반응형
CATRA 리스크신뢰평가

CATRA 리스크신뢰평가

CATRA 리스크신뢰평가 접근법 “리스크 평가”는 많은 조직에서 하고 있지만, 실제 운영에서는 종종 이런 문제가 생깁니다. 같은 상황인데도 팀마다 판단이 달라지고, 예외가 쌓이며, 통제가 “정책 문서”로만 남는 경우가 많습니다. CATRA 접근법은 이 문제를 줄이기 위해, 리스크(위험)와 신뢰(Trust)를 한 번에 다루는 방식으로 정리할 수 있습니다. 즉 “위험이 얼마나 큰가”만 보지 않고, “지금 이 요청(접근/행위)을 신뢰해도 되는가”를 증거 기반으로 점수화해 허용/제한/차단 같은 운영 결정을 일관되게 만드는 데 초점을 둡니다. 이 글의 목표 • CATRA를 “점수 모델”로 이해하고 실무에 적용할 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
레드햇·리벨리온 NPU 기반 오픈시프트 AI 발표

레드햇·리벨리온 NPU 기반 오픈시프트 AI 발표

레드햇·리벨리온, NPU 기반 오픈시프트 AI 공개 레드햇(Red Hat)이 국내 AI 반도체 스타트업 리벨리온(Rebellions)과 협력해 ‘리벨리온 NPU 기반 레드햇 오픈시프트 AI(Red Hat OpenShift AI powered by Rebellions NPUs)’를 공식 발표했다. 이번 발표는 GPU 중심으로 고착화된 엔터프라이즈 AI 인프라 구조에서 벗어나, 에너지 효율과 비용 효율을 동시에 고려한 새로운 추론 아키텍처를 제시했다는 점에서 업계의 주목을 받고 있다. GPU 중심 AI 인프라의 한계와 새로운 대안 기업들이 생성형 AI와 대규모..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급

태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급

태니엄, CVE 공식 CNA 지정…취약점 번호 직접 발급 자율 엔드포인트 관리(AEM) 분야 기업 태니엄(Tanium)이 CVE 프로그램으로부터 ‘CVE 번호 지정 권한 기관(CNA, CVE Numbering Authority)’ 자격을 공식 획득했다. 이에 따라 태니엄은 자사 SaaS 및 온프레미스 솔루션에서 발견되는 취약점에 대해 CVE 고유 식별자(CVE ID)를 직접 발급하고, 기술적 세부 내용과 조치 방안을 함께 공개할 수 있게 됐다. 태니엄은 이번 CNA 지정이 단순한 절차적 권한 부여를 넘어, 자사의 취약점 관리 성숙도와 책임 있는 정보 공개 문화가 국제적으로 인정받았다는 의미를 갖는다고 설명했다. ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
2026 ISMS·ISMS-P 변경 사항

2026 ISMS·ISMS-P 변경 사항

2025 대비 2026 ISMS·ISMS-P 변경 사항 2026년은 ISMS/ISMS-P가 “서류 중심 인증”에서 “사고와 직결되는 운영 통제 중심”으로 더 강하게 이동하는 구간이다. 특히 ISMS-P 예비심사(핵심항목 선검증) 도입 추진, 현장 기술심사 강화, 사고 발생 시 특별 사후심사 및 인증 취소 강화 같은 변화가 묶여서 진행되는 흐름이다. 핵심 한 줄 요약 • 2026년 방향: “문서 충족”보다 “패치·취약점·운영 통제”를 먼저 본다 • ISMS-P: 예비심사로 핵심항목 미달 시 심사 중단 가능(추진) • 사고 발생: 특별 사후심사 강화, 중대 결함이면 인증 취소 원칙(강화) ※ 아래 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
CISA, WinRAR 취약점 적극 악용 확인

CISA, WinRAR 취약점 적극 악용 확인

CISA, WinRAR 취약점 적극 악용 확인 미국 사이버보안·인프라보안국(CISA)이 파일 압축 프로그램 WinRAR에서 발견된 보안 취약점 CVE-2025-6218을 실제 공격에 악용 중인 취약점으로 판단해 KEV(Known Exploited Vulnerabilities) 목록에 추가했다. CISA는 해당 취약점이 이미 다수의 국가 연계 공격 그룹에 의해 사용되고 있다며, 연방기관뿐 아니라 모든 조직이 즉각적인 패치를 적용해야 한다고 경고했다. 핵심 요약 • WinRAR 경로 이동 취약점(CVE-2025-6218) 실제 악용 확인 • 남아시아·러시아 APT 동시 활..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
이반티 EPM 취약점 긴급

이반티 EPM 취약점 긴급

이반티 EPM 취약점 긴급 엔드포인트 관리 솔루션 이반티 EPM(Ivanti Endpoint Manager)에서 비인증 상태로 시작해 관리자 세션 탈취로 이어질 수 있는 고위험 취약점이 공개됐다. 해당 이슈는 CVE-2025-10573으로 분류됐으며, CVSS 9.6의 높은 심각도로 평가된다. 핵심은 스토어드 XSS(Stored XSS) 구조다. 공격자가 악성 스크립트를 주입해두면, 관리자가 대시보드를 평소처럼 열람하는 순간 브라우저에서 스크립트가 실행돼 세션이 탈취될 수 있다. 즉 “사용자 상호작용이 필요하다”는 조건이 실제 위험을 크게 낮추지 않는다. 즉시 위험 요약: • 시작점이 비인증일 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
반응형