반응형
2026 ISMS·ISMS-P 변경 사항

2026 ISMS·ISMS-P 변경 사항

2025 대비 2026 ISMS·ISMS-P 변경 사항 2026년은 ISMS/ISMS-P가 “서류 중심 인증”에서 “사고와 직결되는 운영 통제 중심”으로 더 강하게 이동하는 구간이다. 특히 ISMS-P 예비심사(핵심항목 선검증) 도입 추진, 현장 기술심사 강화, 사고 발생 시 특별 사후심사 및 인증 취소 강화 같은 변화가 묶여서 진행되는 흐름이다. 핵심 한 줄 요약 • 2026년 방향: “문서 충족”보다 “패치·취약점·운영 통제”를 먼저 본다 • ISMS-P: 예비심사로 핵심항목 미달 시 심사 중단 가능(추진) • 사고 발생: 특별 사후심사 강화, 중대 결함이면 인증 취소 원칙(강화) ※ 아래 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms

CVE-2025-6218 - WinRAR 경로 이동 취약점

WinRAR 경로 이동 취약점 CVE-2025-6218 CVE-2025-6218은 윈도우 환경에서 동작하는 WinRAR에서 발생한 경로 이동(Path Traversal) 취약점이다. 공격자가 조작된 RAR 압축 파일을 열도록 유도하면, 파일이 의도된 압축 해제 경로를 벗어나 시스템의 임의 위치에 생성될 수 있다. 이 취약점은 실제 공격에 활용된 사실이 확인돼 미국 CISA의 KEV 목록에 등재됐으며, 국가 연계 APT 공격에서도 적극적으로 악용됐다. 핵심 위험 요약 • 사용자 파일 열기만으로 공격 가능 • 시스템 임의 경로 파일 생성 가능 • 시작프로그램 악용..

  • format_list_bulleted IT 소식 뉴스/CVE CODE
  • · 2025. 12. 14.
  • textsms
CISA, WinRAR 취약점 적극 악용 확인

CISA, WinRAR 취약점 적극 악용 확인

CISA, WinRAR 취약점 적극 악용 확인 미국 사이버보안·인프라보안국(CISA)이 파일 압축 프로그램 WinRAR에서 발견된 보안 취약점 CVE-2025-6218을 실제 공격에 악용 중인 취약점으로 판단해 KEV(Known Exploited Vulnerabilities) 목록에 추가했다. CISA는 해당 취약점이 이미 다수의 국가 연계 공격 그룹에 의해 사용되고 있다며, 연방기관뿐 아니라 모든 조직이 즉각적인 패치를 적용해야 한다고 경고했다. 핵심 요약 • WinRAR 경로 이동 취약점(CVE-2025-6218) 실제 악용 확인 • 남아시아·러시아 APT 동시 활..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms

CVE-2025-10573 - Ivanti EPM 비인증 XSS 세션 탈취 취약점

Ivanti EPM 비인증 XSS 세션 탈취 취약점 CVE-2025-10573은 Ivanti Endpoint Manager(EPM)에서 인증 없이 악성 스크립트를 주입할 수 있고, 관리자가 대시보드를 열람하는 것만으로 세션 탈취가 가능한 고위험 취약점이다. 취약점은 스토어드 XSS 구조이며, 관리 권한을 탈취할 경우 엔드포인트·서버·소프트웨어 배포 체계 전체가 공격자 통제 하에 놓일 수 있다. 핵심 위험 요약 • 비인증 상태에서 공격 시작 가능 • 관리자 UI 열람만으로 공격 트리거 발생 • 관리자 권한 탈취 시 조직 전체 관리 영역 확산 가능 • 즉시 패치 ..

  • format_list_bulleted IT 소식 뉴스/CVE CODE
  • · 2025. 12. 14.
  • textsms
이반티 EPM 취약점 긴급

이반티 EPM 취약점 긴급

이반티 EPM 취약점 긴급 엔드포인트 관리 솔루션 이반티 EPM(Ivanti Endpoint Manager)에서 비인증 상태로 시작해 관리자 세션 탈취로 이어질 수 있는 고위험 취약점이 공개됐다. 해당 이슈는 CVE-2025-10573으로 분류됐으며, CVSS 9.6의 높은 심각도로 평가된다. 핵심은 스토어드 XSS(Stored XSS) 구조다. 공격자가 악성 스크립트를 주입해두면, 관리자가 대시보드를 평소처럼 열람하는 순간 브라우저에서 스크립트가 실행돼 세션이 탈취될 수 있다. 즉 “사용자 상호작용이 필요하다”는 조건이 실제 위험을 크게 낮추지 않는다. 즉시 위험 요약: • 시작점이 비인증일 ..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
국정원 AI 보안 가이드북 핵심 분석

국정원 AI 보안 가이드북 핵심 분석

국정원 AI 보안 가이드북 핵심 분석국가정보원이 국가·공공기관을 대상으로 배포한 ‘AI 보안 가이드북’은AI를 하나의 기능이 아니라 수명주기(Lifecycle) 전체로 바라본 보안 설계 문서라는 점에서 의미가 크다.국정원은 생성형 AI와 자동화 AI가 빠르게 확산되는 환경에서,기존 정보시스템 보안만으로는 설명되지 않는 새로운 공격면이 이미 현실화됐다고 진단했다.이 가이드북의 목적은 “AI를 쓰지 말라”가 아니라,어떻게 설계하고, 어디를 연결하며, 무엇을 통제해야 하는가를현장 실무자가 바로 적용할 수 있도록 구조화하는 데 있다.1️⃣ AI 보안을 수명주기로 나눈 이유국정원은 AI 보안을 데이터 수집 → 전처리 → 학습·튜닝 →시스템 구축 → 운영·활용 → 폐기까지의 전 과정으로 구분했다.각 단계마다 공격면..

  • format_list_bulleted IT 소식 뉴스/IT 소식
  • · 2025. 12. 14.
  • textsms
반응형