본문 바로가기
카테고리 없음

보안동향(001호)

by 10th doctrine 2019. 7. 24.
반응형

1. Security & Privacy News

 

"공란"

내용

 

 

"공란"

내용

 

 

"공란"

내용

 

 

 

2. Government Department Issue

 


"앞으로 클라우드서비스의 보안인증 유효기간 기존 3년 → 5년 확대"

과학기술정보통신부와 행정안전부는 이같은 내용을 담은 클라우드서비스 보안인증제 개선방안을 24부터 시행한다고 23일 밝혔다. 개선방안은 공공부문 클라우드서비스(SaaS) 이용 활성화와 보안 필요성을 고려해 마련됐다. 정부는 개선방안 시행으로 규제를 개선, 클라우드서비스 사업자 부담을 줄였다고 설명했다. 현행 3년인 보안인증 유효기간을 5년으로 늘렸고, 기존 표준등급 외에 간편등급을 신설했다. 전자결재, 인사, 회계관리, 보안서비스, 개인정보 영향평가 대상 서비스 등을 제외한 서비스에 간편 등급을 적용, 30개 인증항목만 통과하면 보안인증을 받을 수 있다.

 

 


"행안부-KISA, SW 개발 보안 경진대회 개최"

행정안전부와 한국인터넷진흥원(KISA)은 8월 23일까지 전국 대학·대학원생을 대상으로 제6회 소프트웨어 개발보안 경진대회 소개딩을 개최한다. 이 대회는 미래 소프트웨어 개발자인 대학(원)생이 창의적인 아이디어를 활용하여 직접 개발보안이 적용된 안전한 소프트웨어를 개발하는 해커톤으로, 개발단계에서부터 보안을 적용하는 것이 중요해지면서 차세대 SW개발보안 전문가를 발굴하기 위해 마련됐다.

 

 


"KISA 창립 10주년, 정보 보안 넘어 블록체인까지 '2030 비전' 선포"

한국인터넷진흥원(KISA)은 기관 창립 10주년을 맞아 '2030 비전 선포식'을 16일 전남 나주 본원에서 개최했다. KISA는 지난 10년의 성과를 바탕으로, 향후 10년 및 그 이후의 디지털 미래사회 선도를 위한 기관의 발전 방향을 설계하기 위해 '미래위원회' 논의 등을 거쳐 이번 2030 비전을 도출했다. 비전은 "안전하고 신뢰할 수 있는 디지털 미래사회 선도"를 미션으로 세우고 △국민·기업·국가 모두가 안심하고 신뢰할 수 잇는 미래 인터넷 환경 조성 △안전한 데이터 활용을 통한 데이터 경제 시대 국가 경쟁력 제고 △조직 혁신을 통한 상생 경영으로 지역 균형 발전 및 일자리 창출 등에 대한 국민과의 약속을 담았다.

 

 


 

"금융권 ISMS-P 통합 인증기관 지정"

금융보안원은 과학기술정보통신부, 행정안전부, 방송통신위원회로부터 정보보호·개인정보보호 관리체계(ISMS-P) 심사와 인증을 수행하는 인증기관으로 지정 받았다고 3일 밝혔다. ISMS-P(Personal Information & Information Security Management System) 인증은 정보보호와 개인정보보호 활동 등이 적합한지를 심사·인증하는 제도다. 앞서 정부는 지난 해 11월 정보보호 관리체계(ISMS) 인증과 개인정보보호 관리체계(PIMS) 인증 중복으로 인한 인증대상 기업의 부담을 덜어 주기 위해 두 제도를 통합해 새롭게 ISMS-P 인증제도를 마련한 바 있다. 인증기관으로는 한국인터넷진흥원이 있으며, 민간에서는 금융권에 특화된 금융보안원이 유일한 인증기관이다.

 

 

3. Statistics

 - 공란

 

 

 

4. Patch

2019년 7월 Oracle Critical Patch Update 권고

■ 개요

  • 오라클社 CPU(Critical Patch Update)에서 자사 제품의 보안 취약점 319개에 대한 패치를 발표
  • 영향 받는 버전의 사용자는 악성코드 감염 등에 취약할 수 있으므로, 해결방안에 따라 최신버전으로 업데이트 권고

■ 해결 방안

  • "Oracle Critical Patch Update Advisory - July 2019" 문서 및 패치사항을 검토하고 벤더사 및 유지보수 업체와 협의/검토 후 패치 적용
  • JAVA SE 사용자는 설치된 제품의 업데이트를 다운로드 받아 설치하거나, Java 업데이트 자동 알림 설정을 권고

 

Cisco Vision Dynamic Signage Director 취약점 보안 업데이트 권고

■ 개요

  • Cisco社 자사 제품의 취약점을 해결한 보안 업데이트 공지
  • 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발생시킬 수 있으므로, 해당 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

■ 해결 방안

  • 취약점이 발생한 Cisco 제품 이용자는 'Fixed Software; 내용을 확인하여 패치 적용

 

Drupal 권한상승 취약점 보안 업데이트 권고

■ 개요

  • Drupal 오픈 소스 컨텐츠 관리 시스템(CMS)에서 권한상승 취약점 발견
  • 공격자는 해당 취약점을 악용하여 악성코드 감염 등 피해를 발생시킬 수 있으므로 이용자들은 해결 방안에 따른 조치 권고

■ 해결 방안

  • Workspaces 모듈 비활성화
  • Drupal 8.7.5 이상 버전으로 업데이트 적용

 

Apple 제품군 보안 업데이트 권고

■ 개요

  • Apple社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표
  • 공격자는 취약점을 악용하여 피해를 발생시킬 수 있으므로, 해당 Apple 제품을 사용하는 이용자들은 최신 버전으로 업데이트 권고

■ 해결 방안

  • macOS Sierra, Mojave, iTunes, iCloud for Windows  사용자

   - 홈페이지 직접 설치 : http://support.apple.com/downloads/ 

   - App Store 이용 : 애플 메뉴에서 [소프트웨어 업데이트] 선택

 

 

  • iOS 사용자

   - [설정] → [일반] → [소프트웨어 업데이트] → [다운로드 및 설치] 선택하여 업데이트

 

 

  • tvOS 사용자

   - Apple TV에서 [설정] → [시스템] → [소프트웨어 업데이트] → [소프트웨어 업데이트하기]를 선택하여 업데이트

 

 

 

5. Vulnerabilities & Weaknesses Assessment

 


개요

  • 휴네시온 i-oneNet(망 연계 솔루션)에서 발생하는 다중 취약점
취약점 종류 영향 심각도 CVE ID
파일 업로드 파일 업로드 High CVE-2019-12803
인증 이슈 파일 실행 High CVE-2019-12804

 

■ 설명

  • CVE-2019-12803 : 망연계 시스템에 허용되지 않은 임의의 파일을 업로드할 수 있는 취약점
  • CVE-2019-12804 : 사용자 프로그램 업데이트 파일에 대한 무결성 검증 관련 취약점

 

 

■ 영향을 받는 제품

제품 영향 받는 버전
i-oneNet 3.0.7~3.0.53, 4.0.4 ~ 4.0.16

 

■ 해결 방안

  • 영향 받는 버전을 사용 중인 이용자는 사용 버전별 취약점 해결 보안 패치(3.0.xx_S001, 4.0.xx_S001) 적용 또는 취약점이 해결된 최신 버전(V3.0 => 3.0.54, V4.0 => 4.0.17) 이상으로 설치

■ 참고사이트

  • http://www.hunesion.com/

 

6. Tech Note

 

 

 

내용

 

 

 

내용

 

 

 

내용

 

 

 

내용

 

 

728x90

댓글