Kant's Times

Atlassian 제품의 Confluence 및 Crowd 주요 취약점 패치 발표

Atlassian Patches Critical Vulnerabilities in Confluence, Crowd 개요Atlassian은 Bamboo, Bitbucket, Confluence, Crowd, Jira 제품에서 발견된 12개의 주요 및 높은 심각도 취약점에 대한 보안 패치를 발표취약점들은 Apache Tomcat, ua-parser-js, Protocol Buffers, XStream, Apache Avro 등의 서드파티 종속성에서 발견됨즉각적인 업데이트 권장: 공격 가능성을 차단하고 보안을 강화하기 위함취약점 세부 사항Confluence Data Center 및 ServerApache Tomcat 관련 원격 코드 실행(RCE) 취약점CVE-2024-50379, CVE-2024-56337 (..

Critical Flaw in Apache Ignite (CVE-2024-52577) Allows Attackers to Execute Code Remotely Critical Flaw in Apache Ignite (CVE-2024-52577) Allows Attackers to Execute Code RemotelyA severe security vulnerability (CVE-2024-52577) in Apache Ignite, the open-source distributed database and computing platform, has been disclosed.gbhackers.com 주요 취약점 개요CVE-2024-52577 (심각도: 치명적)Apache Ignite의 원격 코드 실행(..

[ZT콘퍼런스] 과기정통부 최영선 과장 "공공·민간 제로트러스트 보안 모델 확산 노력할 것" [ZT콘퍼런스] 과기정통부 최영선 과장 "공공·민간 제로트러스트 보안 모델 확산 노력할 것"최영선 과기정통부 정보보호산업과장은 20일 서울 중구 전국은...www.ddaily.co.kr 제로트러스트 보안 모델 개요제로트러스트는 내부와 외부 네트워크의 구분 없이 모든 접속을 신뢰하지 않는다는 전제하에 데이터와 컴퓨팅 자원을 보호하는 전략비대면, 원격 접속, 디지털 기반 환경의 확대에 따라 기존 경계 기반 보안 모델의 한계를 극복할 필수적인 보안 전략으로 부상모든 접속 요구를 검증하며 최소 권한 원칙을 적용해 보안 위험을 줄임정부의 제로트러스트 확산 정책과학기술정보통신부(과기정통부) 주도하에 공공 및 민간 부문으로 ..

[배종찬의 보안 빅데이터] 성심당 빵마저 피하지 못하는 ‘해킹’ [배종찬의 보안 빅데이터] 성심당 빵마저 피하지 못하는 ‘해킹’밥보다 빵을 좋아하는 사람들이 점점 더 많아지고 있다. 밥심으로 산다는 말이 있지만 젊은 세대들 특히 MZ세대 여성들 중에는 ‘빵심’으로 산다는 말이 더 익숙한 표현이 된지 오래다.www.boannews.com 사건 개요대전의 유명 빵집 성심당 공식 인스타그램 계정 해킹 발생해커는 계정 탈취 후 가짜 로그인 페이지로 유도하는 피싱 공격 시도성심당은 사용자들에게 DM 링크 클릭 주의 및 계정 복구 전 무관한 게시물 경계 요청해킹 기법 및 공격 방식피싱 공격사용자에게 계정 로그인 요청 DM 발송클릭 시 가짜 로그인 페이지로 이동, 계정 정보 탈취 시도계정 탈취해커가 계정에 무단 접근..

"부정적 신호 먼저 찾아내라" 이상 징후 탐지의 개념과 역할 "부정적 신호 먼저 찾아내라" 이상 징후 탐지의 개념과 역할이상 징후 탐지는 기존의 행동 패턴에서 크게 벗어나는 데이터 또는 사건의 포인트를 식별하는 분석 과정이다. 사이버보안 분야에서 이상 징후 탐지는 조직이 악성 사이버 사건이 뿌리를 내리www.itworld.co.kr 이상 징후 탐지 개요기존 행동 패턴에서 벗어나는 데이터나 사건을 식별하는 분석 과정사이버 공격 초기 신호를 탐지해 보안 사고를 사전에 방지1987년 도로시 데닝의 "침입 탐지 모델" 논문에서 개념 최초 소개이상 징후 탐지의 주요 역할알려진 악성코드 탐지와 달리, 알려지지 않은 공격 탐지 가능내부자 위협, 사기 탐지, IT 시스템 관리 등 다양한 보안 시나리오 적용사용자 행동 ..

보안 침해까지 쉽게 바꿔버리는 AI, 어떻게 대응할까 보안 침해까지 쉽게 바꿔버리는 AI, 어떻게 대응할까경쟁사가 자체 고객을 대상으로 표적 캠페인을 펼치는 것은 모든 기업의 악몽이다. 그런데 경쟁사 캠페인이 너무 정교해서 우연이라고 볼 수 없을 정도라면 어떨까?www.itworld.co.kr AI 도입에 따른 보안 위험 증가생성형 AI 사용으로 인한 데이터 유출 가능성 급증AI 도구가 사용자의 접근 권한을 기반으로 민감한 데이터에 무분별하게 접근내부자와 외부 공격자 모두 AI를 악용해 정보 유출 가능성 확대주요 보안 위협 요소과도한 데이터 접근 권한직원이 불필요하게 많은 데이터에 접근권한 관리 소홀로 인한 데이터 유출 위험 증가AI 도구를 통한 민감 정보 노출AI 어시스턴트가 사용자 권한 내 모든 데이..

"해외 직구로 USB 사서 꽂았더니 악성코드 실행"…중국발 개인정보 유출·해킹에 속수무책 : 네이트 뉴스 "해외 직구로 USB 사서 꽂았더니 악성코드 실행"…중국발 개인정보 유출·해킹에 속수무책 : 네이한눈에 보는 오늘 : IT/과학 - 뉴스 : 일러스트=챗GPT 달리3직장인 A씨는 최근 해외 직구 사이트에서 저가 USB 메모리를 구입했다가 낭패를 봤다. 컴퓨터에 연결하자마자 악성코드가 자동 실행돼 운news.nate.com 사건 개요중국산 USB, 앱, IP캠, 로봇청소기 등에서 개인정보 유출 및 해킹 사례 다수 발생사용자 동의 없이 데이터 수집 및 외부 전송 사례 확인중국 정부가 자국 기업이 수집한 정보를 요구할 수 있는 법적 구조로 개인정보 보호 우려 증대주요 공격 유형 및 사례백도어(Backdoo..

딥시크가 유출한 데이터, 혹시 내 개인정보?…커져가는 우려(종합) : 네이트 뉴스 딥시크가 유출한 데이터, 혹시 내 개인정보?…커져가는 우려(종합) : 네이트 뉴스한눈에 보는 오늘 : 정치 - 뉴스 : 개인정보위, 中틱톡 모회사 바이트댄스로 이용자 입력정보 전송 파악 전송 데이터 종류·수량·이유 등 확인 중…동의 없는 제공은 '위법' 해외AI사 국내 출시前news.nate.com 사건 개요중국 생성형 인공지능(AI) 서비스 딥시크가 국내 이용자 개인정보를 바이트댄스에 전송한 사실 확인개인정보보호위원회(개보위)가 딥시크 서비스 출시 이후 지속적인 개인정보 수집 및 처리 방식 조사 수행딥시크는 국내 서비스 잠정 중단 권고 수용, 2025년 2월 15일부터 신규 다운로드 제한개인정보 유출 경위 및 문제점제3자..

韓 진출 선언한 中 테무, 개인 정보 보호는 뒷전 韓 진출 선언한 中 테무, 개인 정보 보호는 뒷전중국 e커머스(C커머스) 테무가 우리 정부의 개인정보 보호 문제에 여전히 '안하무인' 태도로 일관하고 있다. 국내 시장 직진출에 앞서 기관 조사에 협조하고 법 준수 의지를 밝히는 것이 우선이www.etnews.com 사건 개요중국 e커머스 플랫폼 테무, 국내 개인정보 보호 문제 미흡2023년 국정감사 이후 개인정보보호위원회(개보위)의 조사 진행 중조사 시작 1년 4개월 경과에도 결론 미도출테무의 개인정보 보호 문제개인정보 처리 대리인 문제국내 대리인으로 별도 법인(제너럴 에이전트) 지정대리인 근무 인원 부족(상시 근무자 1명), 실질적 역할 수행 의문개인정보 처리 방침의 잦은 개정조사 회피 목적의 규정 변경..

큐냅 NAS OS서 ‘RCE’ 취약점 발견 큐냅 NAS OS서 ‘RCE’ 취약점 발견큐냅 NAS OS에서 RCE 취약점이 발견됐다. KISA는 신속한 보안 업데이트를 권장했다.www.boannews.com 취약점 개요큐냅(QNAP) NAS 운영체제 ‘QTS’ 및 ‘QuTS hero’에서 원격 코드 실행(RCE) 취약점 발견CVE-2024-53691로 등록, CVSS 점수 8.7점(높은 위험도)공격자가 NAS 시스템에 무단 접근 및 데이터 조작 가능취약점의 영향NAS에 저장된 파일을 임의로 이동·조작 가능원격에서 시스템 권한을 탈취, 내부 네트워크 침해 가능QTS 및 QuTS hero 사용자는 즉시 보안 패치 적용 필요취약점에 영향받는 버전 및 해결 방법QTS 5.2.0 미만 버전 → QTS 5.2.0.2..