내 폰 속 앱은 생각보다 많은 걸 보고 있다 — Loupe가 보여주는 진실
## '권한 허용'을 누르지 않았는데도 스마트폰에 앱을 깔 때 우리는 "사진 접근을 허용하시겠습니까?", "위치 정보를 사용하시겠습니까?" 같은 팝업을 보고 허용/거부를 누르죠. 그래서 막연히 "내가 허락한 것만 앱이 볼 수 있겠지"라고 믿게 되...
리눅스 비동기 I/O의 두 강자, epoll과 io_uring 뭐가 다를까
## 수만 개의 연결을 동시에 처리한다는 것 웹 서버나 데이터베이스처럼 수많은 클라이언트를 한꺼번에 상대하는 프로그램을 만들다 보면, "이 많은 연결을 대체 어떻게 동시에 처리하지?"라는 고민에 꼭 부딪히게 되거든요. 연결 하나당 스레드 하나를 띄우...
[심층분석] SQLite를 Rust로 다시 쓴다고? 'Turso'가 그리는 in-process DB의 미래
## SQLite를 처음부터 다시 쓴다니, 무슨 일이죠? 혹시 "세상에서 가장 많이 쓰이는 데이터베이스가 뭐냐"고 물으면 어떤 게 떠오르시나요? MySQL? PostgreSQL? 사실 정답은 **SQLite**예요. 우리가 매일 쓰는 스마트폰, ...
AI 에이전트에게 '임시 신분증'을 — Cloudflare의 일회용 계정 아이디어
## AI 에이전트 시대의 새 고민, '계정을 어떻게 줄까' 요즘 AI 에이전트(agent) 이야기가 정말 많이 나오죠. 에이전트가 뭐냐면, 사람이 일일이 시키지 않아도 스스로 웹을 돌아다니고, API를 호출하고, 작업을 처리해주는 자동화된 AI...
테크 뉴스를 읽는 당신,
직접 만들어볼 준비 되셨나요?
17가지 수익 모델 실습 · 144+ 강의 · 자동화 소스코드 제공
"거부하지 말고 침투 테스트를 하라" — 모의해킹용으로 후속학습된 AI 모델
## 보안 작업만 나오면 거부하던 AI, 발상을 뒤집다 ChatGPT 같은 LLM에게 "이 서버의 취약점을 점검해줘"라고 부탁해본 적 있나요? 대부분 "죄송하지만 도와드릴 수 없습니다" 같은 답이 돌아와요. 모델이 안전을 위해 공격성으로 보이는 ...
깔끔한 PDF를 '스캔한 것처럼' 만들어주는 도구, 그리고 그 뒤의 WASM 이야기
## '스캔본으로 다시 제출하세요'라는 말, 들어보셨죠? 회사나 관공서에 서류를 낼 때 이런 경험 한 번쯤 있으실 거예요. 분명히 깔끔한 전자문서 PDF가 있는데, 상대방은 '스캔한 버전으로 주세요'라고 하는 거죠. 그래서 어쩔 수 없이 프린터로...
1989년 DOS 게임을 한 줄 한 줄 되살린다 — 리버스 엔지니어링에 'DOS 테스트 파일럿' 모집
## 무슨 일이 있었냐면요 1989년에 나온 도스(DOS) 비행 시뮬레이션 게임 'F-15 Strike Eagle II'를 통째로 역공학(리버스 엔지니어링)으로 되살리는 프로젝트가 진행 중이에요. 그런데 작업을 이끄는 개발자가 '도스 테스트 파일럿'...
브라질 전 국민 휴대폰에 뜬 가짜 재난문자, 누가 보냈나
브라질 전역의 휴대폰에 정부 승인 없이 무단 재난경보 알림이 발송되는 사건이 발생했습니다. 공식 긴급경보 시스템이 해커에 의해 악용된 것으로 보이며, 수많은 시민이 동시에 출처 불명의 경고 메시지를 받고 혼란에 빠졌습니다. 이 사건의 핵심은 '신뢰받는...
epoll은 한계에 왔나? io_uring 정면 비교 결과
리눅스 고성능 서버의 핵심인 비동기 I/O에서 오랜 표준이던 epoll과 차세대 io_uring을 직접 벤치마크로 비교한 글입니다. epoll은 이벤트 통지만 해줄 뿐 실제 read/write 시스템 콜은 여전히 직접 호출해야 해서, 연결 수가 폭증하...
암호화 수출 규제는 왜 늘 실패했나: PGP부터 미토스까지 30년의 교훈
## "암호는 무기다"라던 시대, 그리고 늘 실패한 수출 규제 오늘은 코드보다는 역사와 정책 이야기인데요, 보안에 관심 있는 개발자라면 꼭 알아둘 만한 흐름이에요. 한 외신이 'PGP에서 미토스(Mythos)까지'라는 제목으로, 정부가 암호화 기...
10년 된 제온 서버를 174번 재부팅해서 초당 4건을 더 얻어낸 이야기
## 10년 된 제온 서버를 174번 껐다 켜서 얻어낸 '초당 4건' 성능 튜닝 이야기 중에 가끔 이렇게 집요한 글이 있어요. 어떤 분이 10년 묵은 인텔 제온(Xeon) 서버 한 대를 무려 174번이나 재부팅하면서, 커널 옵션 12개를 하나씩 꺼본...
디지털 PDF를 진짜 스캔본처럼 — WASM으로 브라우저에서 바로
출력하고 다시 스캔하는 번거로운 과정 없이, 깔끔한 디지털 PDF를 마치 종이로 스캔한 듯한 결과물로 바꿔주는 오픈소스 도구가 화제입니다. 핵심은 약간의 페이지 회전, 노이즈와 흐림, 명암·여백 변화 등 실제 스캐너가 만들어내는 미세한 결함을 의도적으...
내가 설치한 패키지가 곧 실행되는 스크립트라고? 아치 리눅스 AUR을 노린 공급망 공격
아치 리눅스(Arch Linux)를 쓰는 분이라면 **AUR(Arch User Repository)** 없이는 하루도 못 산다고 할 정도로 자주 쓰실 거예요. 그런데 최근 이 AUR에 악성 패키지가 올라와서, 멋모르고 설치한 사용자들의 컴퓨터에 원격 ...
위성에서 내려다본 GPS 교란의 실체 — 우리가 생각한 것보다 훨씬 넓었어요
스마트폰 지도, 차량 내비게이션, 드론, 심지어 은행 거래 시간 기록까지. 우리 일상은 GPS 위에 통째로 올라타 있다고 해도 과언이 아닌데요. 그런데 이 GPS 신호를 일부러 망가뜨리는 **교란(tampering)**이 위성에서 관측해보니 예상보...
패턴 매칭의 한계를 넘는다 — AI로 코드 속 복잡한 취약점 찾는 'Aikido Code Audit'
## 기존 보안 스캐너가 자꾸 놓치던 것들 코드에 보안 구멍이 있는지 자동으로 검사해주는 도구를 SAST(정적 분석 보안 테스트, Static Application Security Testing)라고 불러요. 이게 뭐냐면, 프로그램을 실행하지 않...
'아이들을 위해서'라는 명분 — 인터넷 전체에 실명 인증을 강제하면 생기는 일
## '아이들을 위해서'라는 말 뒤에 숨은 진짜 비용 요즘 영국, 미국 여러 주, 호주, 프랑스 같은 나라에서 '성인 콘텐츠나 SNS는 나이를 확인하고 쓰게 하자'는 법이 줄줄이 통과되고 있어요. 명분은 늘 똑같습니다. '아이들을 보호하기 위해서(T...
AI가 코드를 '읽고' 진짜 취약점을 찾는다 — Aikido Code Audit
전통적인 SAST 도구의 가장 큰 고민은 패턴 매칭에 의존하다 보니 오탐(false positive)이 넘쳐나고, 정작 여러 파일과 함수에 걸쳐 숨어 있는 복잡한 취약점은 놓친다는 점입니다. Aikido Code Audit은 이 문제를 AI 에이전트로...
/.well-known/ 그 정체는? 웹 표준의 숨은 약속 장소 이야기
## 주소창에 숨어 있는 ‘약속된 장소’ /.well-known/ 혹시 웹사이트 주소 뒤에 `/.well-known/security.txt` 같은 경로가 붙은 걸 본 적 있으세요? HTTPS 인증서를 발급받을 때 `/.well-known/acme...
정리증명기 Lean으로 WASM을 실행한다고? — 오픈소스 Talos가 노리는 것
오늘은 좀 묵직한 주제예요. 'Talos'라는 오픈소스 프로젝트가 공개됐는데, 한 줄 소개가 'Lean을 위한 WASM 인터프리터'예요. 이름만 봐도 '이게 무슨 조합이지?' 싶죠. Lean도 WASM도 생소한 분이 많을 테니, 둘이 뭔지부터 차근...
칩이 '진짜로' 어떻게 도는지 보려고, MIT가 운영체제를 직접 만들었어요
## 왜 운영체제를 직접 만들었을까 우리가 쓰는 CPU는 사실 '설명서에 적힌 대로만' 동작하지 않아요. 칩 제조사가 공개하는 명령어 집합, 그러니까 ISA(쉽게 말해 '이 CPU가 알아듣는 명령어 목록')는 일종의 약속이에요. 근데 실제 실리콘...
