25년 1월 20일 흠터레스팅 테크 뉴스
망한 스타트업의 직원 개인정보, 데이터 탈취 취약 외 3건
[오늘의 인용글 - 성과를 낸다는 것은 최선의 해결책을 빠르게 찾는다는 것]
고정된 로드맵은 잘못된 확실성을 전달합니다. 로드맵은 마치 개발될 기능들이 당연하게 성공할 것이라는 인식을 심어주지만, 실제로는 이렇게 개발하면 망한다는 것을 우리는 경험적으로 알고 있죠. 반면, 성과에 초점을 맞춘 접근법은 불확실성을 인정하고 이를 실질적으로 대처합니다. “이 문제가 반드시 해결되어야 한다는 것은 알지만, 이를 위한 가장 효과적인 해결 방법은 아직 모른다”라고 말하며, 여러 해결책을 빠르게 실험하고 비교하고 최선의 해결책을 찾아나가는 것입니다.
- 테레사 토레스, 지속적 발견 습관
A fixed roadmap communicates false certainty. It says we know these are the right features to build, even though we know from experience their impact will likely fall short. An outcome communicates uncertainty. It says, We know we need this problem solved, but we don’t know the best way to solve it.
- Teresa Torres, Continuous Discovery Habits
(1) AI, 역사적 정보에 대해 잘못되거나 편향적인 정보를 제공하는 경향
- 연구팀은 주요 대형 언어 모델(LLM)인 OpenAI의 GPT-4, Meta의 Llama, Google의 Gemini를 대상으로 역사적 질문에 대한 성능을 평가하기 위한 새로운 벤치마크 Hist-LLM을 개발
- 최상위 모델인 GPT-4 Turbo조차도 약 46%의 정확도를 기록, 이는 임의 추측 수준에 가까움
- 연구진은 LLM이 널리 알려진 역사적 데이터에 과도하게 의존하고, 희소한 정보를 다룰 때 오류를 범한다고 분석
- LLM은 반복적이고 널리 퍼진 데이터에 더 강하게 영향을 받고, 드물게 등장하는 데이터에 대해 추론하는 데 한계, 특정 지역(예: 사하라 이남 아프리카)에 대한 데이터가 부족해 지역 편향도 발생
- 심층적이고 전문적인 역사 지식을 다루는 데 LLM은 아직 인간을 대체할 수준에 도달하지 못했음을 확인
- 연구진은 벤치마크를 개선하기 위해 저평가된 지역 데이터 추가와 복잡한 질문 설계를 진행 중
- 장기적으로 LLM이 역사 연구 보조 도구로 활용될 가능성을 기대
- "LLM은 단순 사실에는 강하지만, 박사 수준의 복잡한 역사 연구에는 미흡하다."
- 연구팀은 결과가 LLM의 한계를 강조하면서도, 역사학자 보조 역할로서의 잠재력을 보여준다고 평가
- https://techcrunch.com/2025/01/19/ai-isnt-very-good-at-history-new-paper-finds/
(2) 미국 법무부, 미국 대형 통신사 해킹 사건에 미군이 연루되어 있음을 공식 확인
- 미국 법무부(DOJ)는 미 육군 병사 카메론 존 와게니우스(Cameron John Wagenius)가 AT&T와 Verizon의 고객 전화 기록 해킹 사건과 관련이 있음을 공식적으로 확인
- 와게니우스는 2024년 스노우플레이크(Snowflake) 클라우드 컴퓨팅 해킹 사건으로 기소된 해커 2명(코너 무카, 존 빈스)과 연관
- 와게니우스의 혐의와 행적: 와게니우스는 전화 기록 불법 전송 혐의로 기소 -> 해커 커뮤니티에서 부통령 카말라 해리스와 당시 대통령 당선인 도널드 트럼프의 전화 기록을 보유했다고 주장하며, 체포된 해커 무카의 석방을 요구, 유출된 데이터에는 개인 정보, IMEI 번호, 소셜 시큐리티 번호, 은행 정보 등이 포함
- 클라우드 서비스 보안의 취약성이 드러남. 특히, 다단계 인증의 부재가 공격에 주요한 원인
- 군 내부에서 기술적 전문 지식을 가진 인원이 사이버 범죄에 연루된 드문 사례로 주목
- 사건은 클라우드 보안, 민감 데이터 보호, 사이버 범죄 방지에 있어 중요 교훈을 제공
(3) 망한 스타트업의 직원들의 개인정보, 데이터 탈취에 취약한 것으로 밝혀져
- 실패한 스타트업의 전직원들은 해커들로부터 개인 데이터 탈취에 노출될 위험이 있음 -> 위험 대상 데이터:
Slack 메시지, 소셜 시큐리티 번호(SSN), 은행 계좌 정보 등
- 구글 OAuth(“Sign in with Google” 기능)의 취약점을 발견 -> 해커들이 실패한 스타트업의 도메인을 인수해 회사 내 클라우드 소프트웨어(예: Slack, Notion, HR 시스템)에 로그인 가능
- 취약점 작동 방식: 해커들이 도메인을 구매한 후, 회사 이메일 주소를 재현 -> 이를 통해 구글 로그인 옵션을 사용해 회사의 클라우드 앱에 접근 -> 테스트 결과, 해커들은 Slack, Notion, Zoom, ChatGPT, HR 시스템 등에 로그인 가능
- 스타트업 직원들이 더 취약한 이유: 많은 스타트업이 구글 앱과 클라우드 소프트웨어를 주요 업무 도구로 사용, 실패한 스타트업의 도메인이 종종 판매되며, 약 11만 6천 개의 도메인이 현재 시장에 나와 있음 -> 이러한 취약점은 특히 HR 시스템의 데이터(SSN, 은행 정보 등)가 가장 쉽게 금전화될 수 있어 위험성이 큼
- 구글과 OAuth 기술의 문제점: 구글 OAuth의 “서브 식별자(sub-identifier)”는 해당 취약점을 예방할 수 있음 -> 하지만 일부 클라우드 제공업체가 서브 식별자를 신뢰하지 않아 사용하지 않는 경우도 존재 -> 구글은 서브 식별자가 변경되지 않는다고 주장하지만, 특정 HR 제공업체는 소규모 사례에서 변경이 발생했다고 보고
- 예방 조치: 회사가 종료될 때 모든 클라우드 서비스 및 도메인을 철저히 폐쇄하는 것이 중요 -> 창업자들이 회사 종료 시 처리해야 할 복잡한 절차와 정서적 어려움 때문에 이 작업을 놓칠 수 있다고 지적
- 실패한 스타트업과 관련된 보안 문제는 도메인 관리의 중요성과 클라우드 서비스의 취약성을 드러냄
- 창업자와 직원 모두 개인 정보 보호와 회사 자산 정리 절차에 대한 인식 강화 필요
(4) 펜타곤, "AI가 군사적 의사 결정 속도를 크게 향상시키고 있다."
- AI와 군사 기술의 접목: 미 국방부는 AI 기술을 활용해 군사 작전의 "킬 체인(kill chain)" 속도를 크게 향상시키고 있음 -> 킬 체인은 위협 식별, 추적, 제거로 이어지는 군사적 의사 결정 과정을 뜻하며, 센서, 플랫폼, 무기의 복합적 체계로 구성됨
- AI는 킬 체인의 계획 및 전략 수립 단계에서 특히 효과를 발휘하며, 위협 상황에 따른 다양한 시나리오 분석을 지원
- AI 기술 제공 업체와의 협력: OpenAI, Anthropic, Meta와 같은 주요 AI 개발 업체는 국방부와의 협력을 위해 정책을 완화하여 AI 기술을 제공 -> Meta는 Lockheed Martin, Booz Allen과 협력, Anthropic은 Palantir와 파트너십 체결, OpenAI는 Anduril과 협력 관계를 맺음 => 그러나 이들 기업은 여전히 AI가 인간에게 해를 가하는 방식으로 사용되는 것을 금지
- AI의 군사적 활용 논란: Anthropic CEO 다리오 아모데이는 AI의 군사적 활용이 무조건적 반대와 무제한적 사용 사이의 균형을 찾아야 한다고 주장 -> 일부 AI 연구자들은 AI가 군사적 목적으로 사용되는 것은 불가피하며, 올바르게 사용되도록 직접 관여하는 것이 중요하다고 언급
- 완전 자율 무기 논란: 미 국방부는 인간의 의사 결정을 배제한 완전 자율 무기 시스템을 사용하지 않는다고 주장 -> 모든 무기 시스템에서 인간이 최종 결정권을 가지는 것이 신뢰성과 윤리적 측면에서 중요하다고 강조, 자율 시스템의 역할은 인간과의 협력적 관계에 초점이 맞춰져 있으며, 독립적으로 "생과 사"를 결정하지 않음
- AI의 군사적 가치와 잠재적 위험: AI는 군사적 효율성을 높이는 동시에 윤리적·사회적 논쟁을 유발, 미국 국방부는 효율성과 윤리적 사용 사이의 균형을 맞추기 위해 노력 중 -> AI 커뮤니티와 기술 제공 기업은 이러한 기술이 의도치 않게 악용되지 않도록 방지할 필요성이 강조됨
- https://techcrunch.com/2025/01/19/the-pentagon-says-ai-is-speeding-up-its-kill-chain/
