sehee

목차
1. 통화 내용, 통화 프로토콜, 문자 내용 기반 보이스 피싱 탐지 기술 S/W (230419)
2. 세계의 일상을 바꾸는 K-디지털, 2023 월드IT쇼(WIS 2023) 개최 (230418)
3. 과학기술&ICT 정책·기술 동향 236호 (230414)

---

1. 통화 내용, 통화 프로토콜, 문자 내용 기반 보이스 피싱 탐지 기술 S/W (230419)

(출처: ITFIND, 주간기술동향 2088호, 한국과학기술원 이성주 교수(042-350-7413, profsj@kaist.ac.kr))

230419_통화 내용 통화 프로토콜 문자 내용 기반 보이스 피싱 탐지 기술 SW.pdf

0.33MB

 기술의 개념

• 통화 내용으로부터 음성인식을 통해 전달받은 텍스트 데이터와 문자 내용을 이루는 텍스트를 기반으로 피싱 여부를 판단
• 자연어처리 기반으로 텍스트 중 의미 분석, 감정 분석 등이 복합적으로 작동하여 피싱과 관련된 요소가 있는지 검토
• 아래의 문법적 구조를 학습하여 통화/문자 내용 중 피싱으로 의심 가는 내용과 화자 간 발화 내용의 의도를 유추하거나 단어/문장 자체의 진위성을 대화 맥락 중 파악

 기술 특징

• 한국어 통화/문자 내용이 전화망 데이터의 형태로 최적화되어 있지 않으므로 딥러닝이 어려움
• 제안서 본문에서 제시한 텍스트 데이터 추가 생성(augmentation)과 자기지도학습 등으로 파싱 여부를 판단하는 학습 예정

국내 기술 동향

• 경찰청과 삼성전자는 "전기통신 금융사기 근절을 위한 업무협약(MOU)"를 맺고, 인공지능 기반 보이스피싱 예방 기술 개발 중
• 후후앤컴퍼니는 성문분석, 위험 평가 모델 데이터베이스 등의 탐지 솔루션을 통해 IBK기업은행의 통화 중 AI-모니터링시스템을 강화하여 보이스피싱 피해를 예방하는 기술 연구를 진행, 금감원에서 수집된 1,500~2,000명의 보이스피싱 범인 목소리를 공유 받아 학습에 사용
• 2021년, 서울대학교 산학협력단은 실시간 통화내용 분석으로 음성·텍스트 딥러닝 기반 보이스피싱 예방 기술을 제안
• 한양대학교는 2010년 수신되는 통화의 코덱 파라미터를 기반으로 한 보이스피싱 탐지 기법을 제안

국외 기술 동향

• 미국 연방통신위원회(Federal Communications Commision: FCC)는 2020년 STIR/SHAKEN이라는 프레임워크를 개발하여 Caller ID 정보를 단말기 회사들로부터 인증을 받아 Caller ID 스푸핑 공격을 막을 수 있는 솔루션을 제안
• 일본의 후지쓰 기업과 나고야대학이 협업하여 보이스피싱을 방지할 수 있는 기술을 제안

- 이상진, "일본, 보이스피싱 피해방지 기술 개발" 해당 기술을 보이스피싱에서 발생되는 통화내용 데이터를 기반으로 음성인식 기술을 접목하여 판단 정확도를 높임

* 대화형 AI 서비스가 IoT와 머신러닝 기술과 맞물려 보편화되고 시장규모 역시 커지고 있음

---

2. 세계의 일상을 바꾸는 K-디지털, 2023 월드IT쇼(WIS 2023) 개최 (230418)

(출처: 과학기술정보통신부, 보도자료, 정보통신산업정책과 여동재 사무관(044-202-6223))

230419 (석간) 세계의 일상을 바꾸는 K-Digital, 2023 월드IT쇼(WIS 2023) 개최.pdf

0.52MB

• 과기정통부 이종호 장관은 "최근 챗GPT의 등장으로 디지털의 일상화가 더 가까워지고 있는 추세를 감안, '월드 IT쇼'는 우리 일상에 스며들고 있는 우수한 디지털 혁신제품, 서비스들을 국민들이 체험하고 전세계에 널리 알리는 플랫폼으로서 매우 중요하다"고 강조
• "정부는 우리나라가 세계 최고의 디지털 모범국가로 도약하고 국내 우수 디지털 기업들이 세계시장을 선도할 수 있도록 다양한 정책지원을 이어 나갈 예정"이라고 밝힘

---

3. 과학기술&ICT 정책·기술 동향 236호 (230414)

(출처: S&T GPS 글로벌 과학기술정책정보 서비스, 간행물, 236호)

230414_과학기술 ICT 정책 기술 동향 236호_SnT GPS_236.pdf

4.31MB

 

양자(Quantum) 및 양자 컴퓨팅(Quantum Computing) 개요

양자 컴퓨터는 양자(Quantum) 역학적 현상(얽힘, 중첩 등)을 이용하여 연산을 구현

- 양자론은 원자론이 아닌 흑체복사의 이론적 분석을 위해 열역학에서 태동

- 간혹, 잘못 알려진 오해 중 하나는 양자를 입자로 해석하는 것으로, 양자역학에서 양자(量子)는 입자(粒子)를 지칭하는 것이 아님

- “양자역학(量子力學)”은 아시아에서 가장 먼저 서양에 개항한 일본에서 “Quantum Mechanics”를 번역한 용어를 그대로 한국에서 받아들여서 통용된 것에서 기인
- 물리학에서의 입자(particle)는 electron(전자), positron(양성자), neutron(중성자), fermion(스핀이 반정수인 입자) 등 일반적으로 “~on”으로 끝남

※ 양자(量子)에서의 “자(子)”, 전자(電子), 양성자(陽性子), 중성자(中性子) 등의 “자(子)”가 동일한 한자어 “자(子)”를 사용한 것이 오해의 원인

- Quantum은 Quanta의 복수형으로써, 물리적으로 불연속적인 양을 의미하는 것으로 미시세계에서 관측되는 현상인 에너지, 운동량 등 불연속적인 물리량 현상 전반을 지칭
- 양자역학의 시초는 원자론에서 잉태한 것이 아닌 열역학의 흑체복사(Blackbody Radiation)를 플랑크(Planck)가 물리적 모델링한 것이 시초

- (양자화) 불연속적인 물리량으로써, 대표적인 것은 에너지의 불연속성으로 이를 응용한 것이 레이저의 원리, 반도체 내의 전류 조절* 등이 대표적인 사례

* 반도체 전류는 확산(Diffusion) 및 장(Field)에 의한 전하의 운동 외(外) 에너지 양자화에 의한 에너지 장벽으로 조절

- (확률) 입자의 존재는 고전적으로 한 개의 질점(質點)이 아닌 파동성과 확률로 결정되는 것으로 대표적인 사례는 전자의 회절실험, 반도체 내의 전도대(Conduction Band) 전자수 분포, 터널링 효과 등이 있음

- 슈뢰딩거(Schrödinger) 방정식의 해(解), 파동함수(wave function)를 확률 파동론의 관점에서 해석하여, 불확정성 원리(uncertainty principle)가 도출되고 양자 중첩(superposition)*, 얽힘(entanglement) 개념이 파생되고 실험으로 증명**

* 측정 되기전 양자 상태는 허용 가능한 양자 상태의 조합으로 중첩

** John Clauser와 Stuart Freedman(1972)

< 중첩 및 얽힘 개념도 >

- 양자 중첩상태로 연산 정보를 인코딩하거나, 얽힘을 활용한 양자 고밀도 코드(superdense code)로 입력 정보에 해당하는 큐비트 값을 축소하는 등 고전컴퓨터에 비해 빠른 연산이 가능

< 큐비트 개념과 고전 비트와 양자 큐비트 비교 >

- 큐비트 / 고전 비트와 양자 큐비트의 비트 표현

• FAANG: 페이스북(메타)·애플·아마존·넷플릭스·구글

- 2013년 9월 미국 경제 매체 CNBC 진행자 짐 크레이머(Jim Cramer)가 방송에서 'FANG(페이스북·아마존·넷플릭스·구글)'이라는 용어 사용

- 크레이머는 이 4개 기업을 '미래를 대표하고, 시장 지배적 지위를 가진 회사'라고 정의

- 월가에서는 여기에 스마트폰 시장을 선도하는 애플을 추가해 'FAANG'이라 불렀고, 미국 성장주와 빅테크를 대표하는 용어로 자리매김

• MANTA: 마이크로소프트·애플·엔비디아·테슬라·알파벳

- CNN은 2022년 말 골드만삭스 자료를 바탕으로 'MANTA(마이크로소프트·애플·엔비디아·테슬라·알파벳)'라는 새로운 조어 제시

- 골드만삭스에 따르면 2022년 4월부터 S&P500 지수 상승 폭의 51%를 이들 5개 회사가 선도

마이크로소프트·애플, 미국 증시에서 차지하는 비중 최고치

- 지난 10년 동안 투자자들은 페이스북 모기업인 메타, 아마존, 애플, 넷플릭스, 구글 소유주인 알파벳 주식을 두루 매수

코로나19 이후 클라우드 성장세·챗GPT 열풍에 힘입어 MS 약진

- 마이크로소프트(MS)는 시가총액 기준으로 늘 상위에 포지셔닝해왔으나 PC 운영체제 '윈도' 이미지가 고착화되어 있어, 모바일 기반의 혁신 기업들로 꼽히는 FAANG에서 소외

- 그러나 팬데믹 이후 데이터센터 중요성이 배가되고 클라우드 서비스 '애저(Azure)' 매출이 가파르게 상승하면서 새로운 전환점 맞이

- 올해 초 챗GPT 열풍을 주역으로, 자사의 검색엔진, 애저, 윈도 오피스 제품군에 이미지 인식까지 가능한 GPT-4를 적용하는 등 생성형 AI 시장을 선도하고 있는 것도 경쟁력

목차
1. 프리다(Frida)란?
2. 프리다의 주요 기능
3. 프리다 환경 구축
  - 녹스(Nox) 앱플레이어 설치
  - 아나콘다 파이썬 환경 구축
  - 프리다 설치 및 실행
4. 프리다 기능 살펴보기
  - 기본 명령어 활용(Frida CLI 이해)
  - 기본 명령어 활용(프로세스, 트레이스, 디바이스 제어)
  - 기본 명령어 활용(프로세스 중지)
-
프리다 기본 문법
프리다 CLI 활용
자바스크립트 파일 사용
파이썬 바인딩 이해
프리다 챌린지로 연습해보기
프리다 실무 활용

4. 프리다 기능 살펴보기

독립된 가상 환경으로 접속한 상태

frida-trace -i "open" -U com.android.chrome

Nox Chrome에서 동작 시 open() 함수에 대해 출력

open: Auto-generated handler at "C:\\Users\\user\\__handlers__\\libc.so\\open.js"

해당 경로로 open.js 파일 확인해보면,

onEnter할 때, open()이라는 함수를 출력하도록 되어 있음

onLeave는 별도 처리하지 않음

(py3) user@DESKTOP-JII5KL2 C:\Users\user\__handlers__\libc.so
$ type open.js
/*
 * Auto-generated by Frida. Please modify to match the signature of open.
 * This stub is currently auto-generated from manpages when available.
 *
 * For full API reference, see: https://frida.re/docs/javascript-api/
 */

{
  /**
   * Called synchronously when about to call open.
   *
   * @this {object} - Object allowing you to store state for use in onLeave.
   * @param {function} log - Call this function with a string to be presented to the user.
   * @param {array} args - Function arguments represented as an array of NativePointer objects.
   * For example use args[0].readUtf8String() if the first argument is a pointer to a C string encoded as UTF-8.
   * It is also possible to modify arguments by assigning a NativePointer object to an element of this array.
   * @param {object} state - Object allowing you to keep state across function calls.
   * Only one JavaScript function will execute at a time, so do not worry about race-conditions.
   * However, do not use this to store function arguments across onEnter/onLeave, but instead
   * use "this" which is an object for keeping state local to an invocation.
   */
  onEnter(log, args, state) {
    log('open()');
  },

  /**
   * Called synchronously when about to return from open.
   *
   * See onEnter for details.
   *
   * @this {object} - Object allowing you to access state stored in onEnter.
   * @param {function} log - Call this function with a string to be presented to the user.
   * @param {NativePointer} retval - Return value represented as a NativePointer object.
   * @param {object} state - Object allowing you to keep state across function calls.
   */
  onLeave(log, retval, state) {
  }
}

log('open()'); 를 다음과 같이 코드 변경하여

onEnter function의 args를 통해 호출 인수가 어떻게 접근이 가능한지 알아볼 것

notepad open.js 로 메모장 열어서 파일 내용 수정

log('open(' + 'pathname=' + args[0] + ', flags=' + args[1] + ')');

* 참고: Windows 명령 프롬프트(cmd) 파일 편집 방법

1) notepad (file.js)

2) 리눅스 기반의 vi, vim 사용 (bash  사용 - 리눅스 프로그램 설치 후 사용)

다시 open trace 실행

frida-trace -i "open" -U com.android.chrome:privileged_process0

(py3) user@DESKTOP-JII5KL2 C:\Users\user
$ frida-trace -i "open" -U com.android.chrome:privileged_process0
Instrumenting...
open: Loaded handler at "C:\\Users\\user\\__handlers__\\libc.so\\open.js"
Started tracing 1 function. Press Ctrl+C to stop.
           /* TID 0x1132 */
  9955 ms  open(pathname=0xd6fb8a31flags=0x2)
           /* TID 0x1133 */
  9971 ms  open(pathname=0xd6fb8a31flags=0x2)
           /* TID 0x10d4 */
 10010 ms  open(pathname=0xd6fb8a31flags=0x2)
           /* TID 0x10f4 */
 32908 ms  open(pathname=0x55833950flags=0x80000)
 35102 ms  open(pathname=0x55836060flags=0x80000)

fride.re > DOCS > API Reference - JavaScript API > find "Memory" 참조

https://frida.re/docs/javascript-api/

open.js 수정

log('open(' + 'pathname=' + Memory.readUtf8String(args[0]) + ', flags=' + args[1] + ')');

메모리 주소가 아닌 어느 경로에서 불러오는지 확인

프로세스 중지(process Name이나 PID)

frida-kill -U Chrome

Chrome process 종료

목차
1. [2023년 3월] 인터넷·정보보호 법제동향 제186호 (230411)
2. ICT 융합보안 분야 석·박사 양성을 위한 융합보안대학원 2개교 신규 선정 추진 (230411)
3. '23년 3월 정보통신기술(ICT) 수출입 동향 (230413)

1. [2023년 3월] 인터넷·정보보호 법제동향 제186호 (230411)

(출처: KISA, 지식플랫폼 > 동향분석 > 인터넷·정보보호 법제 동향, 법제연구팀 김진규(061-820-1734))

2. ICT 융합보안 분야 석·박사 양성을 위한 융합보안대학원 2개교 신규 선정 추진 (230411)

(출처: 과학기술정보통신부, 보도자료, 정보보호기획과 이재연 주무관(044-202-6449))

• 과학기술정보통신부와 정보통신기획평가원은 2023년도 융합보안대학원 신규 선정을 위해 2개 대학원을 선정할 계획
• 융합보안대학원을 지원하는 '융합보안 핵심인재양성사업'은 디지털 전환에 따라 다양한 ICT 융합 산업 분야로 보안 위협이 확산되며 증가하는 정보보호 고급 인력 수요에 대응하여 융합보안 분야의 석·박사 인재를 양성하기 위한 사업
•  '24년부터 신입생을 모집하여 실질적인 교육에 착수할 계획
• 상세 공고 내용: 과학기술정보통신부(www.msit.go.kr), 범부처통합연구지원시스템(www.iris.go.kr) 및 정보통신기획평가원(www.iitp.kr) 홈페이지

3. '23년 3월 정보통신기술(ICT) 수출입 동향 (230413)

(출처: 과학기술정보통신부, 보도자료, 정보통신산업정책과 김미정 주무관(044-202-6228))

• 반도체 수출은 전년 동월 대비 33.9% 감소한 87.3억불로, 글로벌 경기 둔화에 따른 ICT 기기 수요 약화 및 메모리 단가 하락 등으로 감소

2. 디스플레이

• 국내 LCD 생산 축소의 영향 및 전방기기 수요 둔화로 인한 OLED 부진으로 전년 동월 대비 41.4% 감소한 14.3억불 기록

3. 휴대폰(부분품 포함)

• 글로벌 기기 수요 둔화에 따른 완제품 수출 감소, 주요 생산업체의 부품 수요 감소 등의 영향으로 전체 휴대폰 수출은 전년 동월 대비 49.3% 감소한 8.3억불 기록

4. 컴퓨터 및 주변기기

• 컴퓨터 및 주변기기 수출은 글로벌 경기 약화로 인한 소비심리 둔화로 전년 동월 대비 52.5% 감소한 8.5억불로 9개월 연속 감소 기록

5. 통신장비

• 5G 통신 개화 지역(베트남(0.5억불, 9.6%↑) 등)은 일부 증가했으나, 글로벌 경기 둔화 영향으로 전체 수출은 전년 동월 대비 9.2% 감소한 2.4억불 기록

목차
1. 프리다(Frida)란?
2. 프리다의 주요 기능
3. 프리다 환경 구축
  - 녹스(Nox) 앱플레이어 설치
  - 아나콘다 파이썬 환경 구축
  - 프리다 설치 및 실행
4. 프리다 기능 살펴보기
  - 기본 명령어 활용(Frida CLI 이해)
-
프리다 기본 문법
프리다 CLI 활용
자바스크립트 파일 사용
파이썬 바인딩 이해
프리다 챌린지로 연습해보기
프리다 실무 활용

4. 프리다 기능 살펴보기

frida

프리다 CLI인 REPL 인터페이스, 신속한 프로토타이핑과 손쉬운 디버깅을 목표로 하는 도구

* REPL: Read, Eval, Print, Loop - 읽고, 실행하고, 출력하고, 반복하는 과정

frida-ps

프리다에 연결된 프로세스 목록을 출력하기 위한 도구

frida-ls-devices

연결된 디바이스를 출력하는 도구

frida-trace

함수 호출을 동적으로 추적하기 위한 도구

frida-kill

프로세스를 종료하는 도구

frida -U

Nox 애뮬레이터에 대해 사용

Playstore에서 Chrome 다운로드

frida-ps -U

Chrome에 해당하는 프로세스 옵션을 확인

Failed to attach: unable to connect to remote frida-server: closed

에러 원인: 에뮬레이터 프로세스 실행하지 않음

frida를 (USB를 통해) 안드로이드 애뮬레이터에 연결하고 chrome 디버깅을 시작

* 참고: https://github.com/frida/frida/issues/92

user@DESKTOP-JII5KL2 C:\Users\user
$ nox_adb devices
List of devices attached
127.0.0.1:62001 device


user@DESKTOP-JII5KL2 C:\Users\user
$ nox_adb shell
d2q:/ # whoami
root
d2q:/ # cd /data/local/tmp/frida-server-16.0.11-android-x86/
d2q:/data/local/tmp/frida-server-16.0.11-android-x86 # ls -al
total 52368
drwxrwxr-x 2 root  root      4096 2023-03-31 08:38 .
drwxrwxrwx 4 shell shell     4096 2023-04-07 09:02 ..
-rwxrwxrwx 1 root  root  53612252 2023-03-31 08:37 frida-server-16.0.11-android-x86
d2q:/data/local/tmp/frida-server-16.0.11-android-x86 # ./frida-server-16.0.11-android-x86 &
[1] 4871
1|d2q:/data/local/tmp/frida-server-16.0.11-android-x86 # ps | grep frida-server
root      4871  4860  62676  49640            d4415cc0 S ./frida-server-16.0.11-android-x86

다시 시도

frida -U com.android.chrome

frida -U com.android.chrome -l chrome.js

frida를 USB를 통해 android 에뮬레이터에서 실행 중인 chrome app에 연결하고, chrome.js를 load함

(py3) user@DESKTOP-JII5KL2 C:\Users\user
$ frida -U com.android.chrome -l chrome.js
usage: frida [options] target
frida: error: [Errno 2] No such file or directory: 'C:\\Users\\user\\chrome.js'

파일 생성 후 다시 시도..

-Ua 옵션: 현재 실행중인 앱만 출력

(py3) user@DESKTOP-JII5KL2 C:\Users\user
$ frida-ps -Ua
 PID  Name      Identifier
4  --------  --------------------
4024  Chrome    com.android.chrome
2686  Facebook  com.facebook.katana
2344  설정        com.android.settings

frida-ls-devices
frida-ps -D 127.0.0.1:62001

frida-ls-devices: 프리다에 연결된 디바이스 출력 도구(여러 개의 디바이스와 상호작용할 때 유용)

목차
1. 과기정통부, 챗지피티 기본 원리 부내 교육 실시 (230403)
2. 자기지도 학습을 활용한 수학 서술형 문제 풀이 모델 (230405)
3. 과학기술&ICT 정책·기술 동향 235호 (230331)

1. 과기정통부, 챗지피티 기본 원리 부내 교육 실시 (230403)

(출처: 과학기술정보통신부, 보도자료, 과학기술정보통신부 정보화담당관 전영철 사무관(044-202-4472))

2. 자기지도 학습을 활용한 수학 서술형 문제 풀이 모델 (230405)

(출처: ITFIND 정보통신기획평가원 IITP, 간행물 > 주간기술동향 2086호, 성균관대학교 이종욱 교수(031-299-4329, jongwuklee@skku.edu))

230405_IITP_자기지도 학습을 활용한 수학 서술형 문제 풀이 모델.pdf

1.16MB

 

• 결과물 형태: 한국어 수학 문장형 문제 데이터, 심층 신경망 기반 언어 모델, 개체명 인식을 통한 파서 모델, 자기지도 학습 방법
• 경쟁기술: 수학 문제와 관련된 풀이과정이 있는 데이터베이스 안에서 검색을 수행하기 때문에 데이터베이스 밖에 있는 문제에 대해서는 서비스를 제공하지 못함
• 본 기술의 우수성/차별성: 수학 서술형 문제를 입력으로 받아 템플릿 기반의 수식을 생성해냄으로 데이터베이스에 없는 문제에 대해서도 서비스를 제공
• 제품/서비스: 한글 수학 문장형 문제 풀이과정 제공 서비스
• 제품 및 활용 분야 세부내용: 서비스 사용자가 입력하는 한글 수학 문장형 문제에 대해 풀이 과정을 파이썬 기반의 코드 혹은 수식으로 제공

3. 과학기술&ICT 정책·기술 동향 235호 (230331)

(출처: S&T GPS 글로벌 과학기술정책정보 서비스, 간행물, 235호)

230331_과학기술 ICT 정책 기술 동향 235호_SnT GPS_235_최종본.pdf

2.15MB

 

• AI 교육적 활용에 대한 국제기구들의 움직임: OPEN.AI 정책 관측소
• OECD.AI가 현재 제공하는 분야를 살펴보면 2016년부터 구분 영역이 변화하는 과정을 거침
• 교육의 경우에는 운송, 농업, 금융, 건강, 환경과 함께 그 구분 영역과 명칭을 그대로 유지한 상태로 관련 정보를 서비스함

• OECD.AI 홈페이지를 활용하여 살펴본 한국을 비롯한 주요국의 AI 투자 현황
• 한국을 비롯한 주요국(미국, 영국, 일본, 중국)의 AI 관련 사업 투자 현황을 확인하면 [그림 3]과 같이 2012년부터 지속적으로 그 투자액이 꾸준히 늘어나고 있음
• 특히 코로나19가 본격적으로 확산된 2020년부터는 그 투자액이 급격히 상승함
• 2012년부터 2022년까지의 절대적인 투자금액을 비교해 보면, 미국이 압도적으로 높고, 중국, 영국, 일본, 한국 순으로 AI 관련 사업에 투자하였음을 확인할 수 있음
• 다만 Cumulative 방식([그림 3])이 아닌 Log Scale([그림 4])로 투자액을 확인해 보면, 2022년에는 한국이 일본보다 AI 관련 사업에 더 많이 투자했다는 것을 쉽게 확인할 수 있음

목차
CVE(Common Vulnerabilities and Exposures)
NVD(National Vulnerability Database)
- CVSS(Common Weakness Enumeration)
CWE(Common Weakness Enumeration)

e.g., CVE-2022-1009 / CVE-2023-1009

CVE (Common Vulnerabilities and Exposures)

https://www.cve.org/

공통 취약성 및 노출

MITRE에서 관리하는 공개된 취약점 및 노출 목록

1) CVE-2022-1009 - https://www.cve.org/CVERecord?id=CVE-2022-1009

설명: 악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: 3.9.9 이전의 Smush WordPress 플러그인 / Smush - Lazy Load Images, Optimize & Compress Images

생성 날짜: (Published/Updated) 2022-05-30

피해규모: 중간(NVD 참조)

참조: https://wpscan.com/vulnerability/bb5af08f-bb19-46a1-a7ac-8381f428c11e

2) CVE-2023-1009 - https://www.cve.org/CVERecord?id=CVE-2023-1009

설명: /cgi-bin/mainfunction.cgi 파일의 sub_1DF14 함수가 영향을 받음, /../etc/password 입력으로 인수 옵션을 조작하여 경로 순회가 발생(로컬 네트워크 내에 공격이 이루어짐)

악의적인 사전 설정 구성을 업로드할 때 관리 페이지에 다시 출력하기 전에 구성 매개변수를 삭제하고 반환하지 않음 → Reflected Cross-Site Scripting 발생 가능성(공격자가 admin 계정으로 악성 구성 파일을 업로드 해야 함)

제품: DrayTek Vigor 2960 1.5.1.4 / Vigor 2960

생성 날짜: (Published/Updated) 2023-02-24

피해규모: 중간-낮음(NVD 참조)

참조: https://vuldb.com/?id.221742

NVD (National Vulnerability Database) (CVSS 포함)

https://nvd.nist.gov/

SCAP(Security Content Automation Protocol) 기반 표준 형태의 취약점 관리 용 미 정부 저장소

CVSS(Common Vulnerability Scoring System)으로 취약점 평가

* CVSS: 취약점 지표, 소프트웨어 취약점의 특성 및 피해 심각도를 표현하기 위한 개방형 프레임워크

1) CVE-2022-1009 - https://nvd.nist.gov/vuln/detail/CVE-2022-1009

설명/참조 동일(CVE)

심각성: 6.1(MEDIUM) - CVSS v3.0 Ratings / 4.3(MEDIUM) – CVSS v2.0 Ratings

2) CVE-2023-1009 - https://nvd.nist.gov/vuln/detail/CVE-2023-1009

설명/참조 동일(CVE)

심각성: 5.5(MEDIUM) - CVSS v3.0 Ratings / N/A – CVSS v2.0 Ratings

CWE (Common Weakness Enumeration)

https://cwe.mitre.org/

community-developed list of software and hardware weakness types

한 기관에서 개발한 것이 아님

1) CVE-2022-1009(CWE-79) - https://cwe.mitre.org/data/definitions/79.html

설명: 웹 페이지 생성 중 제어할 수 있는 입력을 무효화시킴(Cross-site Scripting)

세부 설명: XSS 취약점이 발생하는 경우 및 종류 설명

① Reflected XSS (or Non-Persistent) ② Stored XSS (or Persistent) ③ DOM-Based XSS

악용 가능성: High

2) CVE-2023-1009(CWE-22) - https://cwe.mitre.org/data/definitions/22.html

설명: 제한된 디렉토리에 대해 경로 이름을 부적절하게 제한함/순회(Path Traversal)

세부 설명: 파일 작업은 제한된 디렉토리 내에서 발생하도록 되어 있으며, “..” 및 “/”과 같은 특수 구분 기호를 이용하여 공격자는 제한된 위치의 외부 경로로 이동하여 다른 위치의 파일 또는 디렉터리에 액세스할 수 있음

① “../”: 현재 위치의 상위 디렉터리 – 상대경로 순회

② “/usr/local/bin”: 파일 액세스 – 절대 경로 순회

악용 가능성: High

[Tabla de contenido]

https://sarahee.tistory.com/category/Language/Spanish

목차
1. 과학기술원, 삼성전자 반도체 계약학과 신설 (230327)
2. 디지털서비스 안정성 강화 방안 발표 (230330)

1. 과학기술원, 삼성전자 반도체 계약학과 신설 (230327)

(출처: 과학기술정보통신부, 보도자료, 과학기술정보통신부 미래인재양성과 강호원 과장(044-202-4380), 김재남 사무관(044-202-4839))

2. 디지털서비스 안정성 강화 방안 발표 (230330)

(출처: 과학기술정보통신부, 보도자료, 디지털재난대응TF 지주연 사무관(044-202-6773))

• 과학기술정보통신부는 '22.10.15 SK C&C 판교 데이터센터 화재 및 카카오·네이버 등 서비스 장애 사고의 재발 방지를 위한 후속 조치로서 3월 30일(목) '디지털서비스 안정성 강화 방안' 발표

① 데이터센터의 안정성 및 생존성 강화를 위하여,

  - 배터리 이상징후 모니터링 계측주기 단축 및 ｢사전 복합 탐지체계｣ 구축

  - 배터리실 내 기타 전기설비(전력선 등) 금지 등 ‘구조적 안정성’ 확보

  - 전력 차단구역 세분화, 예비 전력설비 이중화 등 ‘전력공급 연속성’ 제고

② 디지털서비스의 대응력 및 복원력 제고를 위하여,

  - ‘복구 핵심 기능’ 다중화 및 중요도에 따른 ‘서비스 분산 체계’ 구축

  - ①사전예방, ②탐지·전파, ③복구 목표·지표 설정, ④사후관리 등 장애관제 고도화

③ 디지털 위기관리 기반 구축을 위하여,

  - 디지털서비스로 전주기적 재난관리 확대(대상 기준 마련, 시행령 개정) 

  - 대응전담팀 신설, 민·관 협력 강화 등을 통해 상시 위기관리 강화