로그 포 제이(Log4j) 보안 취약점 log4j는 자바 기반 오픈소스 유틸리티 및 라이브러리로 로깅을 해주는 도구입니다. 컴퓨터 역사상 최악일지도 모르는 취약점입니다. CVSS 스코어 10점으로 가장 높은 심각도를 기록하고 있습니다. 게임 정보통신 보안 분야를 막론하고 여러 분야에서 심각한 해킹 위험이 존재합니다. 자바 언어로 개발된 마인크래프트에서 처음 확인되어 전 세계로 위험이 퍼져나가고 있습니다. 현재 이 취약점에는 log4shell "로그4셸" 이라는 별칭이 붙었습니다. CVE(Common Vulnerability and Exposure) CVE-2021-44228 Log4Shell 원리 JNDI와 LDAP을 이용합니다. Java 프로그램들은 앞서 말한 JNDI와 LDAP를 통해 Java 객체를..
네이버 16년만에 실시간검색어, 인기검색어 폐지 국내 검색 포털 업계 1위인 네이버가 16년간 이슈를 몰고 다녔던 실시간 검색어 서비스를 2월 25일 폐지했습니다 네이버 실시간 검색어는 네이버 검색창에 입력되는 검색어를 분석해 입력 횟수, 증가 비율이 가장 큰 검색어를 순위대로 보여주는 방식을 이용했습니다 급상승 검색어 폐지에 대한 네이버의 공식 입장은 정보의 다양성 확보라고 하네요 네이버의 실시간 검색어 서비스는 정치적, 광고 의혹으로 많은 사람들의 비난을 피할 수 없었는데요 많은 기업들이 상업적 목적으로 접근하여 인기 검색어에 띄우는 일들과 정치인들이 검색어 순위를 조작하여 이용하였다는 의혹도 있었습니다 대표적인 사건으로 조국 전 장관의 사건이 있었죠 하지만 항상 이런 나쁜 일들만 있었던 것은 아니죠..
#구글 플레이 스토어 #악성코드 #멀웨어 #해킹 단순한 환율 계산 애플리케이션인 줄 알고 이미 1만 명 이상이 구글 공식 플레이 스토어에서 다운로드 받아 설치했는데, 알고 보니 케르베로스(Cerberus)라는 뱅킹 트로이목마였다고 합니다😫 케르베로스는 ‘서비스형 멀웨어(MaaS)’의 일종으로, 모바일 장비를 감염시켜 공격자들이 원격에서 접근할 수 있도록 해주는 것으로 유명합니다. 또한 키스트로크를 로깅하며 크리덴셜을 훔쳐내고, 구글 오센티케이터(Google Authenticator)의 정보와 문자 정보를 외부로 빼돌리기도 하는데요 이번에 발견된 케르베로스는 스페인의 안드로이드 사용자들을 노리고 만들어진 것으로 보입니다. 환율 계산 앱으로 위장되어 있는데,. 구글 측은 이 앱에 숨어 있는 케르베로스를 놓친..
메가스터디교육, 가비아, 아마존웹서비스, 넥슨코리아 등 행정처분 6월 24일자 개인정보 유출을 신고한 사업자에 대한 사실조사 결과. 사업자별 위반사항에 대한 행정처분 내용. (단위 만원) 6월 24일자 개인정보 유출을 신고한 사업자에 대한 사실조사 결과. 사업자별 위반사항에 대한 행정처분 내용. (단위 만원) 방송통신위원회는 24일 제38차 위원회 회의를 열고 개인정보 유출을 신고한 사업자와 민원신고된 사업자들에 대한 사실조사 결과’를 발표했다. 먼저 개인정 유출을 신고한 사업자에 대한 사실 조사 결과, 정보통신망법 제28조 등 위반사실이 확인된 메가스터디교육 등 9개사에 대해 시정명령과 함께 14억6천670만원의 과징금 및 1억3천500만원의 과태료를 포함한 총 16억170만원을 부과한다고 행정처분을 ..
카카오뱅크 "해외 정보 도용으로 부정결제 추정" 피해자 "해외에서 카드 사용한 적 없다" [앵커] 간편 결제 서비스 토스를 쓰는 사람들이 결제 피해를 당했다는 소식 얼마전에 전해드렸죠. 그런데 이번에는 인터넷 은행인 '카카오 뱅크' 사용자가 비슷한 피해를 입었습니다. 자신도 모르는 사이에 카카오 뱅크 체크 카드에서 돈이 빠져 나갔다고 합니다. 정아람 기자입니다. [기자] 변지유 씨는 지난 3월 휴대전화 알림 메시지를 보고 깜짝 놀랐습니다. 카카오뱅크 체크카드에서 6만 3천 원씩 7번, 총 44만 원이 빠져나갔다는 내용이었습니다. [변지유 : 연속해서 일곱 번이나 동일 결제됐다는 카톡음이 있잖아요. 놀라서 봤더니 저도 모르는 금액이 (빠져나갔더라고요.)] 결제된 곳은 해외 구글 사이트였습니다. 피해자는 카..
텐센트OS 타이니와 텐센트OS 서버에서 치명적 취약점 발견하면 최대 14만 달러 고위험군 취약점은 최대 4만 달러...해커원 통해 프로그램 진행되고 상금 수여돼 중국의 기술 대기업인 텐센트(Tencent)가 이번 주, 자사가 개발한 OS인 텐센트OS 타이니(TencentOS tiny)와 텐센트OS 서버(TencentOS Server)를 대상으로 버그바운티를 실시하겠다고 발표했습니다. 치명적인 취약점에 최대 14만 달러의 상금을 걸겠다고 예고했습니다. 지난 4월 텐센트는 버그바운티 플랫폼인 해커원(HackerOne)과 팀을 이뤄 화이트 해커들을 초대해 버그바운티 프로그램을 실시하겠다고 발표한 바 있고, 당시 약속된 금액은 최대 1만 5천 달러였습니다. 그것이 1~2개월 지난 시점에 확대된 것으로, 4월 당..
포스트 코로나 시대 성장 잠재력 높다 판단 1위 카카오, 2위 삼성전자, 3위 네이버 카카오가 ‘2020년 대학생이 꼽은 가장 일하고 싶은 기업’ 1위에 올랐다. 카카오가 이 조사에서 1위에 오른 것은 이번이 처음이다. 2위는 삼성전자가 차지했고, 지난해 1위였던 네이버는 3위로 하락했다. 취업포털 인크루트는 2004년 이후 17년째 신입 구직자 대상으로 가장 입사하고 싶어하는 기업을 설문조사해 발표해왔다. 올해는 바로면접 알바앱 알바콜과 공동조사로, 코스닥 상장사 매출 상위 150개 업체 중 가장 일하고 싶은 기업 1곳과 그 이유에 대해 단일선택 받았다. 총 1045명의 대학생 회원이 참여했다. 그 결과, 카카오는 2017년 4위로 처음 10위권에 진입한 이후 3년 만에 10위권에 다시 진입하면서 1위..
카카오페이가 핀테크 업계 최초로 금융보안원의 정보보호·개인정보 관리체계(이하 ISMS-P) 통합 인증을 획득했습니다. 토스, 페이코, 펀딩 기업 등이 핀테크 업계에 속해 있습니다. 금융보안원의 ISMS-P는 엄격한 인증 기준을 통해 금융회사 및 전자금융업자 등에서 수행하는 정보보호 및 개인정보보호 관리체계 활동이 적합한 지 심사해 인증을 부여하는 제도로 전체 금융사 중에서는 광주은행, 신한은행에 이어 3번째입니다. 카카오페이는 특정 서비스가 아닌 전체 서비스 운영에 대해 금융보안원의 ISMS-P 심사를 통과했습니다. ISMS-P는 정보보호 관리체계 수립·운영(16개) 및 보호 대책 요구 사항(64개), 개인정보 처리단계별 요구 사항(22개) 등 총 102개 인증 기준 아래 384개의 세부 통제 항목으로 ..
UX 우수하지만 콘텐츠 부족...디지털자산 더 추가해야 국민 메신저 카카오톡에 디지털자산 지갑 서비스 클립이 탑재돼면서, 블록체인 대중화 시점이 한발 가까워졌다. 그동안 블록체인 서비스의 이용자는 암호화폐 투자자나 기술에 관심이 있는 일부로 국한돼 있었는데, 카카오톡에 클립이 들어가면서 일반 이용자까지 저변을 확대할 기반이 마련됐다는 점에서 기대가 크다. 하지만, 클립이 진짜 대중적인 블록체인 서비스로 거듭기까지는 아직 갈 길이 멀다. 출시된 클립을 살펴보면 아직 일반 이용자가 클립을 쓸 만한 이유를 찾기가 어렵기 때문이다. 파트너 서비스 간 유기적인 연동이 이뤄지지 않은 상태로 출시돼 일반 이용자가 즐길 만한 콘텐츠가 부재한 탓이다. 이에 파트너 서비스들과 협력해 다양한 디지털자산을 빠르게 추가하..
개발자가 신경 쓰지 않는 앱...아무도 책임자 없는 오픈소스...위험 가능성 높아 삼성 키보드가 대표적으로 ‘개발 행위도 없는데 설치되어 있는’ 위험한 앱 [보안뉴스 문가용 기자] 지속적인 개발 및 계발 행위가 이뤄지지 않는 소프트웨어 라이브러리들이 꽤나 위험한 요소로서 작용한다는 경고가 나왔다. 보안 업체 완데라(Wandera)가 보고서를 통해 “스마트폰과 태블릿에, 개발자들이 더 이상 관여하지 않는 앱들이 자주 설치되는 상황”이라며 “이 때문에 조직들이 무시할 수 없는 위험에 처해지게 되었다”고 주장했다. [이미지 = utoimage] 완데라의 부회장인 마이클 코빙턴(Michael Covington)은 “제일 먼저는 취약점이 있더라도 패치가 될 가능성이 0에 가깝기 때문”이라고 설명한다. “버려진 애..
퓨전에서 발견된 CVE-2020-3950...첫 번째 패치에서 오류 나와 두 번째로 패치 두 번째 패치에서는 별도의 취약점 추가로 나와 세 번째 패치...맥용은 아직 몇 달 전 VM웨어가 맥OS용 퓨전(Fusion)에 대한 취약점 패치를 배포한 바 있다. 하지만 그 패치는 불완전했고, 오히려 새로운 권한 상승 취약점을 유발시키는 것으로 나타났다. 이에 VM웨어가 거듭해서 패치를 발표했다. 첫 번째 패치가 발표된 건 3월 중순의 일이었다. 당시 VM웨어는 퓨전에서 고위험군에 속하는 권한 상승 취약점인 CVE-2020-3950을 해결하기 위한 패치를 배포했었다. 보다 정확히 말하면 맥용 퓨전 내 원격 콘솔(VMRC)과 호라이즌 클라이언트(Horizon Client)에서 취약점이 있는 것으로 밝혀졌다. 이 패..
행안부와 방통위 등 정부부처에서 부과한 개인정보 유출 관련 벌금액 분석 결과 최근 네이버가 개인정보 유출로 인해 방송통신위원회(이하 방통위)로부터 4,020만원의 벌금(과징금 2,720만원, 과태료 1,300만원)을 부과 받으면서 개인정보 유출과 관련된 벌금이 또 다시 이슈가 되고 있다. ▲우리나라 개인정보 유출 벌금(과징금+과태료) 순위[정리=보안뉴스] 여섯 번째는 온라인교육 사이트 메가스터디가 2017년 해킹으로 개인정보 123만 3859건(중복제거 111만 7227건)이 유출된 사건에 대해 방통위로부터 2억 2,900만원(과징금 2억 1,900만원과 과태료 1,000만원)을 부과 받은 사례다. 한편, 메가스터디는 2019년 6월에도 해킹을 당해 고객 개인정보가 유출됐다고 밝혔다. 일곱 번째는 롯데홈..
