반응형

제로콘 2026, React2Shell 발견자 “웹 개발 편의성은 새 공격 통로”

23개국 연구자 모인 제로콘 2026, React2Shell 발견자 “최신 웹 개발의 편의성은 새 공격 통로” Zer0Con 2026 · 서울 페어몬트 엠베서더 서울 · 서버 액션·Flight 프로토콜·역직렬화 이슈 집중 조명 현장 요약 한 문장 정리 제로콘 2026 첫 세션은 “개발자가 믿는 실행 경계”와 “서버가 실제로 받아들이는 입력” 사이의 틈이 커질수록 공격 표면도 커진다는 메시지를 던졌다. 비공개 오펜시브 보안 컨퍼런스 제로콘(Zer0Con) 2026이 2026년 4월 2일 서울 페어몬트 엠베서더 서울에서 열렸다. 10회를 맞은 이번 행사에는..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 4. 10.
  • textsms

LiteLLM 악성 패키지 유포 대응 체크리스트 (국가사이버안보센터 3/31 권고 기준)

LiteLLM 악성 패키지 유포 대응 체크리스트 국가사이버안보센터 보안권고(3/31.) 이슈 기준 · 영향 범위 확인 → 점검 → 복구 → 재발 방지 개요 핵심 요약 LiteLLM의 특정 버전(1.82.7, 1.82.8)이 공식 배포 경로(PyPI)에서 악성 코드가 포함된 상태로 유포된 정황이 공유되었습니다. 해당 버전은 자격 증명(환경변수, API 키, 클라우드 키, SSH 키 등) 탈취 및 외부 전송 시도가 문제로 지적되며, 운영 환경에서는 “설치 여부 확인”과 “비밀정보 회전(rotate)”이 최우선입니다. 본 문서는 “일반오류형(확장형 매뉴얼)”..

  • format_list_bulleted IT 소식 뉴스/CVE CODE
  • · 2026. 4. 10.
  • textsms
유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다

유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다

유출 사고 시 ISMS-P 인증 취소 가능성… ‘스냅샷’ 심사 방식 손본다 핵심 요약: 의무대상 확대 · 현장 실증형 심사 강화 · 사후관리 강화(인증 취소 검토) · 심사원 전문성 강화 무슨 일이 논의됐나 정부가 ISMS·ISMS-P 인증제의 실효성을 높이기 위해 제도 전반을 손보는 방향을 공개적으로 논의했다. 요지는 “서면 중심으로 특정 시점만 확인하는 ‘스냅샷’ 방식 심사의 한계를 넘어, 실제 운영 상태를 더 깊게 들여다보겠다”는 것이다. 기사에서 언급된 간담회는 3월 12일 서울 광화문 인근에서 열렸고, 과기정통부와 개인정보보호위원회가 인증기관·심사기관·심사원들..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 13.
  • textsms
Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈

Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈

Nginx UI 취약점(CVE-2026-27944) 인증 없이 백업 탈취 이슈 정리웹서버 관리 도구인 Nginx UI에서 인증 없이 서버 전체 백업을 내려받을 수 있고, 백업을 푸는 데 필요한 정보까지 응답 헤더로 함께 노출될 수 있는 치명적 취약점이 확인됐습니다.이 이슈는 CVE-2026-27944로 분류됐으며, CVSS 9.8로 “즉시 대응” 급에 해당합니다.분류 CVE-2026-27944 위험도 CVSS 9.8 (Critical) 공격 전제 인증 불필요 핵심 기능 백업 API 우선 조치 노출 차단 + 업데이트무슨 일이 문제였나 문제의 핵심은 Nginx UI의 백업 기능입니다. 원래 백업은 운영 정보를 안전하게 보관하기 위한 기능이지만, 취약한 구성에서는 특정 백업 API 경로에 접근만 해도 로그인 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 10.
  • textsms

CVE-2026-27944

CVE-2026-27944 대응 절차 CVE-2026-27944로 분류됐고, 보안 위험도를 나타내는 CVSS 점수는 9.8입니다. 이 급의 이슈는 “나중에 패치”가 아니라, 즉시 영향 범위를 확인하고 임시 완화 후 패치/검증까지 한 번에 가져가는 게 운영적으로 안전합니다. 분류 CVE-2026-27944 위험도 CVSS 9.8 우선순위 긴급 목표 노출 차단 → 패치 개요 이 문서는 특정 벤더/제품에 종속되지 않는 일반오..

  • format_list_bulleted IT 소식 뉴스/CVE CODE
  • · 2026. 3. 10.
  • textsms
삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환

삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환

삼성 스마트TV 시청 데이터 수집 중단: 텍사스 합의로 ‘명시적 동의’ 체계 전환 핵심 키워드: ACR · 시청 데이터 · 명시적 동의 · 다크 패턴 · 개인정보 보호 무슨 일이 있었나 미국 텍사스주와 삼성전자가 스마트TV 시청 데이터 수집을 둘러싼 분쟁에서 합의에 도달했습니다. 합의의 핵심은 단순합니다. 텍사스 주민의 ‘명시적 동의’ 없이 ACR 기반 시청 데이터 수집·처리를 중단한다는 것입니다. 이번 합의가 던지는 메시지 “기본값 수집 + 뒤늦은 안내” 방식은 더 이상 안전하지 않습니다. 사용자 동의는 ‘형식’이 아니라 ‘이해 가능성’까지 포함한 설계 문제로 다뤄지고 있습니다..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2026. 3. 4.
  • textsms
반응형