​[보안공지] 

※ 출처 : AhnLAb / 국가사이버안전센터 / C-TAS

■ 구글 Chrome 브라우저 보안 업데이트 권고

​① 개요

- Google社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표

- 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

② 설명

- 데스크톱 용 Chrome의 WebCodecs에서 발생하는 Use after free 취약점[CVE-2024-2886]

- 데스크톱 용 Chrome의 WebAssembly에서 발생하는 Type Confusion 취약점[CVE-2024-2887]

③ 영향받는 제품 및 해결 방안

※ 첨부파일 참고

​■ 국가 금융社 위장 사기앱 유포 추가 확인 

​① 개요

- 보안권고문 게시[1.24] 이후 국내 앱 마켓에서 유통 중인 금융社 위장 사기앱 3개와 관련 위장 사이트 83개를 추가 확인하였습니다.

 ※ 세부내용 첨부파일 참고

​[보안뉴스] 

※ 출처 : 보안뉴스

​○ 국정원, 북한 사이버위협 대비 기반시설 사이버안보 강화 조치

- 국가정보원은 3월 25일부터 29일까지 사이버위협 대응차원에서 전국 주요 정보통신기반시설 정보보호담당자 대상 설명회를 진행 중이다.

- 이번 설명회는 최근 북한 등이 우리 국민 다수가 사용 중인 보안-인증 SW 취약점을 악용하여 해킹하려는 시도가 지속 포착되고 있어 선제적으로 기반시설을 보호하기 위해 마련됐다.

- 특히, 지난 19일 "제30차 정보통신기반보호위’에선 “다가오는 선거를 겨냥한 사이버 도발 가능성에 보안 공백이 발생하지 않도록 민간과 공공의 역량을 결집하자”는 논의가 이뤄진 바 있다.

○ 설치파일로 위장한 정보탈취형 악성코드 스틸C 대량 유포중

- 스틸C, 국내 유명 프로그램으로 위장했을 것으로 추정

- 악성코드 실행 시 다운로드되는 PNG 파일에 인코딩된 악성 데이터 삽입

- 크랙으로 위장한 악성코드와 유사... 공격 범위 윈도우11→이전 버전의 OS로 넓어져

○ 인터넷 트래픽의 대부분을 차지하는 API, 공격자들이 악용

- 보안 외신 해커뉴스에 의하면 API가 총 인터넷 트래픽에서 차지하는 비중이 높고, 이를 공격자들이 적극 활용하는 중이라고 한다. 보안 업에 임퍼바[Imperva]가 조사한 결과를 인용한 것으로, 여기에 따르면 2023년 인터넷 트래픽의 73%가 API 호출과 관련이 있었다고 한다. 기업 사이트의 경우 2023년 한 해 동안 평균 15억 회의 API 호출을 기록했다고 나온다. API가 디지털 전환의 핵심 요소라는 사실이 여실히 드러나는 것으로, 공격자들 역시 이 점에 착안해 API 엔드포인트들을 공략하는 방법을 계속해서 개발하고 있다.

○ 사물인터넷 기기 보안 표준 규격 나왔다

- 스마트홈 규격인 매터[Matter] 제정 단체인 CSA[Connectivity Standards Alliance]가 IoT 기기 보안 표준 규격인 IoT 기기 보안 사양 1.0[IoT Device Security Specification 1.0]과 이에 따른 인증 프로그램인 제품 보안 인증 마크[Product Security Verified Mark]를 발표했다.