전체 글84 거세지는 소프트웨어 공급망 위협에 대한 한국의 대응 세계적으로 소프트웨어(SW) 공급망 보안 강화의 필요성이 커지는 가운데, 한국도 이 분야의 논의에 박차를 가하고 있다. 정부 주도로 SW 공급망 보안 포럼을 구성하고 통합 관리 플랫폼 구축을 준비 중이며, 현장 인식 변화를 위한 가이드라인 발간도 준비되고 있다. SW 공급망은 개발, 시험, 패치, 배포 등 SW 제작부터 유통에 이르는 전 과정을 말한다. SW 공급망 공격은 연간 300%씩 증가하고 있 는 가운데 해커들이 이 과정에 침투해 악성코드를 심거나 랜섬웨어를 배포하는 위협도 점차 커지고 있다. 미국 정부는 2021년에 SW 공급망 보안을 강화하는 행정명령을 내렸고, 유럽연합(EU) 집행위원회도 관련법 제정에 나섰다. 이에 한국 과학기술정보통신부는 지난해 공급망 보안 포럼을 출범시켰고, 공급망 보안.. 2023. 12. 6. 국가정보원(NCSC)과 영국 정보통신본부(GCHQ)의 사이버 보안 권고문을 발표 북한의 소프트웨어 공급망 해킹 위협: 최신 사이버 보안 경고 최근, 북한 해킹 조직의 공격적인 사이버 활동이 드러나면서 전 세계적으로 주의가 요구되는 가운데 2023년 11월 23일 국가정보원(NCSC)과 영국 정보통신본부(GCHQ)는 공동으로 사이버 보안 권고문을 발표했습니다. 이들은 북한 해커들이 대규모 피해를 야기할 수 있는 소프트웨어 공급망을 목표로 삼고 있다고 경고했습니다. 특히, 국내 수백만 명이 사용하는 보안인증 소프트웨어 '매직라인 4NX'와 글로벌 기업 및 기관에서 사용하는 화상회의 솔루션 '3CX'가 주요 공격 대상으로 지목되었습니다. 특히 북한 해커들은 '워터링홀' 공격 방식을 적용하여 특정 대상의 웹사이트에 악성코드를 심는 수법을 사용했습니다. 이번 경고는 22일 한영 정상회담 직후.. 2023. 12. 6. 11월 Redpen News 안녕하십니까? 레드펜소프트 11월 뉴스레터입니다. Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends 보안뉴스 ‘북의 해킹 창구로 활용되는 ‘MagicLine4NX’ 취약점 北 해킹창구 ‘매직라인(MagicLine4NX)’ 취약점 아직도 악용중! 국정원이 북한 해킹조직이 국내 보안인증 소프트웨어 취약점을 악용한 해킹 공격을 지속하고 있다며, 조속한 업데이트를 재차 당부하고 기관을 대상으로는 백신사 등과 합동으로 구버전 S/W 자 www.boannews.com ▷ 국내 보안 인증 소프트웨어의 취약점을 악용한 해킹 공격이 여전히 지속되고 있음 ▷ 일부 언론사 및 기관 등의 취약점 .. 2023. 11. 29. 제로 트러스트가 클라우드 보안에 필수적인 이유 Zero trust 데이터 유출과 사이버 공격이 지속적으로 헤드라인을 장식하는 요즘, 강력한 보안 조치의 중요성은 더욱 분명해졌습니다. 많은 조직이 데이터와 운영을 클라우드로 이전하면서, 보안 전략에 있어 제로 트러스트 같은 새로운 패러다임을 채택해야 할 필요성이 대두되었습니다. 클라우드 컴퓨팅이 기업에 가져다준 유연성, 확장성, 비용 효율성은 무시할 수 없으며, 이는 기업의 디지털 변환을 가속화했습니다. 그러나 이러한 변화는 사이버 위협의 새로운 문을 열어, 기존의 경계 중심 보안 모델의 재구성을 요구합니다. 원격 데이터 센터에 데이터가 저장되고, 사용자가 어디서나 접근할 수 있는 역동적 환경에서는 데이터의 보안이 특히 중요해집니다. 제로 트러스트란 무엇인가요? 제로 트러스트는 단순한 기술이 아니라 보.. 2023. 11. 3. 10월 Redpen News 안녕하십니까? 레드펜소프트 10월 뉴스레터입니다. Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends 전자신문 '인증SW' 해킹 취약... 북, IT분야 집중 공격 '인증 SW' 해킹 취약…北, IT분야 집중공격 북 해킹조직이 국내 인증 소프트웨어 약점을 악용해 정보기술(IT) 분야에 가장 많은 사이버 공격을 벌인 것으로 나타났다. IT 솔루션 제조 기업을 해킹, 얻은 정보를 바탕으로 해당 솔루션 이용 www.etnews.com ▷ 북한의 라자루스가 국내 인증 SW인 매직라인의 취약점을 악용 ▷ 총 40개 기업 및 기관에서 105건의 악성행위를 실행함 ▷ 올 상반기에도 금융보안.. 2023. 10. 25. 지금 패치하세요, APT의 지속적인 WinRAR 버그 공격 러시아와 중국의 국가 지원 위협 행위자들은 패치가 적용되지 않은 시스템의 원격 코드 실행(RCE) WinRAR 취약점을 악용하여 표적에 멀웨어를 전달하고 있습니다. Google 위협 분석 그룹(TAG)의 연구원들은 최근 몇 주 동안 특히 우크라이나와 파푸아뉴기니의 조직에 인포스틸러와 백도어 멀웨어를 전달하기 위해 CVE-2023-38831을 악용하는 공격을 추적해 왔습니다. 이 결함은 이미 알려져 있고 패치가 완료된 RarLab의 인기 있는 Windows용 WinRAR 파일 아카이버 도구의 취약점이지만 업데이트하지 않은 시스템은 여전히 취약한 상태입니다. "TAG는 여러 국가의 정부 지원을 받는 공격자들이 작전의 일환으로 WinRAR 취약점을 악용하는 것을 관찰했습니다."라고 Google TAG의 케이트.. 2023. 10. 23. 9월 Redpen News 안녕하십니까? 레드펜소프트 9월 뉴스레터입니다. Redpen News는 소프트웨어 공급망 보안 관련한 국내외 미디어 및 주요 사이버 보안 기업과 기관의 각종 뉴스 및 리포트를 월간 단위로 제공합니다. Issues & Trends 컴퓨터월드 [인터뷰]SW공급망보안, 수요자 관점의 대응이 필요하다 [인터뷰] “소프트웨어 공급망 보안, 수요자 관점의 대응이 필요하다” - 컴퓨터월드 [컴퓨터월드] 클라우드 기반의 소프트웨어(SW) 공급망 보안 대응 서비스인 ‘엑스스캔(X-Scan)’을 개발, 서비스하는 레드펜소프트(대표 배환국)가 최근 화두가 되고 있는 SW 공급망 보안을 조금 다 www.comworld.co.kr ▷ 현재 SW공급망보안 대응이 개발과정 및 개발벤더의 보안에만 초점이 주어져 있다는 지적 ▷ SW.. 2023. 9. 27. 보안 회사에서는 어떤 일을 할까? 보안 회사 1년차 직원 인터뷰 오늘은 보안 회사에서는 어떤 일을 할까? 궁금해하시는 분들이 계실 것 같아서 저희 레드펜 소프트의 직원분에게 인터뷰 신청을 해봤습니다! 보안을 직무로 희망하시는 분들에게는 좋은 Tip이 될 것 같은데요 기술 컨설팅팀의 기획자이자 디자이너 임유림님입니다. 그럼 첫번째 인터뷰 시작하겠습니다!! 안녕하세요! 자기소개 한번 부탁드려도 될까요? 안녕하세요. 레드펜소프트 기술 컨설팅팀 소속 임유림입니다. 아주 간단하지만 정확한 소개를 해주셨네요 ㅎㅎ 짧게 레드펜소프트는 어떤 회사인지 소개해주실 수 있나요? 레드펜소프트는 소프트웨어 공급망 보안 부분에서 선두를 달리고 트렌드를 이끌어 가는 회사입니다. 소프트웨어 공급망 보안이요? 조금 생소한데 설명 한번 부탁드려도 될까요?? 소프트웨어 공급망 보안은 말 그대로 공급되.. 2023. 9. 21. 미국 FDA에서 보안 기능이 없거나 SBOM을 제출하지 않는 의료기기의 심사 거부 예정 의료기기의 사이버보안 강화와 FDA 최근 의료기기 제조업체들은 사이버 공격에 대응하기 위한 새로운 보안 규정을 준수해야 했지만, FDA는 이를 강제하는 권한을 사용하는 것을 자제했습니다. 그러나 오는 10월부터 미국 식품의약국(FDA)은 FDA는 의료기기의 사이버 보안 통제와 시판 후 패치 기능이 없는 기기를 거부할 권한을 강화하기로 결정했습니다. 2022년, 의료기기 제조업체에게 사이버 보안 정보 제출을 요구하는 법안이 의회에서 통과됐으며, 이로 인해 FDA는 의료기기 제조업체들에게 사이버 보안 취약성 대응 계획 제출을 강조하게 되었습니다. 이 계획에는 기기의 안전한 설계와 개발 프로세스, 그리고 소프트웨어 자재 명세서(SBOM) 제공 등이 포함되어야 하고 충족하지 못할 경우 해당 기기는 거부될 수 있.. 2023. 9. 18. 이전 1 ··· 3 4 5 6 7 8 9 10 다음
