ICBM의 Dev 블로그

AI가 취약점 문화를 깨뜨리고 있다AI가 취약점 문화를 깨뜨리고 있다 — 보안 공개의 새 시대가 온다보안 연구자들 사이에서 수십 년간 작동해 온 두 가지 문화가 있다. 조율된 공개(Coordinated Disclosure)와 버그=bug('Bugs are Bugs') 문화다. 전자는 발견한 취약점을 비공개로 유지하며 수정 기간을 주고, 후자는 조용히 수정하되 보안 취약점임을 밝히지 않는 방식이다. 그러나 2026년, AI의 등장으로 이 두 문화 모두 근본적인 도전에 직면하고 있다.조율된 공개 vs. 버그=bug 문화, 두 갈래 길조율된 공개: 90일 윈도의 철칙조율된 공개는 현재 가장 보편적인 취약점 공개 방식이다. 연구자가 버그를 발견하면 소프트웨어 유지관리자에게 비공개로 통보하고, 보통 90일의 수정..

Dirty Frag: 범용 Linux LPE(로컬 권한 상승) 취약점 — 빠르게 정리해야 하는 이유2026년 5월 7일, Linux 커널의 새로운 로컬 권한 상승(Local Privilege Escalation, LPE) 취약점이 공개되었다. 'Dirty Frag'로 명명된 이 취약점은 주요 배포판 전반에 영향을 미치며, 아직 패치가 존재하지 않는 상황에서 결정적 완화책 적용이 시급하다. 이 글에서는 Dirty Frag가 무엇인지, 왜 지금 즉시 대응해야 하는지, 그리고 어떻게 완화할 수 있는지를 정리한다.Dirty Frag란 무엇인가Dirty Frag는 Linux 커널의 네트워킹 및 메모리 프래그먼트 처리 방식에 존재하는 두 개의 LPE 취약점을 가리킨다. 영향을 받는 커널 모듈은 세 가지다:• esp..