Offcanvas

보안+취약점

칼럼 | ‘뛰는’ 리눅스 배포판 위에 ‘나는’ 보안 취약점 있다

어디에나 오픈소스가 있다. 시놉시스(Synopsys) 보고서를 보면 모든 소프트웨어 코드의 96%에 오픈소스 소프트웨어가 포함돼 있다. 반가운 소식이지만 오픈소스의 대중화에 따르는 위험을 감안하면 걱정스러운 소식이기도 하다. 수십년 전 독점 기업은 오...

리눅스 보안 취약점 오픈소스

2023.10.24

어디에나 오픈소스가 있다. 시놉시스(Synopsys) 보고서를 보면 모든 소프트웨어 코드의 96%에 오픈소스 소프트웨어가 포함돼 있다. 반가운 소식이지만 오픈소스의 대중화에 따르는 위험을 감안하면 걱정스러운 소식이기도 하다. 수십년 전 독점 기업은 오...

2023.10.24

강은성의 보안 아키텍트ㅣ기업 보안 vs. 제품 보안 (2)

가정에서 사용하는 로봇 청소기가 해킹돼 원격에서 조종당하면 로봇 청소기가 가정의 프라이버시를 침해하는 공격 수단이 될 수 있다. 스마트 공장에서 사용하는 로봇이 해킹 당하면 공장에 상당한 피해를 줄 수 있고, 자율주행 자동차가 해킹 당하면 사람의 생명...

강은성 강은성의 보안 아키텍트 기업 보안 제품 보안 해킹 로봇 청소기 스마트 공장 자율주행차 보안 공격 보안 취약점 SPL PSIRT

2023.01.10

가정에서 사용하는 로봇 청소기가 해킹돼 원격에서 조종당하면 로봇 청소기가 가정의 프라이버시를 침해하는 공격 수단이 될 수 있다. 스마트 공장에서 사용하는 로봇이 해킹 당하면 공장에 상당한 피해를 줄 수 있고, 자율주행 자동차가 해킹 당하면 사람의 생명...

2023.01.10

칼럼ㅣ로그4j 재난 이후, 반격에 나선 오픈소스 보안

역사상 최악이라고 평가됐던 ‘로그4j(Log4j)’ 사태가 1주년을 맞았다. 그 이후로 소프트웨어 세계는 이런 일이 다시는 일어나지 않도록 필사적으로 달려왔고, 소프트웨어 공급망 보안에서 빠뜨렸던 연결고리가 채워지기 시작하고 있다.   로...

오픈소스 보안 소프트웨어 개발 개발 도구 로그4j 보안 취약점

2022.12.13

역사상 최악이라고 평가됐던 ‘로그4j(Log4j)’ 사태가 1주년을 맞았다. 그 이후로 소프트웨어 세계는 이런 일이 다시는 일어나지 않도록 필사적으로 달려왔고, 소프트웨어 공급망 보안에서 빠뜨렸던 연결고리가 채워지기 시작하고 있다.   로...

2022.12.13

CISO가 직면할 ‘디지털 트윈발(發)’ 악몽, 사이버 보안 이슈와 기회

디지털 트윈은 현실 세계의 사물, 구조, 시스템 등을 디지털로 구현한 것이며 기업은 대상의 라이프사이클을 깊게 이해할 수 있지만 이러한 수준의 통찰력과 제어는 악의적인 행위자에게 반대로 기회를 줄 수도 있다. 디지털 트윈은 엔진, 터빈 및 기타 장비...

디지털 트윈 보안 사물인터넷 보안 취약점

2022.12.08

디지털 트윈은 현실 세계의 사물, 구조, 시스템 등을 디지털로 구현한 것이며 기업은 대상의 라이프사이클을 깊게 이해할 수 있지만 이러한 수준의 통찰력과 제어는 악의적인 행위자에게 반대로 기회를 줄 수도 있다. 디지털 트윈은 엔진, 터빈 및 기타 장비...

2022.12.08

지니언스, ‘버그바운티’ 우수 신고자 6명에 포상금 지급

‘버그 바운티(Bug Bounty)’ 프로그램을 시행하고 있는 지니언스가 보안 취약점을 제보한 우수 신고자 6명에게 포상금을 지급했다고 11일(현지 시각) 밝혔다.   회사에 따르면 버그 바운티는 오류, 오작동을 의미하는 버그(Bug)와 ...

지니언스 버그 바운티 보안 취약점

2022.10.11

‘버그 바운티(Bug Bounty)’ 프로그램을 시행하고 있는 지니언스가 보안 취약점을 제보한 우수 신고자 6명에게 포상금을 지급했다고 11일(현지 시각) 밝혔다.   회사에 따르면 버그 바운티는 오류, 오작동을 의미하는 버그(Bug)와 ...

2022.10.11

어떤 기업이 ‘공급망 공격’ 대응 잘할까? 구글 클라우드 보고서

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 ...

개발자 구글 클라우드 도라 데브섹옵스 공급망 공격 보안 취약점

2022.10.04

구글 클라우드(Google Cloud)의 ‘도라(Dora; DevOps Research and Assessment)’ 팀에 따르면 건강한 개발자 팀 문화와 데브섹옵스 관행 준수가 오늘날의 보안 환경에서 공급망 공격 대응에 중요하다.  기업 ...

2022.10.04

트위터, 540만 계정 정보 유출 '인정'

540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.  8월 5일(현지 시각) 트위터는 이를 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을...

트위터 보안 취약점 데이터 유출

2022.08.08

540만 개 이상의 트위터 사용자 계정 정보가 유출돼 다크웹에서 판매되고 있다는 의혹이 사실로 확인됐다.  8월 5일(현지 시각) 트위터는 이를 공식적으로 인정하면서, "올해 1월 버그 현상금 프로그램으로 보고돼 즉시 패치했던 보안 취약점을...

2022.08.08

“오픈소스가 국가안보를 위협할 수 있다” 베라코드 CTO

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성...

오픈소스 로그4j 보안 취약점 베라코드 오픈소스 보안 자바 SBOM

2022.05.26

美 애플리케이션 보안 전문 기업 베라코드(Veracode)의 CTO와 함께 로그4j 취약점의 여파, 오픈소스 보안 문제 인식을 높이는 방법 등을 살펴본다.  지난 2021년 12월 초 수백만 개의 애플리케이션에서 사용되는 오픈소스 자바 구성...

2022.05.26

한 번쯤은 물어야 할 '클라우드 보안' 질문 9가지

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지...

클라우드 클라우드 보안 사이버 보안 해커 보안 취약점 코드로서의 정책 코드형 정책 클라우드 침해 제로데이 공격 로그4j

2022.05.18

클라우드 보안에 관한 인사이트가 있는가? 다음은 비즈니스 리더가 물어야 하고, 클라우드 보안 팀이 답해야 하는 9가지 질문이다.  사이버 보안 전문가가 클라우드 인프라와 애플리케이션을 노리는 해커를 퇴치하기 위해 필요한 지식을 얻으려면 조지...

2022.05.18

“오픈소스 보안 강화·제로트러스트 구축 간소화” 구글 클라우드, 새 서비스 공개

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summi...

오픈소스 보안 제로트러스트 구글 클라우드 보안 취약점 오픈소스

2022.05.18

구글 클라우드(Google Cloud)가 오픈소스 소프트웨어 보안, 제로트러스트 아키텍처 구축 간소화 등의 문제를 해결하는 새로운 보안 서비스를 공개했다.  연례 구글 클라우드 시큐리티 서밋(Google Cloud Security Summi...

2022.05.18

HP, 프린터 250종 보안 취약점 보고

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다...

HP 프린터 취약점 보안 취약점 LLMNR 프로토콜 펌웨어

2022.03.24

HP가 자사 프린터 모델에 내장된 보안 취약점에 대해 경고했다. 해당되는 모델이 무려 250여 종에 이른다. 악성 코드 주입, 서비스 거부 공격, 접근터 접근 등이 가능할 수 있는 이번 취약점 해결을 위해 HP는 펌웨어 업데이트와 구성 변경을 권고했다...

2022.03.24

깃허브, ‘자문 데이터베이스’ 공개··· “SW 공급망 보안 개선”

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.&n...

깃허브 오픈소스 사이버보안 자문 데이터베이스 보안 취약점 소프트웨어 공급망 데브섹옵스

2022.02.23

소프트웨어 개발 플랫폼 깃허브(GitHub)가 ‘자문 데이터베이스(Advisory Database)’를 커뮤니티 컨트리뷰터에 개방했다. 이를 통해 누구나 보안 취약점에 관한 인사이트와 인텔리전스를 제공하여 소프트웨어 공급망 보안을 개선할 수 있다.&n...

2022.02.23

‘로그4j’ 사태, 아직 끝나지 않았다··· 앱 개발자가 해야 할 3가지

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을...

로그4j Log4j 자바 보안 취약점 취약점 공격 익스플로잇 WAF 애플리케이션 보안

2021.12.31

이미 위험에 처했을지도 모르는 이유, 로그4j 취약점을 탐지 및 완화하는 방법, 앞으로 코드 보안을 개선하는 방법을 자세하게 살펴본다.  이달 초 보안 연구진은 수만 개의 웹 애플리케이션에서 사용되는 ‘로그4j’ 자바 소프트웨어에서 취약점을...

2021.12.31

다 모았다··· '로그4j 취약점' 완화법 총정리

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j ...

Log4j 로그4j 보안 취약점

2021.12.22

최근 Log4j라는 자바 컴포넌트에서 악용하기 쉬운 취약점이 발견되자 IT 보안 업계에 비상이 걸렸다. Log4j는 다양한 애플리케이션과 제품에 존재한다. Log4j 취약점이 알려지고 공격자가 이를 악용하기 시작한 후, 많은 IT 전문가가 Log4j ...

2021.12.22

역대급 보안구멍 ‘로그4j’ 막아라···개발자들의 고군분투기

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 ...

로그4j 로그포셸 자바 보안 취약점 보안 위협 아파치 재단 제로데이 취약점 자바 애플리케이션 핫패치

2021.12.20

지난 주말, 많은 개발자와 유지관리자가 앞다퉈 ‘로그4j(Log4j)’ 취약점에 대응하기 위해 나섰지만 이 문제를 바로잡기 위해 해야 할 일은 여전히 많다.  지난 주말 인터넷에 불이 났다. 긴급구조요원들은 곧장 현장으로 달려갔다. 대부분 ...

2021.12.20

쿤텍, 펌웨어 보안 취약점 분석 기술 개발… "5G 서비스 활성화 지원"

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다....

쿤텍 펌웨어 보안 취약점 5G

2021.11.25

쿤텍이 11월 25일 통신 및 네트워크 장비를 구성하는 IC(Integrated Circuit) 칩, PCB(Print Circuit Board) 보드 및 펌웨어에 숨겨진 의도적인 보안 취약점을 분석 및 검증할 수 있는 핵심기술을 개발했다고 발표했다....

2021.11.25

MS, 신규 프린트 스풀러 취약점 및 보안 지침 공개

마이크로소프트가 윈도우 프린트 스풀러에서 새로 발견된 취약점과 관련 보안 지침을 15일(현지시간) 웹사이트를 통해 공유했다. 지난달과 이달 초 취약점이 발견된 데 이은 세 번째 프린트 스풀러 관련 취약점이다.  마이크로소프트가 공개한 CVE...

프린트 스풀러 취약점 프린트 나이트메어 윈도우 보안 취약점

2021.07.19

마이크로소프트가 윈도우 프린트 스풀러에서 새로 발견된 취약점과 관련 보안 지침을 15일(현지시간) 웹사이트를 통해 공유했다. 지난달과 이달 초 취약점이 발견된 데 이은 세 번째 프린트 스풀러 관련 취약점이다.  마이크로소프트가 공개한 CVE...

2021.07.19

구글 ‘OSS-퍼즈’, 자바 앱까지 퍼징 확대 지원

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는...

구글 오픈소스 퍼징 퍼즈 테스트 퍼저 OSS-퍼즈 자바 JVM 코틀린 스칼라 프로그래밍 오류 보안 취약점 코드 인텔리전스 재저 립퍼저 클로저

2021.03.15

구글의 오픈소스 퍼징 서비스 ‘OSS-퍼즈(OSS-Fuzz)’가 이제 자바(Java) 및 JVM(Java Virtual Machine) 기반 언어(예: 코틀린, 스칼라 등)로 작성된 애플리케이션을 지원한다.    ‘OSS-퍼즈’는...

2021.03.15

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.

10.5.0.5