금융권 SW 공급망 보안 강화, 금융보안원 취약점 신고 포상제

공급망 위협 선제 차단 금융권 SW 공급망 보안 강화, 금융보안원 ‘취약점 신고 포상제’ 핵심 정리 금융권에서 공통으로 쓰이거나 금융소비자에게 배포되는 소프트웨어의 취약점을 선제적으로 찾기 위해, 금융보안원이 ‘2026년 금융권 S/W 보안 취약점 신고 포상제(버그바운티)’를 상시 체계로 운영한다는 내용이 공개됐다. 왜 ‘공급망 보안’에 초점이 맞춰졌나 소프트웨어 공급망 취약점은 개발·빌드·배포 단계 어딘가에서 발생한 문제가 금융권 전반으로 동시다발적 영향을 줄 수 있다는 점이 핵심 리스크다. 특히 널리 쓰이는 구성요소(라이브..

• format_list_bulleted IT 소식 뉴스/IT 소식
• · 2026. 2. 27.
• textsms

Vercel React2Shell WAF 우회 버그바운티

Vercel React2Shell WAF 우회 버그바운티 Next.js 개발사인 Vercel이 React Server Components(RSC)와 Next.js 애플리케이션을 대상으로 한 React2Shell 취약점 대응 버그바운티 프로그램을 공식 개설했다. 이번 프로그램은 단순한 취약점 제보를 넘어, 웹 애플리케이션 방화벽(WAF)을 우회하는 공격 기법을 집중적으로 발굴하는 데 목적을 두고 있다. React2Shell은 RSC 요청 구조와 서버 측 처리 특성을 악용해 원격 코드 실행(RCE)로 이어질 수 있는 공격 시나리오로 알려져 있으며, 일부 변형 공격은 정상적인 RSC 트래픽처럼 보이도록 설..

• format_list_bulleted IT 소식 뉴스/IT 소식
• · 2025. 12. 15.
• textsms

허점 드러난 취약점 관리…인력·예산·체계 총체적 부실

허점 드러난 ‘취약점 관리’…인력·예산·체계 총체적 부실SK텔레콤과 롯데카드에서 연달아 대규모 개인정보 유출 사고가 발생했다. 두 사고 모두 수년 전에 공개된 취약점이 패치되지 않은 상태로 남아 공격에 악용된 것으로 드러났다. 글로벌 보안 체계가 강화되는 가운데 국내 기업의 ‘취약점 관리’가 구조적으로 뒤처져 있다는 비판이 거세다.● 핵심 요약- 오랫동안 방치된 취약점 악용 → 대규모 개인정보 유출로 직결- SKT: Dirty Cow(2016) 미패치, 롯데카드: WebLogic RCE(2017) 미패치- 인력 부족·형식적 점검·ISMS-P 실효성 논란- AI 기반 자동 탐지·레드팀·버그바운티 등 대응 필요전 세계 480개 기관이 CVE로 취약점 공유CVE(Common Vulnerabilities and..

• format_list_bulleted IT 소식 뉴스/IT 소식
• · 2025. 12. 2.
• textsms

애플 버그바운티 프로그램 개편 및 보상 인상

🍎 애플, 버그바운티 프로그램 대대적 개편｜최대 보상액 2배 인상애플이 자사 제품의 보안을 더욱 강화하기 위해버그바운티 프로그램을 대대적으로 개편하고, 최고 보상액을 두 배로 인상한다고 발표했습니다. 이번 조치는 보안 연구자들의 참여를 확대하고, 첨단 스파이웨어 위협에 대응하기 위한 공격적 인센티브 전략으로 평가받고 있습니다.🔐 애플의 버그바운티 프로그램 개편애플의 버그바운티 프로그램은 2020년부터 일반 공개되어, 지금까지 전 세계 800여 명의 보안 연구자에게 총 3,500만 달러(약 480억 원)를 지급해왔습니다. 이번 개편을 통해 애플은 기존보다보상 금액을 두 배로 인상하고, 보안 연구자들의 적극적 참여를 유도하는 다양한 인센티브를 도입했습니다.이번 변화의 핵심은 스파이웨어 및 첨단 사이버 공..

• format_list_bulleted IT 소식 뉴스/IT 소식
• · 2025. 10. 13.
• textsms