요약 - MS 클라우드 서비스인 OneDrive에 연동 앱들이 사용자 폴더 전체를 볼 수 있는 보안 허점 발견
- OneDrive에 저장된 파일을 챗GPT에 올릴 때, 업로드된 파일뿐 아니라 다른 모든 파일을 보거나 수정할 수 있음
내용 - Oasis Security 연구팀, OneDrive File Picker 기능에서 보안 허점 발견
> OneDrive File Picker : 윈드라이브에서 업로드할 파일을 선택할 때 쓰는 기능
> OneDrive File Picker를 통해 파일을 업로드할 때, 사용자의 전체 OneDrive 콘텐츠에 접근할 수 있음

- OneDrive에 대한 세분화된 OAuth 범위가 없기 때문에 발생하는 문제
> OneDrive File Picker 구현에서 단일 파일만 업로드하는 경우에도 전체 드라이브에 대한 읽기 권한 요청
> 업로드 완료 전 사용자에게 동의를 요청하는 메시지가 표시되나 메시지의 모호성 존재

- 또, OneDrive File Picker 관련 인증에 주로 쓰이는 마이크로소프트 인증 라이브러리(MSAL)에서도 문제 발견
> 인증 토큰 정보를 브라우저의 세션 저장 공간에 평문으로 저장
> 토큰을 자주 재발급해 사용자 데이터에 접근할 수 있는 기간을 늘인다는 문제도 존재

- MS 계정 페이지에서 외부 앱 접근 권한을 확인하고 불필요한 앱의 공유 중단 필요
기타 - Oasis는 취약점 발견 직후 MS와 해당 기능을 사용하는 기업에 통보
> MS 문제 개선 약속

 

보안뉴스

 

챗GPT에 파일 올렸을 뿐인데...내 원드라이브 다 노출된다고?

마이크로소프트 클라우드 서비스인 원드라이브에 연동 앱들이 사용자 폴더 전체를 들여다볼 수 있는 보안 허점이 있는 것으로 드러났다. 원드라이브에 저장된 파일을 챗GPT에 올릴 때, 챗GPT 앱

www.boannews.com

 

OneDrive File Picker OAuth Flaw Exposes Full Drive Access

Oasis Security reveals a OneDrive File Picker flaw allowing full drive read access via OAuth, affecting apps like ChatGPT, Slack, Trello, and ClickUp.

www.oasis.security

'보안뉴스' 카테고리의 다른 글

락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격 외 1건  (1) 2025.05.12
CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도 외 3건  (0) 2025.05.12
“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건  (0) 2025.05.09
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
요약 - 랜섬웨어 해커 그룹 록빗이 자기 데이터를 해킹 당함
- 내부 운영 데이터와 피해자와의 협상 기록이 외부에 유출
내용 - 2025.05 LockBit이 자사의 다크웹 인프라가 해킹당하는 사건 발생
> 내부 운영 데이터와 피해자와의 협상 기록이 외부에 유출

- 해커들은 락빗의 다크웹 관리자 패널을 변조
> "Don't do crime. CRIME IS BAD. xoxo from Prague"라는 메시지와 함께 'paneldb_dump.zip' 파일의 다운로드 링크 게시
> 해당 파일은 락빗의 MySQL 데이터베이스 덤프를 포함하고 있으며, 내부 운영에 대한 상세한 정보 포함
> 유출된 데이터베이스는 총 20개의 테이블로 구성되어 있으며, 그 중 일부는 다음과 같은 민감한 정보를 포함

⒜ 'btc_addresses' 테이블: 약 59,975개의 고유 비트코인 주소가 포함되어 있어, 랜섬 지불과 자금 세탁 경로를 추적하는 데 활용될 수 있음
⒝ 'builds' 테이블: 공격에 사용된 랜섬웨어 빌드 정보와 일부 표적 기업의 이름이 포함되어 있음
⒞ 'builds_configurations' 테이블: 각 빌드의 구성 설정, 예를 들어 특정 ESXi 서버를 제외하거나 특정 파일을 암호화하는 등의 정보가 담겨 있음
⒟ 'chats' 테이블: 2024년 12월 19일부터 2025년 4월 29일까지의 피해자와의 협상 메시지 4,442건이 포함되어 있으며, 이는 락빗의 협상 전략과 피해자 대응 방식을 엿볼 수 있는 자료
⒠ 'users' 테이블75명의 관리자 및 가맹 파트너 정보와 함께, 일부 계정의 비밀번호가 평문으로 저장되어 있었다.
※ 파일이 생성된 시기와 협상 채팅 내용 등에 비추어 데이터 유출은 4월 29일 이전에 이뤄진 것으로 보임

- 락빗 운영자 'LockBitSupp'
> 보안 연구자 'Rey'와의 Tox 대화에서 해당 해킹 사실을 인정
> 비트코인 주소와 협상 채팅만 유출됐고, 록빗이 훔친 기업 자료 등 핵심 자산은 유출되지 않았다고 주장

- 유출된 록빗 내부 데이터는 사이버 범죄 수사의 중요한 단서가 될 것으로 기대
> 유출 데이터 분석 결과, 록빗 관리자 아이디와 비밀번호가 포함된 기록 76개도 발견
> 이중 22개에선 해커 세계에서 많이 쓰이는 톡스(TOX) 메신저 아이디도 발견
> 록빗 해커와 피해 기업 간 대화 기록 역시 해커들의 협상 방식을 파악하는데 도움이 될 수 있음
> 발견된 비트코인 지갑 주소도 경찰 수사에 유용할 것
기타 - 24년 국제 법 집행 기관의 'Operation Cronos' 작전 이후 락빗이 겪은 두 번째 큰 타격
> 당시 작전으로 락빗의 인프라와 데이터 유출 사이트가 폐쇄되었으나, 빠르게 복구하여 활동 재개
> 그러나 이번 내부 데이터 유출은 조직의 신뢰도와 운영에 더욱 심각한 영향을 미칠 것으로 보임

 

보안뉴스

 

락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격 - 데일리시큐

2025년 5월 초, 악명 높은 랜섬웨어 조직 \'락빗(LockBit)\'이 자사의 다크웹 인프라가 해킹당하는 사건을 겪었다. 이로 인해 내부 운영 데이터와 피해자와의 협상 기록이 외부에 유출되며, 조직의 신

www.dailysecu.com

 

랜섬웨어 해커 집단 록빗의 굴욕...사이트 해킹 당해 관리자 데이터 등 유출

록빗(LockBit)은 최근 해킹 공격을 당해 다크웹에 있는 자기 사이트 내 주요 데이터를 탈취당했다. 해커는 홈페이지도 변조해 탈취한 자료를 다운로드할 수 있는 링크를 올렸다. 또 “Don┖t do crime

www.boannews.com

'보안뉴스' 카테고리의 다른 글

챗GPT에 파일 올렸을 뿐인데...내 원드라이브 다 노출된다고? 외 1건  (0) 2025.05.31
CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도 외 3건  (0) 2025.05.12
“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건  (0) 2025.05.09
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
요약 - 북한 해커 그룹의 공격으로 CJ올리브네트웍스의 인증서 파일이 유출
- 삼성전자 MagicINFO 9 Server의 취약점을 이용한 공격 시도 포착
내용 - 지난달 말 공개된 북한발 악성파일에서 CJ올리브네트웍스의 디지털 서명 발견
> 디지털 서명은 프로그램이 특정 회사가 만든 정상 파일이라고 증명하는 용도로 활용
> 디지털 서명이 있으면 정보보호 프로그램의 탐지를 쉽게 우회 가능
> 북한 해킹 그룹은 ‘김수키’가 연관된 것으로 추정

- CJ올리브네트웍스 관계자
> 해당 인증서는 소프트웨어 개발·배포 용도로 발급된 것
> 확인 후 오전에 즉시 폐기했으며, 현재 인증서는 유효하지 않은 상황
===============================================================================================
- 삼성전자의 디지털 사이니지를 관리하는 ‘매직인포(MagicINFO) 9’ 취약점을 이용한 공격이 포착
> 허가받지 않은 사용자가 원격에서 자바서버페이지(JSP) 파일을 작성해 원격 코드 실행(RCE) 공격 시도 확인 (CVE-2024-7399)
> 24.08 삼성전자가 보안 패치를 발행
> 보안 연구원이 취약점을 악용한 PoC를 공개한 후 공격자들이 이를 악용하기 시작
> 공격 난이도가 높지 않고 PoC가 공개되어 공격 시도가 증가할 것

- 해당 취약점을 악용해 미라이 봇넷 변종 멀웨어를 배포하는 공격으로 보임
> 미라이 봇넷은 IoT 기기를 감염시켜 대규모 분산 서비스 공격(DDoS)이나 크리덴셜 스터핑 등에 동원

- 매직인포 서버를 21.1050 이후 버전으로 업데이트 필요
기타

 

보안뉴스

 

CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도

북한 해커 그룹의 공격으로 CJ올리브네트웍스의 인증서 파일이 유출됐다.

www.boannews.com

 

X의 RedDrip Team님(@RedDrip7)

#APT #Kimsuky 7ec88818697623a0130b1de42fa31335 (dropper, with digital signature "CJ Olivenetworks Co., Ltd") 580d7a5fdf78dd3e720b2ce772dc77e9 (dll, "C:\\Users\\Public\\config.dat") hxxp://gsegse.dasfesfgsegsefsede.o-r.kr/login.php (162[.220.11.186)

x.com

 

삼성도 당했다...‘디지털 사이니지’ 해커 공격 포착

미국 사이버 보안 기업 악틱울프는 삼성전자의 디지털 사이니지를 관리하는 ‘매직인포(MagicINFO) 9’ 취약점을 이용한 공격이 포착됐다고 밝혔다.

www.boannews.com

 

Rapid Response: Samsung MagicINFO 9 Server Flaw | Huntress

Huntress has verified Samsung’s MagicINFO 9 Server (version 21.1050.0) is vulnerable to a publicly available proof-of-concept (PoC). Understand why MagicINFO 9 Server shouldn’t be internet-facing until a patch is applied.

www.huntress.com

'보안뉴스' 카테고리의 다른 글

챗GPT에 파일 올렸을 뿐인데...내 원드라이브 다 노출된다고? 외 1건  (0) 2025.05.31
락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격 외 1건  (1) 2025.05.12
“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건  (0) 2025.05.09
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
요약 - 포티넷코리아, ‘2025 글로벌 위협 환경 보고서’ 발표...정보 탈취 맬웨어 공격 500% 급증
- 카스퍼스키, 올해 1월부터 3월까지 국내에서 탐지한 인터넷 기반 사이버 공격이 3백만 건 상회
내용 - 포티넷코리아 '2025 글로벌 위협 환경 보고서’ 발표
> 2024년 사이버 위협 환경을 분석한 보고서
자동화, 상품화된 도구 및 AI를 활용해 기업의 기존 방어 체계를 무력화하고 있음을 보여줌

① 2024년 사이버 공간에서의 자동화 해킹 시도가 전년 대비 16.7% 증가
- FortiGuard Labs은 해킹 시도가 초당 3만 6000건에 달한다고 설명

② 다크넷 마켓플레이스(Darknet Marketplace)에서는 4만 개 이상의 새로운 취약점이 추가
- 2023년 대비 39% 증가했으며, 정보 탈취 맬웨어(Malware)에 의한 시스템 침해 로그는 500% 증가

③ FraudGPT, BlackmailerV3, ElevenLabs 등 윤리적 제약이 없는 AI 도구들이 등장
- 피싱 공격이 더욱 정교해지고, 보안 시스템 우회도 한층 쉬워진 것으로 나타남

④ 산업별 국가별 표적
- 제조업(17%), 비즈니스 서비스(11%), 건설(9%), 소매(9%)
- 미국(61%), 영국(6%), 캐나다(5%) 

⑤ 2024년 Dark Web forums에서 공유한 개인정보와 계정 정보 1000억 건 이상
- 작년 대비 42% 급증한 것으로 분석

- 포티넷 사이버 공격 대응을 위한 CISO 가이드
> 지속적인 위협 노출 관리로의 전환
> 실제 공격 시뮬레이션
> 보안 취약점 노출 최소화
> 고위험 취약점 우선순위 지정
> 다크 웹 모니터링 강화 등의 전략적 가이드라인 제시
===========================================================================================
- 카스퍼스키, 2025년 1분기 ‘카스퍼스키 보안 보고서’
최근 3개월간 대한민국에서 탐지된 인터넷 기반 사이버 위협은 총 3,063,343건
> 웹 기반 위협에 공격받은 사용자 비율은 13.7%로 집계

- 웹 브라우저를 통한 공격
> 악성 프로그램 유포의 주요 수단으로 브라우저 및 플러그인의 취약점을 악용하거나 소셜 엔지니어링을 활용
> 이 경우 사용자가 감염된 웹사이트를 방문하는 것만으로도 자동 감염이 이루어지며, 사용자의 개입이나 인식 없이 악성코드가 실행
> 특히 파일리스 악성코드가 가장 위험_Windows 레지스트리 또는 WMI 구독을 이용하여 지속성을 유지하며, 디스크에 탐지 가능한 개체를 남기지 않기 때문에 정적 분석이 어려움

- 웹 기반 공격의 또 다른 주요 수단인 소셜 엔지니어링 방식
> 인간 행동의 취약점을 악용하여 민감한 정보를 훔치거나 계정을 탈취
> 사용자의 생활에 침투해 사용자가 직접 악성 파일을 다운로드하도록 유도하는 방식
> 공격자는 피해자로 하여금 정상적인 프로그램을 다운로드하는 것처럼 믿게 만들어 악성 파일을 실행하도록 유도

> 오늘날 많은 공격자가 정적 분석과 에뮬레이션을 우회하기 위해 악성 코드를 난독화
머신러닝 기반 탐지 및 행동 분석과 같은 보다 진보된 기술이 필수적

- 최근 3개월간 대한민국에서 발생한 로컬 위협은 총 1,835,168건, 로컬 위협에 공격받은 사용자 비율은 21.5%로 집계
> 로컬 감염 통계는 사용자 컴퓨터가 얼마나 자주 악성코드에 공격받는지를 나타내는 중요한 지표
> 대부분의 로컬 감염은 웜 및 파일 바이러스에 의해 발생하며, USB 드라이브, CD/DVD, 기타 오프라인 방식으로 전파

> 감염된 개체를 치료할 수 있는 안티바이러스 솔루션방화벽 및 루트킷 방지 기능이동식 장치 제어 기능 등의 적용이 필요

- 최근 3개월간 대한민국에서 호스팅된 서버에서 발생한 인시던트는 1,595,680건, 전 세계 19위에 해당하는 수치
기타 - 사이버 범죄자들이 AI와 자동화를 사용해 전례 없는 속도와 규모로 공격 활동을 가속화하고 있음
> 조직은 AI, 제로 트러스트 및 지속적인 위협 노출 관리가 뒷받침하는 데이터 기반 선제적 방어 전략으로 전환할 필요 강조

- AI를 활용한 새로운 종류의 위협이 지속적으로 늘어나고 있는 만큼 위협 정보를 적극 활용하고 사이버 인식을 강화함으로써 사이버 면역력을 높이는 것이 중요

 

보안뉴스

 

“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” - 데일리

글로벌 사이버 보안 기업 포티넷코리아(대표 조원균)가 \'2025 글로벌 위협 환경 보고서’를 7일 발표했다.이번 보고서는 2024년 사이버 위협 환경을 분석한 것으로, 사이버 공격자들이 자동화, 상

www.dailysecu.com

 

카스퍼스키 “최근 3개월 동안 국내 발생 웹 기반 공격 3백만건 넘어” - 데일리시큐

글로벌 사이버 보안 기업 카스퍼스키(지사장 이효은)가 2025년 1분기 보안 보고서(Kaspersky Security Bulletin)를 인용해 올해 1월부터 3월까지 국내에서 탐지한 인터넷 기반 사이버 공격이 3백만 건을 상

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

락빗 랜섬웨어 조직, 내부 데이터 유출로 치명적 타격 외 1건  (1) 2025.05.12
CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도 외 3건  (0) 2025.05.12
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의  (1) 2025.04.16
요약 - CISA는 Oracle의 구형 시스템이 해킹된 사건과 관련, 자격 증명 유출로 인한 보안 침해 위험이 커졌다고 경고
- 유출된 자격 증명이 재사용되거나 시스템 내 하드코딩되어 있을 경우 장기적인 접근권한 노출로 이어질 수 있음
내용 - 이번 침해는 오라클의 1세대 클라우드 서버(Oracle Cloud Classic)인 ‘Gen 1 서버’에서 발생
> 공격자는 25년 초 CVE-2021-35587를 악용해 웹 셸과 악성코드 설치 및 사용자 관리 시스템인 IDM(Oracle Identity Manager) 데이터베이스에 접근
> IDM(Oracle Identity Manager) 데이터베이스 : 사용자 이름, 이메일 주소, 암호화된 패스워드, 인증 토큰, 암호키 등의 민감한 정보가 포함

※ CVE-2021-35587 (CVSS: 9.8) : HTTP 네트워크 접근 권한을 가진 인증되지 않은 공격자가 OAM을 침해하여 모든 권한을 가진 사용자를 생성하거나 피해자 서버에서 임의 코드를 실행할 수 있는 취약점

- 해커 ‘rose87168’
> 해당 침해를 자신이 저질렀다고 주장하며, 총 600만 건의 자격 증명 데이터 판매글 게시
> 유출된 정보에는 LDAP 데이터와 함께 다수의 조직 리스트가 포함되어 있는 것으로 확인

- CISA
> 유출된 자격 증명이 코드, 템플릿, 스크립트 등 시스템 전반에 하드코딩되어 있을 경우 탐지가 어렵고장기적인 비인가 접근을 유도할 수 있다고 경고
> 권고
① 유출 가능성이 있는 계정의 비밀번호를 즉시 변경하고, 전사적인 자격 증명 점검 실시
② 코드와 시스템에 하드코딩된 인증 정보를 보안 인증 방식으로 대체하고, 중앙 비밀 관리 도입
③ 가능한 모든 시스템에 피싱 방지 기능이 강화된 다중 인증(MFA) 적용
④ 인증 로그 및 접근 기록을 실시간으로 모니터링해 이상 징후 탐지

- 오라클
> 문제가 된 서버는 2017년 이후 사용되지 않은 구형 시스템
> 현재 오라클 클라우드 인프라스트럭처(OCI)는 침해되지 않았다고 해명
> 이번 침해가 자사의 클라우드 서비스나 고객 데이터에는 영향을 미치지 않았다고 주장

- 보안 전문가
> 오라클이 이번 사건을 지나치게 축소하고 있다는 비판을 제기
> 시스템 내에 하드코딩된 인증 정보를 점검하고 즉시 교체
> 자격 증명을 안전하게 관리할 수 있도록 중앙 비밀 관리 시스템을 도입
> 모든 시스템에서 다중 인증을 기본적으로 활성화
> 정기적인 보안 업데이트와 패치 적용이 필수적
기타 - 오라클 헬스(구 세르너)
> 25.01 데이터 마이그레이션 과정 중 침해가 발생해 환자 데이터가 유출
> 공격자는 고객 인증 정보를 이용해 전자 건강기록 시스템에 접근

 

보안뉴스

 

오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ - 데일리시큐

미국 사이버보안 및 인프라 보안국(CISA)은 최근 오라클(Oracle)의 구형 시스템이 해킹된 사건과 관련해, 자격 증명 유출로 인해 조직 전반에 걸쳐 보안 침해 위험이 커졌다고 경고했다. 특히 이 사

www.dailysecu.com

 

CISA Releases Guidance on Credential Risks Associated with Potential Legacy Oracle Cloud Compromise | CISA

CISA recommends the following actions to reduce the risks associated with potential credential compromise.

www.cisa.gov

 

'보안뉴스' 카테고리의 다른 글

CJ올리브네트웍스 디지털 인증서 北에 털렸다...국책 기계연 공격 시도 외 3건  (0) 2025.05.12
“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건  (0) 2025.05.09
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의  (1) 2025.04.16
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서  (0) 2025.04.04
요약 - CA/Browser 포럼, 향후 4년간 SSL/TLS 인증서의 유효기간을 단축하기로 결정
- 최종적으로는 2029년 3월부터 인증서의 유효기간이 47일로 줄어듦
내용 - CA/Browser 포럼
> 인증서 발급 기관(CA)과 브라우저 개발사를 포함한 소프트웨어 업체들이 디지털 인증서의 보안 표준을 마련 및 유지하는 단체
> 주요 구성원
① 인증기관: DigiCert, GlobalSign 등
② 기업: Google, Apple, Mozilla, Microsoft 등

- 올해 초 Apple이 인증서 유효기간 단축 제안
> Sectigo, Google Chrome 팀, Mozilla 등이 지지하며 논의 시작
> 제안: 현재 398일인 유효기간을 점차 줄여 29.03에는 47일까지 줄이는 것
> 목적
① 오래된 인증서 데이터나 더 이상 안전하지 않은 암호화 알고리즘 사용으로 인한 보안 위험 최소화
② 유출된 인증 정보가 오랜 기간 노출되는 상황 방지
인증서 자동 갱신 및 순환 시스템 도입 장려

- SSL/TLS 인증서
> 웹사이트와 사용자 간의 안전한 통신(HTTPS)을 가능하게 해주는 디지털 파일
> 이 인증서를 통해 암호화된 연결이 이루어지며, 비밀번호, 신용카드 번호 등 민감 정보가 중간에 도청되지 않도록 보호
> 인증서는 해당 웹사이트의 신원을 검증하고, 사용자와 서버 간의 데이터가 위조되지 않았음을 보장
> 만약 인증서가 갱신 없이 만료되면, 브라우저에서 "이 연결은 안전하지 않습니다"라는 경고 메시지를 보여줌

- 현재 인증서의 유효기간과 도메인 제어 검증(DCV) 유효기간은 398일
> 다수의 보안 전문가들과 인증기관은 이 기간이 현재 보안 수준에는 너무 길다고 주장
> CA/Browser 포럼은 다음과 같은 단계별 단축 계획을 만장일치(29표 찬성, 반대 0표)로 결정
① 2026년 3월 15일부터: 인증서 및 DCV 유효기간 → 200일
② 2027년 3월 15일부터: 인증서 및 DCV 유효기간 → 100일
③ 2029년 3월 15일부터: 인증서 유효기간 → 47일, DCV 유효기간 → 10일

- 여러 도메인을 관리하는 기업이나 개인에게는 인증서 관리 부담이 커질 수 있음
> 기업의 인증서 요청 시 더 자주 재검증을 유도하고, 인증서 자동화 시스템 도입을 촉진
> 장기적으로는 전체 보안 생태계를 더욱 유연하고 안전하게 만들 것으로 기대
기타 - 기업은 인증서 유효기간의 점진적 단축으로 인증서 자동 갱신 시스템을 도입할 수 있는 충분한 시간을 확보
> 인증서 갱신 과정을 자동화하여 관리 부담을 줄이고, 보안성 강화 가능할 것으로 기대

 

보안뉴스

 

SSL/TLS certificate lifespans reduced to 47 days by 2029

The CA/Browser Forum has voted to significantly reduce the lifespan of SSL/TLS certificates over the next 4 years, with a final lifespan of just 47 days starting in 2029.

www.bleepingcomputer.com

 

'보안뉴스' 카테고리의 다른 글

“해킹시도 초당 3만6000건, 다크넷에 새 취약점 4만개, 다크웹 유출정보 1000억건 기록” 외 1건  (0) 2025.05.09
오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의  (1) 2025.04.16
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서  (0) 2025.04.04
브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가  (0) 2025.04.04
요약 - Fortinet은 최근 자사 FortiGate VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고
- Fortinet은 FortiOS 최신 버전을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치
내용 - Fortinet
> 해커가 FortiGate VPN 구버전 취약점을 악용한 공격 이후에도 여전히 '읽기 전용' 접근 권한을 유지하고 있음을 경고
> SSL-VPN 기능을 악용해 기기 내부에 심볼릭 링크를 생성해 패치가 완료된 이후에도 시스템에 접근하는 새로운 지속 기법을 사용

- FortiOS 내 알려진 취약점(CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 등)을 통해 포티게이트 장비에 침투
> 이후 SSL-VPN 기능의 언어 파일 디렉터리 내에 심볼릭 링크를 생성사용자 파일 시스템과 루트 파일 시스템을 연결
> SSL-VPN 웹 인터페이스를 통해 공격자가 민감한 설정 파일에 접근할 수 있도록 함

※ CVE-2022-42475 (CVSS: 9.8)
FortiOS SSL-VPN, FortiProxy SSL-VPN에서 발견된 힙 기반 버퍼 오버플로우 취약점으로, 인증되지 않은 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음

CVE-2023-27997 (CVSS: 9.8)
FortiOS, FortiProxy에서 발견된 힙 기반 버퍼 오버플로우 취약점으로 SSL-VPN 인터페이스에서 발생하며, 원격 공격자가 특수하게 제작된 요청을 전송하여 임의의 코드나 명령을 실행할 수 있음

※ CVE-2024-21762 (CVSS: 9.8)
Fortinet FortiOS, FortiProxy에서 발견된 범위를 벗어난 쓰기 취약점으로, 공격자가 시스템에서 임의의 명령을 실행할 수 있음

- 심볼릭 링크로 지속적 접근 유지
> 공격자가 생성한 심볼릭 링크는 펌웨어 업그레이드나 시스템 재부팅 이후에도 삭제되지 않음
> 해커는 장비의 파일 시스템에 대한 읽기 전용 접근 권한을 지속적으로 유지할 수 있었음

- 포티넷의 대응 및 권고 사항
> FortiOS 최신 버전(7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16)을 배포해 해당 취약점과 심볼릭 링크를 제거할 수 있도록 조치
> 또한 SSL-VPN 인터페이스가 더 이상 심볼릭 링크를 서비스하지 않도록 변경
> 고객에게 즉시 장비를 최신 버전으로 업그레이드하고, 설정 파일의 무단 변경 여부를 검토하며 노출 가능성이 있는 자격 증명을 재설정할 것을 권고

- 보안전문가들은 단순히 FortiOS를 최신 버전으로 업데이트하는 것만으로는 충분하지 않다고 경고
> 장비 설정을 철저히 검토해 의심스러운 변경 사항이 있는지 확인
> 관리자 계정과 VPN 사용자 계정을 포함한 모든 자격 증명을 반드시 재설정
> 긴급한 상황에서는 SSL-VPN 기능을 일시적으로 비활성화
> 포렌식 분석을 통해 침해 여부를 면밀히 확인
기타 - 침해 시 공격자가 심볼릭 링크를 만들어 접근 권한이 없는 디렉터리나 파일에 간접 접근할 수 있는 수단으로 악용 가능
> 해커가 장비 내에 심볼릭 링크를 남기면 패치 이후에도 내부 시스템을 간접적으로 들여다볼 수 있는 창구로 악용될 수 있음

- 해당 취약점 악용 기법은 2023년 초부터 전 세계적으로 광범위하게 사용된 것으로 확인
> 프랑스 국가정보시스템보안청(ANSSI) 산하 CERT-FR은 프랑스 내 수많은 Fortinet 장비 침해 사실 공개
> 미 사이버안보 및 기반시설 보안국(CISA)은 유사한 피해 사례를 확인하고 관리자들에게 주의 당부

 

보안뉴스

 

해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의 - 데

포티넷(Fortinet)은 최근 자사 포티게이트(FortiGate) VPN 장비에서 구버전 취약점을 악용한 공격 이후에도 해커가 여전히 ‘읽기 전용(Read-only)’ 접근 권한을 유지하고 있다고 경고했다. 공격자는 SSL-

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

오라클 구형 시스템 해킹에 따른 자격 증명 유출로 인해 보안 침해 위험↑ 외 1건  (0) 2025.04.19
SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서  (0) 2025.04.04
브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가  (0) 2025.04.04
팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주의  (0) 2025.04.04
요약 - 깃허브, 24년 한 해 저장소에서 3,900만 건 이상의 비밀정보 유출(발견)
- 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편
내용 비밀정보 유출은 최근 소프트웨어 개발 과정에서 가장 심각한 보안 위협 중 하나로 부상
> 작년 한 해 동안 깃허브의 비밀정보 스캔(Secret Scanning) 기능을 통해 3,900만 건이 넘는 민감 정보가 공개 및 비공개 저장소에서 발견
> 개발 속도가 빨라질수록 비밀정보 유출도 그만큼 증가하고 있음을 보여줌

- 깃허브
> 22.04 비밀정보가 포함된 코드를 푸시(Push)하는 것을 방지하는 ‘푸시 보호(Push Protection)’ 기능을 도입
> 24.02부터는 이를 모든 공개 저장소에 기본 적용
> 그럼에도 불구하고 비밀정보가 여전히 유출되는 주된 이유
① 개발자들이 커밋 과정에서 편의성을 우선시하거나
② Git 기록을 통해 실수로 저장소가 공개되는 경우가 많기 때문

- 깃허브는 문제를 해결하기 위해 고급 보안 기능(GitHub Advanced Security)을 전면 개편
비밀 보호(Secret Protection)코드 보안(Code Security) 기능를  분리해 개별 제품으로 출시
> 기존 : 통합형 보안 제품군
> 중소 규모 개발팀도 저렴한 비용으로 고급 보안 기능을 사용할 수 있게됨

② 조직 전체를 대상으로 한 무료 비밀 위험 진단 기능이 제공
> 공개, 비공개, 내부, 보관 저장소까지 포함해 모든 저장소에서 민감 정보를 점검할 수 있도록 함

③ 푸시 보호 기능에는 ‘우회 권한 위임’ 기능이 추가
> 특정 사용자나 팀에게만 비밀정보가 포함된 커밋의 푸시를 허용하는 정책을 설정할 수 있음
> 조직 차원의 정책 기반 통제가 가능해짐

인공지능 기반 코파일럿(Copilot)을 활용해 구조화되지 않은 비밀번호 등의 비밀정보도 탐지할 수 있도록 함
> 탐지 정확도를 높이고 오탐률을 줄여주는 효과

⑤ AWS, 구글 클라우드, 오픈AI 등 주요 클라우드 서비스 제공업체들과의 협력
> 더 정밀한 비밀정보 탐지기를 구축하고 유출 발생 시 빠르게 대응할 수 있도록 체계를 강화
기타 - 보안 전문가들 권고
> 개발 과정에서 민감 정보를 코드에 직접 입력하지 말고 환경 변수나 비밀관리 도구, 보안 금고(Vault)를 통해 분리 저장할 것
> CI/CD 파이프라인이나 클라우드 플랫폼과 연동 가능한 도구를 활용해 비밀정보를 자동으로 처리 (인적 실수로 인한 노출을 줄이는 것이 중요) 
> 주기적인 감사와 보안 관리 가이드라인 숙지

 

보안뉴스

 

2024년 비밀정보 3,900만 건 유출 된 깃허브, 보안 기능 대폭 강화 나서 - 데일리시큐

깃허브(GitHub)가 2024년 한 해 동안 저장소에서 발견된 3,900만 건 이상의 비밀정보 유출을 계기로 보안 기능을 대폭 강화했다. API 키와 사용자 인증 정보 등 민감한 데이터가 저장소에 노출되며 사

www.dailysecu.com

 

'보안뉴스' 카테고리의 다른 글

SSL/TLS 인증서의 유효기간이 2029년까지 47일로 단축 예정  (0) 2025.04.18
해커, 포티넷 VPN 패치 후에도 시스템에 접근하는 신종 지속 기법 사용해 공격...주의  (1) 2025.04.16
브로드컴 URL 리디렉션으로 브이엠웨어 워크스테이션 자동 업데이트 장애…보안 위협 증가  (0) 2025.04.04
팔로알토네트웍스 VPN 포털 대상 스캔 활동 급증, 전 세계 2만4천개 IP 관여...사용기관 주의  (0) 2025.04.04
치명적 보안취약점 이용해 블랙락 랜섬웨어 조직 역해킹…운영 내역 대거 유출 외 1건  (0) 2025.04.03

+ Recent posts

티스토리툴바