Kant's Times

금융보안원 장운영 팀장 “SW 공급망 생태계 참여자, 자율보안 역량 강화해야” 금융보안원 장운영 팀장 “SW 공급망 생태계 참여자, 자율보안 역량 강화해야”SW 공급망 보안 이슈가 끊이지 않고 있다. 지난 7월 크라우드스트라이크(CrowdStrike) 사이버정전 사태를 비롯해 3월 XZ Utils 백도어, 2023년 10월 Okta 공급망 공격, 이보다 앞서 9월 JetBrains 공급망 공격,www.boannews.com SW 공급망 보안의 중요성SW 공급망은 사용사(금융사), 개발사, 공급사로 구성최근 공급망 공격 증가주요 사례: Log4j 취약점 공격(2021), Okta 공격(2023), XZ Utils 백도어(2024)유형: 공개 SW 취약점, 빌드 시스템 침해, 업데이트 가로채기 등금융권은 높..

[클라우드 내비게이터-SW 공급망 보안] AI도 공급망 공격에 악용 - 데이터넷 [클라우드 내비게이터-SW 공급망 보안] AI도 공급망 공격에 악용 - 데이터넷[데이터넷] 클라우드 환경에서는 서드파티 코드로 인한 피해가 빈번하게 발생한다. 클라우드는 비용 절감과 빠른 서비스 개발을 위해 오픈소스, 서드파티 코드 혹은 기존에 개발한 코드를 재사www.datanet.co.kr 소프트웨어 공급망 보안 위협 증가오픈소스 및 서드파티 코드 사용으로 인한 취약점 발생 빈번공격자는 보안 업데이트 파일 배포 과정에서 악성코드 삽입 시도대표적인 사례로 솔라윈즈 공급망 공격, 공동인증서 감염 시도 등이 있음AI와 코드 보안생성형 AI를 통해 개발 전문성 없이 코드 작성 가능, 그러나 미처 제거되지 않은 취약점 존재 가능A..

2024 국정감사, 보안·ICT·안전 분야 이슈 총정리-①산업보안·사이버보안 2024 국정감사, 보안·ICT·안전 분야 이슈 총정리-①산업보안·사이버보안보안뉴스에서는 올해 국감에서 논의될 주제 중 보안 업계가 주목해야 할 이슈들을 5개 영역으로 구분해 살펴봤다. 첫 번째 영역은 산업보안·사이버보안으로 정보보호체계, 인증, 제로트러스트,www.boannews.com 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 제도 강화문제점: ISMS 인증 의무 대상에서 대규모 개인정보를 보유한 기업이 제외되면서 정보보호 사각지대 발생 우려지적 사항: ISMS-P 인증이 권고사항에 불과해 개인정보 보호가 미흡개선 방안: ISMS 의무대상자 기준 보완, ISMS-P 인증 의무화 검토 필요제로트러스트(Zero Tru..

[보안칼럼]IT 대란을 통해 본 공급망 공격을 대하는 자세 [보안칼럼]IT 대란을 통해 본 공급망 공격을 대하는 자세올해 7월 19일 글로벌 정보기술(IT) 대란으로 초연결 시대의 이면을 목도했다. ‘죽음의 블루스크린’이 동시다발적으로 발생하며 미국·영국 등에서 2만여개 항공편이 결항되거나 연착됐고 의료www.etnews.com 7월 19일 IT 대란 발생클라우드 보안 소프트웨어 업데이트 오류로 인해 미국, 영국 등에서 2만여 개 항공편이 결항 또는 연착의료, 금융, 언론, 통신 등 주요 산업이 영향을 받으며, 초연결 시대의 공급망 취약성을 드러냄보안 업데이트와 소스코드 검증보안 업데이트 시, 보안 패치와 소스코드 검증이 필수적취약점 검증이 미흡할 경우, 제2의 IT 대란이 발생할 가능성 높음공급망 공격..

[현장] "국내 SW 공급망 보안 정책 낙후…美·EU 사례 참고해야" [현장] "국내 SW 공급망 보안 정책 낙후…美·EU 사례 참고해야"국내 소프트웨어(SW) 공급망 보안을 효율적으로 관리하기 위한 새 지침이 필요하다는 전문가 주장이 나왔다. 미국이나 유럽연합(EU)처럼 공급망 보안을 관리에 자동화된 대응 체계 구축과 정보보zdnet.co.kr 국내 SW 공급망 보안 개선 필요성국내 소프트웨어(SW) 공급망 보안 관리 체계가 시대에 맞지 않으며, 미국과 유럽연합(EU)의 사례를 참고하여 새로운 보안 지침이 필요하다는 전문가의 지적이 나옴SW 공급망 보안의 중요성SW 공급망 보안은 개발, 설계, 배포, 업데이트 등 공급망 전체 과정에서 보안 취약점을 식별하고 대응하는 체계최근 몇 년간 주요 SW 공급망에..