요약 - 독일 경찰, 범죄자 체포에 토르 네트워크 해킹 주장
- 텔레그램, 법적 요청 시 사용자 정보 제공 결정
내용 - 독일 방송사 파노라마 및 유튜브 채널 STRG_F
> 독일 경찰이 토르 네트워크를 해킹해 범죄자를 체포했다 주장
> 그러나, 독일 경찰이 토르를 해킹한 방법에 관한 내용에 대해서는 아무런 설명을 하지 않음
> 토르의 익명성 기능에 대한 의구심 증가

- 토르 프로젝트, 아직까지 토르가 직접 침해됐다는 증거는 없는 상황 입장문 발표

① 가능성 1
> 경찰이 토르를 뚫어낸 것은 범인들이 Ricochet(P2P 인스턴트 메시징 프로그램)을 사용했기 때문이 가능성이 높다
> Ricochet은 이미 오래 전 지원이 중단된 앱이기 때문에 취약점 익스플로잇 등을 통해 침해하는 게 가능하다는 것

② 가능성 2
> 또는, 가드 노드 공격(guard node discovery attack) 기법을 사용 했을 가능성 존재
> 토르는 여러 노드들로 구성되어 있으며, 첫 번째 중계를 담당하는 노드를 가드노드라 함
> 가드노드를 발견한다면 사용자의 실제 IP 주소를 알아낼 수 있는 것으로 알려짐
> 토르는 해당 문제점을 2018년에 이미 수정했으며, 범죄자가 이 수정법을 적용하지 않았을 가능성 존재
===============================================================================
- 텔레그램 개인정보보호 정책 변경
> 사용자들의 전화번호와 IP 주소를 법적 요청에 따라 제공하기로 변경
> 플랫폼 규정을 위반한 사용자에 대해 유효한 법적 요청이 있을 경우에 한해서만 적용
※ 이전 정책: 테러 용의자와 관련된 경우에만 사용자 데이터를 공유

- 투명성을 유지하기 위해 사용자 데이터가 공유된 모든 경우를 분기별 보고서에 포함시킬 예정
> hxxps://t[.]me/transparency를 통해 액세스할 수 있도록 할 예정
> 현재는 업데이트 진행 중이며, 아직 해당 봇은 정상적으로 작동하지 않고 있음

- 플랫폼 내 불법 활동을 방지하기 위한 조치 또한 강화
> 검색 결과에서 문제 있는 콘텐츠 제거 진행 및 불법 콘텐츠와 관련된 검색어 철저히 검토 예정
> 사용자들은 @SearchReport 봇을 통해 불법 또는 위험 콘텐츠 신고 가능
기타 - 토르 브라우저의 위험을 줄이는 방법
> VPN 사용 : 토르 브라우저의 익명성 보장은 완전하지 않으므로 VPN을 적용할 경우 추적이 어려워짐
> 신뢰 가능한 사이트만 방문 : 토르 브라우저라고 해서 악성 링크나 첨부파일을 자동으로 막아주지 않으므로 기본 보안 수칙 유지
> 보안 프로그램 사용 : 보안 프로그램을 늘 활성화

- 우크라이나 국가 사이버보안 조정센터
> 국가 보안 문제를 이유로 정부 기관, 군 부대, 주요 인프라에서 텔레그램 사용 금지

- 텔레그램 정책 변화에 대한 견해
> 플랫폼의 책임성을 높인다는 긍정적 견해
> 사용자 프라이버시와 정부의 과도한 접근 가능성에 대한 우려

- 프라이버시에 민감한 사용자들은 더 강력한 데이터 보호 정책을 가진 메시징 앱인 시그널(Signal)과 같은 플랫폼을 사용할 것을 권고

- 어떤 플랫폼에서든 개인정보 공유 시 신중을 기할 것 강조 및 정책 변경 등의 변경이 있음을 유념해야 함

 

보안뉴스

 

독일 경찰이 정말로 토르 네트워크를 뚫었을까?

지난 주 독일의 방송사인 파노라마(Panorama)와 유튜브 채널 STRG_F가 폭탄 선언을 했다. 독일 경찰이 2021년 다크웹에서 활동하던 범죄자들을 체포하기 위해 토르(Tor)라는 익명화 기술을 깨버렸다는

www.boannews.com

 

텔레그램, 법적 요청 시 사용자 정보 제공 결정...개인정보보호 정책 변경 - 데일리시큐

텔레그램이 개인정보 보호에 대한 강력한 입장을 유지해오던 가운데, 최근 정책을 변경하며 사용자들의 전화번호와 IP 주소를 법적 요청에 따라 제공하기로 했다. 이번 결정은 플랫폼 규정을 위

www.dailysecu.com

 

 

'보안뉴스' 카테고리의 다른 글

LLM 애플리케이션의 가장 치명적인 취약점 10가지와 최근 주목받는 RAG  (3) 2024.10.11
10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
요약 - 국제표준암호 적용, 망분리 개선, 개인정보보호법 시행령 개정안 시행
- 26년 표준암호 도입, 25년 망분리 정책 폐기 및 26년 MLS 도입, 9.15 개보법 시행령 개정안 시행
내용 ① 26년부터 전 공공분야에 국제표준암호 허용
- 05년 암호모듈 검증 제도(KCMVP) 시행 당시 SEED, ARIA, HIGHT, LEA만 허용
> 외국에서 개발한 암호에 대학 해독 우려가 있어 나온 조치
> 보안 환경의 변화로 국제화와 범용성을 고려해 글로벌 표준 허용 의견이 대두되면서 AES 허용 논의 시작

- 국정원, KCMVP에 AES 허용 방안 검토
> AES 안정성 충분한 입증, 경제적 효과, 산학역 전문가 의견 등을 고려
> 14년 논의된 바 있으나 외산 암호에 대한 불신·암호 산업 및 학계에 대한 보호 등을 이유로 성사되지 않음
> 22년 IoT, 자율주행차량 등에 AES 활용도가 높아져 연구용역 결과 AES 허용이 필요하다는 결론 도출
> 산업계 및 시험기관의 준비기간을 도려 26년 01월부터 시행할 예정
> 25년 07월까지 가이드라인과 자가시험도구를 새롭게 개발해 배포할 예정이며, 시험기관을 추가 지정해 검증수요 증가에 대비

=================================================================================== 
② 망분리 정책 폐기 및 MLS 로드맵 공개
- 다중보안체계(MLS) 내년부터 도입
> 기존 망분리 정책은 AI 등 신기술을 활용할 수 없게 막아옴
> 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있도록 함

- 기존 망분리 정책
> 업무망에서는 인터넷을 사용할 수 없게 차단하고, 업무망과 분리된 별도의 PC를 사용해 인터넷에 접속
> 보안성은 우수하나, AI 클라우드 기반 소프트웨어(SaaS) 등 신기술 활용의 어려움과 공공 데이터 공유 활성화를 어렵게 하는 지적

- 국정원, 망분리 대안으로 MLS 로드맵 공개
> MLS: 시스템을 기밀(C), 민감(S), 공개(O) 등급으로 분류 후 등급별 차등적 보안통제를 적용해 보안성 확보 및 인터넷 단절 없는 업무 환경 구현을 목표
> 업무 정보의 C·S·O 등급분류 기준
⒜ 기밀·민감 정보: 정보공개법과 공공데이터법 등에 따라서 각급 기관이 지정한 비공개 정보
⒝ 공개 정보: 기밀·민감 정보 이외에 것과 민감 정보 중에서도 가명 처리한 것
> 업무 정보가 운영되는 시스템의 등급 기준: 여러 등급의 정보가 섞여 있을 경우 상위 등급 기준으로 시스템 기준을 분류한다는 원칙

- 전환 계획
⒜ 올해까지 MLS 기반 구체화하고 내년부터 시행 및 고도화해 26년부터 전환 가속화
⒝ 국가정보보안기본지침과 MLS 관련 가이드라인 개정·제정 및 내년 상반기 전 국가 공공기관 대상 지침 공표
⒞ MLS 도입으로 영향 받는 공공 보안 제도와 CSAP(클라우드 보안인증) 재정비
> 내년 상반기까지 현행 CSAP의 상·중·하 보안 기준을 CSO 개념으로 재정립: 인증 반복을 없애고 간소화
> 공공기관별로 보안 등급을 나눈 현행 공공 보안검증 제도도 CSO를 적용해 일괄 정비

=================================================================================== 
③ 개인정보보호법 시행령 개정안 09.15 시행
- 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정
> 99년 정통망법 개정 후 서비스 제공시 정보주체 동의를 받아야 했음
> 서비스 제공 계약에 필요해도 정보주체 동의 필요 등 문제가 존재
> 11년 개보법 제정 후 계약 체결과 이행을 위해 불가피한 경우 외에는 필수 동의 관행이 지속
> 23년 개보법 개정을 통해 신뢰에 기반할 경우 별도 동의 없이 개인정보를 이용할 수 있도록하고, 동의가 꼭 필요한 경우에 한정해 명시적인 동의를 받도록 개선

- 주요 내용
⒜ 동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항)
> 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
> 동의를 받으려는 내용이 구체적이고 명확할 것
> 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
> 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

⒝ 개인정보 수집·이용시 동의 여부 및 방법 안내
> 서비스 이용계약 관련 개인정보는 동의 없이 수집·이용
> 서비스 이용계약과 관련 없는 개인정보는 동의원칙 준수
> 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 분리 조치
> 민감정보·고유식별정보의 경우 서비스에 불가피한 경우 필수동의

- 개선 계획
> 현장의 혼선이 없도록 개인정보 처리 통합 안내서 발표 예정
기타 - AES 허용 이점
> 국내 업체의 수출 경쟁력 강화
> 개발 편의겅 증대
> 무역장벽 논란 해소

- MLS 전환 전망
> 국가 공공기관 시스템에 AI와 클라우드가 연계되어 업무 효율성 제고 및 우수한 공공 서비스 개발

- 개인정보 처리 통합 안내서
> 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획

 

보안뉴스

 

국정원 "2026년부터 전 공공분야에 국제표준암호 허용"

국가정보원이 2026년부터 전 공공분야에 국제표준암호인 AES를 허용하기로 했다. 국정원은 11일 서울 삼성동 코엑스에서 개최한 국제 사이버안보 행사인 ‘사이버 서밋 코리아 (CSK) 2024’에서 이

n.news.naver.com

 

케케묵은 '망분리' 내년엔 사라진다…국정원, MLS 로드맵 공개

국가 공공기관이 인공지능(AI) 등 신기술을 활용할 수 없게 막아온 획일적인 ‘망분리 정책’이 사라지고, 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수

n.news.naver.com

 

개인정보 필수동의 관행 개선한다... 9월 15일부터 보호법 시행령 개정안 시행

지난해 9월, 개인정보보호법(이하 보호법) 개정으로 계약 이행 등이 필요한 경우, 정보주체의 동의 없이 개인정보를 수집·이용할 수 있게 됐다. 올해 9월 15일부터는 동의를 받아 개인정보를 수

www.boannews.com

'보안뉴스' 카테고리의 다른 글

10년 넘은 리눅스 취약점 발견돼...세부 내용은 다음 주에 공개 외 1건  (1) 2024.09.29
독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
요약 - Typosquatting을 이용한 공급망 공격은 오래전부터 인기
- CI/CD 솔루션 GitHub Actions이 Typosquatting에 취약한 것이 확인
내용 - CI/CD 솔루션 GitHub Actions이 Typosquatting에 취약
> 개발자가 알아차리지 못하는 사이에 애플리케이션이 악성코드를 실행하도록 만들 수 있음
> 누구나 임시 이메일 계정으로 GitHub 계정을 만들어 GitHub Action을 게시할 수 있기 때문에 가능

- GitHub Actions에서 Typosquatting를 악용한 약 198개의 파일이 발견
기타 - 이름과 출처를 신뢰할 수 있는지 확인

 

보안뉴스

 

GitHub Actions Vulnerable to Typosquatting, Exposing Developers to Hidden Malicious Code

Typosquatting in GitHub Actions is a rising security threat, risking software supply chain attacks.

thehackernews.com

'보안뉴스' 카테고리의 다른 글

독일 경찰이 정말로 토르 네트워크를 뚫었을까? 외 1건  (4) 2024.09.25
국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
요약 - 취약점 점검은 갈수록 중요해지는 중
- 자동화 기술을 통한 취약점 점검뿐만 아니라 수동 취약점 점검 또한 중요
내용 - 취약점 점검은 시스템의 약점을 찾는 것을 기본으로 함
> 보이지 않는 위협으로부터 시스템과 디지털 공간을 안전하게 보호하는 것도 포함

- 수동 취약점 평가
① 인증 및 권한 테스트
> 인증 테스트는 승인된 사용자만이 시스템에 접속할 수 있는지, 혹은 그렇지 않은 사람들도 접속 가능한지를 확인
> 권한 테스트는 접속한 사용자에게 적절한 권한이 부여되는지를 검증
> 권고: 여러 문자를 섞어 적당히 긴 비밀번호, 다중 인증, 중앙 관리 시스템, 최소 권한의 원칙, 접근 기록 정기적 검토

② 비밀번호 관리
> 사용자가 비밀번호를 저장하고 관리하는 최적의 접근 방식을 따르도록 하는 지침들을 마련해 전파하는 것까지를 포함
> 정상적인 권한을 가지고 있지 않은 사람이 시스템과 네트워크에 접근하는 것을 막는 것을 목표로 함
> 권고: 로그인 시도 횟수 제한

③ 세션 관리
> 세션 쿠키 재사용을 통해 정상 사용자의 권한을 그대로 가지고 접속할 수 있음
> 권고: 강력하고 고유한 세션 식별자 설정, HttpOnly 또는 Secure 플래그를 설정, 세션 타임 아웃

④ SQL 주입
> 웹 애플리케이션에서 가장 흔히 나타나면서도 대단히 위험한 취약점
> 권고:매개변수화 된 쿼리 사용, 입력 값 제한 및 검증 강화, DB 접근 권한 최소한 사용자에게 부여

⑤ 교차 사이트 스크립팅(XSS)
> 권고: 입력 값 제한 및 검증 강화, 매개변수화 된 URL과 코드 사용, 콘텐츠 보안 정책(CSP) 헤더를 구축, 인라인 자바스크립트 지양

⑥ URL 조작
> URL 조작 테스트는 웹 애플리케이션이 URL 조작 공격에 얼마나 노출되어 있는지를 파악하는 것
> 무단 접근, 데이터 유출, 그 외 여러 보안 문제를 사전에 막기 위해 실시
> 여러 가지 유형의 테스트가 존재
⒜ 경로 탐색(path traversal) : URL 경로를 다른 것으로 바꿈으로써 다른 디렉토리에 접근
⒝ 매개변수 변조(parameter tampering) : URL의 매개변수를 수정하여 애플리케이션이 비정상적으로 작동하게 함
⒞ 디렉토리 목록화(directory enumeration) : 숨겨진 디렉토리를 찾는 데 도움이 됨
⒟ 불안전 디렉토리 객체 참조(IDOR) : URL에서 식별자를 조작하여 접근이 허용되지 않은 자원에 접근
⒠ 강제 브라우징(forceful browsing) : URL을 직접 입력함으로써 피해자의 브라우저가 악성 페이지에 접근하도록 함
⒡ URL 우회 접속 : URL 매개변수나 URL 그 자체를 조작하여 다른 곳으로 접속하게 유도
⒢ URL 매개변수를 통한 SQL 주입 : 말 그대로 URL 매개변수에 SQL 명령을 삽입
⒣ XSS : URL 매개변수에 SQL 주입 명령을 삽입
⒤ 세션 ID 조작 : URL에 포함되어 있는 세션 ID를 조작하여 세션 탈취 공격을 진행
⒥ 파일 업로드 테스트 : 파일 업로드 매개변수를 조작하여 업로드를 제한하거나 악성 파일을 업로드

- 수동 취약점 점검을 통해 반드시 찾고 고쳐야 하는 것: 사용자 입렵값을 처리하는 기능
> 다음으로 중요한 것: 최소 권한의 법칙
기타 - 코드를 세밀하게 검토하고, 입력 값을 검증하고, 인증 메커니즘을 철저히 분석할 때 수동으로 테스트를 진행하는 게 중요
> 자동 기술로 하면 놓칠 만한 것들을 찾아낼 수 있게 됨

 

보안뉴스

 

자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검

취약점 점검이라는 보안의 기본 실천 사항은 갈수록 중요해지고 있다. 취약점이 많아지고 있기도 하고, 그 취약점을 통해 침투하는 것을 공격자들이 점점 더 능숙하게 구사하기 때문이기도 하

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

국정원 "2026년부터 전 공공분야에 국제표준암호 허용" 외 2건  (2) 2024.09.16
Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
요약 - 최근 몇 년간 랜섬웨어 공격이 증가하며 하나의 비즈니스 모델로 진화
- 공격 영향 최소화, 가능한 한 빠은 회복에 중점을 둔 포괄적인 램섬웨어 복구 계획이 필수적
내용 - 24년 소닉웰(SonicWall) 네트워크 위협 보고서
> 23년 한 해 동안 전 세계에서 60억 6,000만건의 랜섬웨어 공격이 발생 (평균 매초 19건의 공격이 발생)
> 조직은 방어 조치를 강화할 필요성과 포괄적인 랜섬웨어 복구 계획이 필수적

- 어떤 조직도 모든 사이버 공격을 완벽하게 예방할 수 없기 때문에 조직은 복구를 최우선 고려 사항으로 삼아야 함
> 백업이 랜섬웨어 공격에 대한 가장 효과적인 방어 수단 중 하나로 인정받는 이유
> 최신 버전의 안전하고 검증된 백업을 보유하고 있으면 복구 가능성이 높아지고, 가동 중지 시간을 줄이며, 데이터 손실 위험을 최소화할 수 있음

- 랜섬웨어 복구 계획의 7가지 핵심 요소
① 데이터의 고립 방지
> 기술의 발전과 다양성으로 인해 기업이 운영 또는 개발 중인 도구는 여러 플랫폼에 걸쳐 사용
> 하지만 특정 작업 부하가 무시되면 조직이 랜섬웨어 공격 위험에 노출될 수 있음
> 기업은 모든 데이터를 완전한 백업 메커니즘에 포함시켜야 함

② 효율적이고 신속한 백업
> 기업의 데이터 양이 급격히 증가함에 따라 데이터를 보존해 후속 분석에 활용하거나 클라우드로 전송하고 IoT 장치에 적용해야 할 필요성이 증가
> 이를 위해 기업은 데이터를 효율적이고 신속하게 백업할 수 있는 시스템을 구축해야 함
> 모든 데이터가 백업된 상황에서도 복구 시간 간격(RPO : Recovery Point Objective)을 최대한 단축해야 함

③ 백업 데이터의 보존 기간 확보
> 최신 랜섬웨어는 최대 30~90일의 잠복기를 가질 수 있기 때문에 백업 데이터는 효율적이고 안전하게 보존돼야 함
> 이를 통해 예상치 못한 사고가 발생했을 때도 깨끗하게 복구할 수 있는 데이터를 유지해 기업의 지속적인 운영을 보장할 수 있음

④ 백업의 복구 가능성 테스트
> 기업(조직)은 언제 랜섬웨어 공격을 받을지 알 수 없기 때문에 불확실한 환경에서 백업 데이터의 복구 가능성을 지속해서 테스트하고 연습해야 함
> 이는 백업의 신뢰성을 높일 뿐만 아니라, 랜섬웨어 위협에 직면했을 때 신속하고 효과적으로 복구할 수 있도록 함

⑤ 액세스 불가능한 백업 구조 확보
> 일반적인 랜섬웨어 공격은 기업의 원본 데이터를 암호화하고 기존 백업 데이터를 삭제
> 이에 기업의 백업 데이터는 충분한 보안성을 유지해야 하며, 변조 불가능한 특성을 갖추고 랜섬웨어로부터 네트워크나 물리적 환경에서 격리돼야 함
> 이를 통해 기업은 원래와 같이 깨끗하게 복구할 수 있는 데이터를 확보할 수 있음

⑥ 신속하고 유연한 복구 메커니즘 구축
> 기업(조직)이 랜섬웨어 공격을 받을 경우, 최우선으로 해야하는 것은 지속적인 운영을 보장하는 것인데 이는 ‘시간’과 ‘유연성’이라는 두 가지 핵심 요소와 관련이 있음
> 가동 중지 시간을 최소화하기 위해 즉각적인 복구가 필요하며, 복구 시간 목표(RTO)를 단축해야 함
> 또한 랜섬웨어는 단일 플랫폼을 대상으로 공격하는 경우가 많기 때문에 백업은 플랫폼과 하이퍼바이저 별로 각각 구분해 복구 기능을 갖춰야 함
> 이는 복구 시 직면할 수 있는 위험을 분산시킴

⑦ 쉬운 조작과 중앙 관리
> 기업의 IT 환경이 복잡해짐에 따라 많은 기업이 원시적 보호 메커니즘을 활용해 백업을 수행
> 문제는 관리 복잡성이 높아질수록 인적 실수나 누락이 발생할 수 있으며, 랜섬웨어 공격에 취약점을 제공할 수 있음
> 이를 예방하기 위해 백업은 중앙 관리 기능을 갖춰야 하며, 데이터 가시성을 확보해 환경 내 모든 백업이 정상적으로 실행되고 있는지 모니터링할 수 있어야 함
기타 - 3-2-1 백업 
① 3개의 데이터 사본 혹은 버전 유지
> 원본 데이터와 두 개의 백업 데이터, 총 세 개의 사본
> 하나는 원본 데이터와 동일한 장소에 저장, 두 개는 다른 위치에 저장

② 2개의 서로 다른 미디어 혹은 플랫폼에 저장
> 최소 2개 이상의 각기 다른 저장 매체에 저장

③ 1개의 저장매체는 오프라인으로 유지
> 비상시에 안전하게 보관할 수 있도록 저장된 데이터의 물리적인 사본을 다른 위치에 보관

 

보안뉴스

 

Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략

최근 몇 년간 랜섬웨어 공격이 점차 증가하며, 이제는 하나의 비즈니스 모델로 진화해 각 산업에 심각한 영향을 미치고 있고 조직은 막대한 데이터와 자산 손실을 겪고 있다. 2024년 소닉월(SonicWa

www.boannews.com

'보안뉴스' 카테고리의 다른 글

Typosquatting에 취약하여 악성코드에 노출되는 GitHub Actions  (0) 2024.09.08
자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포  (0) 2024.07.31
요약 - 환경설정 파일(env) 파일을 아무런 보호 장치 없이 노출되어 있었음
- 공격자들은 단순 스캔만으로 획득하여 11만 개 도메인 공격
내용 - 환경설정 파일(env)
> 애플리케이션과 플랫폼에서 사용되는 각종 변수를 정의하는 데 사용
> 클라우드용 접근 키, API 키, 데이터베이스 로그인 정보와 같은 민감한 데이터가 저장
> 공격자는 해당 파일에 저장된 AWS 접근 키를 이용해 AWS 접속 및 API 호출을 통해 시스템 구성 파악

- 공격자는 지나치게 많은 권한을 지닌 IAM 계정 발견
> 다른 IAM 계정에 새로운 권한을 부여할 수 있는 권한
> 새 IAM 계정 생성 후 모든 권한을 부여하여 추가 악용에 이용

- 공격자는 자동 스캔을 통해 노출된 파일을 포함한 도메인을 최소 11만 개 발견
> 도메인에 침투하여 클라우드 인프라에 접근해 S3 버킷을 찾아낸 것
> 버킷에서 데이터를 탈취한 후 삭제 및 협박

- 노출된 env 파일을 분석한 결과 클라우드 인프라 접근 키 외 다양한 정보가 저장
> 각종 SNS, 온프레미스 애플리케이션에 대한 로그인 정보
> 조사 결과 인터넷에 노출되어 있는 환경변수 파일이 9만 개 이상이며, 이 중 7천여 개가 클라우드 서비스와 관련되어 있음

- 대응방안
> 가장 먼저 IAM 접근 키의 권한을 유연하게 설정
> AWS 계정 내 미사용 리전들을 비활성화
> 로깅 활성화, 모니터링 강화
기타 -

 

보안뉴스

 

노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져

사용자 편에서 저지르는 여러 가지 자잘한 실수들이 겹치는 것을 사이버 공격자들은 놓치지 않는다. 최근 클라우드 관리에서의 실수와 비밀번호 설정에서의 실수가 겹치며 공격자들에게 거대

www.boannews.com

 

'보안뉴스' 카테고리의 다른 글

자동화 기술이 넘쳐나는 시대에 뜻밖의 제안, 수동 취약점 점검  (3) 2024.09.06
Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포  (0) 2024.07.31
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’ 외 14건  (0) 2024.07.21
요약 - 정보통신망법 개정안 14일부터 시행
- 침해사고 발생 시 24시간 내 최초 신고 의무 등 내용 개정안 시행
내용 - 정보통신망법 개정안
① 침해 사고 24시간 내 신고
> 사이버 침해 사고 발생 시 사고 인지 후 피해 내용, 원인, 대응 현황 등에 대해 파악한 사항을 24시간 내 최초 신고
> 신고 이후 사고 관련 추가 확인 사항의 경우 확인된 시점으로부터 24시간 이내 보완 신고
※ 현행 침해사고 대응 체계의 경우 신고시기에 대한 명확한 기준이 없어 미신고·지연신고가 발생, 신속한 현장 지원 어려움 존재

② 재발방지 등 필요한 조치 명령 근거 마련
> 재발방지 등 필요한 조치 이행을 현행 권고에서 명령할 수 있는 근거 마련
> 침해 발생 시 보안솔루션 강화 등의 조치가 명령 수준으로 향상

③ 명령 이행 여부 점검 및 보완 필요 시 시정명령 부과 가능
> 시정명령 후 이행하지 않은 경우 3000만원 이하의 과태료 부과
기타 - 침해 사고 피해 확산 및 재발을 최소화하기 위해서는 신속 신고를 바탕으로 한 원인 분석, 조치가 중요
> 침해사고 신고·후속조치 체계가 제대로 정착돼 다양한 정보보호 기술 지원을 받을 수 있도록 노력하겠다 발표

 

보안뉴스

 

내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화

14일부터 사이버 침해사고가 발생했다면 이를 정부에 24시간 내로 최초 신고하도록 하는 의무가 부여된다. 기존에도 사이버 침해사고가 발생하면 정부에 신고하도록 의무화했으나 신고 시점을

n.news.naver.com

'보안뉴스' 카테고리의 다른 글

Synology가 제시하는 랜섬웨어 복구를 위한 7가지 전략  (3) 2024.09.01
노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포  (0) 2024.07.31
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’ 외 14건  (0) 2024.07.21
해외에서 금융정보 훔친 악성 앱, 한국에 상륙... 금융소비자 주의보!  (0) 2024.07.04
요약 - NIST, 머신러닝 모델들의 안전성과 복구력을 확인할 수 있는 오픈소스 도구 Dioptra 배포
- 세 가지 공격(회피, 오염, 오라클)에 대해 방어력을 발휘할 수 있음
내용 - NIST, 머신러닝 모델의 안전성과 복구력을 확인할 수 있는 오픈소스 Dioptra 배포
> 회피, 오염, 오라클 공격을 염두하여 개발
> 이미지 분류에 능한 인공지능 모델을 방어하기 위해 개발됐으나, 음성 인식 등 다른 유형의 인공지능에도 접목 가능

① 회피 (Evasion)
> 인공지능이 엉뚱한 답변을 내놓도록 하는 것이 목표
> 입력 데이터에 노이즈 등을 삽입해 시스템이 응답하는 방식을 변경하는 공격

② 오염 (Poisoning)
> 인공지능 모델의 정확도를 떨어트리는 것을 목표
> 모델의 훈련 데이터를 변경시키고 조작하는 방법으로 목적 달성

③ 오라클(Oracle)
> 인공지능 모델을 리버스 엔지니어링을 통해 훈련 데이터를 추론하고 알아내는 기법

- Dioptra
> 세 가지 공격 중 어떤 것이 어느 정도로까지 영향을 줄 수 있는지 가늠할 수 있음
> 여러 방어 전략이 어느 정도로 효과를 거둘 수 있는지 확인 가능
> 모듈 구성으로 설계되었기 때문에 필요에 따라 다양한 설정으로 실험 가능(모델 변경, 휸련용 데이터셋 교환, 공격 또는 방어 전략 변경 등)
> 사용자 친화적인 웹 UI가 적용되었고, Python 플러그인과 호환이 가능해 여러 조합 구성 가능
기타 - Dioptra와 함께 각종 리스크 관리 전략에 관한 가이드라인 또한 공개
> 특히 인공지능의 선용 가능성과 악용 가능성 모두를 염두에 둔 내용이 담김
> 24.09.09까지 일반 대중들의 의견을 접수 받는 중

 

보안뉴스

 

미국 국립표준기술연구소, 인공지능 안정성 점검 도구를 무료로 배포

미국의 국립표준기술연구소(NIST)가 머신러닝 모델들의 안전성과 복구력을 실험할 수 있게 해 주는 소프트웨어 도구를 개발해 오픈소스로 풀었다. 인공지능을 겨냥한 여러 가지 유형의 공격에

www.boannews.com

 

What is Dioptra? — Dioptra 1.0.0 documentation

Dioptra is a software test platform for assessing the trustworthy characteristics of artificial intelligence (AI). Trustworthy AI is: valid and reliable, safe, secure and resilient, accountable and transparent, explainable and interpretable, privacy-enhanc

pages.nist.gov

 

GitHub - usnistgov/dioptra: Test Software for the Characterization of AI Technologies

Test Software for the Characterization of AI Technologies - GitHub - usnistgov/dioptra: Test Software for the Characterization of AI Technologies

github.com

 

'보안뉴스' 카테고리의 다른 글

노출된 .env 파일 하나가 쏘아올린 작은 공, 11만 개 도메인 공격으로 이어져  (0) 2024.08.24
내일부터 사이버 침해 사고시 '24시간'내 최초 신고 의무화  (0) 2024.08.16
[긴급] 크라우드 스트라이크 팔콘 업데이트 했다가 PC 블루스크린... 전 세계 ‘파장’ 외 14건  (0) 2024.07.21
해외에서 금융정보 훔친 악성 앱, 한국에 상륙... 금융소비자 주의보!  (0) 2024.07.04
랜섬웨어 공격자들이 늘어난다고? 그러면 랜섬웨어를 위장 도구로 사용하면 어떨까? 외 1건  (0) 2024.07.02

+ Recent posts

티스토리툴바