클라우드 보안기준, CSAP와 합 맞을까
https://www.dt.co.kr/contents.html?article_no=2024033102109931081001&ref=naver
- CSAP : KISA에서 발급하는 클라우드 서비스 보안 인증
- CSAP 등급제가 자리잡으려면 공공 클라우드 수요와 그에 상응하는 예산이 충분히 뒷받침돼야 하는 것은 물론, 관계부처 간 원활한 소통과 협업으로 제도의 실효성이 담보되어야 함
- 획득해도 별 이점이 없는 인증으로 전략할 경우 공공 클라우드 네이티브 전환과 디지털 플랫폼 정부 구현에서 멀어질 것으로 예상
AT&T, 7300만 고객 데이터 다크웹에 유출
- 미국 대형 통신업체 AT&T가 보유한 7300만명의 고객 데이터가 다크웹으로 유출
- 760만개의 현재 계정 사용자와 약 6540만명의 과거 고객의 개인 데이터가 2주전쯤 다크웹에 유출
- 미국에서 주민번호처럼 사용되는 사회안전보장 번호 등이 포함
PyPI를 임시 중단시키기까지 한 대형 공급망 공격
https://www.boannews.com/media/view.asp?idx=128332&page=2&kind=1
- 이선 생태계에서 큰 인기를 누리고 있는 리포지터리인 PyPI에 멀웨어를 업로드 하려는 시도가 다시 한 번 적발
- 암호화폐 지갑 크리덴셜이나 브라우저 쿠키 정보 등을 훔치는 기능을 가진 패키지들이었던 것으로 분석
- 공급망 공격은 개발자가 취약점을 인지하지 못하고 애플리케이션에 심을 시 일파만파 퍼져나갈 수 있으므로 매우 위험도가 높음
- 정보 탈취는 조용히 이루어지므로 알아차리기 어려울 수 있음
개인정보보호 강화 추세... 금융권 ISMS-P 점검항목 어떻게 개정됐나
https://www.boannews.com/media/view.asp?idx=128291&page=3&kind=2
- 금융권 ISMS-P 세부점검항목 개정
- 관리체계 수립 및 운영 등 점검항목 증가
- 금융권에 적합한 ISMS-P 인증기준 점검항목과 금융권 주요 컴플라이언스 반영
- 개인정보와 중요정보 표시제한 정책 수립 등 추가
[매일경제] “내 돈 지켜줄 무기 나온다”…해킹에도 끄떡 없는 시스템 뭔가 보니
https://www.mk.co.kr/news/economy/10978940
- 금융위원회가 선불충전금 잔액 정보를 실시간으로 보관해 화재, 해킹 같은 사고 발생 시에도 소비자에게 정확한 금액을 환급할 수 있도록 하는 방안을 추진
- ‘머지포인트’ 같은 사태의 재발을 막고 충전금 관련 소비자 보호를 더 강화하겠다는 취지
- 외부 기록·관리 시스템은 소비자들에게 충전금이 정확하게 환급되도록 일종의 ‘백업 데이터’를 만들겠다는 취지
- 제로 트러스(Zero Trust) 원칙 하에서 소비자 보호를 강화하기 위한 방안을 검토하고 있는 것
[보안뉴스] [2024 제로트러스트-시스템 보안 리포트] 시스템 노리는 사이버 위협의 해결사
https://www.boannews.com/media/view.asp?idx=128230&page=1&kind=3
- 클라우드 전환과 개인정보보호법 강화에 따른 제로트러스트 시스템 보안 니즈 늘어
- 금융당국은 2023년부터 금융분야의 클라우드와 망분리 규제를 완화 → 네트워크 보안 난이도 향상
- 비용 절감이나 서비스 안정성을 위해 멀티 클라우드나 마이크로 서비스 아키텍처(MSA) 형태로 구성되면서 각 서비스가 독립적으로 구현돼 모든 요청(접근)에 대한 검증을 요구하는 제로트러스트 시스템 보안이 필요하게 된 것
- 개인정보보호법 강화에 따른 내부 직원의 개인정보 유출방지 방안을 마련하기 위함 → 세션이나 다중인증
- 제로트러스트 개념 도입을 위한 전체적인 인프라 설계와 연계 표준 설정이 가장 어려운 부분
- 솔루션이라면 부분적인 기능추가 수준이 아닌 전면적인 제품 구조 개편이 필요하나,
- 네트워크 트래픽이 많은 환경에서는 성능 저하가 발생할 수 있으며, 이를 해결하기 위한 운영 비용이 증가함
[보안뉴스] [카드뉴스] ‘오래된 위협, 그러나 여전히 강력한’ SQL 인젝션
https://www.boannews.com/media/view.asp?idx=128286&page=3&kind=5
- SQL Injection: 공격자가 입력폼에 악의적으로 조작된 쿼리를 삽입하여 데이터베이스 정보를 불법적으로 열람하거나 조작할 수 있는 취약점
- 웹 사이트 콘텐츠 관리를 위한 워드프레스 얼티밋 멤버 플러그인에서 취약점 발견
- Error based SQL Injection: 논리적 에러를 활용한 SQL 인젝션
- Union SQL Injection: Union 명령어를 활용한 SQL 인젝션
- Blind SQL Injection: Boolean based SQL 인젝션
- 대응방안
- 입력값 검증
- 웹 방화벽 활용
- Prepared Statement
- 원시 에러 미출력
[보안뉴스] 北 김수키, 공공기관 설치 파일로 위장한 악성코드 유포
https://www.boannews.com/media/view.asp?idx=128428&page=1&kind=1
- 북한의 김수키 공공기관 설치 파일로 위장, 국내 유효 인증서 도용한 악성코드 유포
- 드로퍼 백도어 악성코드인 엔도어 설치
- 시스템 전송 및 악성 행위 진행
- 기존 프로그램을 모방한 것이 아닌 정상 프로그램처럼 보이도록 위장한 것
[보안뉴스] 영향력 높은 아이폰 사용자들 골라서 노리는 캠페인, 다중인증도 뚫어내
https://www.boannews.com/media/view.asp?idx=128437&page=1&kind=1
- 주요 기밀을 사용하는 인물들의 아이폰을 노리는 공격 발생
- 다중 인증 반복 요구
- 최종 목표는 아이클라우드 접속
- 부자연스러운 모든 요청은 거절해야 함
[보안뉴스] 서버 설정 오류로 일부 개인정보 유출시킨 OWASP
https://www.boannews.com/media/view.asp?idx=128432&page=1&kind=1
- OWASP재단(OWASP Foundation)에서 데이터 노출 사고가 발생
- OWASP은 사건의 영향을 받은 개개인들에게 직접 메일을 보내 사안을 알리는 중
- 유출 정보: 이메일, 이름, 전화번호, 거주지 주소 → 이력서 정보
[뉴스1] [단독]테무, 광고 위해 해외 사업자에 회원 정보 넘겨…"동의 안 하면 탈퇴"
https://www.news1.kr/articles/5366852
- 테무는 '해외 사업자에 광고 목적으로 개인정보를 제공하는 규정'을 서비스 사용의 필수 항목으로 가입 약관
- 클라우드 서비스, 물류, 결제, 이메일, 문자, 보안 서비스 등을 이용하기 위해선 회원 정보를 해외 사업자에 넘겨 처리 위탁·보관해야 한다는 취지
- 문제는 테무가 서비스 이용을 위해 반드시 동의해야 할 필수 항목으로 '구글과 메타의 광고를 위한 회원 기기 식별 정보 제공'을 포함했다는 점
- 사용자의 오인과 실수를 이용하는 다크 패턴(눈속임 설계)으로도 볼 수 있음
[뉴시스] 미 사이버보안점검위, "MS 클라우드 보안 매우 취약" 강조
https://www.newsis.com/view/?id=NISX20240403_0002686034&cID=10101&pID=10100
- 마이크로소프트의 클라우드 서비스가 부실한 사이버보안, 느슨한 회사 분위기, 고의적인 투명성 부족으로 취약하다는 비판이 제기
- 마이크로소프트는 이미 여러차례 해킹 피해를 입은 바 있음
- 위원회는 마이크로소프트, 아마존, 구글 등 대형 클라우드 서비스 회사들이 엄청난 공격을 받고 있다면서 보안 조치를 강화해야 한다고 촉구
