반응형

제로콘 2026, React2Shell 발견자 “웹 개발 편의성은 새 공격 통로”

23개국 연구자 모인 제로콘 2026, React2Shell 발견자 “최신 웹 개발의 편의성은 새 공격 통로” Zer0Con 2026 · 서울 페어몬트 엠베서더 서울 · 서버 액션·Flight 프로토콜·역직렬화 이슈 집중 조명 현장 요약 한 문장 정리 제로콘 2026 첫 세션은 “개발자가 믿는 실행 경계”와 “서버가 실제로 받아들이는 입력” 사이의 틈이 커질수록 공격 표면도 커진다는 메시지를 던졌다. 비공개 오펜시브 보안 컨퍼런스 제로콘(Zer0Con) 2026이 2026년 4월 2일 서울 페어몬트 엠베서더 서울에서 열렸다. 10회를 맞은 이번 행사에는..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 4. 10.
  • textsms
유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다

유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다

유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다 핵심 요약: 의무대상 확대 · 현장 실증형 심사 강화 · 사후관리 강화(인증 취소 검토) · 심사원 전문성 강화 무슨 일이 논의됐나 정부가 ISMS·ISMS-P 인증제의 실효성을 높이기 위해 제도 전반을 손보는 방향을 공개적으로 논의했다. 요지는 “서면 중심으로 특정 시점만 확인하는 ‘스냅샷’ 방식 심사의 한계를 넘어, 실제 운영 상태를 더 깊게 들여다보겠다”는 것이다. 기사에서 언급된 간담회는 3월 12일 서울 광화문 인근에서 열렸고, 과기정통부와 개인정보보호위원회가 인증기관·심사기관·심사원들..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 13.
  • textsms
Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈

Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈

Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈 정리웹서버 관리 도구인 Nginx UI에서 인증 없이 서버 전체 백업을 내려받을 수 있고, 백업을 푸는 데 필요한 정보까지 응답 헤더로 함께 노출될 수 있는 치명적 취약점이 확인됐습니다.이 이슈는 CVE-2026-27944로 분류됐으며, CVSS 9.8로 “즉시 대응” 급에 해당합니다.분류 CVE-2026-27944 위험도 CVSS 9.8 (Critical) 공격 전제 인증 불필요 핵심 기능 백업 API 우선 조치 노출 차단 + 업데이트무슨 일이 문제였나 문제의 핵심은 Nginx UI의 백업 기능입니다. 원래 백업은 운영 정보를 안전하게 보관하기 위한 기능이지만, 취약한 구성에서는 특정 백업 API 경로에 접근만 해도 로그인 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 10.
  • textsms
삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환

삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환

삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환 핵심 키워드: ACR · 시청 데이터 · 명시적 동의 · 다크 패턴 · 개인정보 보호 무슨 일이 있었나 미국 텍사스주와 삼성전자가 스마트TV 시청 데이터 수집을 둘러싼 분쟁에서 합의에 도달했습니다. 합의의 핵심은 단순합니다. 텍사스 주민의 ‘명시적 동의’ 없이 ACR 기반 시청 데이터 수집·처리를 중단한다는 것입니다. 이번 합의가 던지는 메시지 “기본값 수집 + 뒤늦은 안내” 방식은 더 이상 안전하지 않습니다. 사용자 동의는 ‘형식’이 아니라 ‘이해 가능성’까지 포함한 설계 문제로 다뤄지고 있습니다..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 4.
  • textsms
망분리도 안전지대가 아니다: 구조적 취약점 우회 공격 3가지 시나리오 정리

망분리도 안전지대가 아니다: 구조적 취약점 우회 공격 3가지 시나리오 정리

망분리도 안전지대가 아니다: 구조적 취약점 우회 공격 3가지 시나리오 정리 핵심 키워드: 망분리 · 구조적 취약점 · 우회 공격 · 레드팀 모의해킹 왜 지금 ‘망분리’가 다시 이슈인가 금융권에서 널리 쓰이는 망분리는 “내부망과 외부망을 분리하면 안전하다”는 직관을 제공합니다. 하지만 실제 공격은 한 지점의 취약점만으로 끝나지 않습니다. 서로 다른 구간의 약점이 체인처럼 연결되는 순간, 분리되어 있던 경계가 사실상 우회 통로로 바뀔 수 있습니다. 핵심 메시지 망분리 환경이라도 내부·외부의 취약점이 이어지면 ‘일식(Eclipse)’처럼 방어 사각지대가 드러날 수 있습니다. ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 4.
  • textsms
KISA·과기정통부 BoB 14기 인증식, 화이트해커 172명 배출 포인트

KISA·과기정통부 BoB 14기 인증식, 화이트해커 172명 배출 포인트

인재·교육 KISA·과기정통부 BoB 14기 인증식… 화이트해커 172명 배출 포인트 인공지능(AI) 전환과 사이버 위협 고도화가 동시에 진행되는 가운데, KISA와 과기정통부가 ‘차세대 보안 지도자 양성 과정(BoB)’ 제14기 인증식을 열고 최정예 보안 리더 172명을 배출했다. 이번 인증식에서 무엇이 발표됐나 KISA는 과기정통부와 함께 판교 제2테크노밸리 메타버스허브에서 BoB 14기 인증식을 개최했다고 밝혔다. 이번 기수에서는 총 172명이 수료했으며, BoB가 2012년 출범한 이후 누적 2,212명의 보안 인재를 양성해 왔다..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 2.
  • textsms
반응형