기사 한줄요약('22.8.11.): 지난 3월과 4월 해커에 의해 162건의 개인정보가 유출된 온라인 쇼핑몰 발란은 조사 결과 사용하지 않은 관리자 계정 방치 및 개인정보처리시스템 접근 IP 제한 미흡과 같은 개인정보 보호조치가 제대로 되지 않은 것이 밝혀져 개인정보보호위원회로부터 총 5억 1,259 과징금과 1,440만 원의 과태료를 받았다. - 개인정보보호위원회 제13회 전체회의 결과(22.8.10.) : [발란] 총 5억 1259 과징금과 1440만 원의 과태료 부과 유출 상황: 1) 고객 이름, 주소, 휴대전화번호 등 개인정보가 유출 2) 소셜 로그인 기능 오류로 이용자 식별정보가 중복됨에 따라 다른 이용자에게 개인정보가 노출 사고도 발생 위반 사항: 개인정보보호법 위반 - 이용자에게 개인정보 유..
기사 한줄요약('22.8.10.): 9일 수도권에 기록적인 폭우가 발생한 가운데 전원 공급 불안정 원인에 의해 한국투자증권 일부 서버가 15시간이나 중단되어 적시에 주식을 매도 또는 매수해야하는 고객들 피해가 발생하였지만 아직 정확한 원인을 파악하 못하고 있다고 한다. 큰 돈이 오고가고 1분 1초가 중요한 증권가에서 15시간의 서버 마비는 이례적이다. dr센터가 없는지 의문이다. - 기사에 따르면 한투 6층옥상 누수로 4,5층 침수발생하였으나 지하3층 서버실과 상관관계를 못찾았다고한다. 이형두 기자, 한국투자증권, 서버 15시간 '셧다운'...IT관리 능력 '낙제점', 전자신문, https://m.etnews.com/20220809000142?mc=mv_0010_00001 한국투자증권, 서버 15시간 '..
기사 한줄요약('22.8.9.) : 매그니베르 랜섬웨어는 기존 해킹된 광고 서버를 통해 사용자가 의도적 또는 실수로 광고를 클릭하면 악성파일을 다운로드하도록 하는 공격을 하였는데 최근에는 감염률을 높이기 위해 그 파일명을 주기적으로 바꾸는 공격 방식으로 진화하여 각별한 주의가 필요해 보인다. - 기존 악성 파일 명 : Antivirus.Upgrade.Database.Cloud - 지속적으로 변경되는 파일 명 : * 브라우저마다 파일 확장자가 다름(크롬 브라우저 : .cpl 파일 형태, 엣지 브라우저 : .zip 파일) [8월 4일 파일명] ‘Security.Upgrade.Hotfix.Cloud.cpl’ [8월 5일 파일명] ‘Antivirus.Update.Hotfix.KB[랜덤8자리숫자].cpl’ - 대..
기사 한줄요약('22.8.8.) : 트위터 취약점을 공격하여 548만개의 트위터 이용자의 개인정보( 전화번호, 그계정과 연동된 이메일주소)가 다크웹 상에서 거래가 되고 있다고 하여 악용을 막기위해 이중보안 설정이 필요하다고 한다. - 공격에 사용한 취약점 : 누군가 트위터 시스템에 이메일 주소나 전화번호를 제출했을 때 (해당 정보로 가입한 사실이 있을 경우) 어떤 계정과 연결되어 있는지 알려주는 버그 임유경 기자, 트위터, 540만 개 계정 정보 털렸다...3만 달러에 판매 중, Zdnet Korea, https://zdnet.co.kr/view/?no=20220807123357 트위터, 540만 개 계정 정보 털렸다...3만 달러에 판매 중 글로벌 소셜미디어 트위터가 취약점 공격을 통해 540만 개에 ..
기사 한줄요약('22.7.11) : 구글의 최대 수수료 30%를 받는 인앱결제 강제 정책에 따라 '카카오톡'에서는 기존의 가격으로 살수 있는 웹 결제 링크를업데이트에 추가하였지만 구글 앱심사에서 거절로 현재 업데이트 불가 상태이다. [배경] - 구글이 지난달 1일 최대 수수료 30%를 받는 인앱결제 강제 정책 실시 - 수수료를 내지 않아도 되는 웹결재 아웃링크 결재 전면 금지 실시 - 구글 정책에 따르지 않으면, 앱 업데이트 금지 및 구글 플레이에서 퇴출 가능하다 경고 [국내 업체의 대응] - 콘텐츠 플랫폼(네이버, 카카오)에서는 인앱결재 수수료를 반영하여 유료 상품을 최대 30% 인상 - 대신, 일부 서비스는 구글이 아닌 홈페이지를 통해 결재시 기존 가격으로 구매 가능하다는 안내문구와 연결 링크를 삽입..
기사 한줄요약('22.7.9.) : 애플에서 '페가수스'와 같은 해킹 사고를 막기 위해 해킹당할 만한 기능을 원천적으로 제한하는 '록다운(잠금) 모드'를 도입한다고 밝혔다. - 록다운 모드를 실행시 1. 아이폰 문자메시지 미리 보기 기능 차단 2. 메시지 첨부파일 차단 3. 애플 웹브라우저인 사파리의 자바스크립트 제한 4. 화상통화인 페이스타임 비활성화 김성민 특파원, 애플, 정교한 해킹 막는 보안 기능 ‘록다운(잠금) 모드’ 출시, 조선일보, https://www.chosun.com/economy/tech_it/2022/07/08/P266YRYUOVAS3O73YIT2DEYLS4/ 애플, 정교한 해킹 막는 보안 기능 ‘록다운(잠금) 모드’ 출시 애플, 정교한 해킹 막는 보안 기능 록다운잠금 모드 출시 w..
기사 한줄요약('22.6.28.) : '자이' 아파트의 자이스마트홈 월패드에서 서버에서 검증을 수행하지 않아 발생하는 인증 우회 취약점(CVE-2021-26638, CVSS 7.3점)이 발견되어 사용자로 우회해 홈 환경을 조작하고 제어할 수 있는 권한을 취득할 수 있어 3.3.10이상 버전으로 업데이트 조치와 이용 시에 주의가 필요해 보인다. - 공격 : 거주자 인증 과정에서 검증 결과를 로컬 앱 환경 내에서 변조해 사용자 인증 우회 - 영향 : 공격자는 세대주 권한을 탈취해 실내 제어를 비롯한 홈 환경을 모두 조작하거나 제어 가능 - 취약 대상 : 자이S&D가 개발한 S&D스마트홈(스마트케어) 3.2.48 이전 버전 - 조치 방법 : S&D스마트홈(스마트케어) 버전 3.3.10 이상으로 설치 - 월패드..
기사 한줄요약('22.6.23.) : 깃허브(Github)에서 보안 강화를 위해서 앞으로 모든 리포지터리에 다중인증을 기본으로 적용하기로 하였으며 이로인해 기업들에서도 내부사정을 고려하여 이에 알맞는 보안 정책을 설정하여 도입해야할 것이다. - 앞으로 조직의 IT 부문이 할일 : 1) 다중인증을 도입 2) 다중인증과의 호환성높고이고 보안성이 좋은 아키텍처를 구성 - 하지만, 보안강화로 모든 시스템을 바꾸기는 어렵기 때문에 민감하고 중요한 정보들이 있는 곳부터 적용해야한다. * MS 애저 : 78%가 다중인증 사용 안함 - 다중인증은 보안을위해 불편을 감수해야 함 문가용 기자, 과감한 다중인증 결정을 내린 깃허브에 박수를 보낸다, 보안뉴스, https://m.boannews.com/html/detail.h..
