s-bot s-bot

3줄 요약 1. 자이스마트홈 월패드에서 서버 검증 미흡에 따른 인증 우회 취약점 발견 2. 취약점 악용시 공격자는 세대주 권한 탈취해 홈 환경 모두 조작 또는 제어 가능 3. 자이S&D의 S&D스마트홈 3.2.48 이전 버전 취약, 3.3.10 버전 이상으로 설치해야 원문 : https://www.boannews.com/media/view.asp?idx=107797 (소감) 1. 2021년 아파트 월패드 해킹으로 이슈가 되었던 것이 기억남 2. 보안 측면의 수요가 있는 만큼 관련 솔루션이나 컨설팅이 늘어날 것으로 예상 3. 설계부터 보안에 투자한 IoT 기반의 스마트홈 필요성이 늘어날 것으로 예상 4. 월패드 OS의 경우 주로 안드로이드나 임베디드 리눅스를 사용하는 것으로 확인 (의문점) Q1. 2021..

3줄 요약 1. 인터넷 익스플로러의 지원은 공식적으로 종료됐으나 아직 무덤에 묻힌 건 아님 2. 익스플로러 주요 엔진인 MSHTML을 2029년까지 윈도 11에 남겨둘 것이기 때문 3. 작년 IE에서 발견된 제로데이 취약점 4개 중 3개가 MSHTML에서 나왔음 원문 : https://www.boannews.com/media/view.asp?idx=107588 (소감) 1. 10, 11버전 등 IE의 지원 종료는 이미 많이 나왔던 이야기임 2. 특정 IE 취약점 로직을 조금만 변형하면 크롬, 파이어폭스 등 타 브라우저도 가능할 것으로 예상됨 3. IE 종료에 따라 새로운 브라우저가 등장할 가능성도 있는 것 같음 4. 브라우저 CVE가 계속 등장함에 따라 타 브라우저들도 마냥 안전한 것 같지는 않음 (의문..

3줄 요약 1. 기존에 이메일을 주고 받았었던 관련자의 계정을 사용해 기존에 주고 받았던 정상 이메일에 회신 형식으로 발송 2. 효과적으로 수신자를 속여 첨부파일을 실행하도록 유도 3. dll, lnk, bat 파일을 통해 범블비 악성코드 실행, 이후 C&C 서버에 접속해 추가 악성코드 다운 원문 : https://www.boannews.com/media/view.asp?idx=107450 (소감) 1. 회신된 이메일로 악성코드를 담아 보내는 공격은 색다른 방법인 것 같음 2. 사회공학적기법도 기술의 발전에 따라 점점 진화하는 것 같음 3. 기술, 관리, 교육, 체계 등 APT 공격에 대한 전방위적 대응이 필요해 보임 4. 기업 보안솔루션을 활용한다면 Ink, dll, bat로 실행되는 파일은 기술적으로..

3줄 요약 1. 과도한 클라우드 및 망분리 규제로 디지털 신기술 도입/활용에 어려움 있어 2. 클라우드 이용 업무 범위 명확화 및 이용절차 정비, 사후 보고 전환 3. 일률적/획일적 망분리 규제, 개발/테스트 분야 등부터 단계적 완화 원문 : https://m.boannews.com/html/detail.html?tab_type=1&idx=106072 (소감) 1. 클라우드, 빅데이터, 인공지능(AI) 등 디지털 신기술에 대한 규제 완화로 다양한 금융혁신이 나올 것으로 예상 2. CSP(Cloud Service Provider)에 대한 개념 확립 3. 클라우드 도입/운영을 위하여 구체적인 보안 요건 기준 수립이 시급해 보임 4. 타 업계에 비하여 금융업계의 보안이 중요한 만큼 규제도 심할 수밖에 없는 것..

3줄 요약 1. 엔비디아(NVIDIA) 네트워크 침해 사건 발생 및 각종 민감 정보 다크웹 유출 2. 소스코드 해킹해 토렌트 게시, 삼성 측에 협상 제안 이메일 남겨.. 3. 국제 해커조직 랩서스(LAPSUS) 소행으로 기밀 정보 탈취 주장 원문 : (1) https://www.boannews.com/media/view.asp?idx=105236 (2) https://www.mk.co.kr/news/business/view/2022/03/210382/ (소감) 1. IT 기술이 발전하고 4차 산업혁명이 진행됨에 따라 데이터의 가치가 점점 더 중요해지는 것 같음 2. APT 공격의 발전에 따라 완벽한 보안과 방지책은 없다는 생각이 듦 3. 퀄컴 관련 기밀 정보가 유출됨에 따라 기술 소송 등 연계적인 문제도..

3줄 요약 1. 원격 근무자들이 늘어나면서 '워크로드 아이덴티티'라는 게 기하급수적으로 늘어남 2. '임직원 아이덴티티'와 '워크로드 아이덴티티' 모두를 보호해야 하는 상황 3. 보호할 게 많아지긴 했지만 기본에 충실하수록 방어 효과가 커진다는 건 마찬가지 원문 : https://www.boannews.com/media/view.asp?idx=105408 (소감) 1. 근래에 사회공학적 기법, 크리덴셜 스터핑 등 기술적으로 고도화된 공격이 아닌 사람 중심의 공격이 많아진 것이 떠오름 2. 기업이 회복력을 위해 다양한 클라우드 서비스를 동시에 활용하는 보안 전략을 사용하는 것이 당연하다 생각 3. 기업의 보안 전략에 따라 공격자들이 '클라우드와 클라우드 간 연결 고리'를 노리는 것 또한 당연하다 생각 4...

3줄 요약 1. IT 업계 내에서는 차별적인 용어들이 난무 2. IT는 다가오는 디지털 시대에 가장 영향을 많이 줄 수 있는 분야로 자리를 잡아가고 있음 3. 우리도 모르게 차별과 불용을 퍼트리고 있는지 모르니 IT에서부터 바로잡아야 함 원문 : https://www.boannews.com/media/view.asp?idx=105281 Master - Slave (주인-노예) Blacklist - Whitelist (흑과백, 옳고 그름) kill (살해하다) disable (장애인으로 만들다) abort (낙태시키다) (소감) 1. 자연스럽게 쓰고 있던 단어들에 대하여 의구심을 가지게 된 계기가 됨 2. 깃허브 트리 구조의 경우 마스터 브렌치에서 메인 브렌치로 이름을 바꾼 것이 생각남 3. Master,..

3줄 요약 1. 2022년 관련 예산 2,100억 원 집중 투자 및 2025년까지 AI 기반 글로벌 일류 보안기업 60개사 육성 2. 5개 융합보안거점 구축/강화 통한 융합보안시장 창출 및 정보보호 투자 촉진을 위한 정보보호공시 6월까지 이행 추진 3. 정보보호산업 기반 강화를 위한 생태계 확충 및 차세대 정보보호 기술경쟁력 확보 등 다양한 전략 계획 원문 : https://www.boannews.com/media/view.asp?idx=104657 (소감) 1. 비상경제 중앙대책본부회의에서 '정보보호산업의 전략적 육성 방안'을 발표한 것을 보면 정부에서 상당한 관심을 가지는 것 같음 2. 스마트공장, 스마트카 등 신 산업 등장으로 인한 융합보안의 중요성 확인 3. 디지털 전환 과정과 비대면 환경 확대가..