FU11M00N

지난 4월, 종단간 암호화라는 표현을 잘못 써왔다고 밝혀 공개키 암호화 기술 통해 서버 개입 없는 종단간 암호화 구축 이처럼 줌 사용자가 크게 늘어나는 반면, 줌과 관련한 보안사고는 계속됐다. 흔히 ‘줌 바밍(Zoom bombing)’이라고 부르는 회의 방해는 물론, 줌 사용자 계정과 비밀번호를 다크웹에서 거래하는 모습도 발견. 줌의 경우 최종 사용자 사이의 암호화가 아닌 사용자와 서버 사이에 전송되는 데이터만 암호화했으며, 복호화 키가 서버에 보관돼 있기 때문에 마음만 먹는다면 줌이 사용자의 회의 내용을 직접 확인하는 것도 가능했었음. 줌은 현지시간으로 10월 14일 열린 자사의 ‘줌토피아 2020’ 컨퍼런스를 통해 ‘E2EE 테크니컬프리뷰’를 적용한다고 밝혔다. ‘진짜’ 종단간 암호화를 도입하겠다고 ..

구글과 인텔이 리눅스 블루투스 프로토콜인 블루지(BlueZ)에서 고위험군에 속하는 취약점을 발견했다. 이루지는 리눅스 기반 사물인터넷 장비들에 탑재된 블루투스 기능을 구현하는 데 있어 핵심적인 요소 중 하나다 구글에 의하면 리눅스 커널 5.9 이전 버전의 경우 블리딩투스 취약점에 노출되어 있다고 한다. 블루지는 공식 리눅스 커널 2.4.6부터 도입. 블리딩투스 취약점은 피해자가 특정 링크를 누르거나 파일을 열지 않아도 공격이 성립된다. 블리딩투스 취약점을 공략하는 데 성공할 경우 공격자의 권한이 상승됨. 구글은 깃허브 게시글을 통해 “블루투스 전파가 닿을 만 한 거리에 있는 공격자가 피해자의 블루투스 주소를 알아낼 경우 악성 l2cap 패킷을 보냄으로써 디도스 공격을 하거나 커널 권한을 가지고 임의 코드..

2020년 2월달부터 매달 취약점이 세 자리수를 넘어가고있었지만, 올해 87개로 두자리수로 줄어듬. 하지만 결코 적은 숫자의 취약점이 아니다. 현재 가장 위험한 취약점(치명적 위험도)은 11개로 분류됨. 그 다음으로 위험한 취약점은 75개이며, 중간급 위험도를 가진 취약점은 1개로 분석됐다. 윈도, 오피스, 오피스 서비스, 웹 앱스, 비주얼 스튜디오, 애저 펑션즈, 닷넷 프레임워크, 마이크로소프트 다이내믹스, 오픈소스 소프트웨어, 익스체인지 서버, 윈도 코덱 라이브러리에서 골고루 발견됨. 그 중에서도 오늘 가장 큰 관심을 끌었던 취약점은 CVE-2020-16898 치명적 위험도를 가진 원격 코드 실행 취약점으로 윈도 TCP/IP 스택 내에 존재 CMPv6 라우터 광고(Router Advertisement..

구글이 자사의 키보드 앱인 지보드(Gboard) 베타 테스트 버전에서 새로운 인공지능 기능을 선보임. 사용자의 평소 메시지 내용이나 평소 습관을 분석해 상대방이 보낸 메시지에 적절한 답장을 자동으로 추천하는 ‘스마트 답장(Smart Replies)’ 기능 그만큼 사용자 입장에서는 개인정보가 노출될 수 있다는 불안감이 커짐. 인공지능 성능을 높이기 위해서는 더 많은 데이터를 기반으로 학습해 모델을 개선해야 하며, 사용자 맞춤형 서비스를 제공하려면 개인정보를 어느 정도 활용할 수밖에 없다 하지만 빅데이터와 개인정보보호 사이의 딜레마가 존재한다. 개인정보보호를 위해 원본 데이터에서 주요 정보를 제거하면 데이터로서의 가치가 떨어지고, 반대로 정보를 그대로 사용할 경우 사용자의 사생활 침해가 될 수있다. 구글은 ..

딜리버리히어로와 샘표식품, 하나금융티아이 등 기업들 ‘정보보호 인증 전문가’ 찾기 나섰다. 요기요와 배달통으로 잘 알려진 딜리버리히어로 코리아의 기술연구소에서 IT Security Compliance를 담당할 전문가를 모집함. 금융감독원의 IT 감사 대응과 PG 라이선스 유지를 위한 전자금융거래법 기반의 보안 가이드 제공, 대외 신뢰도를 향상시키기 위한 ISMS-P/PCI DSS 심사 및 외부 보안 심사 대응 및 준비 등의 업무를 맡게 된다. 10년 이상의 정보보안 업무 경험과 ISMS-P/CPPG 등 자격증, 대외 인증심사 및 실태점검 등의 경험자를 우대한다. 국내 최장수 브랜드 ‘샘표’ 브랜드로 국내 간장시장의 절반 이상의 점유율을 자랑하는 샘표식품이 정보보안 담당자 채용에 나섰다. 하나금융그룹의 I..

파괴력 가득할 것으로 보이는 P2P 봇넷이 새롭게 발견 . 사물인터넷 장비들의 텔넷 서비스들을 주로 장악 이름은 HEH. 중국의 보안 업체 치후360이 처음 발견해 세상에 알림. HEH는 장비 내 모든 데이터를 완전히 삭제하는 기능을 가지고 있음. 현재 HEH는 서버, 라우터, 그외 여러 사물인터넷 장비에 브루트포스 공격을 실시함으로 퍼져가고 있다. 특히 SSH 포트 23번과 2323번이 인터넷에 노출된 장비들이 주요 공략 대상. 멀웨어 자체는 고(GO) 언어로 작성. 1. HEH는 장비에 올라타 감염을 진행시킨 뒤에는 먼저 장비에서 진행되고 있는 다수의 서비스들을 종료시킨다. 그런 후에 HTTP 서버를 시작 (이 때 화면에는 ‘세계 인권 선언(Universal Declaration of Human Ri..

지난 10년간 보이스피싱 범죄로 인한 누적 피해규모가 2조5,000억원에 달했지만 환급률은 20% 정도에 불과한 것으로 나타남. 범죄 발생 건수도 지난 10년간 연평균 40% 이상 폭증세를 보이면서 누적 범죄건수가 20만건을 넘음.‘지난 10년간 보이스피싱 범죄 발생 현황’ 자료에 따르면 지난 2011년부터 2019년까지 보이스피싱으로 인한 누적 피해액이 2조2,934억원을 기록 반면, 총 환급액은 5,678억원에 불과해 돌려받지 못한 실제 피해금액이 1조7,256억원. 양 의원은 “보이스피싱 범죄는 개인뿐 아니라 가족까지도 파괴할 정도로 악질적인 범죄”라며, “범인을 끝까지 추적해 반드시 검거하고, 피해금액의 수배에 달하는 징벌적 손해배상제를 적용하는 등 강력한 척결 대책을 펴야 한다”고 지적 http..

넷플릭스의 수석 정보 보안 리스크 엔지니어인 토니 마틴베그는 지난 주 열린 페어컨퍼런스에서 “누구나 사업을 하다보면 위험한 순간을 맞닥트리고, 또 위험을 감수해야 하는 순간을 경험한다” “조직 입장에서는 ‘어느 정도의 리스크가 지나치게 많은 리스크인가?’를 판단할 수 있어야 한다”고 설명했다. 리스크 관리자들은 CEO, CFO, CIO 등 최고 결정권자들과 보다 가까운 곳에서 일을 해야함. 넷플릭스는 내부적으로 정량적 모델을 사용해 이러한 결정을 내려옴. 1. 리스크의 단위를 바꿔라 리스크와 관련된 소통을 돕기 위해 정량적인 모델링을 사용하는 건 넷플릭스만의 강점은 아니다. 다만 대부분의 기업들이 채용하는 ‘상/중/하’ 모델이나 ‘적/황/녹’ 평가 시스템과 넷플릭스에서 말하는 리스크 모델링은 조금 다르다..