개발자를 위한 10대 보안 역량 체크리스트

기본부터 시작하라개발자가 고도화된 제로데이 공격에 대응하기 전에, 먼저 기본을 탄탄히 익혀야 한다. 이미 알려진 취약점부터 숙지하는 것이 중요하다. 다음은 보안 코딩의 기초를 다지고, 초기 단계부터 안전하게 개발할 수 있도록 돕는 주요 산업 표준 자료다. OWASP Top 10 : OWASP는 웹, 모바일, 생성형 인공지능, API, 스마트 계약 애플리케이션 등 다양한 분야에서 가장 심각한 보안 위험을 정리한 Top 10 목록을 주기적으로 업데이트한다. 모든 개발자가 알아야 할 필수적인 위협 목록이다.MITRE : MITRE는 다양한 보안 도구와 프레임워크를 제공한다. ATT&CK 프레임워크는 공격자의 전술과 기술을 정리하며, CWE(Common Weakness Enumeration)는 치명적인 보안 영..

  • format_list_bulleted IT/정보보안
  • · 2025. 5. 14.
  • textsms
무료에서 슬그머니 유료전환 소비자 낚는 '다크패턴'

무료에서 슬그머니 유료전환 소비자 낚는 '다크패턴'

공정위, 14일부터 다크패턴 마케팅 규제 강화한다. 정기결제 무료 → 유료 전환땐 앞으론 30일 전에 동의받아야하고 서비스 탈퇴 까다롭게 하거나 진짜 가격 숨기는 꼼수도 규제 및 처벌을 강화한다. 다크패턴 위반 행위를 저지를 경우 사업자에게 최대 500만원의 과태료를 부과한다.  매일경제가 10일 한국소비자원에 의뢰해 받은 '2024년 온라인 다크패턴 발굴 유형' 자료에 따르면 소비자원은 지난해 총 47건의 신규 다크패턴을 적발하고 각 사업자에게 시정권고문을 보낸 것으로 확인됐다.앞서 소비자원은 2023년 국내 온라인 쇼핑몰 20곳을 대상으로 다크패턴 집중 실태조사를 벌여 총 429개 다크패턴을 적발했다. 이와 중복되지 않는 새로운 다크패턴이 지난 1년간 일주일에 한 번꼴로 발견된 것이다. 다크패턴  ..

  • format_list_bulleted IT/정보보안
  • · 2025. 2. 11.
  • textsms

해커들의 검은돈 세탁 수법

암호화폐가 인기를 끌고 있는 데에는 검은돈의 영향도 있다. 불법 해킹 및 암호화폐 탈취에 의한 자금세탁, 마약거래 대금의 교환, 불법적인 국가 간 자금 이동 또는 증여가 이에 속한다.암호화폐의 다양한 암호 및 익명성 기술은 자금 추적을 어렵게 한다. 이러한 이유로 암호화폐는 계속 성장할 것이다. 참고로 세계 암호화폐 탈취 피해액의 약 60%가 북한 해커들에 의해 발생한 것으로 나타났다. 지난해 북한 해커들은 47건의 사이버 공격을 통해 총 13억4000만달러(약 1조 9000억 원) 상당의 암호화폐를 탈취했으며 이는 역대 최대 규모의 피해액이다.이러한 불법 자금에 대한 세탁 방법을 알아보면,  주로 ‘믹싱 서비스’와 ‘프라이버시 코인’을 이용하고 있다. 믹싱 서비스여러 사용자의 암호화폐를 무작위로 섞어 ..

  • format_list_bulleted IT/정보보안
  • · 2025. 2. 11.
  • textsms
Deepseek 의 불안 요소. 해킹

Deepseek 의 불안 요소. 해킹

Deepseek이 사용자의 거의 모든 정보를 수집하는 것이 1차적인 보안 문제라면, 2차 문제는, 해킹에 취약하여 언제든지 수집된 정보가 유출 될 수 있다는 것이다. 최근 Deepseek에서 100만건의 정보가 유출되었다. 유출된 정보에는 사용자 채팅 기록, 비밀 키, 백엔드 시스템 정보, API 인증 키 등이 포함되어 있다.  원인은 허술한 보안 설정이다. Deepseek의 데이터베이스는 클라우드 상에서 공개된 상태였으며, HTTP 인터페이스를 통해 웹 브라우저에서 직접 SQL 쿼리를 실행할 수 있도록 설정되어 있었다. 이를 통해 해커들은 내부 데이터에 접근할 수 있었을 뿐만 아니라, 데이터베이스 자체를 조작할 수도 있었다.

  • format_list_bulleted IT/정보보안
  • · 2025. 1. 31.
  • textsms
Deepseek 의 불안 요소. 이런 정보도 가져간다.

Deepseek 의 불안 요소. 이런 정보도 가져간다.

Deepseek이 AI 시장에 폭풍을 일으키고 있다. 그런데 Deepseek이 가져가는 정보를 보면 이것을 사용하는데 고민이 생길 수 있다. 더 걱정이 되는 것은 이 기업 중국기업이라는 것이다. 중국은 공산당이 통치하는 사회주의 국가이고 언제든지 기업의 정보를 국가가 보거나 이용할 수 있다. 특히, 키보드 입력과 관련된 정보를 수집하는 것은 쇼킹하다. 이런 경우, 컴퓨터 혹은 휴대폰에서 입력하는 정보를 모두 수집할 수 있다는 것이다. 또한, 다른 앱 사용 시의 활동 정보도 수집하는 것이다. 사용자에 대한 모든 정보를 다 가져가겠다는 것이다. 그리고, 그 정보가 중국에 저장된다는 것이다. 사용자는 이런 점을 염두해두고 사용하시길 바란다.  제공되어 수집되는 정보1. 개인정보: 생년월일, 이름, 이메일, 전..

  • format_list_bulleted IT/정보보안
  • · 2025. 1. 30.
  • textsms

마그니버 (Magniber) 랜섬웨어

마그니버 랜섬웨어 마그니버는 2017년 처음 등장한 이후로 지속적으로 활동하며 전 세계적으로 피해를 입히고 있는 악성 랜섬웨어주로 개인 사용자를 대상으로 하며, 감염 시 중요 파일을 암호화하고 이를 복구하는 대가로 금전을 요구 특징  지속적인 변화: 마그니버는 탐지를 피하기 위해 지속적으로 변화. 새로운 난독화 기술과 회피 방법을 사용하며, 최근에는 윈도우 업데이트 파일로 위장하는 등 다양한 방식으로 사용자를 속임광범위한 피해: 처음에는 아시아 지역을 대상으로 했지만, 현재는 전 세계적으로 확산되어 수많은 개인 사용자의 데이터를 암호화고액의 몸값 요구: 마그니버는 피해자에게 비트코인으로 수천 달러에 달하는 몸값을 요구. 3일 이내에 지불하지 않으면 금액을 증가하여 요구다양한 유포 경로: 마그니버는 악성 ..

  • format_list_bulleted IT/정보보안
  • · 2024. 8. 6.
  • textsms
멀버타이징 (malvertising)

멀버타이징 (malvertising)

웹 서핑을 하던 중 갑자기 PC 속도가 느려지고 알 수 없는 팝업창이 나타난다. 개인 데이터가 도난당했다. 이것이 멀버타이징이다. 보이지 않는 위협으로, 무해한 광고 뒤에 숨어 많은 피해를 일으킬 수 있다.멀버타이징이란‘악성 광고(malicious advertising)’의 줄임말인 멀버타이징은 온라인 광고를 사용해 맬웨어를 퍼뜨리거나 사용자를 악성 사이트로 리다이렉션 하는 것을 말한다. 사이버 범죄자는 사용자가 매일 방문하는 합법적인 웹사이트에도 악성 광고를 게재할 수 있다. 사용자가 해당 광고를 클릭하지 않더라도 기기가 맬웨어에 감염될 수 있다. 멀버타이징 작동방식온라인 광고는 다양한 광고 주체, 프로세스 및 서비스가 함께 작동하는 복잡한 구조로 이뤄져 있다. 따라서 사이버 범죄자가 악용할 수 있는 ..

  • format_list_bulleted IT/정보보안
  • · 2024. 7. 19.
  • textsms

데이터 구분 - 제로파티, 퍼스트파티, 세컨드파티, 서드파티

종류특징장점/단점제로파티데이터고객이 자발적으로 기업에 제공하는 데이터설문조사 혹은 고객 가입 정보를 의미다른 파티 데이터에서는 얻을 수 없는 정보장점; 다른 파티 데이터에서는 얻을 수 없다는 점에서 희소성고객이 직접 제공하기 때문에 정확도와 관련성이 매우 높음단점: 자발적으로 정보를 제공하는 고객을 확보하는데 어려움 퍼스트파티데이터기업이 고객의 동의를 구한 후 직접 수집한 고객의 데이터자사 플랫폼을 통해 수집된 고객의 행동 혹은 관심 데이터CRM 마케팅에 활용장점: 높은 정확성과 신뢰성 보장이메일, 구매 이력, 전화번호 등 가치가 높고 브랜드와 관련성도 높음단점: 데이터의 양이 제한적이며 고객 폴이 한정적임세컨드파티데이터타 기업의 퍼스트파티 데이터를 직접 구매하거나 공유받은 데이터수집된 정보의 출처가 명..

  • format_list_bulleted IT/정보보안
  • · 2024. 6. 30.
  • textsms

터널비전 (Tunnel Vision)

VPN을 우회할 수 있는 새로운 공격 기법 공격에 성공할 경우 공격자는 피해자 VPN이 오작동을 일으켜 일부 패킷을 암호화하지 않도록 강제할 수 있음DHCP(동적 호스트 구성 프로토콜)의 설계 오류(CVE-2024-3661) 를 이용한 공격 : 특정 유형의 정보가 인증 과정을 거치지 않음피해자와 같은 네트워크에 접속할 수 있게 된다면 이 취약점을 악용해 공격자가 피해자의 DHCP 서버 될 수 있음즉, 피해자의 DHCP 서버가 된다는 건, VPN을 통과하는 트래픽을 중간에서 가로챌 수 있다는 뜻

  • format_list_bulleted IT/정보보안
  • · 2024. 5. 10.
  • textsms