:: DURUAN ::

Security News

정보보호 전문기업 두루안이 함께 합니다.

[보안뉴스] 2024년 6월 4주 동향 보도일|2024.06.24　조회수|1674

The Hacker News 발췌문

Signal Foundation Warns Against EU's Plan to Scan Private Messages for CSAM (2024-06-18)

l CSAM(아동 성적 학대 자료)을 탐지하기 위해 사용자의 개인 메시지를 스캔하라는 유럽 연합의 논란의 여지가 있는 제안은 E2EE(종단 간 암호화)에 심각한 위험을 초래한다고 Signal Foundation의 Meredith Whittaker 회장이 경고했습니다. 같은 이름의 개인 정보 보호 중심 메시징 서비스를 유지 관리합니다.

l 휘태커는 월요일 성명을 통해 "개인 통신에 대한 대량 스캔을 의무화하는 것은 근본적으로 암호화를 약화시킨다. 전면 중지"라고 말했다.

l "예를 들어 암호화 알고리즘의 난수 생성을 조작하거나 키 에스크로 시스템을 구현하거나 통신이 암호화되기 전에 감시 시스템을 통과하도록 강제하여 이러한 일이 발생합니다."

l 뉴스보기

What is DevSecOps and Why is it Essential for Secure Software Delivery? (2024-06-17)

l 전통적인 애플리케이션 보안 방식은 현대 DevOps 세계에서는 효과적이지 않습니다. 소프트웨어 제공 수명주기가 끝날 때(서비스 배포 직전 또는 직후)에만 보안 검색을 실행하면 취약점을 컴파일하고 수정하는 후속 프로세스로 인해 개발자에게 막대한 오버헤드가 발생합니다. 속도를 저하시키고 생산 기한을 위험에 빠뜨리는 오버헤드입니다.

l 모든 소프트웨어 구성 요소의 무결성을 보장해야 하는 규제 압력도 급격히 높아지고 있습니다. 애플리케이션은 점점 더 많은 오픈 소스 소프트웨어(OSS) 구성 요소와 기타 타사 아티팩트를 사용하여 구축되며, 이들 각각은 애플리케이션에 새로운 취약점을 초래할 수 있습니다. 공격자는 이러한 구성 요소의 취약점을 악용하려고 하며, 이로 인해 소프트웨어 소비자도 위험에 빠지게 됩니다.

l 뉴스보기

Kraken Crypto Exchange Hit by Million Theft Exploiting Zero-Day Flaw (2024-06-19)

l 암호화폐 거래소 크라켄(Kraken)은 익명의 보안 연구원이 자사 플랫폼의 '매우 치명적인' 제로데이 결함을 악용해 300만 달러 상당의 디지털 자산을 훔치고 반환을 거부했다고 밝혔습니다.

l 사건의 세부 사항은 Kraken의 최고 보안 책임자인 Nick Percoco가 X(이전 Twitter)에서 공유했으며, 연구원으로부터 "우리 플랫폼에서 잔고를 인위적으로 부풀릴 수 있게 하는" 버그에 대한 버그 바운티 프로그램 경고를 받았다고 밝혔습니다. 기타 세부정보 공유

l 경고를 받은 지 몇 분 만에 회사는 공격자가 본질적으로 "우리 플랫폼에 예금을 시작하고 예금을 완전히 완료하지 않은 채 자신의 계좌로 자금을 받을 수 있도록" 허용하는 보안 문제를 확인했다고 밝혔습니다.

l 뉴스보기

KISA보안공지

- Broadcom 제품 보안 업데이트 권고

- SolarWinds 제품 보안 업데이트 권고

기타 동향

거제시 이어 경기도 산하 홈피까지 개인정보 노출 위험 드러나... 지자체 보안 부실은 외주 탓? (2024-06-21)