80만 유튜브 계정을 해킹해 인포스틸러 유포
https://www.boannews.com/media/view.asp?idx=128626&page=1&kind=1
- 유명 유튜브 계정을 해킹해 인포스틸러(Infostealer) 악성코드를 유포하는 사례가 발견
- 어도비 등 상용 프로그램의 크랙 버전으로 위장해 악성코드를 유포하고 있어 각별한 주의 요구
- 최근 유튜브를 통해 유포된 악성코드는 Vidar(비다르), LummaC2(룸마C2) 등 모두 인포스틸러
- 상용 프로그램의 크랙 버전을 위장했다는 특징 보임
- 불법 프로그램 다운로드를 지양해야 하는 이유
- 인포스틸러란?
- 탈취형 악성코드로 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보를 탈취하는 것이 목적인 악성코드
- 악성 사이트를 유포 경로로 하거나 스팸 메일의 첨부 파일을 통해 유포
미국의 대형 도소매 홈데포, 데이터 유출 사고 겪은 듯
https://www.boannews.com/media/view.asp?idx=128615&page=1&kind=1
- 미국의 대형 도소매 업체인 홈데포(Home Depot)에서 데이터 유출 사고가 발생
- 홈데포에 기술을 제공하던 서드파티 SaaS 전문 업체가 침해를 당해 피해가 확대된 것
- 1만 명의 홈데포 직원들의 개인정보를 탈취했다고 주장
美여야, '빅브라더 우려' 빅테크 잡을 개인정보보호 법안 합의
https://www.yna.co.kr/view/AKR20240408146300009?input=1195m
- 구글, 메타, 틱톡 겨냥 진전없던 연방법 제정 추진
- 개인정보를 무분별하게 수집·활용하는 것을 막기 위한 연방 차원의 포괄적 개인정보 보호법안American Privacy Rights Act·APRA)에 합의
- 기업 정보수집 최소화, 사용자에게 자기정보 통제권 부여
- 기업들이 수집·보유·활용하는 개인정보의 범위를 해당 기업에서 제공하는 제품·서비스에 필요한 데이터로 최소화
- 사용자 개인은 자신의 개인정보에 대한 접근, 수정, 삭제, 이전 권한을 보장받으며 표적 광고 등 개인정보에 기반한 관행을 거부할 수 있음
- 기업이 개인정보 침해로 상당한 피해를 야기한 경우 '강제 중재(Mandatory Arbitration)'를 금지함
- 기업들이 중요 데이터를 제삼자에게 이전하려면 사전에 사용자의 명시적 동의를 받아야 함 등
- 11월 대선과 함께 치러지는 상·하원의원 선거 전까지 가결될 수 있을지는 미지수
날로 대담해지는 '데이터 납치'…제로 트러스트 모르면 다 뚫린다
https://www.hankyung.com/article/2024040864161
- AI 시대 기존과 다른 보안 모델 도입 시급
- 국내 기업 대다수 ‘제로트러스트 개념’ 모르며, 정보보호공시 기업 200곳 중 6.5%만 인식하고 있음
- 제로 트러스트는 시스템 접근부터 데이터 열람까지 신원 확인과 검증을 반복하는 새로운 보안 체계
- 기본 전제: 아무도 믿지 말라
- 서버, 컴퓨팅, 데이터 등을 각각 분리 보호하여 특정 시스템이 뚫리더라도 다른 시스템은 지킬 수 있음
- 신원이 확실한 자도 최소한의 접근 권한만 부여 → 내부자와 공조 방어
현대오토에버 이훈호 팀장 “자동차 제조 혁신으로 공급망 보안 중요성 커져”
https://www.boannews.com/media/view.asp?idx=128573&page=1&kind=3
- 현대오토에버가 소프트웨어 공급 생태계 전반의 보안 수준을 끌어올리는 목적은 협력사에서 자동차 부품 제조업체까지 대상을 넓혀 자동차 산업을 안전하게 보호하기 위함
- 보안은 조직과 역할, 프로세스와 절차가 필요
- 협력사 중 보안 조직이 없거나 프로세스, 기술에 미흡한 경우 현대오토에버가 이를 지원할 예정
- 보안에서 가장 중요한 점 : 사용자(임직원)들이 얼마나 보안을 잘 준수하는가
- 한순간의 캠페인이 아니고 지속성 있게 내재화할 수 있도록 지원하는 게 필수
[보안뉴스] 현역 보안 전문가, 암호화폐 거래소 털었다가 덜미 잡혀
https://www.boannews.com/media/view.asp?idx=128840&page=1&kind=1
- 과거 보안 엔지니어로 일했던 인물, 미 암호화폐 거래소를 해킹해 3년 징역형 선고
- 두 차례에 걸쳐 1230만 달러 이상을 탈취
- 리버스 엔지니어링, 스마트 컨트랙트, 블록체인 분야의 전문가였음
- 거래소들의 스마트 컨트랙트 계약서에서취약점을 발견했으며 익스플로잇 방법까지 개발해냄
[한국경제] "매년 40% 성장" 전망…이통3사 다 뛰어든 '해킹불가 기술' 뭐길래
https://www.hankyung.com/article/202404151728g
- 이동통신사 3사 ‘양자암호통신시스템’ 통신 보안 대응 해결책으로 낙점
- 양자 컴퓨터는 기존에 해독이 10억년 걸리던 암호문을 100초만에 해독하며 공개키 암호체계를 위협
- 대안으로 떠오른 양자 암호시스템은 기존 송신자와 수신자 사이에서만 주고받던 암호키가 복제되는 상황을 원천 차단
- 양자 암호 기술은 수신하는 순간 정보값이 결정되므로 송수신 과정에서 암호키 정보가 탈취될 경우에도 안전
- 외부 침투 시 정보가 변하기 때문에 해킹 시도 여부도 곧장 파악 가능
- 양자암호통신 수요는 꾸준히 늘어날 전망
- '양자정보기술백서'에 따르면 양자암호통신 글로벌 시장 규모는 2022년 이후 연평균 39.8% 증가해 2030년에는 24조5793억원 규모로 확대될 것으로 예상
[뉴시스] 일본 정부, 구글·애플 겨냥 규제 검토…"보안 강화 조치 등 요구"
https://www.newsis.com/view/?id=NISX20240415_0002699091&cID=10101&pID=10100
- 일본 정부는 거대 IT기업을 규제하는 새로운 법률안을 검토중에 있음
- 규제대상 기업이 경쟁사의 앱스토어 이용을 막는 행위 등을 금지할 방침이지만, 타사 서비스의 경우에는 충분한 보안 대책 등을 취할 수 없다는 우려도 있음
- 법안 내용
- 규제 대상 기업이 보안과 사생활, 청소년 보호 등을 위해 필요한 조치를 취할 수 있도록 함
- 공정거래위원회가 어떤 조치가 허용되는지 명확히 가이드라인 제시
- 악성 소프트웨어 등의 정보를 소비자에게 제공하는 것을 검토
[서울경제] 피싱메일에 딥페이크 기술까지…'생성형 AI'로 진화하는 北해킹
https://www.sedaily.com/NewsView/2D7X8LMOFI
- 북한이 인공지능 등 첨단기술을 활용해 사이버 공격 수위를 높일 수 있다는 우려가 커지고 있음
- 11월 미국 대통령 선거를 앞두고 딥페이크나 가짜뉴스 유포 시도가 잇따를 수 있다는 예측
- 북한이 AI 기술로 만든 ‘딥페이크’ 콘텐츠로 사회 혼란을 일으킬 것이라는 관측도 일각에서 제기
- 유엔 회원국들은 지난달 21일(현지 시간) 미국 뉴욕 유엔본부에서 총회를 열고 AI의 안전한 사용에 관한 국제적인 합의를 시급히 마련해야 한다는 내용의 결의를 만장일치로 채택
[보안뉴스] 웹3 게임 개발자들, 암호화폐 노리는 피싱 공격의 표적이 되고 있어
https://www.boannews.com/media/view.asp?idx=128918&page=1&kind=1
- 러시아어를 기반으로 한 사이버 공격 캠페인이 Web3.0 생태계에서 진행 중
- Web3.0 게임 개발자와 사용자들의 각별한 주의 요구
- 목적은 피해자들이나 개발사들을 속여 암호화폐 지갑에서 돈을 훔쳐내는 것
- 트랩 피싱 공격 사용
- 기존 Web3.0 프로젝트와 똑같은 프로젝트를 만들어 피해자들이 걸려들기를 기다리는 것
- 사용자 개개인이 경계심을 유지하여 공격 시도를 알아채는 것이 중요
- 정보 탈취형 멀웨어인 아토믹, 라다만티스, 라이즈프로 등을 탐지할 수 있도록 엔드포인트 방어 솔루션과 백신을 업데이트 하는 것도 필요
[보안뉴스]코드 서명 절차를 안전하게 유지시키기 위한 8가지 보안 전략
https://www.boannews.com/media/view.asp?idx=128181&page=1&kind=4
- 코드서명 : 소프트웨어나 펌웨어, 애플리케이션들에 말 그대로 서명을 하는 것
- 사용자들은 그 소프트웨어나 펌웨어, 애플리케이션을 구성하고 있는 코드가 신뢰할 수 있는 것이라고 인지할 수 있음
- 서명 절차가 남용될 수 있다는 것은 코드서명을 더이상 신뢰할 수 없다는 의미
- 코드 서명의 안전성 유지를 위해 지켜야 할 실천사항
- 키 보호: 서명에 사용되는 키들은 안전한 위치에 저장해야 함
- 접근 제어: 역할에 따라 키 접근을 허용해주거나 막는 것이 중요
- 비밀 키 순환: 서명 키를 주기적으로 교체
- 타임스탬프: 인증서가 제대로 된 것인지, 유효한 것인지 타임스탬프 찍기
- 코드 무결성 확인: 최종 빌드 전 코드 점검 수행
- 관리의 중앙화
- 정책의 강력한 시행
- 코드 서명의 간소화
