보안뉴스, 데일리시큐, 전자신문 등 IT와 관련된 언론사 외 기사는 '더보기'를 눌러야 보실 수 있습니다.
1월 3일 뉴스입니다.
먼저 안랩에서 발표한 2020년 5대 사이버 보안 위협입니다. 안랩에서 2020년 예상되는 보안위협 TOP5를 발표했는데요 주요 예상 보안위협은 타깃형 랜섬웨어 공격 본격화, 클라우드 보안 위협 대두, 특수목적시스템 및 OT 보안 위협 증가, 정보 수집 및 탈취 공격 고도화, 모바일 사이버 공격 방식 다변화 입니다. 각종 미디어나 기관에서 2020년 예상 보안위협을 발표하고 있는데요 모든 보안담당자들께서 준비 잘 하셔서 무탈히 지나갔으면 좋겠습니다.
오늘 2020년 1월 1일부터 캘리포니아의 개인정보보호법인 CCPA가 시행되는데요 연간 매출이 2천500만 달러 이상이거나 5만건 이상의 소비자 등에 대한 개인정보를 보유하고, 개인정보 판매에 따른 매출이 기업의 총 매출의 절반 이상을 차지하는 기업의 보안담당자분들께서는 해당 법이 사업의 발목을 잡지 않도록 대응 준비를 하셔야 하겠습니다.
그밖에 혼다 북미지부에서 DB관리 소홀로 9억건이 넘는 정보가 노출되었다는 기사도 있었는데요 요즘 엘라스틱서치 운영상의 이슈로 인해 개인정보 노출 사고가 꽤 일어나는 것 같습니다. 워낙 방대한양의 데이터 운영을 위해 사용하는 엘라스틱서치인 만큼 주의가 필요할 것 같습니다. 과기정통부에서 발표한 2020 핵심과제 10개에서 '정보보호'는 빠졌다는 소식도 있었는데요 기술 발전이 빠르게 일어나는만큼 신경써야하는게 정보보호인데 핵심과제로 빠졌다는건 의아하긴 합니다. 시트릭스 솔루션에서 기업 네트워크에 직접 엑세스해 임의의 코드 공격을 수행할 수 있는 취약점이 발견되었다고 하는데요 Citrix ADC및 Citrix Gateway를 사용하시는 보안담당자분들께서는 빨리 패치하시기 바랍니다.
보안뉴스, 데일리시큐, 전자신문 등 IT와 관련된 언론사 외 기사는 '더보기'를 눌러야 보실 수 있습니다.
12월 18일 뉴스입니다.
12월 18일부터 21일까지 휴가를 겸한 출장을 다녀와서 뉴스 정리를 못했습니다. 하지만 포스팅 하나에 4일치를 올리기에는 양이 너무 많아 18일부터 21일까지 각각 올리도록 하겠습니다.
상당히 다양한 뉴스가 있었는데요
먼저 안랩에서 발표한 피싱페이지 주의입니다. 유명 포털로 위장한 페이지에서 보안프로그램 설치 안내창이 뜨면서 접속한 환경에 맞춰 설치파일(exe, apk 등)이 다운로드되고 이를 이용해 전화번호, IMEI 등의 개인정보를 수집한다고 하는데요 확인되지 않은 URL 접속 시에는 한번 더 확인이 필요할 것 같습니다.
다음 뉴스는 페이스북 관련 뉴스입니다. 페이스북은 조용한 날이 잘 없는 것 같은데요 이번에는 위치정보에 관한 뉴스입니다. 위치서비스를 꺼도 태그나 체크인기능, IP 등을 통해 추정할 수 있다는 내용인데요 음.. 태그나 체크인은 본인이 위치를 저장하는 기능인데 이 기능은 쓰면서 위치는 저장하지 말라고 한다면 체크인이나 태그 장소에 대한 정보를 없애라는 말인데 개인적으로 그걸 제한한다는건 그닥 와닿지는 않습니다.
개인정보 손해배상 책임보험 의무화에 관한 기사가 있었는데요 아무래도 시행이 열흘밖에 남지 않은 상태이다보니 아직 가입하지 않은 사업자는 맘이 급해질 것 같습니다. 이런 상황 속에서 호스팅 업체와 보험사가 손을 잡고 호스팅업체를 이용하는 고객을 대상으로 비대면 서비스 등을 만드는 것으로 보입니다. 말일에는 병목현상이 일어날 지도 모른다고 하니 불안하시다면 미리 가입하는게 좋지 않을까 싶네요
KISA와 중국인터넷협회가 한국인 개인정보보호를 위한 MOU를 맺었다고 하는데요 개인정보의 유노출이 일어나면 그 데이터의 상당수가 중국으로 넘어간다고 하는 상황에서 이러한 움직임은 반드시 필요할 것으로 보입니다. 다만 워낙 땅덩이가 넓은 나라이다보니 과연 한국인의 정보가 제대로 보호될 수 있을지 의문이 들기는 하네요
윈도우7 기술지원 종료에 관한 소식이 있었습니다. 윈도우7 EoS가 얼마 남지 않은 상황 속에서 아직 업그레이드 되지 않은 시스템이 상당히 많이 남아있다고 하죠. 하루빨리 정상적인 업그레이드와 함께 업그레이드 한 이후에도 실시간 패치를 해야 정말 안전하게 지켜나갈 수 있을테니 그에 대한 대책도 세우셔야 할 것 같습니다.
보안뉴스, 데일리시큐, 전자신문 등 IT와 관련된 언론사 외 기사는 '더보기'를 눌러야 보실 수 있습니다.
12월 13일 뉴스입니다.
다양한 뉴스가 올라온 하루였습니다.
먼저 KISA의 사이버위기 대응훈련 강평 소식입니다. 어제 뉴스에서 이미 많은 기사가 올라왔는데요 BCP와 DRP 훈련을 어찌 할지는 언제나 고민거리죠. 해킹 대응 훈련도 BCP 측면에서 다양한 상황을 전제로 훈련해봐야 할 것 같습니다. BCP는 실서비스에는 못해보고 DRP는 실서비스에 해본적이 있는데 물론 사전 고지는 했습니다만 이전의 가상훈련을 할 때와 생각보다 많은 차이가 나타났고 가상훈련에서 찾을 수 없었던 오류도 찾을 수 있었습니다.
새로운 해킹 그룹이 발견되었다는 소식이 있었는데요 오픈소스를 주로 이용해서 큰 노력과 비용을 들이지 않는 특이한 해킹 그룹이지만 수많은 시스템에 알려진 취약점이 워낙 많은 세상이라 그리 안심이 되지는 않네요
해킹그룹 '코니'에서 악성코드가 포함된 HWP 문서를 이용해 APT 공격을 수행한다는 소식이 있는데요 HWP는 대부분 국내 전용인 만큼 국내를 타겟으로 하는 공격으로 보이는데 요즘 부쩍 국내향 공격이 많아진 느낌이 드는건 제 착각일까요?
캐논코리아와 리니지2M의 사고 소식도 있었구요 구글 계정이 해킹돼 수백만원이 결제되었다는 소식도 있었습니다. 아마존 보안회사 '링'의 보안카메라 해킹 소식도 있었는데요 보안카메라는 다양한 목적으로 활용하고 있지만 그만큼 사생활 피해의 소지도 있으니 활용 시 반드시 주의를 기울이셨으면 합니다.
인도에서 클라우드 설정 오류로 엄청난 건의 개인정보가 노출되었습니다. 클라우드의 사용이 늘어나면서 설정 오류로 인한 노출이 이슈가 될 수밖에 없는 것 같습니다. 기존 온프라미스 환경에서도 설정값의 중요성은 아무리 강조해도 작지 않았지만 클라우드라는 오픈된 환경에서 그 중요성은 날이 갈수록 더 커지는 듯 합니다. 클라우드를 사용하시는 보안담당자분들께서는 한번쯤 더 점검해보셔야 할 것 같습니다.
윈도우7의 EoS가 한달도 남지 않아 그에 대한 기사도 몇 건 있었구요
대학은 ISMS도 거부하더니 이번 개인정보 배상 책임보험도 거부하는군요.. 학생들의 개인정보는 지킬만한 가치가 없다고 보는건지 아니면 정보보호 자체에 대한 의지가 없는건지 모르겠습니다.
패스워드 보안 앱에 대한 소개 기사가 있었습니다. 패스워드 관리는 보안의 기본인 만큼 고민들이 많으실텐데요 패스워드 보안앱은 편의성과 보안성을 높여주고는 있지만 해당 앱이 이슈 발생 시 그 안에 있는 모든 사이트에 영향을 줄 수 있기 때문에 주의해서 사용하셔야 할 것 같습니다. CASB 제품 비교하는 방법에 대한 기사도 있었는데요 클라우드 시대가 시작되면서 많은 보안 환경이 변화한 것 같습니다. CASB제품은 그런 흐름 속에서 나온 제품인데요 아직 썩 맘에드는 레퍼런스를 찾지 못해 고민인 부분입니다. 그밖에도 다양한 기사가 있으니 기사 내용 참고하시기 바랍니다.
