Kant's Times

조사 배경개인정보보호위원회는 2024년 6월 26일 회의를 통해 개인정보 보호법을 위반한 HotelsCombined Pty Ltd.와 ㈜머니투데이방송에 대한 제재를 결정위반 사항호텔스컴바인2013년 호텔 예약 플랫폼 설계 시 잘못된 시스템 구성으로 인해 해커가 접근 가능한국 이용자 1,246명의 이름, 이메일, 예약 정보, 카드 정보가 유출됨유출 통지 및 신고 지연㈜머니투데이방송광고 공모전 사이트가 해커의 SQL 인젝션 공격으로 인해 133,633건의 개인정보 유출탈퇴한 회원 정보를 파기하지 않고 보관유출 통지 지연처분 내용호텔스컴바인과징금 9,450만 원과태료 1,600만 원결과 공표㈜머니투데이방송과징금 6,778만 원과태료 1,140만 원결과 공표의의개인정보 보호법 위반 시 강력한 제재를 통해 개인정..

조사 배경해외 직구 서비스 증가로 국민의 개인정보 침해 우려가 제기됨국정감사와 언론보도 등을 계기로 개인정보보호위원회가 관련 조사 실시위반 사항알리익스프레스는 한국 이용자들의 개인정보를 국외로 이전하면서 관련 법규를 준수하지 않음주요 위반 사항개인정보가 제공되는 국가, 이전 받는 자의 신원 등 고지사항 미제공판매자 약관에 개인정보 보호 조치를 반영하지 않음회원 탈퇴 메뉴 구성 복잡 및 계정 삭제 페이지 영문 표시로 권리행사 어려움처분 내용개인정보보호위원회는 다음과 같은 처분을 결정과징금 19억 7,800만 원, 과태료 780만 원 부과시정명령 및 개선 권고알리익스프레스는 이후 자진 시정조치로 법적 요건 충족국외 이전에 대한 이용자 동의 확보국내 대리인 공개 개선개인정보 처리방침 개정개선 요구 사항개인정보..

사건 배경개인정보보호위원회는 2024년 8월 28일 제14회 전체회의에서 개인정보 보호법을 위반한 3개 기업(한화호텔앤드리조트, 띵스플로우, 현대자동차)에 대해 과징금과 과태료를 부과하기로 결정주요 위반 사항은 시스템 검증 소홀, 법정대리인 동의 미비, 개인정보 유출 등의 안전조치 위반주요 기업과 위반 내용한화호텔앤드리조트시스템 검증 소홀로 타인의 예약 정보를 조회 가능하게 한 오류 발생과징금 1억 8,531만 원, 과태료 300만 원 부과㈜띵스플로우 (비트윈어스 합병)만 14세 미만 아동의 개인정보를 법정대리인 동의 없이 수집과징금 2,732만 원, 과태료 360만 원, 시정명령 및 공표 조치현대자동차시승 이벤트에서 마케팅 활용 목적의 개인정보 수집에 동의하지 않은 고객에게 시승 서비스 제공을 거부과태..

Critical Vulnerabilities in JPEG 2000 Library Let Attackers Execute Remote Code JPEG 2000 라이브러리의 취약점 발견Kakadu JPEG 2000 라이브러리에서 발견된 취약점은 원격 코드 실행(RCE)을 가능하게 하며, 이는 공격자가 시스템을 제어할 수 있도록 함연구자들은 "조건부 손상(Conditional Corruption)" 기법을 개발하여 메모리 손상 취약점을 악용, 스스로 수정되는 이미지를 생성해 공격을 실행JPEG 2000 파일 구조와 취약점JPEG 2000 표준은 상자 구조를 통해 이미지 메타데이터(차원, 색상 정보 등)를 저장하며, 계층 구조를 허용실제 이미지 데이터는 코드스트림(Codestream) 이라는 컨테이너에 저장..

Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job ExecutionGitLab patches critical flaw (CVE-2024-6678) allowing unauthorized pipeline job execution. Update to latest version to protect your repositoriesthehackernews.com GitLab의 취약점 패치 (CVE-2024-6678)GitLab이 CVE-2024-6678로 추적된 치명적 취약점을 포함하여 17..

한국토픽교육센터, 개인정보 유출... 제대로 된 공지 없어 이용자 불만가 한국토픽교육센터 홈페" data-og-host="www.boannews.com" data-og-source-url="http://www.boannews.com/media/view.asp?idx=132564&kind=&sub_kind=" data-og-url="http://www.boannews.com/media/view.asp?idx=132564" data-og-image="https://scrap.kakaocdn.net/dn/dkDtlw/hyW2O2OoXq/jkwtYOfaqsD9Z09s500wTK/img.jpg?width=1000&height=745&face=0_0_1000_745"> 한국토픽교육센터, 개인정보 유출... 제대로 ..

Fortinet Confirms Limited Data Breach After Hacker Leaks 440 GB of DataFortinet 데이터 유출 개요 사이버 보안 회사 Fortinet이 440GB의 데이터가 유출된 사건 발생해커 "Fortibitch"는 Fortinet의 Azure SharePoint 취약점을 악용하여 데이터를 유출했으며, 이 사건은 "Fortileak"으로 명명해커의 주장 및 데이터 노출 해커는 Breach Forum에서 유출된 데이터를 공유할 수 있는 접근 자격을 공개했으며, Amazon S3 버킷을 통해 데이터를 다운로드할 수 있게 함유출된 데이터는 Fortinet의 클라우드 인프라와 일부 고객 데이터와 관련된 것으로 보도해커는 또한 Fortinet의 CEO인 Ken ..

[제로 트러스트②] ID 중심 보안으로 제로 트러스트 시작 - 데이터넷 [제로 트러스트②] ID 중심 보안으로 제로 트러스트 시작 - 데이터넷[데이터넷] 제로 트러스트가 보안의 기본 원칙으로 자리잡았지만, 여전히 제로 트러스트가 무엇이고, 어떻게 구현해야 하는지 막연한 상황이다. 제로 트러스트를 어떻게 시작해야 할지, 기업·www.datanet.co.kr 제로 트러스트의 기본 원칙: 최소 권한 정책모든 조직에서 제로 트러스트 전략의 핵심은 ‘최소권한 정책’관리자의 기본 권한을 제거하고, 필요 시 인증을 통해 권한을 부여해 보안성을 유지ID 중심 보안의 중요성ID 중심 보안은 제로 트러스트 구현의 핵심인증 시 일관성, 맥락 인지, 지속성을 기반으로 사용자의 권한을 평가하며, 사용자와 시스템 간의 접근을 관..

구글, 사내보안 어떻게…"업무 시 하드웨어 본인인증은 기본" 구글, 사내보안 어떻게…"업무 시 하드웨어 본인인증은 기본"“구글의 보안 문화는 굉장히 독특합니다. 2013년부터 전체 임직원들을 대상으로 보안 키가 담긴 하드웨어 장치를 보급하기 시작했어요. 직원들은 출근하자 마자 개인용 컴퓨터(PC)에 하드웨어를m.edaily.co.kr 구글의 보안 강화 배경2009년 '오로라 작전' 이후 구글은 사내 보안을 강화하기 시작 공격은 중국발 사이버 공격으로 구글의 시스템에 침투해 지식재산(IP)과 지메일 사용자 데이터가 유출된 사건하드웨어 기반 본인인증 도입구글은 2013년부터 직원들에게 보안 키가 담긴 하드웨어 장치를 보급하여, 직원들이 업무를 시작할 때 PC에 장치를 꽂아 본인임을 인증하도록 함이 보안 키..

전국적인 인터넷 접속 장애, 무슨 일이 일어났나? 전국적인 인터넷 접속 장애, 무슨 일이 일어났나?[IT동아 권택경 기자] 지난 9월 5일 저녁 시간대에 전국적으로 인터넷 접속 장애가 발생했다. 구체적인 원인이나 책임 소재, 피해 규모 등은 아직 조사가 진행 중이지만 특정 반도it.donga.com 전국적인 인터넷 장애 발생2024년 9월 5일, 약 5시간 동안 전국적으로 인터넷 접속 장애 발생원인으로는 미디어텍 칩셋을 사용한 일부 무선 공유기가 지목문제 발생 원인안랩이 데이터센터 보안 시스템의 방화벽 성능 개선 작업 중 패킷 전송 단위를 변경미디어텍 칩셋을 탑재한 공유기가 이를 처리하지 못해 인터넷 장애가 발생한 것으로 알려짐관련 기업문제가 된 공유기는 아이피타임과 머큐리의 제품이 중 머큐리는 통신 3..