기록하는 공부

요약 이 메일은 2021년 3월 21일에 내가 직접 받았던 메일이다. 메일의 내용으로는 미국 회사인 SITA에 저장되어 있는 항공 서비스 데이터 정보가 개인정보(카드번호, 이름 등)가 유출되었다는 것이다. 유출된 카드 정보는 암호화되어 있으며, 조치를 취해 부정 결제가 발생할 가능성이 낮지만 도용 예방을 위해 카드 재발급 또는 결제 알림 서비스 가입을 부탁한다고 적혀있다. 리뷰 2021년 3월 21일에 나에게 제주항공에서 메일이 날아왔다. 작년에 친구들과 베트남 다낭으로 제주항공을 이용해 여행을 다녀온 적이 있다. 그때, 제주항공 홈페이지에서 티켓을 예매하고 카드결제를 진행했었는데 그 때 정보가 아마 유출된 것으로 추측된다. 정확하게 어떤 기법을 이용해 유출되었는지는 나와있지 않아 모르겠지만 유출된 것을..

기사 요약 보안 블로그 시큐리티어페어즈에 의하면 인기 높은 워드프레스 플러그인인 닌자폼즈(Ninja Forms)에서 세 가지 취약점이 발견됐고, 현재 90만 개 이상의 웹사이트들이 취약점에 노출되어 있는 상황이라고 한다. 이 취약점들은 CVE-2023-37979, CVE-2023-38386, CVE-2023-38393이며, 권한 상승과 민감 정보 유출을 가능하게 한다. 닌자폼즈 개발사 측은 3.6.26 버전을 새롭게 배포하며 사용자들에게 업데이트 설치를 권장하는 중이다. 리뷰 워드프레스란 웹사이트/홈페이지/쇼핑몰/블로그 제작 관련 오픈 소스 프로그램이다. 현재 전세계 웹사이트의 40% 이상이 워드프레스로 제작되어 있다고 한다. 이 워드프레스의 닌자폼즈는 서류 양식과 관련된 워드프레스 플러그인 중 인기가 ..

기사 요약 국가정보원이 실시한 '2023년 공공기관 정보보안 관리실태 평가' 결과, 공공기관 보안 수준은 100점 만점 중 평균 75.47점으로 전년대비 개선된 것으로 나타났다. 전담조직·인력·예산확보 등의 수준이 상승한 것이 주요 요인이다. 그러나 130개 기관 중 25개 기관은 수준 미달인 것으로 조사돼 개선이 필요한 상황이다. 기술적 보안 분야에서 여전히 절반에 가까운 공공기관에서 서버·네트워크·보안장비 등 정보시스템에 대한 비인가자 접근통제가 미흡한 것으로 나타났다. 또 용역업체 직원에 대한 시스템 접근 권한을 차등 부여해야 함에도 불구하고 이를 이행하지 않는 등 용역업체 보안관리도 전년보다 미흡한 것으로 확인됐다. 아울러 윈도 7·윈도 서버 2008 등 보안 지원이 중단된 운영체제의 사용, 시스..

기사 요약 KISA와 과기정통부는 지난 18일 텔레그램 메신저 보안 업데이트 내용으로 속여 외부 피싱 사이트 접속을 유도해 개인정보를 입력하도록 하는 사례를 확인하고 해당 피싱 사이트를 긴급 차단했다고 밝혔다. 해커가 탈취한 텔레그램 계정의 주인을 사칭하며 연결된 지인들에게 메시지를 살포하고 있어서 연쇄적인 피해가 우려된다. 리뷰 위 기사에 따르면 텔레그램의 계정을 사칭하기 때문에 지인들은 피싱 메시지를 의심하지 않고 열람할 가능성이 매우 높다. 따라서 지인이나 보안 업데이트 사항으로 속일 수도 있기 때문에 메시지를 검증하는 절차를 거치거나 사용자의 정보를 입력해야 하는 경우에는 송신자에게 확인을 받는 절차를 거쳐야 한다는 생각이 들었다. 그리고 피싱 URL을 검사해 주는 virustotal 같은 사이트..