본문 바로가기

전체 글79

미군 내년 초까지 신규 SW에 SBOM 요구 예정 미 국방부는 2024년 초까지 대부분의 새로운 소프트웨어 구매 및 개발에 소프트웨어 자재 명세서(SBOM)를 필수적으로 요구할 계획입니다.SBOM은 소프트웨어가 어떤 구성 요소들로 이루어졌는지를 명확히 보여주는 문서로, 소프트웨어의 투명성을 높이고 보안 취약점을 사전에 파악하는 데 중요한 역할을 합니다.군 조달 책임자인 더그 부시는 지난 2년 동안 업계로부터 수집한 피드백을 바탕으로 이러한 새로운 규정을 마련했습니다. 특히, 이번 정책은 군 조달 커뮤니티의 소프트웨어 계약 대부분에 SBOM 요구 사항을 적용할 예정이며, 이는 소프트웨어 개발 및 유지보수 시 보다 체계적이고 안전한 운영을 보장하는 데 기여할 것입니다.다만 클라우드 서비스에 대해서는 예외가 적용되어 SBOM 제출이 요구되지 않으며, 이는 현.. 2024. 9. 20.
8월 Redpen News 안녕하십니까?레드펜소프트 8월 뉴스레터입니다.Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends보안뉴스                                    금융위, '금융 보안 망 분리 개선 로드맵' 발표   ▷ 금융회사에서 생성형 AI 활용에 대한 허용, SaaS 프로그램의 이용 범위 확대▷ 연구 개발환경에 대해 물리적 제한 완화 및 가명 정보 활용 허용 등의 내용 담고 있음▷ 특히 SaaS 이용 범위를 보안관리, 고객관리(CRM)등의 업무까지 이용 범위 확대 보안뉴스                                    SW 공급망 위협에 따른 사이버 정.. 2024. 9. 3.
7월 Redpen News 안녕하십니까?레드펜소프트 7월 뉴스레터입니다.Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends데이터넷                                    SW공급망피해, 2031년 1390억 달러  “SW 공급망 피해, 2031년 1380억달러···공급망 전반서 리스크 낮춰야” - 데이터넷[데이터넷] 소프트웨어 공급망 공격으로 인한 비용이 지난해 460억달러에서 2031년 1380억달러로 증가할 것이며, 이에 대응하기 위해 기업 2/3이 소프트웨어 공급망 보안(SSCS) 계획을 수립하고 있는www.datanet.co.kr ▷ 가트너 보고서에 따르면 SW공급망 피해가.. 2024. 8. 12.
6월 Redpen News 안녕하십니까?레드펜소프트 6월 뉴스레터입니다.Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends머니투데이                                    레드펜소프트 ‘클라우드 이미지 분석 기능’ 출시 레드펜소프트 '클라우드 이미지 분석기능' 출시, 공급망 보안 강화 - 머니투데이소프트캠프의 자회사 레드펜소프트가 클라우드 기반 소프트웨어 공급망 보안 위협을 대폭 줄이기 위한 새 기능을 출시했다.제로트러스트 기반 정보보안 전문기업 레드펜소프트는 29일 소프트news.mt.co.kr ▷ 레드펜소프트 엑스스캔에서 클라우드 컨테이너 이미지 스캐닝 및 분석 기능 출시  ▷.. 2024. 8. 7.
5월 Redpen News 안녕하십니까?레드펜소프트 5월 뉴스레터입니다.Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends과학기술정통부                                    정부 ‘SW공급망보안 가이드라인 1.0’ 발표 보도자료 - 과학기술정보통신부소식 보도자료 공유하기 인쇄 TOPwww.msit.go.kr ▷ 과기부/국정원/디지털플랫폼정부위원회 공동의 가이드라인 발표▷ 국산 소프트웨어 대상 SBOM 실증 결과를 반영한 가이드라인 ▷ 해외동향과 국내 준비상활을 면밀히 살피면서 제도화 준비✽ 위 링크에서 가이드라인을 다운로드 받을 수 있습니다 국가사이버안보센터            .. 2024. 8. 7.
MS 클라우드 대규모 장애와 윈도우 PC 블루스크린 사태로 전 세계 혼란 MS 클라우드 서비스 장애 발생2024년 7월 18일부터 19일까지 MS 클라우드 서비스에 대규모 장애가 발생해 전 세계 여러 기업과 기관에 큰 영향을 미쳤습니다.이 장애로 인해 항공사, 은행, 언론사 등의 서비스와 업무가 간헐적으로 중단되었습니다.처음 관련 내용이 보도된 호주와 뉴질랜드를 시작으로, 미국, 영국, 독일, 스위스, 네덜란드 등 유럽 주요 국가, 그리고 인도, 홍콩 등지에서도 피해가 보고되었습니다. AP통신에 따르면, 호주와 뉴질랜드에서는 항공사와 통신사, 은행, 방송사 등이 장애로 인한 피해를 입었습니다.영국과 유럽, 인도 등의 항공사에서도 예매와 발권이 중단되는 등의 문제가 발생했고,MS의 원드라이브(OneDrive), 마이크로소프트 디펜더(Microsoft Defender) 등 다양한.. 2024. 7. 22.
클라우드 기반 공격의 거의 절반이 자격증명으로 인해 발생한다 클라우드 공격 증가: 약한 자격 증명이 주요 원인최근 발표된 보고서에 따르면, 클라우드 서비스에 대한 공격이 급증하고 있으며, 이 중 상당수가 약한 자격 증명을 악용한 것으로 나타났습니다.해커들은 취약한 비밀번호와 관리되지 않는 액세스 권한을 통해 클라우드 인프라에 침투하고,민감한 데이터를 탈취하거나 서비스 중단을 초래할 수 있습니다.주요 공격 사례 및 방법약한 비밀번호 사용: 해커들은 사전 공격(Dictionary Attack)과 크리덴셜 스터핑(Credential Stuffing) 같은 기법을 사용해 약한 비밀번호를 손쉽게 크랙합니다. 이러한 공격은 간단한 비밀번호를 사용하거나 비밀번호를 재사용하는 경우에 특히 취약합니다.관리되지 않는 액세스 권한: 많은 기업들이 액세스 권한을 적절히 관리하지 않아,.. 2024. 7. 22.
악성 npm 패키지, 이미지 파일에 백도어 코드를 숨겨 악성 npm 패키지: img-aws-s3-object-multipart-copy 및 legacyaws-s3-object-multipart-copy보안 연구자들은 최근 img-aws-s3-object-multipart-copy 및 legacyaws-s3-object-multipart-copy라는 이름의 두 개의 악성 npm 패키지를 발견했습니다.이 패키지들은 정식 npm 라이브러리인 aws-s3-object-multipart-copy를 가장하고 있으며, 이미지 파일에 백도어 코드를 숨겨 원격 서버로부터 명령을 실행하도록 설계되었습니다.이러한 방식은 악성 코드를 탐지하기 어렵게 만들며, 사용자에게 심각한 보안 위협을 초래합니다.공격 방법 및 피해이 악성 패키지들은 이미지 파일 내부에 악성 코드를 은닉하여, .. 2024. 7. 18.
레드펜소프트, '엑스스캔(XSCAN)' 클라우드 컨테이너 이미지 스캐닝 및 분석 기능 출시 레드펜소프트가 소프트웨어(SW) 공급망 보안 솔루션 XSCAN(엑스스캔)에 클라우드 컨테이너 이미지 스캐닝 및 분석 기능을 새롭게 추가했다고 발표했습니다.클라우드 환경으로의 전환이 가속화되면서, 상용 소프트웨어, 맞춤형 소프트웨어, 오픈소스 소프트웨어 등 다양한 요소로 구성된 컨테이너화된 소프트웨어의 복잡성은 새로운 보안 위협과 취약점을 발생시키고 있습니다.보안에 취약한 베이스 이미지, 악의적인 이미지 변경, 노출된 비밀키 등이 이러한 사이버 공격의 주요 원인이 됩니다. XSCAN은 클라우드 기반 소프트웨어 전달 및 검증 체계를 구현한 소프트웨어 공급망 위협 대응 서비스입니다.이 솔루션은 컨테이너 이미지의 투명한 가시성을 확보하기 위해, 레이어(Layer) 및 패키지의 다양한 아티팩트(산출물)를 표준 소.. 2024. 6. 10.

티스토리툴바