모닝 인사이트 다이제스트

Next.js 개발사이자 클라우드 플랫폼 Vercel이 보안 침해를 공식 인정했다. 공격 경로는 이랬다. 직원 한 명이 써던 AI 플랫폼 Context.ai가 먼저 뚫렸고, 거기서 얻은 접근권으로 그 직원의 Google Workspace 계정이 탈취됐다. 공격자는 이걸 발판 삼아 Vercel 내부 시스템으로 침투했고, "민감하지 않다"고 분류돼 암호화되지 않은 환경변수(environment variables)들을 긁어갔다. Vercel은 모든 환경변수가 기본 암호화된다고 했지만, 개발자가 '비민감'으로 지정한 것들은 평문 상태였던 셈이다. 공격자는 ShinyHunters를 자처하며 해킹 포럼에서 소스코드, 데이터베이스, API 키 등을 판다고 광고 중이고, Vercel 직원 580명 정보도 유출했다. Vercel CEO는 "Next.js와 오픈소스 프로젝트는 안전하다"며 고객들에게 환경변수 점검과 시크릿 로테이션을 권고했다.

공격자는 텔레그램에서 Vercel과 몸값 200만 달러를 협상 중이라고 주장했다. 그런데 실제 ShinyHunters 그룹은 BleepingComputer에 "우리 아니다"라고 선을 그었다.

이건 전형적인 공급망 공격이다. 써드파티 AI 도구 하나가 뚫리면서 거대 개발 플랫폼까지 연쇄 침투된 케이스다. Vercel은 수십만 개발자가 쓰는 인프라인데, '비민감' 환경변수가 실은 추가 접근의 발판이 됐다는 점이 핵심이다. AI 도구 도입이 폭발적으로 늘어나는 지금, OAuth 앱과 통합 계정 관리가 새로운 공격 표면이 되고 있다는 경고다.

-> 2026-04-18 | How Big Tech wrote secrecy into EU law to hide data centres' environmental toll

EU가 2023년에 승인한 규제가 2027년 2월 18일부터 발효된다. 핵심은 스마트폰과 태블릿 배터리를 전문 도구 없이 사용자가 직접 탈착할 수 있어야 한다는 것. 특수 공구가 필요하다면 제조사가 무상 제공해야 하고, 교체용 배터리는 마지막 제품 출시 후 최소 5년간 구매 가능해야 한다. 현재 대부분의 스마트폰은 배터리가 본체에 일체형으로 접착되어 있어, 배터리 수명이 다하면 비싼 수리비를 내거나 아예 새 기기를 사는 게 일반적이었다. EU는 이 규제로 2030년까지 소비자들이 최대 200억 유로를 절약하고, 연간 500만 톤의 전자 폐기물 중 제대로 재활용되지 못하는 60% 이상을 줄일 수 있다고 본다. 같은 패키지에는 USB-C 단일 충전 포트 의무화(2024년부터), 5년간 시스템 업데이트 제공(2025년부터)도 포함됐다.

EU에서만 매년 스마트폰 1억 5천만 대, 태블릿 2천 4백만 대가 팔리는데, 전자 폐기물 재활용률이 40%도 안 된다. 배터리 교체만 쉬워져도 기기 수명이 몇 년은 늘어날 수 있다는 얘기다.

이 규제는 '수리할 권리(Right to Repair)' 운동의 가장 강력한 승리 중 하나다. 애플이 10년 넘게 고수해온 일체형 디자인 철학이 EU 시장에선 통하지 않게 된다. 글로벌 제조사들은 EU 전용 모델을 만들거나, 아예 전 세계 제품 설계를 바꿔야 하는 기로에 섰다. USB-C 의무화가 결국 전 세계 아이폰을 바꿨듯, 이번엔 배터리 설계가 바뀔 차례다. 탄소 감축과 순환 경제라는 EU의 거대 어젠다가 실제 제품 형태를 바꾸는 순간이다.

카네기멜론 대학 연구팀이 18,617개 리포지토리에서 600만 개의 가짜 스타를 찾아냈다. 2024년 들어 50개 이상 스타를 받은 리포지토리 중 16.66%가 가짜 스타 캠페인에 연루됐고, AI/LLM 리포지토리가 블록체인 다음으로 가장 큰 피해 카테고리였다. 가격은 개당 3센트에서 85센트. Fiverr, Telegram, 일반 웹사이트에서 공개적으로 거래된다. 핵심은 VC들이 스타 수를 소싱 시그널로 명시적으로 사용한다는 점이다. Redpoint는 시드 단계 중앙값이 2,850개 스타라고 발표했고, 많은 VC들이 자동 스크래퍼로 빠르게 성장하는 리포를 찾는다. 저자들은 20개 프로젝트에서 각 150명의 스타게이저를 샘플링해 분석했는데, 일부 리포는 36-76%가 팔로워 제로 계정이었고 포크-스타 비율이 정상 대비 10분의 1 수준이었다. 특히 Runa Capital의 ROSS 인덱스 1위였던 Union Labs는 의심스러운 스타가 47.4%로 추정됐다. FTC는 2024년 규정으로 가짜 소셜 인플루언스 지표 판매를 금지하고 위반당 53,088달러 벌금을 부과하기 시작했다.

Flask는 1,000개 스타당 235개 포크. FreeDomain은 157,000개 스타에 17개 포크. 포크-스타 비율 0.017은 아무도 실제로 코드를 쓰지 않는다는 뜻이다. 81.3%의 스타게이저가 팔로워 제로였고, 168명만 리포를 watch했다. 단일 AWS Lambda 무료 티어로 npm 패키지를 주간 100만 다운로드까지 부풀린 실험도 있었다.

VC 소싱 파이프라인 자체가 조작 가능한 지표에 의존하고 있다는 걸 보여준다. GitHub Fund는 연 1,000만 달러를 플랫폼 트랙션 기반으로 투자하고, ROSS 인덱스 기업의 68%가 시드 투자를 받았다. 285달러면 시드 라운드 중앙값을 만들 수 있고, ROI는 3,500배에서 117,000배다. 법적 리스크도 현실화되고 있다. HeadSpin CEO는 트랙션 지표 부풀리기로 SEC에 고발됐고, FTC는 가짜 소셜 지표 판매를 위반당 5만 달러 이상 벌금으로 금지했다. 오픈소스 생태계의 신뢰 시스템 전체가 흔들리는 중이다.

-> 2026-04-18 | The beginning of scarcity in AI

The Onion의 모회사 Global Tetrahedron CEO Bryce P. Tetraeder가 InfoWars 인수를 기념해 쓴 글이다. 어린 시절 악몽이 현실이 됐다는 고백으로 시작해, InfoWars를 "사기와 거짓말로 가득 찬 무한한 광고 플랫폼"으로 만들겠다고 선언한다. 병적인 거짓말쟁이들로 가득 찬 경기장, 정신을 해체시키는 콘텐츠, 고통을 민주화하는 플랫폼을 구축하겠다는 비전을 펼친다. "맨해튼 프로젝트처럼, 단지 폭탄 대신 웹사이트를 만들 것"이라는 식이다. 결국 이 모든 게 "현대 미국"이라는 괴물을 묘사하는 풍자로 귀결된다.

The Onion이 실제로 파산한 Alex Jones의 InfoWars를 인수한 건 사실이다. 이 글은 디지털 미디어 생태계의 실제 병폐들—인플루언서 사기, 콘텐츠 팜, 미디어 합병, 공황과 자본의 공생—을 과장된 풍자로 포장했지만, 놀랍게도 현실과 그리 멀지 않다는 게 핵심이다.

소셜 미디어와 디지털 플랫폼이 사기, 허위정보, 정신건강 착취로 수익을 내는 구조가 고착화됐다. The Onion의 풍자는 우리가 이미 "콘텐츠가 콘텐츠에 대해 이야기하는 소용돌이" 속에 살고 있음을 상기시킨다. InfoWars 인수는 상징적이다—극단적 허위정보 플랫폼과 주류 미디어 생태계 사이의 경계가 이미 흐릿해졌다는 것.

-> 2026-04-18 Everything we like is a psyop? -> 2026-04-18 The "Passive Income" trap ate a generation of entrepreneurs

NIST 연구진이 실리콘 웨이퍼 위에 특수 소재들을 층층이 쌓아 만든 포토닉스 칩 이야기다. 리튬 나이오베이트와 탄탈륨 펜톡사이드(tantala)라는 비선형 소재를 3D로 적층해서, 적외선 레이저 하나를 입력받아 가시광선부터 다양한 적외선 파장까지 모든 색깔을 출력할 수 있게 만들었다. 맥주 코스터 크기 웨이퍼 하나에 약 50개 칩, 각 칩마다 1만 개의 포토닉 회로가 들어가고 각자 다른 색깔을 내보낸다. 양자컴퓨터는 루비듐(780nm 빨강)이나 스트론튬(461nm 파랑) 같은 특정 원자를 제어하려면 정확한 파장의 레이저가 필요한데, 지금까진 각 색깔마다 크고 비싼 레이저가 필요했다. 이 칩은 회로 디자인만 바꿔서 원하는 색을 만들어내니, 양자기술이 실험실 밖으로 나가는 길이 열린 셈이다.

탄탈라는 "마법 같은" 소재인데, 단일 레이저 색을 받아 무지개 전체를 출력한다. NIST는 이걸 다른 소재를 손상시키지 않고 저온에서 증착하는 기술을 수년간 개발해왔다는 게 핵심이다.

전자회로가 디지털 경제를 만들었듯, 광회로가 다음 혁명을 준비 중이다. AI 칩 간 신호 전송, 양자컴퓨터 소형화, GPS 대체 광학시계, 화산/지진 예측까지 응용처가 넓다. 특히 양자기술과 AI 인프라 모두 "빛으로 정보 처리"라는 같은 방향을 보고 있는 시점에서, 레이저를 칩에 집적할 수 있다는 건 병목 하나가 뚫린 것이다. NIST 출신들이 세운 Octave Photonics가 양산을 준비 중이라는 것도 상용화 신호다.

-> 2026-04-18 The beginning of scarcity in AI

중국 스타트업 Kimi가 자사의 최신 모델 K2.6을 오픈소스로 공개했다. 이 모델의 핵심은 long-horizon coding—단순 코드 생성이 아니라 수천 줄 코드베이스를 며칠간 자율적으로 분석하고, 병목을 찾고, 아키텍처를 재설계하는 능력이다. 실제 사례로 8년 된 금융 매칭 엔진을 13시간 동안 돌리며 4천 줄 이상 수정해 처리량을 185% 향상시켰고, Zig 같은 마이너 언어로 로컬 모델 추론을 구현해 LM Studio보다 20% 빠른 속도를 달성했다. 벤치마크에서는 SWE-Bench Pro 58.6점으로 GPT-5.4(57.7)를 근소하게 앞서고, Terminal-Bench와 SWE-Multilingual에서도 경쟁 모델과 대등하거나 우위를 보였다. 흥미로운 건 Agent Swarm 기능—300개 서브 에이전트가 동시에 4천 단계를 실행하며 문서·웹사이트·스프레드시트를 한 번에 생성한다. 기업 파트너들(CodeBuddy, WorkBuddy, Hermes, OpenClaw 등)은 툴 호출 정확도 96.6%, 12% 높은 코드 생성 정확도 등을 보고했고, 일부는 Next.js 벤치마크에서 K2.5 대비 50% 이상 개선을 확인했다.

Kimi의 RL 인프라 팀은 K2.6 기반 에이전트를 5일간 무인 가동시켜 모니터링·장애 대응·시스템 운영을 맡겼다. 사람 개입 없이 알림부터 해결까지 full-cycle 실행을 소화한 셈이다. 이제 AI는 "코드 짜는 도구"가 아니라 "밤새 돌면서 시스템 관리하는 동료"로 진화 중이다.

AI 코딩의 경쟁 지형이 바뀌고 있다. 과거엔 "한 번에 정확한 코드를 생성하는가"가 핵심이었다면, 이제는 "며칠간 자율 실행하며 복잡한 시스템을 최적화하는가"가 진짜 전장이다. Kimi K2.6은 오픈소스로 공개되면서 Anthropic·OpenAI 같은 클로즈드 진영과 격차를 좁히고 있고, 특히 비용 대비 성능에서 기업들의 선택지를 넓혔다. "항상 켜져 있는 에이전트"(always-on agent)가 현실이 되면 소프트웨어 개발 인력 구조 자체가 재편될 수 있다.

-> 2026-04-19 Claude Design -> 2026-04-18 The beginning of scarcity in AI

NSA가 Anthropic의 최신 모델 Mythos Preview를 사용 중이라는 게 확인됐다. 문제는 국방부가 2월에 Anthropic을 공급망 위협으로 규정하고 계약업체들에게도 사용 중단을 요구하며 법정 소송까지 진행 중이라는 점이다. Mythos는 보안 취약점 스캔에 주로 쓰이는데, 공격적 사이버 능력이 너무 강력해서 Anthropic이 40개 기관에만 제한적으로 접근을 허용한 모델이다. NSA는 공개되지 않은 접근 기관 중 하나로 알려졌다. Anthropic CEO는 지난 금요일 백악관 비서실장, 재무장관과 만나 정부 내 Mythos 활용 방안을 논의했고, 양측 모두 "생산적"이었다고 평가했다. 결국 사이버 보안 필요성이 국방부와 Anthropic 간 갈등보다 우선시되고 있는 셈이다.

군은 법정에서 "Anthropic 도구 사용이 국가 안보를 위협한다"고 주장하면서, 동시에 그 도구를 더 광범위하게 쓰고 있다.

AI 윤리와 국가 안보의 충돌이 정부 내부에서도 일관되지 않은 정책으로 나타나고 있다. Anthropic이 대량 감시와 자율 무기 개발을 거부한 게 갈등의 핵심인데, 정작 사이버 방어 같은 실질적 필요 앞에서는 그 원칙이 협상 가능해 보인다. 최첨단 AI 모델을 둘러싼 정부-민간 관계의 복잡성을 보여주는 사례다.

어 정확한 분석이 어렵습니다. 필요한 것: 원문 링크가 작동하는 상태이거나, 실제 기사 본문이 제공되어야 제대로 된 브리핑을 만들 수 있습니다. 가능하다면 해당 트위터 스레드의 스크린샷이나 다른 출처(HackerNews 댓글란, 관련 보도 등)를 통해 내용을 확인해주시면 좋겠습니다.

소프트웨어 세계에서 반복되는 실패 패턴을 정면으로 비판하는 글이다. 개발자들은 사람들과 대화하고 경청하는 대신 "프레임워크", "시스템", "소시오-테크니컬 시스템" 같은 용어로 포장해 문제를 회피한다. 저자는 "더 나은 시스템이 필요한 게 아니라 당신이 일을 회피하고 있는 것"이라고 지적한다. 진짜 문제는 경청이 훨씬 어렵다는 점이다. 글은 경청을 방해하는 9가지 함정을 나열한다. 사람들이 말하는 걸 그대로 구현하는 게 경청이 아니라는 점, 자신의 전문성이 세계관을 왜곡한다는 점, "기술적"을 단일 개념으로 보는 오류, 모든 사람이 같은 자원을 가졌다고 가정하는 실수, 사람과 조직이 고정돼 있다고 믿는 착각 등이다. 결과는 명확하다. 제대로 듣지 못하면 가장 큰 돈을 벌 기회를 놓치고, 경쟁에서 밀리며, 기술 부채까지 쌓인다. 모든 오해가 코드에 새로운 짐을 추가하기 때문이다.

"B2B가 B2C보다 더 인간적"이라는 역설. 조직 내 관계, 역학, 암묵적 권력 구조 때문에 80명의 집단은 80배 확대된 개인이 아니다.

AI와 자동화가 확산되면서 엔지니어들은 더욱 "시스템적 솔루션"에 의존하려는 유혹에 빠진다. 하지만 이 글은 근본적 문제를 찌른다. 기술 부채, 제품 실패, 사용자 불만의 상당 부분이 사실은 경청 부재에서 온다는 것. Claude Design 같은 도구가 나와도, 결국 사람을 이해하지 못하면 잘못된 걸 효율적으로 만들 뿐이다.

-> 2026-04-18 | The scientific case for being nice to your chatbot

Vercel이 일요일 내부 시스템 침해를 공개했다. 조사 결과 공격은 제3자 AI 도구의 Google Workspace OAuth 앱 손상에서 시작됐는데, 수백 명의 사용자에게 영향을 준 광범위한 공격의 일부였다. Context라는 AI 제공업체가 후속 성명을 냈는데, 핵심은 이렇다. 한 Vercel 직원이 개인 계정으로 Context의 AI Office Suite에 가입하면서 'Allow All' 권한을 부여했고, Vercel의 OAuth 설정이 이를 허용해 회사 전체 Google Workspace에 광범위한 권한이 부여됐다. 공격자는 3월에 Context의 AWS 환경에 침투해 OAuth 토큰을 탈취했고, 이를 통해 Vercel 시스템에 접근했다. Vercel은 제한된 고객들에게 영향이 있다고 밝혔고, 로그 확인과 환경변수 교체를 권고했다.

Context는 Vercel의 고객이 아니었다. 단지 한 명의 직원이 회사 이메일로 무료 AI 도구에 가입하고 모든 권한을 허용했을 뿐인데, 그게 전사 시스템 침해로 이어졌다. 현대 클라우드 보안의 가장 약한 고리는 여전히 사람이다.

AI 도구가 폭발적으로 증가하면서 직원들이 업무 효율을 위해 제3자 서비스를 자유롭게 연결하는 상황이 보편화됐다. 하지만 OAuth 권한 관리와 섀도우 IT 통제는 여전히 허술하다. 특히 AI 워크로드에 집중하는 Vercel 같은 회사조차 이런 공격에 당했다는 건, AI 시대의 공급망 보안이 얼마나 복잡해졌는지를 보여준다. 앞으로 며칠간 관련 침해 사례들이 더 나올 가능성이 높다.

-> 2026-04-18 The scientific case for being nice to your chatbot