Chloe

제14조(공공시스템운영기관의 안전조치 기준 적용) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템 중에서 개인정보보호위원회(이하 “보호위원회”라 한다)가 지정하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템 운영기관”이라 한다)은 제2장의 개인정보의 안전성 확보 조치 외에 이 장의 조치를 하여야 한다. 1. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일접속 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 16 개인정보의 안전성 확보조치 기준 안내서 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템 2. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용하는 경우 3. 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템 라. 총 사업비가 100억원 이상인 시스템 ② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 개인정보처리 시스템에 대하여는 공공시스템으로 지정하지 않을 수 있다. 1. 체계적인 개인정보 검색이 어려운 경우 2. 내부적 업무처리만을 위하여 사용되는 경우 3. 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우

✅ 제14조 공공시스템운영기관의 안전조치 기준 적용

🔹 개념 요약

특정 요건에 해당하는 공공기관의 개인정보처리시스템 중,
개인정보보호위원회가 ‘공공시스템’으로 지정한 시스템에 대해서는
기본 안전조치(제2장) 외에 추가적인 강화 조치(제3장)를 반드시 이행해야 함.

✅ ① 공공시스템의 지정 대상 요건

다음 세 유형의 시스템 중 하나에 해당하면서, 보호위원회가 별도로 지정한 시스템이 ‘공공시스템’임.

1. 단일접속 시스템

• 정의: 두 개 이상 기관이 공동으로 사용하는 중앙 시스템에 접속해 처리
• 조건(아래 중 하나 이상 충족 시 대상):
  • 가. 100만 명 이상의 정보주체 개인정보를 처리
  • 나. 개인정보취급자 수가 200명 이상
  • 다. 민감정보를 다루며 사생활 침해 우려가 큰 경우

2. 표준배포 시스템

• 정의: 특정 기관이 표준 시스템을 개발하여 다른 기관들이 운영 가능하도록 배포한 시스템
• 대상 조건: 대국민 서비스, 민원처리 등 행정업무에 활용될 경우 해당

3. 개별 시스템

• 정의: 개별 공공기관이 자체적으로 운영하는 시스템 중 아래 조건 중 하나에 해당하는 경우
• 조건:
  • 가. 100만 명 이상 개인정보 처리
  • 나. 개인정보취급자 200명 이상
  • 다. 주민등록정보시스템과 연계되는 경우
  • 라. 총 사업비 100억 원 이상

✅ ② 예외 규정: 보호위원회가 ‘공공시스템’으로 지정하지 않을 수 있는 경우

다음 요건을 만족할 경우에는 요건을 충족하더라도 공공시스템으로 지정하지 않을 수 있음:

✅ 요약 표

✅ 실무 적용 팁

• 지정 여부는 보호위원회가 최종 판단하므로 기관은 사전 자가진단을 준비해야 함.
• 공공시스템으로 지정되면 **제3장의 강화된 조치(모의해킹, 위협모델링, 로그 고도화 등)**까지 적용 대상.
• 기관 간 협업 시스템(표준 배포, 단일접속)의 경우, 책임 소재 명확화 및 공동관리체계 수립이 중요.

트렌드마이크로의 2024년 11월 1일자 기사 「VPN機器の脆弱性はなぜ管理しづらいのか～ネットワークエンジニアの立場から探る」는 VPN 장비의 보안 취약점이 관리하기 어려운 이유를 네트워크 엔지니어의 시각에서 분석하고 있습니다.

🔍 주요 내용 요약

1. VPN 장비의 취약점 관리의 어려움

• 복잡한 구성: VPN 장비는 다양한 기능과 복잡한 설정을 가지고 있어, 취약점을 식별하고 수정하는 데 시간이 많이 소요됩니다.
• 업데이트 지연: 업데이트나 패치 적용이 지연되면, 알려진 취약점을 악용한 공격에 노출될 위험이 증가합니다.

2. 네트워크 엔지니어의 관점에서 본 문제점

• 운영 부담: 네트워크 엔지니어는 시스템의 안정성과 가용성을 유지해야 하므로, 보안 패치 적용이 시스템에 미치는 영향을 우려하여 즉각적인 대응이 어려울 수 있습니다.
• 리소스 부족: 전문 인력의 부족으로 인해 보안 취약점에 대한 지속적인 모니터링과 대응이 어려운 경우가 많습니다.

3. 보안 강화를 위한 권장 사항

• 정기적인 점검: VPN 장비의 설정과 로그를 정기적으로 점검하여 이상 징후를 조기에 발견할 수 있도록 합니다.
• 패치 관리 체계 구축: 취약점 정보에 신속하게 대응할 수 있는 패치 관리 체계를 마련하여, 보안 업데이트를 적시에 적용합니다.
• 보안 교육 강화: 네트워크 엔지니어를 대상으로 보안 교육을 강화하여, 보안 의식을 높이고 대응 능력을 향상시킵니다.

이 기사는 VPN 장비의 보안 취약점 관리가 어려운 현실을 지적하며, 네트워크 엔지니어의 역할과 책임을 강조하고 있습니다. 조직은 보안과 운영의 균형을 유지하면서, 지속적인 보안 강화 노력을 기울여야 합니다.

https://www.trendmicro.com/ja_jp/jp-security/24/k/expertview-20241101-01.html

🔐 1. TLS/SSL 인증서 유효기간 및 검증 데이터 단축 – 한국 기준

국제적 추세에 따라 국내에서도 인증서 유효기간과 검증 데이터 재사용 기간이 단계적으로 단축됨.

📉 국내 기준 일정 정리표

📌 이로 인해 인증서 갱신 주기 증가 및 관리 복잡성 상승
👉 기업은 자동화된 인증서 수명 주기 관리 필요성 증가

⚠️ 2. 양자컴퓨팅(PQC) 대응 필요성

• 양자 컴퓨터의 발전으로 기존 암호(RSA, ECDSA 등)의 보안성 약화 예상
• 미국 NIST는 양자내성암호(PQC) 표준 알고리즘 선정 → 정부기관 적용 권장
• 2030년까지 기존 암호 알고리즘 단계적 폐기 예정
• 가트너: 2029년 기존 암호는 더 이상 안전하지 않다고 전망

🔐 한국 기업도 2029년까지 PQC 기반 인증 체계 전환 필요

🧾 3. SBOM(Software Bill of Materials) 중요성

• 미국: 2021년부터 정부 조달 소프트웨어에 SBOM 의무화
• EU: 2027년 사이버복원력법(CRA) 시행 예정 → SBOM 도입 의무화

🔍 SBOM은 공급망 보안 및 구성 투명성 확보 핵심 수단

✅ 결론

국내외적으로 인증서 유효기간 단축과 PQC 전환은 시간이 아닌 의무로 다가오고 있음.
기업은 ▲자동화된 인증서 관리, ▲PQC 준비, ▲SBOM 체계 도입 등 다각적 보안 대응 전략이 요구됨.

https://www.boannews.com/media/view.asp?idx=137413

🛡️ 티파니앤코 개인정보 유출 사고 개요

• 사고 발생일: 2025년 4월 8일
• 사고 인지일: 2025년 5월 9일
• 유출 경로: 글로벌 고객 데이터를 관리하는 제3자 플랫폼의 무단 접근
• 유출 정보: 고객의 이름, 주소, 전화번호, 이메일 주소, 내부 고객 ID, 구매 이력 등
• 금융정보 유출 여부: 금융정보(예: 결제 카드 정보)는 유출되지 않음
• 공식 공지: 티파니앤코 코리아는 웹사이트에 별도의 공지를 게시하지 않았으며, 일부 구매 이력이 있는 고객에게만 이메일로 개별 통지함 알파비즈+4X (formerly Twitter)+4Korea Joongang Daily+4Nate News+3메디컬투데이+3Nate News+3

🔍 디올과의 유사 사건 비교

디올은 2025년 1월 26일에 발생한 고객 정보 유출 사고를 5월 7일에 인지하고, 5월 10일에 한국인터넷진흥원(KISA)에 보고하였습니다. 이러한 지연된 보고는 정보통신망법상 24시간 이내 보고 의무를 위반한 것으로 지적받았습니다. 티파니앤코 역시 사고 인지 후 공식적인 웹사이트 공지가 없고, 일부 고객에게만 통지한 점에서 유사한 비판을 받고 있습니다.

⚠️ 소비자 및 보안 전문가의 우려

LVMH 그룹 산하 브랜드에서 연이어 발생한 개인정보 유출 사고는 그룹 전체의 데이터 보안 체계에 대한 신뢰를 저하시켰습니다. 특히, 여러 브랜드가 동일한 제3자 플랫폼을 통해 고객 데이터를 관리하고 있을 가능성이 제기되면서, 다른 브랜드에서도 유사한 사고가 발생할 수 있다는 우려가 커지고 있습니다.

https://www.chosun.com/economy/industry-company/2025/05/26/KVCOAUWKSFCJLDWG52OBK5CKLA/

🔹 1. 금융 클라우드 환경의 특성과 보안 필요성

• 금융 산업은 고객 신뢰, 규제 환경 등으로 인해 디지털 전환이 느리고 보수적임.
• 그러나 인터넷은행·테크핀 등의 등장으로 클라우드 전환 가속화.
• 금융 서비스는 고객 금융정보까지 포함하는 고도의 민감정보를 다루므로, 보안이 핵심.

🔹 2. 금융 클라우드 환경 보안의 중요성

• 클라우드는 효율성과 유연성 측면에서 장점이 많지만, 민감한 금융 데이터가 저장·처리됨.
• 컴플라이언스 측면에서 준수해야 할 대표적 기준:
  • 전자금융감독규정
  • 클라우드컴퓨팅법
  • 금융클라우드이용보고
  • PCI-DSS (결제 카드 데이터 보안 표준)

🔹 3. 금융 클라우드 보안 위협 대응을 위한 핵심 요소 4가지

① 잘못된 설정(Misconfiguration) 방지

• 클라우드 보안 사고의 50%가 설정 오류에서 발생.
• IAM(계정 및 권한관리) 오류, Public 설정 등으로 인한 유출 방지 필요.
• 대응 방안:
  • 제로 트러스트(Zero Trust) 정책 도입
  • MFA(다요소 인증) 활용

② 데이터 암호화

• 주민등록번호, 계좌번호, 카드번호 등 민감정보는 저장/전송 모두 암호화 필요.
• 암호화 키는 KMS(Key Management Service) 등으로 안전하게 관리.
• S3와 같은 저장소의 민감정보 검사도 주기적으로 실시.

③ 실시간 모니터링 및 로그 관리

• 실시간 위협 탐지 및 경고 시스템 구축 (예: AWS CloudWatch)
• 보안 이벤트를 선별적으로 대응할 수 있는 운영 최적화 필요.

④ 현실적인 사고 대응 계획 수립

• 탐지-보고-복구 체계 마련 및 정기적 훈련(최소 연 1회) 필수.
• 금융 종사자 대상 보안 교육과 숙지도 병행해야 함.

🔹 4. 전반적인 제언

• 보안은 기업과 고객의 신뢰를 지키는 기반 조건임.
• 금융기관은 기술·정책·운영 전방위에서 보안 전략을 지속 업데이트해야 함.
• 보안 우선순위를 유지하고 미래 위협에 대비한 전략적 접근 필수.

🔹 5. 필자 소개

• (주)트래블월렛 CISO/CPO
• 한국정보공학기술사회 AI전략위원회 위원
• NCS 정보보호 학습모듈 집필자
• 자격: 정보관리기술사, ISMS-P 심사원, AI산업컨설턴트, PMP 등

https://www.boannews.com/media/view.asp?idx=137397

1. AI와 개인정보: 공존 가능한가?

• AI의 본질적 딜레마: 개인을 식별하지 않아도 개인을 이해하려면 막대한 데이터가 필요하며, 이는 필연적으로 개인정보를 포함할 수밖에 없음.
• AI 기반 프라이버시 침해 사례는 300종 이상 보고되었고, 계속 증가 중.

2. 현행법으로 AI 규제는 한계

• 빠른 기술 진화와 지속적인 응용 사례 출현으로 인해 기존 개인정보 보호 체계나 법제도로는 AI를 효과적으로 규제할 수 없음.
• AI를 규제하는 것은 "사회의 진화를 통제하려는 시도"가 될 수 있음.

3. AI 기술 특성과 프라이버시의 충돌

• 기존 개인정보 침해는 정형화된 처리 방식에서 발생 → 피해 양상이 비교적 제한적.
• AI는 비정형 데이터, 대규모 수집, 학습 기반 분석 등으로 기존 체계와 비교할 수 없는 규모와 방식의 침해 발생 가능.
• AI는 데이터 최소 수집 원칙을 지킬 수 없음 → 더 많은 데이터가 필요하고, 이는 개인정보 포함 가능성 높임.

4. AI 기술 발전의 맥락

• AI는 알파고가 등장하기 전인 1950년대부터 이론적 연구가 시작, 2010년대부터 실질적인 성장을 시작.
• 신약 개발 등 분야에서 5년 걸릴 실험을 수개월로 단축시키는 등 시간과 밀도 모두를 압축함.
• AI는 기존 데이터의 일반화와 달리 맥락을 보존해 응용함 → 맥락 기반의 침해 가능성.

5. 규제가 아닌 유연한 접근이 필요

• AI의 프라이버시 위험은 기술과 함께 통합적으로 해석해야 하며, 단독으로 격리해 규제할 수 없음.
• EU도 강한 규제에서 ‘성장과 투자’ 중심으로 전환하고 있음.
• 책임 주체 분배, 유연한 원칙 기반 법제 설계, 미래 변화 수용 가능한 규범이 중요.

6. 결론: 공존을 위한 준비

• 인공지능은 이미 유의미한 조언과 의사결정 보조를 수행하고 있음.
• 규제 일변도의 접근보다, 충분한 시간과 조심스러운 접근, 그리고 공존 방안 마련을 사회 전체가 고민해야 할 시점임을 강조.

이진규 CISO는 "AI와의 공존 방안을 함께 고민하자"는 메시지로 발표를 마무리하며, 기술 발전과 인권 보호의 균형을 위한 사회적 논의의 필요성을 강하게 시사했습니다.

https://www.boannews.com/media/view.asp?idx=137402

1. RMF(Risk Management Framework)의 개요

• 정의: 조직이 직면한 사이버 위협을 구조적으로 식별, 분석, 완화하는 체계적 접근 방식.
• 필요성: 국방, 금융, 의료, 에너지 등 국가 기반 인프라의 보안 위협이 국가 안보와 직결됨.
• 기술환경 변화: 빠른 기술 발전과 위협 증가에 따라 위험관리는 선택이 아닌 필수.

2. 국제 RMF 동향

(1) 미국 NIST RMF

• 개발 배경: 2014년 미국 NIST가 개발, 연방정부와 군, 민간 기업까지 적용 가능.
• 특징:
  • 조직별 특성과 환경을 고려한 유연성.
  • 7단계 구성: 준비 → 시스템 분류 → 보안통제항목 선정 → 구현 → 평가 → 인가 → 모니터링
  • 준비 제외 6단계는 정보체계 생애주기 동안 반복 수행.

(2) 기타 국제 표준

3. 국내 RMF 동향

(1) 국방부의 K-RMF

• 출발: 2020년부터 국방부 주도로 개발.
• 시행: 2024년 하반기 시작, 2026년부터 전면 시행 예정.
• 배경: 미국 DoD가 동맹국에 RMF 적용 요구.
• 6단계 구성: 보안분류 → 통제항목 선정 → 구현 → 평가 → 인가 → 모니터링.
• 특징: 무기체계 수명주기 전 과정에 적용, 북한 등 위협에 대응한 맞춤형 체계.

(2) 민간 확산 노력

• 한국정보보호학회 RMF 연구회: ‘위험관리 및 보안 평가 워크숍’ 개최로 산·학·연·군 확산 노력.
• 곽진 교수(아주대): "K-RMF는 국내 보안 기업의 글로벌 경쟁력 향상 기회."
• TTA AI신뢰성센터: 과기정통부 지원으로 GPAI(범용 AI) 위험관리 프레임워크 연구 수행.
  • ISO 31000 기반, 확장성과 국제 호환성 고려.

4. RMF의 발전 방향

(1) 기술 융합 및 확장성

• AI, 클라우드, 블록체인 등 신기술과 융합 가능.
• 우주보안 적용 연구: 러-우 전쟁 사례에서 확인된 기술 안보의 중요성.

(2) 국제 표준과의 조화

• 과제: K-RMF의 국제적 상호운용성 확보 필요.
• 방향: NIST, ISO 등과의 조화 추구.

5. 결론 및 전망

• RMF는 전략 도구:
  • 단순 규제 준수를 넘어 조직 회복력 강화 및 지속 성장 지원.
• 한국의 기회:
  • K-RMF 기반 보안 생태계 구축 시 국내 보안 기업의 글로벌 진출 발판 마련.
• 필수 조건:
  • 산·학·연·군 협력
  • 국제 표준 조화
  • 국내 특화 체계 구축 및 기술 연구 지속

🔍 핵심 문장 요약

위험관리 프레임워크는 디지털 시대 조직의 생존을 위한 핵심 전략이며, K-RMF는 한국형 보안관리 체계로서 국내외 보안 수준 향상과 보안 산업 성장의 발판이 될 것이다.

https://www.boannews.com/media/view.asp?idx=137410

🔹 1. 개인정보 현실 인식

• 주민등록번호, 휴대폰번호 등은 사실상 공용정보가 된 상태로 더 이상 보호받는 정보로 인식되지 않음.
• SKT 해킹 사건은 국민 개인정보 보호 인식 고취에 긍정적인 계기로 작용.

🔹 2. 신고 관련 현실과 문제

• 개인정보 유출 시 신고 기준:
  • 개인정보보호법 시행령: 72시간 이내
  • 정보통신망법: 24시간 이내
• 관련 법에는 과기정통부, KISA 등에 신고하도록 되어 있으나, 수사권이 없어 실질적 대응에 한계.
• 실제론 언론 보도로 경찰이 사안을 인지하는 경우도 많음.
• 경찰 신고는 법에 명시돼 있지 않지만 필수, 수사권은 경찰만이 가짐.

🔹 3. 수사 역량과 국제 공조

• 최근 개인정보 침해 사건은 해외 해커 조직이 주도.
• 한국 경찰의 국제 공조 수사 능력은 세계 최고 수준.
• 동유럽 현지에서 해커조직 검거 사례 공개.

🔹 4. 기업들의 신고 기피와 경찰의 입장

• 언론 노출 우려로 신고 꺼리는 경우 많음.
• 경찰은 신고자 보호를 최우선으로 수사 진행.

🔹 5. 과태료 vs 과징금

• 과태료(3,000만원 이하)만 인식하는 경우 많으나,
• 실제 매출액의 최대 30%에 달하는 과징금이 더 위협적이고 중대함.

🔹 6. 개인정보 유출 원인 구분

• 내부 요인:
  • 내부자 소행
  • 제3자 제공 시 동의 누락
  • 단체 메일 발송
  • 홈페이지 게시판에 개인정보 업로드 등
• 외부 요인:
  • 시스템 공격 (입력값/파라미터 변조, 세션 하이재킹 등)
  • 인적 공격 (스피어 피싱, 워터링 홀 등)
• 유출 원인 중 51%는 원인 미상, 추적 어려움.

🔹 7. 보안담당자 실무 대응 방안

• 아웃바운드 트래픽 및 로그 모니터링 강화
• 로그 보존 정책 철저히 수립
• 내부 방화벽 관리
• 침해 발생 시 원본 디스크 및 로그 이미지 백업 확보 필요

📌 요약:
이지용 경감은 "개인정보는 이미 공용정보가 된 상태"라며, 지금이야말로 보호 인식 강화가 필요한 시점이라고 강조했습니다. 신고 체계의 불명확성과 수사권 부재 문제를 지적하며 실제 사건 수사는 경찰이 주도해야 하므로 즉시 경찰에 신고할 것을 당부했습니다. 또, 기업과 보안 담당자들은 유출 방지 및 사고 발생 시 철저한 대응을 위한 준비가 필요하다고 조언했습니다.

https://www.boannews.com/media/view.asp?idx=137406

CVE-2025-22457은 Ivanti의 Connect Secure, Policy Secure, ZTA Gateways 및 Pulse Connect Secure 제품에서 발견된 치명적인 스택 기반 버퍼 오버플로우 취약점입니다. 이 취약점은 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있게 하며, 실제로 악용 사례가 보고되었습니다.

🔍 주요 정보 요약

• 취약점 설명: 스택 기반 버퍼 오버플로우로 인해 인증되지 않은 원격 공격자가 악의적인 코드를 실행할 수 있습니다.
• 영향을 받는 제품 및 버전:
  • Ivanti Connect Secure: 22.7R2.5 및 이전 버전
  • Pulse Connect Secure (지원 종료): 9.1R18.9 및 이전 버전
  • Ivanti Policy Secure: 22.7R1.3 및 이전 버전
  • ZTA Gateways: 22.8R2 및 이전 버전 
• 패치 정보:
  • Ivanti Connect Secure: 22.7R2.6
  • Policy Secure: 22.7R1.4
  • ZTA Gateways: 22.8R2.2

🛡️ 공격자 및 악용 사례

이 취약점은 중국과 연계된 것으로 추정되는 사이버 스파이 그룹 UNC5221에 의해 악용되었습니다. 이들은 Ivanti Connect Secure 장비를 대상으로 다음과 같은 악성 소프트웨어를 배포했습니다:

• TRAILBLAZE: 메모리 내에서만 실행되는 드로퍼로, 추가 악성 코드를 로드합니다.
• BRUSHFIRE: SSL/TLS 트래픽을 가로채는 수동 백도어로, 특정 문자열이 감지되면 암호화된 페이로드를 실행합니다.
• SPAWNSLOTH: 로그를 조작하여 관리자에게 공격 흔적을 숨깁니다.

이러한 공격은 주로 Connect Secure 장비에서 관찰되었으며, Policy Secure 및 ZTA Gateways에서는 아직 보고되지 않았습니다.

🛠️ 대응 및 권고 사항

1. 즉시 패치 적용: 해당 장비를 최신 버전으로 업데이트하여 취약점을 제거하십시오.
2. 무결성 검사: Ivanti의 Integrity Checker Tool(ICT)을 사용하여 시스템의 무결성을 확인하십시오.
3. 공장 초기화: 침해가 의심되는 경우, 장비를 공장 초기화하고 클린 이미지를 사용하여 재설치하십시오.
4. 네트워크 모니터링 강화: 비정상적인 LDAP 쿼리나 VPN 장비에서의 의심스러운 활동을 감지하기 위해 네트워크 트래픽을 모니터링하십시오.
5. 자격 증명 변경: 관리자 및 서비스 계정의 비밀번호를 변경하고, 불필요한 계정을 비활성화하십시오.

이 취약점은 CISA의 Known Exploited Vulnerabilities(KEV) 목록에 포함되어 있으며, 이에 따라 미국 연방 기관은 2025년 4월 11일까지 대응 조치를 완료해야 했습니다. 

조직에서는 Ivanti의 보안 권고를 참고하여 신속하게 대응하고, 지속적인 모니터링과 보안 강화 조치를 취하는 것이 중요합니다.

https://note.com/josys0901/n/n7e1dec232a37

https://www.cvedetails.com/cve/CVE-2025-22457/

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-22457&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=

https://www.techradar.com/pro/security/ivanti-patches-serious-connect-secure-flaw

CVE-2025-24813은 Apache Tomcat에서 발견된 치명적인 원격 코드 실행(RCE) 취약점으로, 2025년 3월 10일에 공개되었습니다. 이 취약점은 특정 조건 하에서 인증 없이 악의적인 사용자가 서버에 악성 파일을 업로드하고 이를 실행시켜 시스템을 장악할 수 있게 합니다.

🔍 취약점 개요

• 취약점 이름: CVE-2025-24813
• 영향을 받는 버전:
  • Apache Tomcat 9.0.0.M1 ~ 9.0.98
  • Apache Tomcat 10.1.0-M1 ~ 10.1.34
  • Apache Tomcat 11.0.0-M1 ~ 11.0.2
• CVSS v3.1 점수: 9.8 (치명적)
• 공격 조건:
  • DefaultServlet의 쓰기 권한이 활성화되어 있어야 함 (기본값: 비활성화)
  • Partial PUT 요청이 허용되어 있어야 함 (기본값: 활성화)
  • Tomcat의 파일 기반 세션 저장소를 기본 위치에서 사용하고 있어야 함
  • 취약한 Java 역직렬화 라이브러리가 포함되어 있어야 함

⚙️ 취약점 작동 방식

1. 공격자는 Base64로 인코딩된 악성 Java 직렬화 페이로드를 포함한 PUT 요청을 서버에 전송하여 세션 파일로 저장합니다.
2. 이후, 공격자는 JSESSIONID 쿠키를 통해 해당 세션 파일을 참조하는 GET 요청을 보내어 Tomcat이 해당 파일을 역직렬화하도록 유도합니다.
3. 역직렬화 과정에서 악성 코드가 실행되어 공격자가 서버를 제어할 수 있게 됩니다.

🛡️ 대응 방안

• 업데이트 권장 버전:
  • Apache Tomcat 9.0.99 이상
  • Apache Tomcat 10.1.35 이상
  • Apache Tomcat 11.0.3 이상
• 임시 대응책:
  • DefaultServlet의 쓰기 권한을 비활성화합니다.
  • Partial PUT 요청을 비활성화합니다.
  • 파일 기반 세션 저장소 대신 메모리 기반 저장소를 사용하거나, 세션 저장 위치를 변경합니다.
  • 취약한 역직렬화 라이브러리를 제거하거나 최신 버전으로 업데이트합니다.

🚨 현재 상황

공개된 이후, CVE-2025-24813은 실제 공격에 활용되고 있으며, 미국, 일본, 멕시코, 한국, 호주 등 여러 국가에서 악용 시도가 관찰되었습니다. CISA는 이를 "Known Exploited Vulnerabilities Catalog"에 추가하여 연방 기관에 즉각적인 조치를 권고하고 있습니다.

🔗 추가 정보 및 참고 자료

• Apache Tomcat 공식 보안 공지
• NVD 상세 정보
• GitHub PoC 코드

https://note.com/josys0901/n/n7e1dec232a37

https://www.cvedetails.com/cve/CVE-2025-24813/

https://www.akamai.com/blog/security-research/march-apache-tomcat-path-equivalence-traffic-detections-mitigations

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=cve-2025-24813&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=

Microsoft Entra ID는 이전 명칭인 **Azure Active Directory(Azure AD)**의 새로운 이름입니다. Microsoft는 2023년 중반부터 Azure AD의 브랜드를 **"Microsoft Entra ID"**로 변경하였으며, 이는 Microsoft의 Entra 제품군(ID 및 액세스 관리 제품군)에 통합하려는 전략의 일환입니다.

✅ Microsoft Entra ID란?

기업용 클라우드 기반 ID 및 액세스 관리 서비스로, 다음과 같은 기능을 제공합니다:

✅ Microsoft Entra 제품군 구성

Microsoft Entra는 다음과 같은 제품으로 구성됩니다:

🔒 사용 예시

• 회사 직원이 Microsoft 365에 로그인
• 외부 사용자가 제한된 리소스에만 접근하도록 설정
• 로그인이 의심스러운 경우 자동으로 MFA 요구
• 클라우드 앱에 대한 접근 시 조건부 정책 적용

Microsoft Entra ID(구 Azure AD)는 Free, Premium P1, Premium P2 세 가지 라이선스 플랜이 있으며, 기능 수준에 따라 차등 제공됩니다. 아래는 주요 기능별로 각 라이선스의 차이를 정리한 표입니다.

✅ Microsoft Entra ID (Azure AD) 라이선스별 기능 비교표

🔎 요약 특징

• Free: 기본 사용자 관리, 로그인, 10개 앱까지의 SSO 등 최소한의 기능 제공. 보안 기능은 제한적.
• P1: 기업 환경에 적합. 조건부 액세스, 무제한 SSO, MFA 정책 구성 및 디바이스 관리 등을 포함.
• P2: ID 보호, 권한 관리, 리스크 기반 조건부 액세스, 정책 자동화 및 감사 등 보안 강화와 거버넌스 중심.

💡 어떤 걸 써야 할까?

미국의 SBOM(Software Bill of Materials, 소프트웨어 자재 명세서) 정책은 소프트웨어 공급망의 투명성과 보안을 강화하기 위한 정부 주도 정책입니다. 특히 사이버 보안 위험을 줄이기 위해 연방 정부가 사용하는 소프트웨어에 대해 SBOM 제출을 요구하고 있습니다.

1. 정의: SBOM이란?

SBOM은 소프트웨어를 구성하는 모든 오픈소스 및 상용 라이브러리, 컴포넌트 목록을 나타내며, 각각의 버전, 출처, 종속성 등을 기록한 문서입니다. 일종의 "소프트웨어 원재료 목록"이라 보면 됩니다.

2. 미국 정부의 주요 SBOM 정책

📜 바이든 행정부의 사이버 보안 행정명령 (2021년 5월, Executive Order 14028)

• 배경: SolarWinds 해킹 사고 이후 공급망 보안의 중요성이 부각됨.
• 주요 내용:
  • 연방기관이 사용하는 소프트웨어에 대해 SBOM 제출 요구.
  • 소프트웨어 제조업체는 SBOM을 정부에 제공하거나 공개 가능하도록 준비해야 함.
  • NIST 및 NTIA(National Telecommunications and Information Administration)가 SBOM 형식, 최소 요구 사항 등을 마련하도록 지정됨.

📘 NTIA의 'Minimum Elements for an SBOM' (2021년 7월)

• SBOM에 포함되어야 할 최소 요소 6가지 정의:
  • 컴포넌트 이름
  • 버전 정보
  • 공급자 정보
  • 종속성 관계
  • SBOM 작성자 정보
  • 타임스탬프

📘 NIST SP 800-218 (SSDF, 2022)

• SBOM을 포함한 보안 소프트웨어 개발 프레임워크(SSDF) 권장.
• 사이버보안 프레임워크에 SBOM 생성·검토·유지 포함.

3. 적용 대상

• 연방 정부에 소프트웨어를 납품하는 모든 기업
• 온프레미스 소프트웨어, SaaS 포함
• 상업용, 오픈소스, 맞춤형 소프트웨어 모두 대상

4. 정책의 목적

• 공급망 공격 대응
• 취약점 추적과 패치 용이성 증가
• 보안 사고 시 영향 범위 빠르게 파악
• 투명성과 책임성 강화