🏛 공격표면이란?
공격표면은 해커가 네트워크나 민감한 데이터에 무단으로 접근하여 공격을 수행하는 데 사용할 수 있는 취약성, 경로 또는 방법의 합을 말하고 있으며, 공격벡터라고도 불려집니다.
클라우드 서비스와 하이브리드 업무 모델을 도입하면서, 네트워크 및 관리 공격 표면이 시간이 지남에 따라 복잡해지고 있습니다. 공격표면은 디지털 공격표면, 물리적 공격표면, 소셜 엔지니어링 공격표면 3개로 나누어지게 됩니다.
이와 같은 공격표면 관리(ASM, Attack Surface Management)는 조직을 표적으로 삼는 해커가 악용하려고 하는 취약성과 자산 등을 지속적으로 모니터링 하는 것을 말합니다.
공격 표면 관리는 아래와 같은 활동으로 나눌 수 있습니다.
1. 공격 표면 분석, 리스트 평가 및 우선순위 지정
공격표면을 분석하기 위해서는 먼저 자산 목록이 작성이 되어야 합니다. 기업에서 관리되는 모든 자산을 관리하고, 보안 리스크에 따라 자산에 점수를 매기고, 위협 대응 및 문제해결을 위해 이러한 자산에 우선 순위를 지정합니다.
2. 공격 표면 감소 및 문제 해결
기업의 보안팀은 분석된 공격표면 결과서를 바탕으로 다양한 조치를 통해 공격표면 관리를 수행 할 수 있습니다. 더 이상 사용되지 않는 애플리케이션 및 엔드포인트 디바이스 비활성화, 보안 패치 적용등으로 공격표면을 관리하거나, 그럼에도 불구하고 놓쳐지는 공격표면에 대해서는 버그바운티를 통해 외부인을 활용하여 공격표면을 식별하고 관리될 수도 있습니다.
공격 표면 관리는 장기적으로 기업의 IT자산을 보호하는데 꼭 필요한 영역입니다. 파인더갭에서 공격표면 관리와 버그바운티에 대한 서비스를 제공하고 있으니 관심있는 분은 contact@findthegap.co.kr 로 연락주시면 상세하게 안내드릴 수 있도록 하겠습니다.
🔏 국내 정보보안/개인정보 관련 입법 동향
국내 정보보안/개인정보 관련 법령은 “개인정보 보호법”, “정보통신망법”, 위치정보 보호 이용에 관한 법률”, “신용 정보 이용 및 보호에 관한 법률”, 통신비밀 보호법”, “전자금융 보호법”, 전자 상거래 등에서의 소비자 보호에 관한 법률” 등 너무나 다양합니다.
산업 환경이 변화하여, 법률이 주기적으로 개정됨에 따라 정보보안 법률 동향 파악이 필요하고, 이는 컴플라이언스 인증 등에서도 요구하고 있습니다.
손쉬운 동향 파악을 돕기 위해 파인더갭이 매달 관련 정보를 정리하여 공유드립니다.
▶ <공포된 법령>
• 「정보보호산업의 진흥에 관한 법률 시행령」 일부개정령(2023. 10. 10. 공포)
• 「소프트웨어 진흥법 시행령」 일부개정령(2023. 10. 17. 공포)
• 「양자과학기술 및 양자산업 육성에 관한 법률」 제정법률(2023. 10. 31. 공포)
▶ <국회 제출 법률안>
• 「국방과학기술혁신 촉진법」 일부개정법률안(이헌승의원 대표발의 , 2023. 10. 5. 제안)
• 「산업기술의 유출방지 및 보호에 관한 법률」 일부개정법률안(구자근의원 대표발의 , 2023. 10. 27. 제안)
🚨보안 업데이트 안내
각 벤더사가 자사제품에 대한 보안업데이트를 아래와 같이 발표 했습니다.
해당 제품을 보유하고 있는 기업에서는 최신 업데이트를 적용하시는 것이 필요해보입니다 😊
😁 보안업데이트 권고
| 순번 | 제목 | 조회수 | 작성일 |
|---|---|---|---|
| 2135 | 美 CISA 발표 주요 Exploit 정보공유(Update. 2023-11-14) | 1,594 | 2023-11-15 |
| 2134 | 美 CISA 발표 주요 Exploit 정보공유(Update. 2023-11-13) | 2,209 | 2023-11-14 |
| 2133 | Cisco 제품 보안 업데이트 권고 | 1,528 | 2023-11-10 |
| 2132 | Veeam 제품 보안 업데이트 권고 | 2,403 | 2023-11-10 |
| 2131 | Atlassian 제품 보안 패치 권고 | 2,337 | 2023-11-10 |
| 2130 | 美 CISA 발표 주요 Exploit 정보공유(Update. 2023-11-08) | 2,161 | 2023-11-09 |
| 2129 | QNAP 제품 보안 업데이트 권고 | 376 | 2023-11-08 |
| 2128 | F5 제품 보안 업데이트 권고 | 971 | 2023-11-08 |
| 2127 | Apache 제품 보안 업데이트 권고 | 1,070 | 2023-11-08 |
| 2126 | 보안인증S/W 舊버전(MagicLine4NX 1.0.0.26 이하)보안조치 안내 | 2,677 | 2023-11-08 |
🔗 출처 : KISA 인터넷 보호나라& Krcert
