요약 - 한국지능정보사회진흥원(이하 NIA)의 관리자 페이지 및 관리자 계정 노출
- NIA에서 관리하던 행정안전부, 외교부 등 주요 정부부처의 소스코드 파일이 유출
내용 - 한국지능정보사회진흥원
> 우리나라 AI 및 정보화 전문기관

- 정보보안 조직을 갖추고 있음에도 방화벽 설정 미흡
> 방화벽 포트가 열려 있었고, 이를 통해 외교부, 행안부 등의 소스코드 파일이 유출
> 집에서 사용하는 직원의 개인 PC가 악성코드에 감염된 것이 확인

- 외부에 노출된 NIA의 웹페이지는 총 9개
> 문제가 된 것은 프로덕트 관리자 페이지
> 해당 페이지의 계정정보가 산출물 시스템과 연결돼 외교부, 행안부 등 주요 정부부처의 소스코드 파일이 유출
> 정부부처의 정보화 및 IT 관련 사업을 맡고 있어 유출된 소스코드 파일과 규모를 파악하는 것이 시급

- 현재 유출 사고의 원인을 확인하고, 현재 보호조치에 대한 보완이 필요하며, 유출된 소프트웨어 소스코드나 소프트웨어 관련 정보가 공격자에 의해 악용되지 않도록 하는 추가 조치가 필요
기타 - 누구나 접근할 수 있도록 방화벽 포트를 열어놨느냐는 것이 심각한 문제

- NIST, 안전한 소프트웨어 개발 프레임워크
> 4가지 안전한 수명주기 전반의 지침을 제공
① 소프트웨어 개발 보안 조직 준비
② 소프트웨어 보호
③ 안전한 소프트웨어 제작
④ 소프트웨어의 잠재적 취약성 대응
> 개발된 소프트웨어가 변경 또는 무단으로 접근되는 것을 방지하기 위해 기술적·관리적·물리적 보호 조치를 통해 보호되도록 요구

 

보안뉴스

 

[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다!

한국지능정보사회진흥원(이하 NIA)의 관리자 페이지와 비밀번호 등 계정정보가 외부에 노출되면서 NIA에서 관리하던 행정안전부, 외교부 등 주요 정부부처의 소스코드 파일이 유출돼 파장이 커

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고 외 2건  (0) 2024.11.02
“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02
친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
요약 - 친러 해킹그룹, 한국 기관 대상 DDoS 공격 및 데이터 유출 시도
- 외부 접속 단속하고, 계정·백업·이메일 등 철저한 관리 권고
내용 - 친러시아 해커 그룹, 한국 금융권 및 공공기관을 겨냥한 DDoS 공격과 데이터 유출 시도
> 한국이 우크라이나를 지원했다는 빌미

- 사이버 위협정보 분석·공유 시스템 ‘C-TAS(Cyber Threat Analysis & Sharing)’ 보안 공지 3건 발표
> 기관과 기업의 적극 협조 요청
① 외부 접속 관리 강화
> 기업 자산 중 외부에 오픈된 DB 서비스, NAS 등 시스템 현황을 파악
> 테스트 서버 등 불필요한 시스템 연결을 차단
> 중요 시스템 접속자의 경우 개인 단말에 임의로 원격제어 프로그램이 설치됐는지 확인
> 불필요한 네트워크 서비스를 중지 및 1433, 3389 등 기본 서비스 포트 사용 지양
> 부득이하게 외부에서 접속해야 하는 경우 접속 IP 및 단말기기 제한, 다중인증 설정이나 내부차단을 위한 서버별 접근제어 설정·확인
> 해외 및 야간이나 주말 접속 IP와 비정상 접속 여부, 일반적이지 않은 네트워크 통신량에 대한 주기적인 로그 확인 필요

② 계정 관리 강화
> 기본 관리자 패스워드를 사용하고 있다면 반드시 변경
> 사용하지 않는 기본 관리자 계정은 비활성화 및 권한 제외
> 정기적 비밀번호 변경과 2차 인증수단을 적용

③ 백업 관리 강화
> 중요 자료는 네트워크와 분리된 별도의 저장소에 정기적으로 백업
> 외부 클라우드 등에 자료 보관과 소유 기반의 이중인증 적용 권고
> 클라우드 자체에 대한 랜섬웨어 감염을 대비해 클라우드에 보관된 자료의 정기적 백업

④ 이메일 보안 강화
> 이메일 송신자 및 메일 주소 확인
> 불분명한 메일 및 첨부파일, URL 클릭을 지양
> 첨부파일의 경우 확장자 확인
> 바로가기 파일이나 실행 파일 클릭 지양
> 파일 탐색기 > 보기 > '파일 확장명’ 체크 상태 확인
> 파일 탐색기 > 보기 > 옵션 > 폴더 및 검색 옵션 변경 > 보기 > 알려진 파일 형식의 파일 확장명 숨기기 체크 해제 상태 확인
> 이메일 보안 솔루션을 사용해 유해성 유무 확인 및 악성 이메일을 차단

⑤ 기타
> 홈페이지와 주요 시스템에 대한 모니터링 강화
> 자동 업데이트를 통해 운영체제 및 SW를 최신 상태 유지
> 바이러스 백신 프로그램을 설치 및 최신 상태 유지
> 랜섬웨어 감염에 대비한 복구 계획 수립 및 모의훈련 수행 요구
기타 - 침해사고를 당했을 경우
> 한국인터넷진흥원인터넷침해대응센터 종합상황실(02-405-4911~5)
> KISA 인터넷보호나라&KrCERT 홈페이지를 통해 신고

 

보안뉴스

 

친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고

러시아-우크라이나(이하 러-우) 전쟁에 북한군이 불법 파병되는 등 국제정세 불안정에 따라 우리나라에 대한 사이버 위협이 증가하고 있다. 한국이 우크라이나를 지원했다는 빌미로 친러시아

www.boannews.com

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

 

KISA 보호나라&KrCERT/CC

KISA 보호나라&KrCERT/CC

www.boho.or.kr

 

'보안뉴스' 카테고리의 다른 글

[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중  (3) 2024.11.11
“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02
친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
요약 - ’EmeraldWhale(에메랄드웨일)’, 노출된 Git 설정 파일 스캔해 클라우드 계정 인증 정보 탈취
- IP 범위를 자동화된 툴로 스캔해 .git/config나 .env 등 민감한 정보를 포함할 가능성이 있는 설정 파일 탐색
내용 - ’EmeraldWhale(에메랄드웨일)’
> 깃허브(GitHub), 깃랩(GitLab), 비트버킷(BitBucket) 등 주요 코드 저장소 타깃으로 해당 파일에서 API 키나 인증 토큰을 확보
> 이를 통해 추가로 저장소에 접근해 클라우드 서비스 및 이메일 서비스 인증 정보를 더 많이 확보하는 방식으로 진행
> 탈취된 인증 정보는 아마존 S3 버킷에 보관한 후 피싱, 스팸 캠페인에 사용되거나 사이버 범죄자들에게 직접 판매

- httpx와 Masscan 같은 오픈소스 도구를 사용
> 전 세계의 IP 주소 리스트를 42억 개에 이르는 파일로 준비해 약 5억 개의 IP 주소를 스캔
> 유효한 토큰을 찾으면 curl 명령어를 사용해 클라우드 API에 검증
> 접근이 가능할 경우 해당 저장소를 다운로드해 클라우드 서비스와 이메일 플랫폼의 인증 정보를 추출
> 이메일 서비스의 인증 정보는 대규모 스팸 및 피싱 공격에 활용
기타 -

 

보안뉴스

 

“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” - 데일리시큐

대규모 사이버 공격 ’EmeraldWhale(에메랄드웨일)’이 노출된 Git 설정 파일을 스캔해 약 15,000개의 클라우드 계정 인증 정보를 탈취했다. 이 캠페인은 클라우드 보안 기업 시스디그(Sysdig)에 의해 밝

www.dailysecu.com

 

Massive Git Config Breach Exposes 15,000 Credentials; 10,000 Private Repos Cloned

EMERALDWHALE campaign exploits Git configurations, compromising 10,000+ repos and 15,000 credentials for phishing.

thehackernews.com

 

'보안뉴스' 카테고리의 다른 글

[단독] 한국지능정보사회진흥원, 관리자계정 유출로 외교부·행안부 등 소스코드 파일 털렸다! 현재 조사중  (3) 2024.11.11
친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고 외 2건  (0) 2024.11.02
친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
요약 - 친러 성향 해커 서버 킬러스, 텔레그램을 통해 국내 CCTV 해킹 주장
- CCTV IP와 비밀번호 일부 모자이크 공개 및 30달러 요구
내용 - 09.23 서버 킬러스(SERVER KILLERS), 텔레그램에 국내 CCTV 해킹 주장
> 서울, 인천, 대전, 수원 지역 CCTV 100대 해킹 주장
> PC방, 사무실, 길거리, 계단, 주차장 등 공용 공간 영상
> 09.22~09.23 경 촬영된 영상

- 모자이크 처리된 CCTV IP와 비밀번호 공개 및 30달러 요구
> 샘플로 공개한 자료에 CCTV IP와 평문 접속정보가 포함
> 보안이 취약한 ID/PW를 사용하는 CCTV를 찾아 접속한 것으로 추정
> 가급적 인터넷 연결 차단, ID/PW 강화, 보안 패치 적용 등 필요
기타 - 국내 다수의 CCTV가 여전히 해킹 위험에 노출
> CCTV 침해 사건 대부분의 경우 초기 패스워드 사용 및 누구나 접근 가능한 설정이 원인
> CCTV 해킹 방지 방안은 다각도로 고려돼야 할 필요
> 비밀번호 변경, 접근 제어, 암호화 전송 등 조치 필요

 

보안뉴스

 

친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장

서울 등 국내 주요 지역 CCTV를 해킹했다고 주장한 해커가 자신이 운영하는 텔레그램에 CCTV 화면을 공개한 정황이 포착됐다. 지난 28일 보안뉴스에 제보한 한 제보자는 “해커가 국내 CCTV를 해킹

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

친러 해킹그룹, 우크라이나 지원 빌미로 한국 공격... 랜섬웨어·디도스 주의 권고 외 2건  (0) 2024.11.02
“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
요약 - AWS, Azure의 인증 키들이 안드로이드와 iOS 앱들에서 발견
- 인증 정보를 코드 내에 하드코딩하고 암호화하지 않은 상태로 포함
내용 - AWS, Azure 등 클라우드 서비스의 인증 정보가 암호화 없이 하드코딩된 것으로 확인
> 앱의 바이너리 또는 소스 코드에 접근할 수 있는 누구나 자격 증명을 추출하여 데이터 조작 또는 유출할 수 있음을 의미

- 해당 앱들은 Google Play Stroe와 Apple App Store 등에서 수백만 번 다운로드됨
> Google Play Store : Pic Stitch, Meru Cabs, ReSound Tinnitus Relief 등
> Apple App Store : Crumbl, VideoShop 등

- 개발 단계에서의 잘못된 보안 관행이 주요 원인
> 개발자들이 편의상 자격 증명을 하드코딩하고 암호화 없이 남겨둔 채 배포된 것

- 권고 사항
> 환경변수 사용 : 민감한 자격 증명을 런타임에 로드되는 환경변수에 저장
> 비밀 관리 도구 사용 : AWS Secrets Manager나 Azure Key Vault와 같은 전용 비밀 관리 도구를 활용
> 민감 데이터 암호화 : 자격 증명을 앱에 저장해야 하는 경우 강력한 암호화 알고리즘 적용 및 런타임때 복호화
> 코드 리뷰 및 감사 : 정기적으로 코드 리뷰와 보안 감사를 수행해 하드코딩된 자격 증명과 기타 보안 취약점 식별 및 제거
> 보안 스캔 자동화 : 자동화된 보안 스캔 도구를 CI/CD에 통합하여 개발 프로세스 초기에 하드코딩된 자격 증명과 기타 보안 결함 감지
기타 - 22.09 보안 연구원은 AWS 자격 증명이 포함된 1,800개 이상의 iOS 및 Android 앱을 발견
> 이 중 77%가 코드베이스에 유효한 액세스 토큰

 

보안뉴스

 

유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다

보안 외신 블리핑컴퓨터에 의하면 AWS와 애저(Azure)라는 거대 공공 클라우드의 인증 키들이 안드로이드와 iOS 앱들에서 발견되었다고 한다. 클라우드와 연계된 앱들을 만들고 제공하는 과정에서

www.boannews.com

 

수백만 사용하는 모바일 앱 보안 허점...AWS, Azure 인증 키 노출돼 - 데일리시큐

시만텍(Symantec) 최근 분석에 따르면, 수백만 명이 사용하는 인기 모바일 애플리케이션들이 아마존 웹 서비스(AWS)와 마이크로소프트 애저 블롭 스토리지(Microsoft Azure Blob Storage) 같은 클라우드 서

www.dailysecu.com

 

AWS, Azure auth keys found in Android and iOS apps used by millions

Multiple popular mobile applications for iOS and Android come with hardcoded, unencrypted credentials for cloud services like Amazon Web Services (AWS) and Microsoft Azure Blob Storage, exposing user data and source code to security breaches.

www.bleepingcomputer.com

 

Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps

Examining the hidden risks posed to user privacy and security due to presence of hardcoded credentials within popular mobile apps.

www.security.com

 

'보안뉴스' 카테고리의 다른 글

“해커, 노출된 Git 설정 파일 통해 클라우드 계정 15,000개 탈취” 외 1건  (1) 2024.11.02
친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
요약 - 사이버 공격자들, 레드팀 도구 EDRSilencer를 활용해 악성 행위를 숨기는 중
- EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
내용 - EDRSilencer
> 오픈소스로, Windows Filtering Platform(WFP)을 활용해 엔드포인트 탐지 및 대응(EDR) 솔루션들을 무력화시키도록 설계된 공격 도구
 ⒜ Github에 공개된 무료 도구로, 레드팀 훈련에 필요한 일부 기능을 제공
 ⒝ MDSec의 NightHawk FireBlock 도구 에서 영감을 받아 만들어짐
 ⒞ WFP(Windows Filtering Platform)를 사용하여 실행 중인 EDR 프로세스의 아웃바운드 트래픽을 차단하도록 설계
 ⒟ Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, Trend Micro의 EDR 제품과 관련된 다양한 프로세스 종료를 지원

> 명령줄 인터페이스를 가지고 있으며, 다음 기능을 제공
 ⒜ blockedr : 감지된 모든 EDR 프로세스의 트래픽을 자동으로 차단
 ⒝ block : 특정 프로세스의 경로를 지정해 트래픽 차단
 ⒞ unblockall : 도구가 생성한 모든 WFP 필터 제거
 ⒟ unblock : 필터 ID를 지정해 특정 WFP 필터 제거

- 공격자들이 EDRSilencer를 악용해 공격에 사용중
> EDR을 무효화하고 멀웨어 식별 및 제거를 어렵게 만들기 위해 레드팀 도구 사용
> 실행 중인 EDR 프로세스를 동적으로 식별하고 지속적인 WFP 필터를 생성하여 IPv4 및 IPv6에서 모두 아웃바운드 네트워크 통신을 차단함으로써 보안 소프트웨어가 관리 콘솔로 원격 측정 데이터를 전송하지 못하도록 WFP를 활용

> 공격순서
 ⒜ EDR 관련 프로세스 수집 및 목록화 : 실행되고 있는 EDR 제품 관련 프로세스 스캔 후 목록을 작성
 ⒝ blockedr(또는 block) 명령으로 탐지된 프로세스 트래픽 차단
 ⒞ WFP 필터 구성 : 필터들은 지속적으로 생성 및 설정되기 때문에 시스템 재부팅 이후 유지
 ⒟ 해당 프로세스의 아웃바운드 트래픽을 억제

- 대응방안
> 여러 층위의 안전 장치 마련
> 미리 방비하는 능동적인 자세
> 망분리와 심층 방어
> 행동 분석 기반 탐지 기능 강화
> 애플리케이션 화이트리스트 처리
> 지속적인 네트워크 모니터링
> 알려진 침해지표 등을 기반으로 한 위협 헌팅 수행
> 강력한 접근 제어 기술 구축
> 최소 권한의 원칙 적용
기타 - 공격자들은 여러 EDR 무력화 도구를 사용
> AuKill, EDRKillShifter, TrueSightKiller, GhostDriver, Terminator 등
> 취약한 드라이버를 악용해 권한 확대 및 보안 관련 프로세스 종료

- WFP (윈도 필터링 플랫폼, Windows Filtering Platform)
> 네트워크 필터링과 보안 애플리케이션을 만드는 데 사용되는 강력한 프레임워크
> 개발자들이 IP 주소, 포트, 프로토콜, 애플리케이션 등 다양한 기준에 따라 네트워크 트래픽을 모니터링, 차단, 수정하는 맞춤형 규칙을 정의할 수 있게 API를 제공
> 방화벽, 백신 소프트웨어 등 다양한 보안 솔루션에서 활용

 

보안뉴스

 

 

Hackers Abuse EDRSilencer Tool to Bypass Security and Hide Malicious Activity

Cybercriminals abuse EDRSilencer to disable endpoint detection tools, making malicious activity harder to detect.

thehackernews.com

 

엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서

보안 외신 해커뉴스에 의하면 사이버 공격자들이 이디알사일런서(EDRSilencer)라는 도구를 활용해 자신들의 악성 행위를 감추고 있다고 한다. 보안 업체 트렌드마이크로(Trend Micro)가 발표한 것으로

www.boannews.com

 

코발트스트라이크의 후계자? 또 다른 보안 도구 악용하는 공격자들

공격자들은 보안 도구들에 관심이 많다. 높은 공격 성공률을 위해 적을 최대한 상세히 파악하고자 하는 것만은 아니다. 자신들의 악성 행위에 사용할 만한 것들이 뭐가 있나 찾기 위해서이기도

www.boannews.com

'보안뉴스' 카테고리의 다른 글

친러 성향 해커 ‘서버 킬러스’, 서울·인천 등 국내 CCTV 100대 이상 해킹 주장  (1) 2024.11.01
유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
요약 - OWASP는 LLM 애플리케이션의 가장 치명적인 취약점 10가지 발표
- LLM을 보완하며 학습 데이터의 무결성을 확보하는 검색 증강 생성(Retrieval-Augmented Generation, RAG)
기타 - ChatGPT 등장 후 LLM은 AI 분야의 핵심 기술로 주목 받음
> LLM 관련 서비스들이 등장하고 있지만, 여러 취약점이 나오며 도입 및 사용을 꺼리는 현상이 나타남

- OWASP, LLM 애플리케이션의 가장 치명적인 취약점 10가지 발표
① 프롬프트 주입(Prompt Injection)
> 악의적인 프롬프트(질문)를 입력해 LLM이 본래 정책이나 가이드라인에 구애받지 않고 공격자 의도대로 작동하도록 하는 취약점
> LLM 접근 권한 제어 강화와 외부 콘텐츠 분리 등을 통해 완화할 수 있음

② 불완전한 출력 처리(Insecure Output Handling)
> LLM에서 생성된 출력이 검증 없이 다른 시스템으로 전달될 경우, 원격 코드 실행 등의 위협이 발생할 수 있음
> 제로 트러스트 접근 방식 사용과 입력 유효성 검사 등을 통해 예방할 수 있음

③ 학습 데이터 중독(Training Data Poisoning)
> 사전 학습 데이터를 조작해 모델의 보안성과 효율성을 손상시키는 취약점
> 사용자가 오염된 정보에 노출되거나 시스템 성능 저하를 초래할 수 있음
> 안정성이 검증된 학습 데이터를 사용해 예방할 수 있음

④ 모델 서비스 거부(Model Denial of Service)
> 공격자가 대량의 리소스를 소모시켜 다른 사용자의 서비스 품질을 저하시키고 높은 리소스 비용을 발생시킴
> 사용자 입력 제한 규칙 준수와 리소스 사용량 제한 등을 통해 예방할 수 있음

⑤ 공급망 취약점(Supply Chain Vulnerabilities)
> 체계적인 방식이나 도구 없이는 LLM 공급망을 관리하기 어려워 소프트웨어 공급망 취약점과 유사한 위협이 발생할 수 있음
> 신뢰할 수 있는 공급 업체 사용과 패치 정책 구현 등을 고려해야 함

⑥ 민감 정보 노출(Sensitive Information Disclosure)
> LLM의 답변을 통해 민감한 정보가 노출되고, 이로 인해 개인정보 침해나 지적재산의 무단 액세스가 발생할 수 있음
> 적절한 데이터 정제 기술로 민감 데이터가 학습 데이터에 포함되지 않도록 해야 함

⑦ 불완전 플러그인 설계(Insecure Plugin Design)
> LLM 플러그인은 사용자가 다른 앱 사용 중 자동으로 호출되는 확장 기능
> 모델이 다른 플랫폼에서 제공될 때 앱 실행을 제어할 수 없어 원격코드 실행 등 위협이 발생할 수 있음
> 이를 예방하기 위해 민감한 작업 실행 시 수동 승인을 요구하고 인증 ID를 적용해야 함

⑧ 과도한 에이전시(Excessive Agency)
> 기능 호출 권한을 가진 에이전트가 LLM의 출력에 대응해 해로운 작업을 수행할 수 있음
> 이는 세분화된 기능을 갖춘 플러그인을 사용하고 최소한의 권한으로 제한하는 등의 방법으로 예방할 수 있음

⑨ 과도한 의존(Overreliance)
> LLM이 환각 현상이 발생할 수 있움
> 파인튜닝, 임베딩, RAG 기법 등으로 품질을 개선하고 검증을 받으며, 사용자가 LLM의 한계를 인식하게 해 예방 가능

⑩ 모델 도난(Model Theft)
> 공격자가 해킹을 통해 LLM 모델에 무단으로 접근하거나 모델이 유출될 수 있음
> 강력한 보안 조치를 통해 예방할 수 있음

※ 기타
> 모델의 정보가 최신이 아니거나, 편향된 데이터를 학습해 차별적인 답

⑪ 결론
> LLM의 안정성을 강화하기 위해서는 학습 데이터의 무결성 확보, 권한·접근 제어 강화, 모델 관리 및 모니터링이 필요
> 사용자가 LLM의 한계를 인식하는 것도 중요

- 기존의 LLM
> 사용자 입력으로 학습된 데이터에 기반해 답변 생성
> 사용자가 LLM에 학습되지 않은 질문을 하면, LLM의 데이터 중 가장 확률이 높은 정보를 조합해 답변 생성
> 이 과정에서 환각 현상 (허위 또는 오래된 정보를 사실인 듯 제공) 발생 가능

- 검색 증강 생성(Retrieval-Augmented Generation, RAG)
> 환각 현상을 보완하며 학습 데이터의 무결성을 확보
> LLM이 답변을 생성하기 전 외부 학습 데이터 소스를 참조해 정확도를 높이는 방식
> 방대한 양의 데이터를 학습한 LLM이 특정 도메인이나 조직의 내부 데이터를 활용해 보다 정밀한 답변을 생성할 수 있음

> RAG 작동 방식: 외부 데이터 생성-관련 정보 검색-LLM 프롬프트 확장-외부 데이터 업데이트
① 외부 데이터 생성
  > API, 데이터베이스(DB), 문서 등 다양한 소스에서 원하는 데이터를 가져옴
  > 데이터는 파일, DB 레코드, 텍스트 등 여러 형식
  > LLM이 이해하도록 복잡한 데이터를 임베딩 언어모델을 사용해 벡터 형태로 변환
  > 변환된 벡터 데이터를 벡터 DB에 저장해 지식 라이브러리를 생성

② 관련 정보 검색
  > 사용자가 프롬프트를 입력하면, 질의 인코더(Query Encoder)가 사용자 프롬프트를 벡터 형태로 인코딩한 후 관련된 정보를 벡터 DB에서 검색해 가져옴
  > 관련 정보 검색은 키워드 검색, 시맨틱 검색, 두 방법을 결합한 하이브리드 검색 방법이 있음

③ LLM 프롬프트 확장
  > 검색된 데이터를 컨텍스트(Context)에 추가해 사용자 프롬프트를 보강
  > 확장된 프롬프트를 LLM에 전달하면, LLM이 검색 데이터를 활용해 답변 생성

④ 외부 데이터 업데이트
  > 문서를 비동기적으로 업데이트하는 것을 의미

- RAG 이외에 LLM의 환각 현상을 줄이는 또 다른 방법은 ‘파인튜닝(Fine-Tuning)
> LLM에 도메인 특화 데이터를 학습시켜 맞춤형 모델로 업데이트하는 방법
내용 -

 

보안뉴스

 

LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG

미국 오픈AI(Open AI)가 대형 언어 모델(Large Language Model, LLM)을 활용한 인공지능(AI) 챗봇 서비스인 챗GPT(ChatGPT)를 공개한 이후 LLM은 AI 분야의 핵심 기술로 주목받고 있다. 구글의 PaLM, 메타의 LLaMA, 마

www.boannews.com

'보안뉴스' 카테고리의 다른 글

유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건  (1) 2024.10.24
엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
요약 - GNU/Linux 시스템에 영향을 미치는 10년 된 CVSS 9.9 취약점 발견
- 현재까지 원격 코드 실행이 가능하다는 것만 알려져 있으며, 다음 주 중 공개 예상
내용 - 모든 GNU/Linux 시스템에 영향을 미치는 10년 된 CVSS 9.9 취약점 발견
> 공격자가 취약한 기기를 제어할 수 있게 해줌
> 다음 주 중 전체 공개 예상
> 심각성에도 불구하고 아직 CVE가 할당되지 않음
> 취약성의 특정 측면이 보안 위험을 초래하는지 논의 중

- 연구진들을 해당 취약성과 Log4j/Log4Shell(CVE-2021-44228) 취약성과 유사점을 발견
> 리눅스 환경이기에 취약성 범위와 피해범위는 파괴적일 것

- 결과가 나오는 동안 조직에 어떤 리눅스 및 GNU 요소들이 사용되고 있는지 파악해 두는 게 안전
> SBOM을 조사하여 취약한 부분을 파악하고 패치할 준비를 해야함
기타 -

 

보안뉴스

 

10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개

보안 외신 핵리드에 의하면 10년 넘은 취약점이 이제야 발견됐다고 한다. 심지어 심각도 점수가 9.9점일 정도로 위험한 취약점인데 아무도 모른 채 10년을 지낸 것이라고 한다. GNU 및 리눅스 시스

www.boannews.com

 

Old Vulnerability Rated 9.9 Impacts All GNU/Linux Systems, Researcher Claims

Follow us on Twitter (X) @Hackread - Facebook @ /Hackread

hackread.com

 

'보안뉴스' 카테고리의 다른 글

엔드포인트 탐지 기술을 회피하는 새로운 방법, 이디알사일런서 외 2건  (0) 2024.10.17
LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08

+ Recent posts

티스토리툴바