Kant's Times

“2027년 직원 인증 75%, 패스워드리스 채택” - 데이터넷배경 및 문제점ID/PW 기반 인증은 보안에 취약하며, MFA를 사용하더라도 비밀번호를 완전히 없애는 패스워드리스 방식이 더 안전OTP(일회용 비밀번호) 와 같은 추가 인증 수단도 중간자 공격, SIM 스와핑 등의 취약점이 존재패스워드리스의 필요성가트너는 패스워드리스를 선택하는 것이 보안성과 사용자 경험(UX) 을 동시에 개선한다고 강조2027년까지 직원 인증의 75%, 고객 인증의 40% 이상이 패스워드리스로 전환될 것으로 예측패스워드리스는 입력하는 비밀번호를 없애는 것이 핵심이 아닌, 안전한 인증 방식으로 전환하는 것패스워드리스의 구현 방식스마트폰 생체인식을 대표적 방법으로 사용얼굴인식을 통해 로그인하는 방식으로 편리성과 보안성을 강화사용..

Master Your PCI DSS v4 Compliance with Innovative Smart Approvals Master Your PCI DSS v4 Compliance with Innovative Smart ApprovalsAchieve PCI DSS v4.0 compliance by 2025 with Reflectiz's streamlined script monitoring and smart approvals.thehackernews.com PCI DSS v4 개요2025년 1분기 마감 기한을 앞두고 PCI DSS v4.0 요구 사항을 준수하려는 기업들이 서둘러 대비 중섹션 6.4.3 및 11.6.1은 결제 페이지 스크립트를 엄격하게 관리하고 변경 탐지 메커니즘을 사용해야 함섹션 6.4.3 ..

이란 배후 ‘UNC1860’, 중동 통신·정부기관에 백도어 설치 - 데이터넷 이란 배후 ‘UNC1860’, 중동 통신·정부기관에 백도어 설치 - 데이터넷[데이터넷] 맨디언트가 이란 정보 및 보안부(MOIS)와 연계돼 있는 UNC1860이 중동 전역의 통신·정부기관에 지속적으로 침입, 초기 액세스 정보를 수집해 이란 배후 공격그룹에게 제공하고 있다고www.datanet.co.kr UNC1860의 배후 및 활동UNC1860은 이란 정보 및 보안부(MOIS)와 연계된 공격 그룹으로, 중동 전역의 통신 및 정부기관에 지속적으로 침입해 백도어를 설치하고 초기 액세스를 수집최근 이라크 정부를 표적으로 한 APT34의 공격을 지원하고 있음백도어 및 기술적 특징백도어는 이란 바이러스 백신 소프트웨어 필터 드라이버에서 ..

Hackers Using Supershell Malware To Attack Linux SSH Servers공격 개요해커들이 Linux SSH 서버를 타겟으로 Supershell이라는 Go 언어로 작성된 역방향 셸 백도어를 활용한 공격을 감행Supershell을 통해 공격자는 감염된 시스템을 원격으로 제어할 수 있음공격 방법초기 감염 후 공격자는 추가적인 취약한 타겟을 식별하기 위해 스캐너를 배포수집된 인증 정보를 사용해 사전(dictionary) 공격을 통해 취약한 SSH 서버를 공격공격자들은 wget, curl, tftp, ftpget 명령어를 사용하여 웹 서버, FTP 서버 등에서 악성 스크립트를 다운로드하고 이를 실행취약한 시스템의 문제점공격자들은 흔히 “root/password” 또는 “root..

컴퓨터 제조사 델에서 ‘소규모’ 데이터 침해 사고 발생 컴퓨터 제조사 델에서 ‘소규모’ 데이터 침해 사고 발생보안 외신 핵리드에 의하면 컴퓨터 제조사인 델(Dell)에서 정보 유출 사고가 벌어졌다고 한다. 그렙(grep)이라는 이름으로 활동하고 있는 한 해커가 다크웹의 브리치포럼즈(Breach Forums)에서 “델에www.boannews.com 사고 발생 배경컴퓨터 제조사 델(Dell) 에서 소규모 데이터 유출 사고가 발생해커 그렙(grep) 이 다크웹 브리치포럼즈(Breach Forums) 에서 사건을 공개하며, 약 10,863명의 직원 정보가 유출되었다고 주장유출된 데이터에는 이름, 직원 번호, 관련 부서 번호 등이 포함되어 있으나, 개인 식별 정보는 포함되지 않은 것으로 보임유출된 정보의 위험성개..

TrickMo Android Trojan Exploits Accessibility Services for On-Device Banking Fraud개요TrickMo라는 Android 은행 트로이목마의 새로운 변종이 발견되었으며, 이 악성코드는 접근성 서비스를 악용해 피해자의 은행 로그인 정보를 탈취TrickMo는 독일 사용자를 주요 타겟으로 하여 OTP(일회용 비밀번호) 와 이중 인증(2FA) 코드를 탈취해 금융 사기를 실행주요 기능화면 기록, 키 입력 기록, 사진 및 SMS 메시지 수집 등의 기능을 통해 기기 내에서 온디바이스 사기(ODF) 를 수행HTML 오버레이 공격을 통해 가짜 로그인 페이지를 보여주고, 사용자의 클릭 및 제스처를 조작하여 인증 정보를 탈취Google Chrome 웹 브라우저로 위..

[제보는Y] 수업 듣는 내 모습이 홍보영상에..."동의한 적 없어" [제보는Y] 수업 듣는 내 모습이 홍보영상에..."동의한 적 없어"대학 교양수업에서 방위사업청이 주최하는 창업 경진대회 설명회가 열렸는데, 개인정보활용동의서를 받고, 학생들을 촬영해 홍보영상에 활용했다 반발을 샀습니다.학생들...www.ytn.co.kr 사건 개요이화여대의 한 교양수업에서 방위사업청이 주최한 '국방기술 활용 창업 경진대회' 설명회가 진행됨설명회 중 개인정보활용동의서를 받았으나, 이미 동의된 상태로 표시된 양식을 제공하여 출석을 위해 강제로 서명하게 함사전 설명 없이 학생들을 촬영하고, 해당 영상이 홍보용으로 활용됨문제점사전 고지 없이 학생들의 얼굴이 포함된 영상을 촬영 및 방위사업청 홈페이지에 게시개인정보 수집 및 활용에..

"친구 데려오면 10만원" 1000만 韓 이용자 모은 中 틱톡, 알고보니 개인정보 법 위반? : 네이트 뉴스 "친구 데려오면 10만원" 1000만 韓 이용자 모은 中 틱톡, 알고보니 개인정보 법 위반? : 네이트 뉴스한눈에 보는 오늘 : IT/과학 - 뉴스 : 숏폼(짧은 영상) 플랫폼 \‘틱톡 라이트\’가 파격적인 현금 보상 정책으로 국내 이용자 500만명 돌파 초읽기에 들어갔다. [사진출처 = 광고영상 캡처][헤럴드news.nate.com 틱톡·틱톡라이트의 개인정보 처리 문제틱톡과 틱톡라이트는 가파르게 성장하며 1000만 명에 가까운 한국 이용자를 확보했지만, 개인정보보호법과 관련한 법적 문제를 일으키고 있다는 지적이 제기됨서비스 약관과 개인정보 처리방침에 대한 동의 절차가 명확하지 않게 설계되었고, ..

[취재수첩] MLS 도입, 국내 클라우드 생태계 미칠 영향 숙고해야 [취재수첩] MLS 도입, 국내 클라우드 생태계 미칠 영향 숙고해야신용석 국가안보실 사이버안보비서관이 11일 서울 강남구 코엑...www.ddaily.co.kr 다층보안체계(MLS) 도입 배경정부가 기존 망분리 규제를 완화하고, 다층보안체계(MLS, Multi-Level Security) 를 도입하여 사이버보안을 강화하고 기술 혁신을 촉진하려는 정책을 발표망분리 규제는 그동안 공공과 금융 분야에서 인공지능(AI)과 클라우드(SaaS) 기술 도입을 저해하는 주요 장벽으로 지적되어 왔음MLS는 정보시스템을 기밀(C), 민감(S), 공개(O) 등급으로 분류하고, 각 등급에 맞는 보안 수준을 적용하는 방식으로, S등급 이하에서는 논리적 망분리를..

"아직도 SNS가 무료같나요?"…빅테크들, 넘치는 개인정보로 돈·권력 다 챙겼다 : 네이트 뉴스 "아직도 SNS가 무료같나요?"…빅테크들, 넘치는 개인정보로 돈·권력 다 챙겼다 : 네이트 뉴스한눈에 보는 오늘 : IT/과학 - 뉴스 : “자율 규제는 정답이 아니다. 더이상 여우가 닭장을 지키도록 해서는 안된다” 19일(현지시간) 미국의 공정거래위원회 역할을 하는 연방거래위원회(FTC)가 ‘news.nate.com 빅테크의 개인정보 수집 및 악용미국 연방거래위원회(FTC) 는 소셜미디어와 영상 스트리밍 서비스들이 과도한 개인정보 수집과 악용을 하고 있다고 강력히 비판페이스북, 인스타그램, 유튜브, 트위터(현 X), 틱톡, 디스코드 등 13개 플랫폼의 2019년과 2020년 데이터를 분석하여 빅테크가 소비자..