국내 보안 및 IT 기사 요약
선문대, 학생 개인정보 9,700여건 유출... 위탁업체 업데이트 실수
- 선문대학교에서 개인정보 유출 사고 발생
- 외부 위탁업체에서 시스템을 업데이트하는 과정에서 실수로 약 9,700여명의 학생 정보가 약 30분간 노출됨
- 유출된 정보는 이름, 학년, 학과, 전화번호 등
- 사고 발견 후 학교 측은 즉시 시스템을 차단하고 관련 부서와 함께 재발 방지대책 논의 중
한국교육학술정보원 지식샘터 홈페이지, 교원 353명 개인정보 유출
- 한국교육학술정보원의 지식샘터 홈페이지에서 353명의 교원 개인정보가 유출됨
- 유출된 정보는 이름, 소속, 아이디, 전화번호 등
- 구글 검색엔진의 크롤링 기법을 통해 노출된 것으로 밝혀짐
- 교사들이 먼저 문제를 발견해 보고했으며, 학술정보원은 이를 인지한 후 6시간 만에 보완 조치를 완료
한온시스템, 헌터스 인터내셔널 랜섬웨어에 해킹 피해... 임직원 자료 등 공개
- 한온시스템이 헌터스 인터내셔널 랜섬웨어 그룹의 해킹 공격을 받아 2.3TB 분량의 내부 데이터가 탈취됨
- 유출된 자료에는 임직원 178명의 개인 정보와 자회사 한온시스템 이에프피 코리아의 채용 이력서 300여 건의 개인정보가 포함되어 있음
- 이번 사건은 한온시스템이 2022년에 이어 두 번째로 당한 랜섬웨어 공격으로, 기업 보안의 강화가 절실히 요구됨
[긴급] 하우리 바이로봇 취약점 발견... 관리서버 해킹 및 악성코드 유포
- 하우리의 바이로봇 매니저 1.0과 바이로봇 매니지먼트 시스템 5.0에서 취약점 발견
- 해커들이 이를 악용해 백신 관리 서버를 해킹하고 악성코드를 유포하고 있음
- 사용 기관은 원격 접속을 차단하고 로컬로 운영하며, 관리 서버의 정책 및 로그를 확인해 해킹 징후를 점검해야 함
‘개인정보 유출 논란’ 카카오페이 “5월 중순부터 알리페이에 정보 제공 중단”
- 카카오페이는 개인정보 유출 논란에 따라 지난 5월 중순부터 알리페이에 대한 정보 제공을 중단했다고 밝힘
- 금융감독원 조사에 따라 협력사의 동의를 얻어 해당 조치를 취했으며, 이에 대해 설명이 부족했던 점을 사과
- 카카오페이는 알리페이와 협력하여 비식별화된 정보를 제공했으며, 이를 통해 부정 결제를 방지하는 절차를 마련해 안전한 결제 환경을 구축했다고 설명
금감원, 네이버·토스페이도 검사 착수 '카카오페이 개인정보 유출 여파' : 네이트 뉴스
- 금융감독원이 카카오페이의 개인신용정보 유출 의혹에 따라 네이버페이, 토스페이 등 대형 결제대행업체를 대상으로 서면 검사를 착수함
- 검사에서는 해외 결제 업무 외주 계약과 개인 신용 정보의 암호화 현황을 중점적으로 점검할 예정
- 이는 카카오페이가 알리페이에 2018년부터 이용자 동의 없이 신용 정보를 제공한 것으로 드러난 후, 유사 사례를 예방하기 위한 조치
- 필요시 현장 검사를 진행할 계획도 밝힘
금융당국이 AI업체까지 관리·감독…망분리 규제 완화 실효성 있나
- 금융당국이 망분리 규제 특례를 통해 금융사의 생성형 AI 활용을 허용하는 방침을 발표
- 하지만 AI 제공업체들이 금융당국의 관리·감독을 받는 조건으로 계약을 맺어야 해 서비스 제공업체를 찾는 것이 어려울 수 있다는 우려가 제기됨
- 특히 주요 AI 개발사들이 해외에 서버를 두고 있어, 문제가 발생할 경우 금융당국의 접근이 어려울 것으로 예상
- 이에 따라 금융당국은 관련 업계와 협의를 통해 구체적인 대책을 마련할 계획
2024년 2분기 피싱 메일 현황... 결제·구매로 주의 끌고, 가짜 페이지로 정보 입력 유도
- 2024년 2분기 피싱 이메일 공격은 결제·구매, 배송·물류, 공지·알림과 같은 키워드를 활용해 사용자의 주의를 끌고, 가짜 페이지를 통해 정보를 입력하도록 유도하는 방식이 주를 이룸
- 가짜 페이지가 첨부된 피싱 메일이 가장 많았고, 스크립트 파일과 압축파일 형태의 악성 첨부파일도 다수 발견됨
- 사용자는 메일 발신자 확인, 첨부파일 실행 자제, 백신 최신 상태 유지 등 기본 보안 수칙을 준수해야 함
텐센트 사용자 14억 명의 개인정보, 온라인 상에 공개돼
- 텐센트의 14억 명 사용자 개인정보가 온라인에 유출됨
- 유출된 정보에는 이메일, 전화번호, QQ ID 등이 포함
- 해커 '페니스(Fenice)'가 이를 공개한 것으로 알려짐
- 보안 외신에 따르면, 이번 유출은 '머더 오브 올 브리치스(MOAB)'라는 대규모 데이터베이스에서 수집된 텐센트 사용자 정보를 정리해 공개한 것으로 보여짐
- 이로 인해 텐센트 사용자들이 심각한 보안 위협에 노출될 가능성이 높음
중국 티헤드에서 제조한 칩셋 일부에서 심각한 취약점 발견돼
- 중국 티헤드(T-Head)에서 제조한 C910과 C920 CPU 칩셋에서 심각한 취약점인 '고스트라이트(GhostWrite)'가 발견됨
- 이 취약점은 독일의 CISPA 헬름홀츠 센터에서 발견했으며, 공격자가 장비를 완전히 통제할 수 있는 위험을 초래함
- 취약점은 벡터 기능과 관련되어 있으며, 이를 비활성화하면 해결 가능하지만 CPU 성능이 크게 저하됨
- 기존 부채널 공격과는 다른, CPU에 대한 직접 공격이 가능하다는 점에서 주의가 필요
한컴오피스 2024 설치파일로 위장해 유포 중인 악성코드
- 한컴오피스 2024 설치 파일로 위장한 악성코드가 국내 커뮤니티에서 불법 유포되고 있음
- 이 악성코드는 정상 설치 파일처럼 보이지만, 파워쉘 스크립트를 통해 악성 행위를 실행하도록 조작됨
- Windows Defender를 우회하고, 공격자가 제어하는 외부 URL에서 추가 악성코드를 다운로드하여 실행하는 구조
[카드뉴스] 인증 우회 취약점 악용한 공격 과정 분석해보니
- 인증 우회 취약점: 공격자가 보안 메커니즘을 우회해 시스템의 인증 절차를 회피하는 취약점
- TeamCity에서 발견된 CVE-2023-42793과 CVE-2024-27198 취약점은 원격 코드 실행(RCE) 공격이 가능하게 하며, 이를 통해 관리자 계정 생성, 악성 플러그인 업로드 등 악의적인 행위를 수행할 수 있음
- 대응 방안: 소프트웨어 업데이트, 보안 패치 적용
[CNAPP②] 클라우드 보안, CSPM부터 시작 - 데이터넷
- 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)은 클라우드 보안을 위해 다양한 필수 기능을 통합한 솔루션
- 이 플랫폼은 설정 오류, 취약점 조치, ID 권한 관리 등 다양한 보안 기능을 제공
- 국내에서는 클라우드 보안의 첫 단계로 CSPM(클라우드 보안 형상 관리)이 주로 도입되고 있으며, CNAPP의 중요성이 점점 강조되고 있음
- CNAPP 도입 시, 최신 소프트웨어 업데이트와 보안 패치 적용이 필수적
[CNAPP③] CNAPP, 애플리케이션 배포 시간 단축시켜 - 데이터넷
- CNAPP(Cloud Native Application Protection Platform)은 클라우드 보안을 강화하는 통합 플랫폼으로, 애플리케이션 개발부터 배포, 운영까지 보호
- CWPP(Cloud Workload Protection Platform), CIEM(Cloud Infrastructure Entitlement Management), CSPM(Cloud Security Posture Management) 등의 기능을 통합하여 일관된 보안 정책을 제공하며, 클라우드 운영의 복잡성을 줄임
- 하지만 CNAPP 도입 시 조직 간 협업이 중요하고, 도입 시기와 기능 우선순위를 신중히 고려해야 함
“해싱한 개인정보 ≠ 익명처리한 개인정보”, 미국 연방거래위원회의 해시(Hash)에 대한 가이던스 살펴보기
- 미국 FTC는 최근 가이던스에서 해시 처리된 개인정보가 익명 정보가 아니라고 강조함
- 해싱된 데이터는 여전히 특정 개인을 식별할 수 있으며, 악용 시 큰 피해를 초래할 수 있다고 경고함
- 과거 사례로는 해싱된 데이터를 익명 정보로 잘못 취급한 기업들이 FTC의 제재를 받은 바 있음
- 기업들은 해싱된 데이터를 적절하게 관리하고, 이를 익명 정보와 동일시하지 않도록 주의해야 함
기고 | IT 리더가 고려해야 할 AI 기반 iPaaS 전략
- AI 기반 iPaaS(Integration Platform as a Service) 솔루션은 IT와 비즈니스 팀 간의 협업을 촉진하고 자동화 이니셔티브를 가속화하는 중요한 도구로 부상하고 있음
- CIO들은 AI를 기존 인프라에 통합하는 전략을 고민하며, 보안, 거버넌스, 확장성 등 주요 요소를 고려해야 함
- 성공적인 AI 통합을 위해서는 협력적인 접근이 필수적이며, 최신 iPaaS 솔루션을 통해 이러한 과제를 해결할 수 있음
- 금융 서비스 업계에서 규정 준수와 보안을 유지하면서 효율성을 확보하기 위해 자동화된 코드형 정책(Policy-as-Code)이 중요해지고 있음
- 이 정책은 자동화된 프로세스에 일관된 보안 및 규제 요건을 적용해 운영 일관성을 유지하고 리스크를 줄임
- Red Hat Ansible Automation Platform을 통해 구현할 수 있으며, 이는 비용 효율성을 높이고 신속한 적응을 가능하게 함
- 금융 회사는 주요 정책 식별과 점진적 도입으로 이 자동화 전략을 활용할 수 있음
해외 IT 및 보안 기사 요약
A group linked to RansomHub operation employs EDR-killing tool EDRKillShifter
- 사이버 범죄 그룹이 RansomHub 랜섬웨어와 관련된 새로운 도구인 EDRKillShifter를 사용해 EDR(Endpoint Detection and Response) 소프트웨어를 종료하려는 시도가 포착됨
- 이 도구는 취약한 드라이버를 이용해 EDR을 비활성화하고 랜섬웨어를 실행하려고 했으나 실패함
- RansomHub는 Knight 랜섬웨어의 리브랜딩으로 추정되며, 빠르게 성장해 주요 랜섬웨어 운영자가 됨
- Sophos는 이 도구를 차단하기 위해 보안 규칙을 강화하고 있음
Dozens of Google products targeted by scammers via malicious search ads
- 사이버 범죄자들이 구글 제품을 사칭하여 악성 광고를 통해 피해자들을 가짜 구글 홈페이지로 유도하고, 이를 통해 브라우저를 잠그는 새로운 사기 기법이 발견됨
- 이들은 Looker Studio와 같은 구글 제품을 악용하여 악성 URL을 생성하고, 피해자들이 클릭하면 가짜 지원 알림 페이지로 리디렉션해 사기성 기술 지원 콜센터로 연결함
- 이러한 활동은 구글에 보고됨
SolarWinds Releases Patch for Critical Flaw in Web Help Desk Software
- SolarWinds는 Web Help Desk 소프트웨어의 중요한 취약점(CVE-2024-28986)을 해결하기 위한 패치를 발표
- 이 취약점은 자바 역직렬화 문제로, 공격자가 원격에서 코드를 실행할 수 있게 함
- 모든 버전이 영향을 받으며, 핫픽스 버전 12.8.3 HF 1에서 수정됨
- 최신 버전으로 업데이트할 것을 권장
Identity Threat Detection and Response Solution Guide
- Identity Threat Detection and Response(ITDR)는 아이덴티티 기반 공격을 탐지하고 대응하기 위한 중요한 솔루션으로, ITDR은 인간과 비인간 아이덴티티(토큰, 서비스 계정 등) 모두를 다루며, 클라우드 및 온프레미스 환경에서의 활동을 모니터링함
- 주요 기능으로는 아이덴티티 활동 모니터링, 의심스러운 행동 감지, 특권 상승 탐지 등이 포함됨
- ITDR은 조직이 환경 내에서 아이덴티티 활동을 실시간으로 파악하고, 보안 위험에 효과적으로 대응할 수 있도록 도움
- 마이크로소프트가 최근 연구자들이 발견한 "다운그레이드 공격" 취약점을 조치함
- 이 공격은 사용자의 시스템을 오래된 취약한 버전으로 되돌려, 이미 알려진 버그를 이용해 장치를 감염시킬 수 있게 함
- 연구자들은 이를 악용하는 도구인 "Windows Downdate"를 개발해 경고했으며, 마이크로소프트는 이에 대한 두 가지 취약점(CVE-2024-38202 및 CVE-2024-21302)을 조치함
Black Basta ransomware gang linked to a malware campaign
- Rapid7 연구자들은 Black Basta 랜섬웨어 그룹과 관련된 소셜 엔지니어링 캠페인을 발견
- 이 캠페인은 사용자를 속여 원격 제어 프로그램 AnyDesk를 설치하게 하고, 이를 통해 SystemBC 악성코드 등을 배포함
- 공격자들은 또한 CVE-2022-26923 취약점을 악용해 권한 상승을 시도함
- 연구자들은 미승인 원격 모니터링 및 관리 솔루션을 차단하고, 사용자 교육 및 소프트웨어 업데이트를 통해 이러한 위협을 완화할 것을 권장
GitHub Vulnerability 'ArtiPACKED' Exposes Repositories to Potential Takeover
- GitHub의 새로운 취약점 'ArtiPACKED'는 GitHub Actions 아티팩트를 악용해 리포지토리를 장악하고 클라우드 환경에 접근할 수 있게 함
- Palo Alto Networks에 따르면, 이 취약점은 GitHub 토큰 누출로 이어져 악의적인 행위자가 리포지토리에 무단으로 접근하고 악성 코드를 주입할 수 있음
- 특히, 공개된 아티팩트에서 토큰을 추출해 악용할 수 있으며, Amazon, Google, Microsoft 등의 오픈소스 리포지토리도 이 공격에 취약한 것으로 밝혀짐
New Gafgyt Botnet Variant Targets Weak SSH Passwords for GPU Crypto Mining
- 새로운 Gafgyt 봇넷 변종이 약한 SSH 비밀번호를 가진 서버를 대상으로 하여 GPU를 이용한 암호화폐 채굴을 시도하고 있음
- 이 변종은 SSH 서버를 무차별 공격해 "systemd-net"이라는 페이로드를 배포하며, 경쟁하는 악성 코드를 종료시키고 자체적으로 확산됨
- 이 공격은 클라우드 네이티브 환경을 타깃으로 하며, XMRig 채굴 소프트웨어를 사용해 GPU를 활용한 암호화폐 채굴을 시도함
Earth Baku APT targets Europe, the Middle East, and Africa
- 중국과 연관된 APT 그룹 Earth Baku가 2022년 말부터 유럽, 중동, 아프리카로 활동 범위를 확장
- 이 그룹은 주로 미디어, 통신, 기술, 의료, 교육 및 정부 기관을 표적으로 삼고 있음
- 최근 공격에서는 IIS 서버를 통해 진입하고, StealthVector, StealthReacher와 같은 맞춤형 로더 및 SneakCross라는 모듈형 백도어를 배포하여 피해자의 시스템을 장악
- 데이터 탈취를 위해 MEGAcmd 도구 사용
Multiple Malware Dropped Through MSI Package - SANS Internet Storm Center
- 보안 연구원들이 악성 PowerShell 코드를 포함한 MSI 패키지를 발견
- 이 패키지는 MSI 파일 안에 숨겨진 여러 단계의 악성 코드를 실행하도록 설계됨
- 처음에는 피해자의 컴퓨터 정보를 수집한 후, 추가 악성 페이로드를 다운로드하여 실행함
- 이 페이로드는 SectopRat 및 Redline Stealer와 같은 악성 프로그램을 포함하며, 이는 C2 서버와 연결되어 원격으로 악성 활동을 수행
- MSI 패키지를 다운로드할 때는 신뢰할 수 있는 출처에서만 다운로드
Adobe Releases Security Updates for Multiple Products
- Adobe는 여러 제품의 보안 취약점을 해결하기 위해 보안 업데이트를 발표
- 이러한 취약점들은 사이버 공격자가 영향을 받는 시스템을 제어할 수 있게 할 수 있음
- 영향을 받는 제품
- Adobe Illustrator, Dimension, Photoshop, InDesign, Acrobat Reader, Bridge, Substance 3D Stager, Commerce 및 Magneto, InCopy, Substance 3D Sampler, Substance 3D Designer 등
Microsoft Releases August 2024 Security Updates
- 마이크로소프트는 2024년 8월 보안 업데이트를 통해 여러 제품의 취약점을 해결함
- 이러한 취약점들은 사이버 공격자가 시스템을 장악할 수 있게 할 수 있음
- 해당 보안 업데이트 가이드를 검토하고 필요한 업데이트를 적용할 것을 권장
Ivanti Releases Security Updates for Avalanche, Neurons for ITSM, and Virtual Traffic Manager
- Ivanti는 2024년 8월 13일, Ivanti Avalanche, Neurons for ITSM, 및 Virtual Traffic Manager (vTM)의 여러 취약점을 해결하기 위한 보안 업데이트를 발표
- 이 취약점들은 악의적인 공격자가 시스템을 장악할 수 있는 가능성을 제공할 수 있음
- Ivanti는 사용자들에게 공격 표면을 줄이고, 관리 인터페이스에 대한 접근을 제한하는 등 권장되는 네트워크 구성 지침을 따를 것을 권고하고 있음
- 관녀 보안 권고 사항을 검토하고 필요한 업데이트를 적용할 것을 권장
안랩 보안 업데이트 권고 및 사례 공유
Zabbix 서버 제품 보안 업데이트 권고 (CVE-2024-22116)
MS Windows 보안 업데이트 권고 (CVE-2024-38178)
IBM 제품 보안 업데이트 권고(CVE-2024-40697)
'Kant's IT > IT&Security News Reports' 카테고리의 다른 글
| 2024.08.28. IT&보안 기사 (0) | 2024.08.29 |
|---|---|
| 2024. 8. 26. IT&보안 기사 (0) | 2024.08.28 |
| 2023.11.09. 목요일 IT&보안 기사 공유 (1) | 2023.11.11 |
| 2023.11.08. 수요일 IT&보안 기사 공유 (1) | 2023.11.11 |
| 2023.11.02. 목요일 IT&보안 기사 공유 (1) | 2023.11.07 |