기사 한줄요약(22.3.8.): 앞으로는 개발 단계의 다양한 경로를 통해 공격이 가능한 '소프트웨어 공급망 공격(Software Supply Chain Attack)'이 주요 트렌드가 될 수 있어 주의가 필요하다. 이는 소프트웨어를 구성하는 모든 요소를 투명하게 밝히는 '소프트웨어 물자표(Software Bill of Material, SBoM)'와 공급망 내 신뢰를 깨부수지 못하도록 이중 인증 방식으로 '제로 트러스트(Zero Trust)' 도입하여 공격을 예방함으로써 안전한 소프트웨어 개발을 가능하게 할 것입니다. 원본 : 체탄 코니키(Chetan Conikee), CTO, ShiftLeft 문가용 기자, "2022년 보안 업계가 주목할 분야는 소프트웨어 공급망 보안", 보안뉴스, http://www..
기사 한줄요약(22.3.7.): 삼성 스마트폰에서 연이은 논란이 일어나고 있다. GOS기능으로 최신 기기의 발열 문제를 강제로 성능을 낮춰 해결을 하면서 비싼 가격의 제품을 온전히 쓸 수 없어 논란이 되고있을 뿐만 아니라 이 GOS 기능 자체가 원격으로 조절 가능 할 수 있는 것 아니냐는 백도어 의혹도 일고 있다. 게다가 며칠 전에는 해킹조직 랩서스(LAPSUS$)에서는 삼성전자 소스코드(녹스와 생체인식, 부트로더의 소스코드와 삼성 기기 활성화 인증 서버 코드 및 삼성 계정 관련 코드들이 포함) 190GB를 탈취해 P2P사이트를 통해서 유포하고 있다고 하여 기술과 보안상 구멍이 생길 수 있어 앞으로 삼성전자에서 이 난관을 어떻게 대처해 나갈지 궁금하다. 문가용 기자, "삼성 갤럭시 스마트폰, 3연속 악재..
기사 한줄요약(22.3.5.): 러시아의 우크라이나 침공 이후 전세계의 민간 IT 기업들도 전쟁에 직•간접적으로 영향을 미치기 시작했다. 우선 구글은 지도상에서 우크라이나 실시간 상황을 보여주지 않으며, 메타와 트위터는 가짜뉴스 삭제와 광고 수익 창출 금지, 스페이스X의 일론 머스크는 스타링크 위성을 통한 인터넷망을 지원을 해주고 있다. 이외에도 많은 기업들이 우크라이나에는 추가적으로 지원를 하고 있다면 반대로 러시아에서는 구글•애플 페이같은 서비스를 중단시키는 등의 제제를 가하고 있다. 이번 전쟁을 계기로 현대전에서의 IT 기업들의 영향력과 파급력은 국경을 넘고 크다는 걸 느낄 수 있었다. 우리나라도 사이버전에 대한 대비가 필요해 보인다. 송현서 기자, "구글은 지도 가리고, 테슬라는 인터넷 띄우고…우..
기사 한줄요약(22.3.4.): 3월 3일 개인정보보호위원회는 상당수 시민들이 동의서·안내문을 제대로 읽지 않은 채 개인정보 활용에 동의하는 것으로 확인하면서 개인정보 처리자가 개인정보 처리 동의를 받을 때 준수해야 할 주요 사항을 담은 '알기 쉬운 개인정보 처리 동의 안내서'와 '개인정보 처리방침 작성 지침'을 발표하였다. [ 가이드라인 내용 ] - 민감정보를 수집·처리할 경우 관련 내용을 다른 내용보다 20% 이상 큰 글자 - 개인정보는 필요할 때 최소한의 정보를 대상으로만 동의를 받아야 한다. - 개인정보 수집을 동의하지 않는 고객에게도 재화·서비스 제공 거부 등 불이익을 줘서는 안 된다 - 개인정보 처리자는 고객 개인정보를 해외로 이전할 경우 어떤 개인정보가 어느 국가에, 어떤 목적으로 이전되는지..
알기쉬운 개인정보 처리 동의 안내서(2022.3.) - 출처 : 개인정보보호위원회 ( https://www.pipc.go.kr/np/ ) 22년 3월 3일 개인정보보호위원회 홈페이지에 올라온 '알기쉬운 개인정보 처리 동의 안내서' 가이드라인입니다. 이 안내서가 발간되면서 기존에 발간되었던 '개인정보 수집 최쇠화 가이드라인('20.12.)', '온라인 개인정보처리 가이드라인('20.12.')이 폐지되었다고 합니다. 이 가이드라인도 추후에 폐지될 수 있으니 이 글을 추후에 보시면 최신화되었는지 확인 부탁드립니다! 활용 안내사항 1. 동의의 내용이 복잡하고 다양해지는 디지털 환경의 변화, 데이터 처리 확산 등을 고려하여 정보주체가 충분히 인지하고 동의를 받을 수 있도록 동의 안내서를 발간하였습니다. 2. 안내..
개인정보 처리방침 작성지침 (2022.3월 개정) - 출처 : 개인정보보호위원회 ( https://www.pipc.go.kr/np/ ) 22년 3월 3일 개정된 '개인정보 처리방침 작성지침' 가이드라인입니다. 시간이 지나면 바뀔 수 있으니 이 글을 추후에 보시면 최신화되었는지 확인 부탁드립니다! 배경 및 목적 ▶ 이 지침은 개인정보처리자가 「개인정보 보호법」(이하 ‘법’) 제30조에 따라 ‘개인정보 처리방침’을 개인정보 처리에 관한 절차 및 기준 등에 대한 사항을 투명하게 작성 및 공개되도록 지원하기 위한 목적으로 제정 ▶ 또한, 개인정보 처리방침을 법 제3조에 따른 개인정보보호 원칙에 입각하여 작성함으로써 개인정보 처리방침이 형식적이지 않고 정보주체의 권리를 보장하기 위한 본연의 취지에 부합하도록 작성..
기사 한줄요약(22.3.3.): 오픈소스는 소프트웨어 개발 시 누구나 사용 가능한 장점이 있어 널리 사용되고 있으나, 악용을 하는 것도 간단하고 파급력이 크며 문제 발생 시에 책임질 사람이 없다. 그렇기 때문에 기업에서는 오픈소스 사용 시에 사전에 보안 전략을 짜서 안전하게 활용해야 한다. [오픈소스 사용시] 1) 코드스캔 : 정적분석 > 동적분석 2) 발견된 취약점 해결 프로세스 명확히 설정 3) 보안 문제 다루기 [취약점 문제] - 일부 IT조직문제가 아님. 사용 기업에 큰 피해를 주고 책임질 사람은 없음. [악용 사례] - 2021년말에 발생한 Log4j 취약점 사태 원문 : 제임스 카더(James Carder), CSO, LogRhythm 문정후 기자, "세상 모든 곳에 존재하는 오픈소스만 잡아도..
[IBM Security] X-Force Threat Intelligence Index 2022 IBM Security 연례 보고서 'X-Force Threat Intelligence Index'에 따르면 2021년 발생한 사이버 위협을 네트워크부터 엔드포인트까지 분석한 결과 랜섬웨어와 피싱이 가장 큰 위협이었으며, 아시아에서 가장 많이 발생하였다고 한다. 링크 주소 : https://www.ibm.com/security/data-breach/threat-intelligence/ [Top attack types 전체 사이버 공격 종류] * 네트워크에 진입하는 초기 방법 1) 2021년 랜섬웨어 발생 : 21%(▼2%) ; 레빌(REvil) 37%, 류크(Ryuk) 13%, 록빗 2.0(Lockbit 2...
