DURUAN

닫기
제품/견적문의

제품/견적문의

TOP

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2024년 6월 4주 동향 보도일|2024.06.24 조회수|2203

The Hacker News 발췌문

Signal Foundation Warns Against EU's Plan to Scan Private Messages for CSAM (2024-06-18)

 

l CSAM(아동 성적 학대 자료)을 탐지하기 위해 사용자의 개인 메시지를 스캔하라는 유럽 연합의 논란의 여지가 있는 제안은 E2EE(종단 간 암호화)에 심각한 위험을 초래한다고 Signal Foundation의 Meredith Whittaker 회장이 경고했습니다. 같은 이름의 개인 정보 보호 중심 메시징 서비스를 유지 관리합니다.

l 휘태커는 월요일 성명을 통해 "개인 통신에 대한 대량 스캔을 의무화하는 것은 근본적으로 암호화를 약화시킨다. 전면 중지"라고 말했다.

l "예를 들어 암호화 알고리즘의 난수 생성을 조작하거나 키 에스크로 시스템을 구현하거나 통신이 암호화되기 전에 감시 시스템을 통과하도록 강제하여 이러한 일이 발생합니다."

l 뉴스보기

What is DevSecOps and Why is it Essential for Secure Software Delivery? (2024-06-17)

l 전통적인 애플리케이션 보안 방식은 현대 DevOps 세계에서는 효과적이지 않습니다. 소프트웨어 제공 수명주기가 끝날 때(서비스 배포 직전 또는 직후)에만 보안 검색을 실행하면 취약점을 컴파일하고 수정하는 후속 프로세스로 인해 개발자에게 막대한 오버헤드가 발생합니다. 속도를 저하시키고 생산 기한을 위험에 빠뜨리는 오버헤드입니다.

l 모든 소프트웨어 구성 요소의 무결성을 보장해야 하는 규제 압력도 급격히 높아지고 있습니다. 애플리케이션은 점점 더 많은 오픈 소스 소프트웨어(OSS) 구성 요소와 기타 타사 아티팩트를 사용하여 구축되며, 이들 각각은 애플리케이션에 새로운 취약점을 초래할 수 있습니다. 공격자는 이러한 구성 요소의 취약점을 악용하려고 하며, 이로 인해 소프트웨어 소비자도 위험에 빠지게 됩니다.

l 뉴스보기

Kraken Crypto Exchange Hit by Million Theft Exploiting Zero-Day Flaw (2024-06-19)

l 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 자사 플랫폼의 '매우 치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔치고 반환을 거부했다고 밝혔습니다.

l 사건의 세부 사항은 Kraken의 최고 보안 책임자인 Nick Percoco가 X(이전 Twitter)에서 공유했으며, 연구원으로부터 "우리 플랫폼에서 잔고를 인위적으로 부풀릴 수 있게 하는" 버그에 대한 버그 바운티 프로그램 경고를 받았다고 밝혔습니다. 기타 세부정보 공유

l 경고를 받은 지 몇 분 만에 회사는 공격자가 본질적으로 "우리 플랫폼에 예금을 시작하고 예금을 완전히 완료하지 않은 채 자신의 계좌로 자금을 받을 수 있도록" 허용하는 보안 문제를 확인했다고 밝혔습니다.

l 뉴스보기

 

KISA보안공지

- Broadcom 제품 보안 업데이트 권고

- SolarWinds 제품 보안 업데이트 권고

 

기타 동향

거제시 이어 경기도 산하 홈피까지 개인정보 노출 위험 드러나... 지자체 보안 부실은 외주 ? (2024-06-21)

 

l 거제 통합채용 홈페이지·경기 청년 노동자 통장 신청 페이지에서 개인정보 노출 위험 발견

l 외부 업체 통해 제작 및 운영 관리하는 페이지로 드러나

l 지자체·공공기관도 CISO 자격요건 구체화, 상급 기관에서 보안수준 관리 등 보안 내재화 필요

l 뉴스보기

[긴급] 한국 정부 사이트 22개 타깃으로 디도스 공격 시도 포착... 러시아 해커 소행 주장 (2024-06-18)

l UTC 기준 12일 7개, 13일 3개, 15일 2개, 17일 10개 총 22개 사이트 디도스 공격 포착

l 러시아 해커 그룹, 우크라이나 지원에 불만 품고 디도스 공격 감행했다고 주장

l 18일 현재 모든 사이트 정상 운영중...철저한 모니터링과 긴밀한 협업 필요

l 뉴스보기

 

개막 40일 앞으로! 2024 파리 올림픽 겨냥한 사이버 위협 5가지 (2024-06-17)

l 사이버 스파이, 정보 작전, 금전목적 공격 등 올림픽 기간 사이버공격 우려 커져

l 시스템 마비, 데이터 파괴 공격, 특정 이념 주장 위한 핵티비즘, 허위정보 유포, 여론 조작 등

l 올림픽 조직위원회와 스폰서, 티켓 시스템, 파리 사회기반시설, 참가선수 등에 영향 미칠 수 있어

l 뉴스보기