기사 한줄요약('22.12.15.) : 취약점 관리를 위해서 NVD(국가 취약점 데이터베이스)를 이용해 SW에 고유의 CPE 번호 부여가 중요한데 CPE번호 부여하고 명명하는 데에 수많은 문제점들이 있어 취약점 관리 시스템의 관리가 어렵다고 한다. [현존하는 취약점 관리 시스템 문제점] 1. NVD가 CVE를 부여하지만 공급기 한 번도 취약점을 등록하지 않고, CVE번호 발행이 된 적이 없으면 NVD가 존재하지 않음 2. CPE 이름을 등록할 때 오류 확인 기능이 존재하지 않음 3. 시간이 지나며 제품 및 회사 이름 변경 4. 기업을 명칭 하는데 다양판 이름이 있음 5. 다양한 사람들이 중구난방으로 CPE를 등록하여 하나의 제품이 여러 개의 CPE 존재 가능 6. 취약점들은 모듈 하나의 라이브러리에 영향..
■ 유출 내용 : ■ 조치 완료 내용 : 기사 한줄요약('22.12.14.) : NHN의 간편 결제 수단인 페이코(PAYCO)의 서명키가 유출이 지난 8월 1일부터 11월 30일까지 4개월 동안 이어졌으며 유출된 서명키를 통해 생성된 악성코드는 5,144건 탐지되었으며, 6일 자로 신규 서명키가 적용되었다고 한다. 기존 설치자도 정상적인 경로를 통해 설치했을 경우 문제는 없다고 하나 완벽하게 안전한 것은 아니기 때문에 빠르게 업데이트하는 게 좋을 거 같다. 1. 김영명 기자, NHN 간편결제 앱 페이코 서명키 유출... “개인정보 유출은 없어”, 보안뉴스, https://m.boannews.com/html/detail.html?mtype=1&idx=112278 NHN 간편결제 앱 페이코 서명키 유출.....
기사 한줄요약('22.12.13.) : 유럽 최고 법원인 유럽사법재판소(CJEU)에서 구글 등 IT기업에서 '잊혀질 권리'에 대한 범위가 확대되었는데, 그 내용은 검색 결과가 명백하게 잘못됐다고 증명되면 해당 정보를 삭제해야 한다는 것이다. * 잊혀질 권리 : 내가 수집을 동의한 개인정보를 삭제할 것을 요구하는 권한인 '개인정보 삭제 청구권' 최경미 기자, "구글, 명백히 잘못된 정보 삭제해야"…유럽 최고 법원 판결, BLOTER, https://www.bloter.net/newsView/blt202212090003 "구글, 명백히 잘못된 정보 삭제해야"…유럽 최고 법원 판결 유럽에서 구글 등 온라인 검색 서비스 업체들이 부정확하다는 것이 증명된 정보를 검색 결과에서 삭제해야 한다는 판결이 나오며 '잊혀..
기사 한줄요약('22.12.12.) : 애플이 아이클라우드를 위한 고급 데이터 보호 기능(Advanced Data Protection for iCloud)을 출시하여 민감한 데이터 보호를 위해 종단 간 암호화하는 방식을 이용하여 프라이버시를 강화토록 하여 프라이버시를 중요시하는 사용자들에게 좋은 소식이지만, 사법기관에서는 클라우드를 조사할 방법이 사라지게 되는 것이여서 미국 FBI는 이를 우려하고 있다고 한다. - ADP 기능 활성화 시 : 1) 암호화된 클라우드 데이터가 사용자가 지정한 기계에서만 복호화 2) 아이클라우드 내 각종 메시지, 사진, 연락처, 메일, 일정 관련 정보들이 보호 - 적용 버전 : iOS 16.2, iPadOS 16.2, 맥 OS 13.1부터 선택하여 사용 가능 문가용 기자, 애..
기사 한줄요약('22.12.9.) : 과학기술정보통신부는 보이스피싱 방지를 위해 불법으로 번호변작 중계기(심박스)를 기존의 직접 단속하는 방식에서 즉시 네트워크 기반으로 차단하는 방식으로 변경 등 다양한 방법 제시를 통해 보이스피싱 근절을 시도하고 있다. [범정부 보이스피싱 대응 방안에 따라 후속조치를 내용] : - 네트워크 기반으로 즉시 차단 - 기존 전기통신사업법 개정 : 단말기 고유번호(IMEI) 기반으로 도난된 장비뿐만이 아니라 전기통신금융사기에 사용된 장비도 차단 가능 - 전화번호 일부분만 일치해도 저장된 이름이 표기되는 문제를 개선 - 국외발신 안내를 한층 더 강화할 예정 - 보이스피싱 미끼문자 신고도 도입 ; 신고 방법 간편하게 변경 - 최초 불법문자 발송지를 신속히 확인토록 함 - 대포폰 ..
기사 한줄요약('22.12.8.) : 구글이 최근 4년간 기존의 메모리 취약점이 있던 언어인 C, C++ 대신 안전한 언어 러스트, 자바, 코클린을 이용하여 안드로이드 운영체제를 개발한 결과 취약점 심각도가 4년 전을 시점으로 줄어들어 상당한 인과관계가 있는 것으로 추정되어 추후에는 취약한 언어로 개발된 코드를 안전한 언어로 마이그레이션 할 계획이라고 밝혔다. 해당 추정이 맞다면 안드로이드뿐만이 아니라 현재 개발되어 있는 많은 소프트웨어 및 앞으로 개발될 다양한 코드는 안전한 언어를 우선순위로 작성돼야 할 거 같다. 남혁우 기자, 구글, 메모리 안전언어로 안드로이드 보안 취약점 감소, Zdnet Korea, https://zdnet.co.kr/view/?no=20221205093322#_enliple 구..
기사 한줄요약('22.12.7.) : 현대자동차의 차량 원격 앱 API에서 발견된 사용자 인증 취약점과 시리우스XM 기반의 차량 앱에서 통신 시 요청 값을 변조 할 수 있는 취약점이 발견되어 공격한다면 해커 마음대로 자동차를 조작할 수 있어, 스마트 카의 편리함 뒤에는 위험성도 있다는 것을 보여주었다. 문가용 기자, 현대, 제네시스, 시리우스 차량의 웹 애플리케이션에서 중대한 취약점 발견돼, 보안뉴스, https://m.boannews.com/html/detail.html?tab_type=1&idx=112251 현대, 제네시스, 시리우스 차량의 웹 애플리케이션에서 중대한 취약점 발견돼 먼 곳에서부터 자동차의 시동을 걸게 해 주고 잠금 장치를 해제시켜 주는 편리한 운전자 앱에서 보안 취약점들이 발견됐다. ..
기사 한줄요약('22.12.06) : 정부의 점검결과 이동통신 3사의 기지국 수가 5G 주파수 할당 조건의 10%밖에 미치지 못하여 KT, LG U+ 는 주파수 할당이 취소되었고, SK는 주파수 이용 기간이 6개월 단축되는 조치가 나온 것을 통해 기술은 제대로 제공하지 못하지 않고 수익만 내고 이동통신사에 경종을 울리는 사건이 되었다. - 이동통신 3사의 5G 구축 당시 조건 : 2022년까지 28GHz 주파수 각 1만 5000개 장치 구축 - 5G의 3.5GHz 대역은 모두 90점 이상이지만, 5G 기술의 주가 되는 28GH 대역은 SK 30.5, LG U+ 28.9, KT 27.3점을 받음 - 5G 가입자 확대로 수익은 연간 4조 원이 임박하지만 인프라 투자를 게을리하고 있음. 박지혜 기자, "[기자..
