Offcanvas

������ ���������

오픈소스 SW 보안으로의 중요한 걸음, ‘OSSSMP’란?

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

오픈소스 오픈소스 보안 OSS 리눅스 재단 오픈SSF 공급망 공격 솔라윈즈 로그4j 공급망 보안 취약점 버그 현상금 데브섹옵스 애플리케이션 보안

2022.06.02

‘리눅스 재단(Linux Foundation)’과 ‘오픈SSF(Open-Source Security Foundation; OpenSSF)’의 계획은 오픈소스 소프트웨어 보안을 개선하고 취약점을 효과적으로 해결하기 위한 3가지 목표를 제시한다.  리눅스 재단과 오픈SSF가 ‘OSSSMP(Open-Source Software Security Mobilization Plan)’를 발표했다. 이는 소프트웨어 공급망 공격에 따른 대응조치다. 공급망은 악의적인 행위자에게 매력적인 표적이다. 솔라윈즈(SolarWinds) 및 로그4j(Log4j) 공격이 보여준 것처럼 단일 지점을 공격하여 고객 생태계 전체에 연쇄적인 영향을 미칠 수 있기 때문이다.   조 바이든 미국 대통령이 지난 2021년 발표한 ‘사이버 보안 행정명령’도 소프트웨어 공급망 보안에 초점을 맞추고 있다. 이 행정명령의 ‘소프트웨어 공급망 보안 강화(Enhancing Software Supply Chain Security)’ 섹션은 베스트 프랙티스와 가이드라인에 관한 정부, 학계, 업계의 의견을 요구했다. 현재 美 NIST는 해당 정보를 공개한 상태다. 2022년 초 백악관에서 주최한 ‘소프트웨어 시큐리티 서밋(Software Security Summit)’ 참석자들은 오픈소스 소프트웨어(Open-Source software; OSS) 보안, 생태계 개선, SBOM(Software Bill Of Materials) 도입 가속화 등을 논의했다. 아울러 연방정부는 막대한 구매력을 활용하여 안전한 개발 관행을 시행하고, 정부에 소프트웨어를 판매하는 기업들이 새로운 버전의 NIST SSDF(Secure Software Development Framework)를 준수하는지 증명하도록 촉구했다.  ‘OSSSMP’는 이러한 이니셔티브의 모멘텀이 헛되지 않도록 지원한다. 여기서는 보안 리더를 위해 OSSSMP의 핵심 내용을 정리했다.  OSSSMP의 목표 이 계획에는 3가지...

2022.06.02

현상금 100억 원도 나왔다··· 버그 바운티에 열 올리는 암호화폐 업계

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

암호화폐 버그 현상금 버그바운티 취약점 블록체인 크립토닷컴 큐빗 파이낸스 탈중앙화 금융 디파이 이더리움 해킹 웹3 버그 해커 화이트 해커 포상금 현상금

2022.02.21

현상금이 무려 미화 1,000만 달러(한화 약 119억 원)나 된다면 적절한 스킬을 갖춘 사람에게 암호화폐 취약점 사냥은 수지맞는 돈벌이다. 아울러 이는 전통적인 버그 현상금 역시 높일 것이라고 예상된다.  막대한 돈이 걸린 암호화폐 및 블록체인 프로젝트가 늘어나고 그 가치가 치솟으면서 2021년 한 해에만 암호화폐 사기꾼들은 140억 달러(한화 약 16조 원)를 훔쳐 갔다. 이러한 암호화폐 절도는 2022년에도 계속되고 있다.  불과 한 달 전인 지난달 17일 크립토닷컴(Crypto.com)은 3,000만 달러의 실물 화폐를, 이어 28일 큐빗 파이낸스(Qubit Finance)는 약 8,000만 달러의 암호화폐를 도난당했다. 이번 달에는 사상 두 번째로 큰 규모의 탈중앙화 금융(Decentralize Finance; DeFi) 절도 사건이 발생했다. 한 해커가 (이더리움과 솔라나 블록체인을 연결하는 크로스체인 프로토콜인) 웜홀(Wormhole)의 토큰 교환 브리지를 해킹해 3억 2,000만 달러 상당의 이더리움을 훔친 것이다.  현재까지 역대 최대 규모의 암호화폐 해킹은 지난 2021년 8월 발생했다. 여러 암호화폐 토큰을 교환할 수 있게 해주는 탈중앙화 금융 플랫폼 폴리 네트워크(Poly Network)가 6억 달러(한화 약 7,000억 원) 이상의 해킹 피해를 입었다. 이례적으로 폴리는 도난당한 6억 달러를 돌려받았으며, 해당 해커에 50만 달러를 버그 현상금 명목으로 제공했다. 이는 기존 암호화폐 버그 현상금 프로그램에서 일반적으로 주는 금액보다 6배 더 많았다.    현재 상한가는 200만 달러   2021년 말 기준 암호화폐 시장의 시가총액이 3조 달러를 돌파할 정도로 많은 돈이 걸려 있기 때문에 암호화폐 업계의 버그 현상금이 치솟는 것도 놀라운 일은 아니다. 일주일 전, 유명 화이트햇 해커인 제이 프리먼은 공격자가 임의의 수량으로 토큰을 인쇄할 수 있는 버그를 발견하여 이더리움 레이어...

2022.02.21

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.31