Security
DNS 보호하는 DNSSEC, 문제 있다?
💡Editor's Pick - DNS 조작과 변조 방지하는 DNSSEC - 하지만 기존 DNSSEC 검사 기능에 허점들 있어 - 새 검사 기법 적용했더니, 여러 가지 충돌 현상 발견돼 DNS 응답의 무결성과 출처를 검증하는 데 사용되는 기술인 DNSSEC을 100% 신뢰하기는 힘들다는 연구 결과가 나왔다. 이는 보안 기업 팔로알토네트웍스(Palo Alto Networks)
Latest
Security
오라클 EBS 겨냥한 클롭, 피닉스 대학서 350만 명 정보 유출
💡Editor's Pick - 오라클 EBS의 제로데이 취약점 악용 - 학생, 교수, 교직원 등 350만 명 정보 새나가 - 오라클 EBS 사용자라면 최신화 필수 오라클 EBS(E-Business Suite) 사태와 관련된 피해자가 하나 더 나왔다. 미국 피닉스대학교다. 약 350만 명의 학생(졸업생 포함), 교직원, 교수, 협력 업체 직원들의 정보가 유출된
Security
구글과 애플, 일본에서 어금니 깨물고 “열어줄게”
💡Editor's Pick - 일본에서 새로운 디지털 시장 경쟁법 시행 - 구글과 애플, 여러 가지 변화 도입...애플 수수료 파격 인하 - 한국이 두 회사 건드린 최초 국가...하지만 실효성 떨어져 구글과 애플이 서드파티 앱 마켓을 일본에서 허용하겠다고 발표했다. 오랜 시간 자사 플랫폼들을 통해서만 앱 유통과 결제를 허용했던 두
TTESays
React2Shell 취약점으로 바라보는 취약점 대응의 현실과 한계
💡Editor Pick - 모든 취약점에 대응할 수 없는 현실 직시 필요 - 취약점 대응은 기술적 대응 만으로 불가능 - 취약점 대응을 위해 기술적, 절차적 체계와 의사결정 필요 2025년 12월 CVSS 기준 10.0점의 React2Shell(CVE-2025-55182) 취약점이 공개되면서 취약점 대응에 빨간불이 켜졌다. 안 그래도 매년 새롭게 등장하는 취약점의 개수가 늘어나면서 대응이
Security
내장 브라우저의 위험, 스마트TV와 전자책, 스팀 덮쳐
💡Editor's Pick - 스마트 TV, 전자책, 스마트카, 게임 플랫폼에 내재된 브라우저들 - 대부분이 오래된 버전, 그러므로 취약 - 업데이트도 느리게 이뤄져... 민감 작업 금지 우리 주변에 업데이트 되지 않는 웹 브라우저들이 생각보다 많다는 지적이 나왔다. 벨기에 루벤가톨릭대학의 연구원들로부터다. 이들은 보고서를 통해 “데스크톱과 모바일 기기용 웹 브라우저들은 주기적으로 업데이트를
![[TE머묾] 믿고 싶은 대로 믿는 사람들의 믿음을 건드리는 믿음](https://images.unsplash.com/photo-1693665509772-131d6ff3051c?crop=entropy&cs=tinysrgb&fit=max&fm=jpg&ixid=M3wxMTc3M3wwfDF8c2VhcmNofDF8fGRlYWYlMjBub3QlMjBsaXN0ZW5pbmd8ZW58MHx8fHwxNzY2MTQyNjY0fDA&ixlib=rb-4.1.0&q=80&w=600)
TTESays
[TE머묾] 믿고 싶은 대로 믿는 사람들의 믿음을 건드리는 믿음
💡Editor's Pick - 보안은 만병 통치약 아니라고 아무리 설명해도 - 제로트러스트는 솔루션 이름이 아니라고 아무리 설명해도 - NIST 프레임워크 초안은 실용서가 아니라고 아무리 설명해도 믿음이란 얼마나 강력한 것인가. 보안과 IT 업계를 관찰자 입장에서만 10년 넘게 보아온 입장에서 절로 나올 수밖에 없는 말이다. 단, 이것은 특정 종교나 철학, 사상과
Security
더 발전한 비버테일, 128겹 안전 장치로 무장
💡Editor's Pick - 사실상 라자루스 전용 멀웨어인 비버테일의 새 변종 - 구인과 채용 관련 메일로 피해자에게 접근 - 128겹의 은폐 기술로 보호돼 있어 분석 난이도 높아 정보 탈취를 목적으로 한 멀웨어인 비버테일(BeaverTail)이 새롭게 등장했다. 이전부터 악명을 떨쳐온 멀웨어인데, 이번에 변종이 새롭게 출몰한 것이다. 보안 기업 다크트레이스(
Security
WAF 생태계 전반의 문제, 런타임 보안으로 보충해야
💡Editor's Pick - WAF 대부분 디폴트 상태로는 CVE 절반만 방어 가능 - WAF 개발사들, 새 CVE 나왔을 때 규칙 업데이트 늦어 - WAF도 유지하고, 런타임 보안 기능도 확대시켜야 웹 애플리케이션 방화벽에 흔히 설정하는 주요 규칙들이 매우 허술하다는 연구 결과가 나왔다. 보안 기업 미고시큐리티(Miggo Security)가 발표한 바에
AI
NIST가 발표한 ‘사이버 인공지능 프로파일’, 어떤 내용인가?
💡Editor's Pick - NIST, 사이버 인공지능 프로파일 초안 발표 - 인공지능 보호, 인공지능을 활용한 보호, 인공지능을 대항한 보호 - 항상 움직이는 시스템이므로, 항상 움직이는 유동적 보안 체계 필요 미국의 국립표준기술연구소(NIST)가 안전한 인공지능의 활용을 촉진하기 위해 새로운 프레임워크의 초안을 작성해 공개했다. 이름은 ‘사이버 인공지능 프로파일(Cyber AI
Security
세계 최대 성인물 플랫폼 폰허브, 고객 데이터 대량 유출
💡Editor's Pick - 폰허브, "서드파티인 믹스패널이 유출됐다." - 믹스패널, "지난 11월에 발생한 사건과는 관련 없다." - 샤이니헌터즈, "아무튼 믹스패널로부터 가져왔다" 성인 영상 플랫폼으로서 세계 최대 규모를 자랑하는 폰허브(PornHub)가 현재 해커들로부터 협박을 받는 상황에 놓여 있다. 보다 정확히 말하면, 폰허브의 대형
Security
크리스마스에 찾아온 산타…아니, 산타스틸러
💡Editor's Pick - 일부 러시아 포럼과 텔레그램에서 홍보되는 중 - 아직 미완성...조만간 완성품 나올 것으로 보임 - 하지만 이미 치명적 실수들이 보여...판매자 수준 높지 않은 듯 크리스마스 시즌을 맞아 해커들이 새로운 공격 도구를 준비해 판매하고 있다. 이름은 산타스틸러(SantaStealer)로, 시즌에 걸맞다고 할 수 있다. 이름에서
Security
TV 때문에 텍사스서 고발 당한 삼성과 LG
💡Editor's Pick - 스마트TV 제조사 다섯 군데 고발한 텍사스 주 - ACR 기능 몰래 탑재시키고 제대로 설명하지 않았다는 게 이유 - ACR은 화면 캡쳐 기능인데, 제조사들이 제대로 알리지 않음 미국 텍사스 주가 여러 스마트TV 제조사들을 고발했다. 그러면서 주 정부 대 국제적 기업들 간 소송전이 벌어지게 됐다. 텍사스 주