2023년 11월 4주차 보안소식
[보안공지]
※ 출처 : AhnLab / 국가사이버안전센터 / C-TAS
■ 北 S/W 공급망 공격 관련 韓美 합동 사이버 보안 권고
※ 국가정보원과 영국 국가사이버안보센터는 북한 해킹조직이 정부기관, 금융기관 및 방산업체 등에서 널리 사용 중인 소프트웨어 제품을 대상으로 다수의 공급망 공격 시도를 확인하였습니다.
※ 첨부파일 참조
■ ownCloud 보안 업데이트 권고
① 개요
- ownCloud에서는 공급한 제품의 취약점을 해결하는 보안 업데이트 발표
② 대상제품
- ownCloud graphapi 0.1
- ownCloud graphapi 0.2
- ownCloud graphapi 0.3
③ 해결된 취약점
- graphapi에서 발생하는 자격 증명 및 구성 공개 취약점 [CVE-2023-49103, CVSS 10.0]
④ 취약점 패치
○ 2023년 11월 21일 게시된 보안 권고에 따라 해당 버전 및 최신 버전으로 업데이트 하시기 바랍니다.
- ownCloud graphapi 0.2.1
- ownCloud graphapi 0.3.1
[보안뉴스]
※ 출처 : 보안뉴스
○ 대국민 서비스의 SBOM 기반 패치 위협 관리가 절실한 이유
- 대국민 서비스가 SW 공급망 공격의 타깃이 된다면? 상당한 사회적 혼란과 막대한 비용 지출 초래
- 미국·EU·일본서 SW 공급망 보안 SBOM이 화두로 떠올라
○ 올해 北 사이버 공격시도 156만건…경찰 "수사인력 대폭 확대"
- 국정원에 따르면 국가 배후 해킹조직의 국내 사이버 공격 시도는 올해 하루 평균 156만건으로 전년 118만건 대비 32% 증가했다.
- 경찰청은 이에 사이버안보 최신 동향과 대응사례들을 관련 전문가·현장 수사관들과 공유하고 선제 대응 방안을 모색하는 자리를 마련하기 위해 세미나를 열었다.
○ “2023년 전세계 및 한국 기업 데이터 유출 비용 사상 최고치”
- 보고서에 따르면 데이터 유출로 인한 전 세계 평균 비용이 지난 3년간 15% 증가한 445만 달러로 올해 사상 최고치를 기록했다. 한국 역시 데이터 유출로 인한 평균 비용이 지난 3년간 19% 증가하며 45억 3,600만원으로 사상 최고치를 기록했다.
○ 내 컴퓨터에 설치된 보안 프로그램, 사실은 백도어?
- 현재 문제가 된 것은 드림시큐리티의 매직라인[MagicLine]이다. 이니텍의 이니세이프[INISAFE]에서도 유사한 문제점이 발견된 바 있다. 북한 해커그룹에 의해 악용되는 것을 국가정보원[이하 국정원]이 발견한 경우다. 드림시큐리티와 이니텍은 각각 문제를 보완한 최신 버전을 내놨다.