8월 4주차 보안소식은 어떤 것이 있을까요?

이번주 패치/취약점 : MS, Adobe, SAP 😏

2022. 8. 24.

Korean news Briefing

구글맵·네이버지도 더 선명해진다... 정부, '위성 영상 보안규제' 완화

다음 달부터 구글 맵, 네이버 지도 등 국내에 제공되는 위성지도를 보다 선명하게 볼 수 있게 됩니다. 정부가 해상도 4m급 이하만 배포·판매가 가능했던 위성영상 보안규제를 15년 만에 1.5m급으로 완화하기로 하였기 때문입니다. 국무조정실 관계자는 "기존에는 자동차 윤곽 정도만 확인할 수 있던 서비스 수준을 승용차인지 화물차인지 구분할 수 있는 정도까지 향상될 것"이라며 "물류 정보 파악, 정밀 영상을 활용한 도시계획개발 수립 등 다양한 서비스 개발 촉진으로 국내 위성 활용 산업 활성화가 기대된다"고 발표하였습니다.

中企·대학 등 반도체 핵심기술 보호체계 구축 지원

정부가 반도체와 디스플레이 등 핵심 기술의 해외 유출을 막기 위해 기술 유출의 약한 고리인 대기업 협력사와 대학, 연구소의 영업 비밀 보호 체계를 집중적으로 지원하기로 하였습니다. 기술 유출 수사·정보기관 간 실무 협의체를 운영하고, 특허청 기술 경찰의 수사 대상 범죄를 확대하는 방안을 추진합니다. 이에 대해 특허청은 19일 정부서울청사에서 추경호 부총리 겸 기획재정부 장관 주재로 열린 대외경제장관회의에서 이런 내용의 부정경쟁 방지 및 영업비밀 보호 시행계획이 의결됐다고 발표하였습니다.

▶ 데일리 보안뉴스 Top 5

이 메일이 잘 안보이시나요?

Let's do intelligence Security

SCM (소스코드 관리 시스템) 은 엑티브 디렉토리와 같이 기업의 다른 중요한 시스템과 비교하였을 때 보안의 관점에서는 부차적인 시스템으로 여겨지지만, 기업에서 중요한 역할을 합니다. SCM 시스템은 많은 기업들이 소스를 관리하기 위해 많이 사용을 하고 있으며, 젠키스와 같은 CI/CD 데브옵스 파이프라인의 한 부분으로써 기업내의 다른 시스템들과 통합을 할 때 사용이 되어집니다. 이러한 SCM 시스템은 해커들이 소프트웨어 공급망을 공격을 할 수 있는 기회를 제공하고 있어서,이 시스템을 통해 기업 전체에 레터럴 내부이동을 하고, 권한을 상위로 올리곤 합니다.
이 글은 SCM 시스템의 배경에 대해서 살펴보고 기업용 깃허브, 기업용 깃랩 그리고 빗버켓과 같이 인기있는 몇몇 SCM시스템들이 잘못 남용되어 사용되어지는 방법에 대해서 자세하게 다룰 예정입니다. 이러한 공격시나리오에는 정찰, 유저의 역할 조작, 저장소 탈취, 데브옵스 시스템 피봇공격, 유저행동 모방, 지속적인 접근권한을 유지하는 공격내용을 포함하고 있습니다. X-Force 레드팀의 소스코드관리 공격툴킷은 이러한 공격들이 어떻게 사용이 되는지에 대해서 보여주고 있으며, 추가적으로 이 SCM 시스템을 보호하기 위한 방어 가이드에 대한 대략적인 가이드를 제공 할 예정입니다.

▶ 소스관리시스템 SCM 사이버공격

Vulnerability in detail