[보안 강자 맨디언트, MS가 아니라 구글에 안착하다]
https://m.boannews.com/html/detail.html?mtype=2&tab_type=D&idx=105349
구글의 사이버 보안 전문기업 ‘맨디언트’ 매입
특히 구글 클라우드 플랫폼(GCP) 보안에 강화가 있을 것으로 예상[보안 취약점에 대한 대처, 공격자에 비해 느려도 너무 느리다]
https://m.boannews.com/html/detail.html?tab_type=1&idx=105378
취약점 도출 시 공격자의 행동에 비해 보안 대책 적용은 너무나 느리다,
매체에 많이 노출된 취약점일 수록 대처 적용 빠름, ex)log4j[정보보호 공시제도, 의무대상 기업 후보 622곳 공개! 국내외 대기업 총망라]
https://m.boannews.com/html/detail.html?mtype=3&tab_type=6&idx=105396
6/30까지 정보보호 공시 의무대상 기업 후보 622곳 발표
-정보보호 투자 현황
-정보보호 인력 현황
-정보보호 관련 인증, 평가, 점검 등에 관한 사항 등이 공개됨
[의무대상]
(사업 분야 기준)
-기간통신사업자
-집적통신시설 사업자
-상급종합병원
-클라우드컴퓨팅 서비스 제공자(IaaS)
(매출액/이용자 수 기준)
-CISO지정해야하는 매출액 3,000억 이상의 상자업인
-일일평균 이용자 수 100만명 이상
(+) 공공기관, 소기업, 금융회사, 정보통신업 또는 도소매업을 주 사업으로 하지 않는 전자금융업자 제외[중요 내용 20% 이상 크게 표시… 읽지 않고 누르는 개인정보 관행 개선]
https://n.news.naver.com/article/003/0011038343
개인정보 위원회, ‘알기 쉬운 개인정보 처리 동의 안내서’ / ‘개인정보 처리방침 작성지침’ 공개
-개인정보 동의를 받을 때 홍보 목적, 민감 정보 처리 등 중요내용의 경우 9포인트 이상으로 다른내용보다 20% 이상 크게하거나 색깔, 굵기, 밑줄 등으로 알기 쉽게 표현해야 함
-동의 내용은 전문용어가 아닌 쉬운 언어로 누구나 이해할 수 있게
-필요 최소한 범위 외 개인정보 처리 거부 이유로 재화나 서비스 제공 거부 등의 불이익을 줘서는 안됨
-개인정보 처리방침 핵심사항을 쉽게 알아볼 수 있도록 기호로 구성한 개인정보 처리 표시제(라벨링)을 도입해 처리방침 앞부분에 요약된 형태로 공개[마이텔 장비 사용해 디도스 공격 40억배 증폭시키는 공격자들]
https://www.boannews.com/media/view.asp?idx=105339
마이텔(Mitel)에서 만든 통신 및 협업 시스템인 마이콜랩(MiCollab)과 마이보이스 비즈니스 엑스프레스(MiVoice Business Express) 약 2600대가 잘못된 방식으로 구축되어 있으며, 이로 인해 발생한 취약점이 CVE-2022-26143인데, 이를 익스플로잇 할 경우 디도스 공격을 40억 배 넘게 증폭시킬 수 있게 된다고 함
이 취약점에는 TP240PhoneHome이라는 이름이 붙기도 함[아직도 취약한 로그4j 패키지들이 40%정도 다운로드 되고 있다]
https://www.boannews.com/media/view.asp?idx=105377
원인은 소프트웨어 공급망 관리 부실과 낮은 인식 수준, 일부는 보안 연구를 위해 일부러 다운로드
아직 수많은 sw와 애플리케이션이 취약한 버전의 소프트웨어와 연계되어 있어 특정 버전을 리포지터리에서 삭제하기 어려움