취약점
2024년 상반기 앱 해킹 리포트
모바일 앱은 사용자와 서비스 사업자 모두에게 편리함을 제공하고 있어 꾸준히 출시하고 이용되고 있습니다. 하지만 이러한 모바일 앱에 보안 조치가 되어있지 않다면 해커들에게 좋은 먹잇감이 되며 기업에 막대한 피해를 줄수 있습니다. 2023년 데이터 해킹으...
잉카엔트웍스
앱실링
AppSealing
"전 세계에서 보안 취약점 가장 많이 공개하는 기업은 트렌드마이크로" 옴디아 보고서
시장 조사 기관 옴디아(Omdia)의 최신 보고서에 따르면, 트렌드마이크로가 전 세계 취약점 발견 및 공개의 60% 이상을 기여해 1위를 차지했다. 트렌드마이크로는 공개 취약점 수가 타사 대비 2.5배 이상 많으며, 2007년 이후 해당 분야의 1위를...
블로그 | 클라우드 보안의 평판이 나빠진 이유
최근 은행권의 클라우드 컴퓨팅 보안에 대한 논의는 클라우드 컴퓨팅으로 전환하는 은행의 사이버 보안 환경에 대한 다소 암울한 그림을 그려내고 있다. 사실 클라우드 컴퓨팅의 가치에 대한 의문이 점점 더 많이 제기되면서 지난 몇 년 동안 이런 추세가 이어졌...
2023년, 고위험 오픈소스 취약점 급증했다…시놉시스 보고서
애플리케이션 보안 테스트 업체 시놉시스가 2023년 위험성을 평가한 코드베이스의 약 3/4에 고위험 취약점이 있는 오픈소스 구성요소가 포함돼 있다는 조사 결과를 발표했다. 조사에 따르면 소스 취약점이 하나 이상 있는 코드베이스는 전년 ...
CVSS 4.0은 취약점 점수 계산 체계를 혁신할까, 망가뜨릴까?
기술 시스템의 취약점을 다뤄본 사이버보안 담당자라면 누구나 공통 취약점 점수 시스템(Common Vulnerability Scoring System, CVSS)을 접해봤을 것이다. CVSS를 알든 모르든 “치명적” 또는 “고위험”과 같은 표현은 업계 ...
‘소 잃기 전에...’ 홈 네트워크 재앙을 막는 4가지 예방책
라우터 설정을 급하게 하다 보면, 몇 단계를 건너뛰거나 나중에 하자는 생각에 그냥 넘어가기도 한다. 하지만 ‘나중’은 너무 늦을 수 있다. 최근 예상치 못한(당연히 원하지도 않았던) 라우터 재설정을 겪고 나서야 뼈저리게 느낀 사실이다. 기기 구성과 설...
“구글과 리프트 포함한 기업의 깃허브 저장소, 리포재킹 공격에 취약”
아쿠아 시큐리티(AquaSec)에 따르면 수백만 개의 깃허브 저장소가 잠재적으로 ‘리포재킹’에 취약하다. 아쿠아 시큐리티가 125만 개의 깃허브 저장소 샘플을 분석한 결과, 약 3%의 저장소가 리포재킹에 취약한 것으로 나타났다. 여기에는 구글과 리프트...
“클라우드 이용하려면 업데이트 필수” 웨스턴 디지털, 미패치 기기 액세스 차단
웨스턴 디지털이 취약한 펌웨어 버전을 실행하는 장치로 클라우드 서비스에 액세스하는 것을 차단했다고 밝혔다. RCE(Remote Code Execution)로 이어지는 중요 경로 통과 버그를 해결하기 위해 마이 클라우드 제품군에 대한 펌웨어 업...
기가바이트 메인보드 펌웨어 백도어 발견…수백 가지 모델에 취약점
주요 메인보드 업체 중 하나인 기가바이트가 몇 가지 긴급한 질문에 답을 해야 하는 압박을 받고 있다. 첫 번째 질문은 "왜 아무에게도 알리지 않고 메인보드 펌웨어에 업데이트 백도어를 넣었는가?"이다. 두 번째는 "단순히 알려...
구글, 긴급 보안 업데이트 배포··· “올해 첫 제로데이 취약점”
공격자들이 크롬에서 새로운 결함을 악용하고 있다. 손상된 기기에서 악성코드를 실행할 수 있는 취약점이다. 지난 금요일(현지 시각) 긴급 보안 업데이트와 함께 공개된 이 취약점(CVE-2023-2033)은 패치가 필요하며, 현재 크롬 및 기타 크로미움 ...
“보상금 최대 2만 달러” 오픈AI, 챗GPT 오류 잡는 버그 바운티 시작
오픈AI가 생성형 AI 시스템의 취약점을 식별하고 해결하기 위해 보안 연구원, 윤리적 해커, 기술 전문가 등을 대상으로 한 버그 바운티 프로그램을 시작했다. 오픈AI는 버그크라우드(Bugcrowd)와 협력해 버그 바운티 프로그램을 운영하며...
“기업용 스토리지·백업 기기 평균 취약점 14개…작년과 비슷” 컨티뉴이티 보고서
기업용 스토리지 및 백업 기기에 평균적으로 약 14개의 취약점이 있는 것으로 나타났다. 그중 3개는 악용될 경우 심각한 손상을 초래할 수 있는 치명적인 취약점이었다. 사이버보안 업체 컨티뉴이티(Continuity)의 2023년 스토리지...
“취약점은 연평균 26% 늘어나는데…패치 관리 여전히 미흡” 테너블 보고서
사이버보안 업체 테너블(Tenable)의 최근 보고서에 따르면, 기업이 취약점을 적시에 패치하거나 수정하지 못하면서 길게는 2017년부터 알려진 취약점이 여전히 광범위한 사이버 공격에 악용되는 것으로 조사됐다. 이번 보고서는...
“올해 월평균 1,900개의 취약점 발견될 것” 미 사이버 보험 업체 분석
사이버 보험 회사 코얼리션(Coalition)이 2023년에는 매달 새롭게 발견되는 치명적인 CVE(Common Vulnerabilities and Exposures) 수가 평균 1,900개에 달해 2022년보다 13% 증가할 것이라고 예측했다.&nb...
“1년 지났는데 아직도…” 로그4셸이 2023년에도 치명적 위협으로 꼽히는 이유
수백만 개의 엔터프라이즈 애플리케이션에 영향을 미친 치명적인 취약점 로그4셸(Log4Shell)은 발견된 지 1년이 지난 후에도 보안 침해 사고의 일반적인 원인으로 남아있으며, 앞으로도 인기 있는 표적이 될 것으로 보인다. 로그4셸의 여파가 오랜 시간...
"취약점 악용 가능성을 예측한다" EPSS 보안 평가 모델 따라잡기
공통 취약점 스캔 시스템(Common Vulnerability Scanning System, CVSS)은 취약점의 심각성을 평가하는 용도로 자주 언급되는 등급 시스템이다. 그러나 취약점으로 인한 위험을 평가하고 우선순위를 정하는 관행이 적절하지 않다는...
퀄리스, 에이전트리스 멀티클라우드 보안 관리 플랫폼 발표
취약점 관리 솔루션 업체 퀄리스(Qualys)가 멀티클라우드 및 하이브리드 환경을 위한 에이전트리스 방식의 클라우드 네이티브 취약점 탐지 및 대응 플랫폼을 발표했다. 이번에 공개된 토털클라우드 플렉스캔(TotalCloud FlexScan)은 클라우드...
MS 익스체인지 서버 보안 결함⋯"원격 파워셸 액세스 비활성화 권고"
공격자가 패치되지 않은 2가지 취약점을 악용하여 온프레미스 마이크로소프트 익스체인지 서버를 원격에서 손상시키고 있다. 지난주 마이크로소프트는 이 결함을 확인하고, 영구적인 패치가 개발될 때까지 (취할 수 있는) 완화 조치를 발표했지만 한 보고서에 따르...