합니다. 최종 목표는 안전한 디지털 세계를 구축하는 것입니다.

더 보기
(security.googleblog.com)
개발 안전한 설계

Google Play 2024년 보안 보고서: AI 기반 방어로 수십억 명 보호

2025-02-03
Google Play 2024년 보안 보고서: AI 기반 방어로 수십억 명 보호

Google의 2024년 Google Play 보안 보고서는 사용자와 개발자의 안전에 대한 Google의 노력을 강조합니다. AI 기반 위협 감지, 강화된 개인정보 보호 정책, 개선된 개발자 도구를 활용하여 Google Play는 정책 위반 앱 236만 개의 게시를 차단하고 악성 개발자 계정 15만 8천 개 이상을 금지했습니다. 이 보고서는 맬웨어의 사전 예방적 식별에서 AI의 역할, 보안 및 개인정보 보호 개선을 위한 개발자와의 협력(민감한 데이터에 대한 액세스 제한, 데이터 삭제 옵션 개선), 그리고 Google Play Protect의 실시간 검사(Google Play 외부에서 1300만 개 이상의 악성 앱을 식별)에 중점을 둡니다. 새로운 사기 방지 기능을 통해 사용자는 사기 및 맬웨어로부터 보호됩니다. Google은 정부 및 업계 파트너와 협력하여 더욱 안전한 앱 생태계를 구축하기 위한 새로운 앱 보안 평가 기준을 마련하고 있습니다.

더 보기
(security.googleblog.com)
기술 앱 보안

Google, 강력한 소프트웨어 구성 분석 라이브러리 OSV-SCALIBR 출시

2025-01-19
Google, 강력한 소프트웨어 구성 분석 라이브러리 OSV-SCALIBR 출시

Google은 설치된 패키지, 독립 실행형 바이너리 및 소스 코드의 취약성을 스캔하기 위한 확장 가능한 소프트웨어 구성 분석(SCA) 라이브러리인 OSV-SCALIBR을 출시했습니다. 여러 프로그래밍 언어와 패키지 관리자를 지원하며, 소프트웨어 부품 목록(SBOM)을 생성합니다. OSV-SCALIBR은 Google 내부에서 사용되는 주요 SCA 엔진이며, 현재 오픈소스로 제공되며, 보다 강력한 명령줄 인터페이스를 제공하기 위해 OSV-Scanner에 통합될 예정입니다.

더 보기
(security.googleblog.com)
개발