FU11M00N

개정된 가이드라인은 보호자가 자녀의 안전을 확인하기 위해 어린이집 CCTV 영상 원본을 열람할 수 있으며, 보건복지부의 ‘어린이집 영상정보처리기기 설치·운영 가이드라인’에 따라 요청할 수 있음. 하지만 영상을 외부로 반출입 할 경우엔 다른 영유아 및 교직원의 허락을 받거나 모자이크 처리를 해야함. 어린이집에 CCTV 설치는 필수임. 또한 보호자는 영상 열람 바로 가능함. 영유아보육법에 따르면 모든 어린이집은 CCTV를 설치해야하고 조작또한 하면안됨. 또한 촬영된 영상을 60일이상 안전하게 보관해야함. 하지만 모자이크는 어린이집에서 해야하는데 비용은 누가 부담할지 못정함. 현재 법률자문을 받고있는상황. 비용만 해결된다면 모자이크 처리한 영상을 받는것은 문제가 되지 않을것. www.boannews.com/m..

HTML 문서의 이름을 ‘견적서’, ‘인보이스’ 등으로 위장해 파일로 첨부하는 피싱방식이 생김. 기존의 HTML 문서의 경우 카드 명세서, 통신사 요금 내역 등 다양한 이메일 고지서에 쓰이는 방식임. 일반문서와 달리 인터넷을 이용해 통신할 수있도록 되어있음. 하지만 인터넷을 이용하기에 공격자에게도 유용함. ‘견적서’ 같은 파일 이름을 사용하고 ‘보안’을 위해 ID와 비밀번호를 입력하라고 요구하는 등 속이는것이 가능함. 보통의 피싱은 URL로 판단가능하지만 HTML은 문서가 저장된 PC 내 폴더로 경로가 보이기때문에 주소만으로 피싱임을 눈치채기 어려움. 또한 백신 등의 보안 프로그램도 탐지못함. 그렇기에 사용자는 이를 예방하기위해 불필요한 첨부 파일을 내려받거나 알수 없는 URL을 클릭하는 것을 삼가해야함..

1. 코드 주입 특정한 상황에서 인증 정보가 없이도 로그인이 되도록 한다거나, 추가 멀웨어를 심는 게 ‘코드가 주입된 API’를 통해 가능해짐. API에 코드가 주입되었는지 아닌지를 확인하려면 여러 가지 ‘수동 점검’을 진행해야함. 2. 리플레이 요청 공격 첫 번째 악성 요청이 거부되더라도 공격자는 얼마든지 그 다음 요청을 전송할 수 있게 됨. 그래서 해커들이 선호함. 대응방안으로는 HMAC 인증을 활용해 요청 시도 제한 규정을 적용해야 함. 3. 요청 조작 공격 인증이 된 웹 애플리케이션(API와 같은)을 해커가 활용해 이메일 주소를 변경하거나 은행 계좌로부터 돈을 보내는 등의 결과를 이끌어 내는 공격 4. 사용자 인증 파괴 API 개발자들이 항상 인증 시스템에 철저하게 신경을 쓰는것이 아니기 때문에 ..

사용자가 들여다보는 인터페이스 화면에 거짓 정보를 띄우도록 해 주는 취약점은 각종 소프트웨어에서도 끊임없이 나 옴. 브라우저들마다 취약점이 따로 존재함. 결국에는, CWE-451이라는 커다란 항목 안에 공통적으로 포함이 될 수있다. CWE-451은 ‘사용자 인터페이스를 통한 중요 정보 불실 표시(User Interface Misrepresentation of Critical Information)’라고 알려져 있다. CWE-451에 속하는 취약점을 공략할 경우 진짜와 똑같아 보이는 악성 웹 페이지로 피해자를 유도할 수 있다. 라피드7에 의하면 이번에 공개된 취약점들 전부 이러한 가능성을 가지고 있다고 한다. 문제의 근원은 자바스크립트 속이기가 가능. 이러한 취약점이 발견된 모바일 브라우저는 다음과 같다...

넷플릭스의 수석 정보 보안 리스크 엔지니어인 토니 마틴베그는 지난 주 열린 페어컨퍼런스에서 “누구나 사업을 하다보면 위험한 순간을 맞닥트리고, 또 위험을 감수해야 하는 순간을 경험한다” “조직 입장에서는 ‘어느 정도의 리스크가 지나치게 많은 리스크인가?’를 판단할 수 있어야 한다”고 설명했다. 리스크 관리자들은 CEO, CFO, CIO 등 최고 결정권자들과 보다 가까운 곳에서 일을 해야함. 넷플릭스는 내부적으로 정량적 모델을 사용해 이러한 결정을 내려옴. 1. 리스크의 단위를 바꿔라 리스크와 관련된 소통을 돕기 위해 정량적인 모델링을 사용하는 건 넷플릭스만의 강점은 아니다. 다만 대부분의 기업들이 채용하는 ‘상/중/하’ 모델이나 ‘적/황/녹’ 평가 시스템과 넷플릭스에서 말하는 리스크 모델링은 조금 다르다..

이스트소프트가 알집, 알PDF 등을 포함한 PC 필수 유틸리티 소프트웨어 패키지 ‘알툴즈 통합팩 2021’ 버전을 정식 출시 알툴즈 통합팩은 지난 2002년 첫 출시 이후 지속적인 업그레이드를 통해, 현재 3만여 개 이상의 일반 기업과 공공기관 사용자를 확보한 제품 이번 버전에는 △페인트샵 프로 for 알툴즈 △알씨 △알집 △알PDF △랜섬쉴드PC △알키퍼 △알드라이브 △알송 △알툴바 △알캡처 등 총 10개의 PC 소프트웨어가 포함 https://www.boannews.com/media/view.asp?idx=91666&kind=3&search=title&find=%C0%CC%BD%BA%C6%AE 이스트소프트, ‘알툴즈 통합팩 2021’ 정식 출시 이스트소프트가 알집, 알PDF 등을 포함한 PC 필수 유..

마이크로소프트가 여러 개의 게시글과 트윗을 올리며 이란 해커들의 공격에 대해 경고하기 시작함. 공격자는 머디워터(MuddyWater) 혹은 머큐리(Mercury)라고 불리는 단체 이들이 노리는 건 제로로그온(Zerologon)이라는 취약점 제로로그온은 CVE-2020-1472에 붙은 이름으로, 넷로그온(Netlogon)에서 발견된 권한 상승 취약점 MS는 이 공격자가 이란의 해커인 머큐리인 것으로 결론을 내림. 마이크로소프트는 이란의 해커들이 얼마 남지 않은 미국 대선을 노린 해킹 공격을 진행 중에 있다고 주장하기도 함. 하지만 이란 정부는 “둘 중 누가 미국 대통령이 되든 전혀 관심이 없다”고 반박함 MS, “이란의 해커들이 제로로그온 취약점 노리고 있다” 마이크로소프트가 여러 개의 게시글과 트윗을 올..

큰 기업들이나 작은 기업들이나 취약점관리를 10% 해결에서 만족하는 수준이 보임. 큰 기업이건 작은 기업이건 똑같이 90%의 취약점을 남겨둔다는 건, 절대량을 비교했을 때 큰 기업이 훨씬 많은 취약점을 보유하고 있다는 것. 패치가 불가능하다면 위험 완하 대책이라도 마련해야함. https://www.boannews.com/media/view.asp?idx=91382&kind=1&search=title&find=%B1%E2%BE%F7%B5%E9 기업들, 크나 작으나 매달 패치하는 취약점은 전체의 10% 수준 패치와 취약점 관리에 관한 따끈따끈한 보고서가 4개나 나왔다. 결론은 전부 같다. 산업이나 기업 규모에 상관없이 모든 조직들이 평균적으로 취약점의 10% 정도만 패치를 한다는 것이다. 이러한 www.bo..