<div><img src="https://file.bodnara.co.kr/up/news/201711-suma1.jpg" />중국산 환자 모니터링 시스템에서 백도어가 발견되어 논란이다.tomshardware는 중국 Contec CMS8000 시리즈에서 모니터링 데이터를 특정 IP 주소로 전송하는 백도어가 발견된 사실을 전했다.해당 장치가 전송하는 정보는 의사명, 환자, 병원 부서, 생년월일, 입원 날짜, 장치 사용인 정보 등이 포함되며, 공격자가 원격 코드 실행 및 데이터 기록이 가능한 취약점도 포착되었다.FDA는 이번 취약점은 공격자가 보안 조치를 우회해 장치를 조작할 수 있다면서도, 아직 이와 관련된 사고나 환자 피해 사례는 알려지지 않았음을 전했다.130여 개국에 판매되어 심전도, 심박, 혈중 산소, 혈압, 호흡 수 등의 환자 모니터링 데이터를 저장하는 해당 장치는 Epsimed MN-120으로 리네이밍 된 바 있으며, 아직 제조사에서는 백도어 수정 펌웨어를 배포하지 않은 상태다.</div>

<div>공개 저장소 보안 위협 증가…개발자 주의 필요<figure><img src="https://www.dailysecu.com/news/photo/202502/163434_191601_1644.jpeg" /></figure>PyPI에 ‘딥시크(DeepSeek)를 사칭한 사이버 범죄자들이 최근 인공지능(AI) 스타트업 딥시크(DeepSeek)의 인기에 편승해 개발자를 노린 악성 패키지를 파이썬 패키지 인덱스(PyPI)에 유포한 사실이 확인됐다.포지티브 테크놀로지스(Positive Technologies) 연구진이 발견한 이번 공격에서 공격자는 ‘딥시크(DeepSeek)’ 관련 개발 도구로 위장한 ‘deepseeek’과 ‘deepseekai’라는 패키지를 업로드했다. 이 패키지는 실제로는 사용자 시스템 정보를 탈취하는 인포스틸러(정보 탈취 악성코드)였다.사전 준비된 공격… 오래된 계정 활용해당 패키지는 2025년 1월 29일 PyPI에 업로드됐으며, 공격자는 2023년 6월에 생성된 계정을 사용했다. 이 계정은 이전까지 아무런 활동이 없었던 것으로 확인됐다. 공격자는 신뢰도를 높이기 위해 사전에 만들어둔 계정을 사용한 것으로 보인다.연구진에 따르면, 이 악성 패키지는 실행 즉시 시스템 및 사용자 정보를 수집하고, 환경 변수에 저장된 API 키, 데이터베이스 접근 정보, 인프라 접근 토큰 등을 탈취했다. 이후 탈취한 데이터를 정식 자동화 플랫폼 ’파이프드림(Pipedream)’을 통해 공격자의 C2(Command and Control) 서버로 전송했다.PyPI 신속 대응에도 개발자 222명 피해포지티브 테크놀로지스 연구진은 해당 패키지를 즉시 PyPI에 신고했고, 관리자는 빠르게 다운로드를 차단한 뒤 패키지를 삭제했다. 그러나 짧은 시간 동안 이미 222명의 개발자가 해당 패키지를 다운로드한 것으로 확인됐다.국가별로 살펴보면 미국(117명)에서 가장 많은 피해자가 발생했으며, 이어 중국(36명), 러시아, 독일, 홍콩, 캐나다 순이었다. 연구진은 피해를 본 개발자들에게 API 키, 인증 토큰, 비밀번호를 즉시 변경하고, 클라우드 서비스 및 기타 인프라가 침해되지 않았는지 점검할 것을 권고했다.공개 저장소 보안 위협 증가… 개발자 주의 필요이번 사건은 공개 저장소 기반 패키지 관리 시스템을 악용한 공급망 공격(Supply Chain Attack)의 한 사례다. 최근 몇 년간 PyPI, npm, RubyGems 등 주요 패키지 저장소에서 유사한 위협이 증가하고 있다.전문가들은 “공개 저장소에서 패키지를 다운로드할 때 반드시 출처를 확인하고, 의심스러운 패키지는 실행 전에 정밀 검토해야 한다”고 강조했다. 또한, 개발 환경에서 보안 솔루션을 적극 활용해 악성 패키지를 사전 탐지하는 것이 중요하다고 덧붙였다.한편, PyPI 측은 이번 사건을 계기로 악성 패키지 탐지 시스템을 더욱 강화할 방침이라고 밝혔다.</div>

공개 저장소 보안 위협 증가…개발자 주의 필요. PyPI에 ‘딥시크(DeepSeek)를 사칭한 사이버 범죄자들이 최근 인공지능(AI) 스타트업 딥시크(DeepSeek)의 인기에 편승해 개발자를 노린 악성 패키지를 파이썬 패키지 인덱스(PyPI)에 유포한 사실이 확인됐다.

PyPI에 ‘DeepSeek’ 사칭한 악성 인포스틸러 패키지 발견…개발자 222명 피해

<div><figure><img src="https://www.jnnews.co.kr/data/cheditor4/2502/f4067b7fb4e9c797ffb861483c7600d0b5794b77.jpg" /></figure>[전남인터넷신문]식품의약품안전처는 인체이식 의료기기의 안전관리 강화를 위해 의료기기 장기추적조사 제도를 도입하는 내용의 '의료기기법'을 개정·공포했다고 4일 밝혔다.의료기기 장기추적조사는 인체 삽입 후 부작용이 자주 발생할 우려가 있는 의료기기를 별도로 정하고, 해당 품목별로 수집이 필요한 실사용 정보를 참여 의료기관으로부터 제출받는 제도다.이렇게 하면 예상치 못한 이상 사례를 조기에 탐지해 신속 조치할 수 있다.부작용이 자주 발생할 우려가 있는 의료기기로는 인공관절, 인공유방, 이식형심장박동기 등이 있다.장기추적조사는 2019년 국내에서 인공유방에 의한 림프종이 발생한 것을 계기로 인공유방 이식 환자의 부작용 모니터링 강화를 목적으로 도입됐다.개정된 의료기기법은 국가법령정보센터(www.law.go.kr) 또는 식약처 대표 누리집(www.mfds.go.kr)에서 확인할 수 있다.</div>

[전남인터넷신문]식품의약품안전처는 인체이식 의료기기의 안전관리 강화를 위해 의료기기 장기추적조사 제도를 도입하는 내용의 '의료기기법'을 개정·공포했다고 4일 밝혔다.

식약처, 인체이식 의료기기 장기추적조사 제도 도입

<div>'크리미널 IP ASM' 활용한 선제적 대응 방안 제시<figure><img src="https://www.dailysecu.com/news/photo/202502/163437_191605_428.jpg" /></figure>AI스페라(에이아이스페라, 대표 강병탁)는 12일 오후 3시, ‘공공기관에서의 공격 표면 관리 실제 사례 분석’을 주제로 웨비나를 개최한다고 밝혔다.이번 웨비나에서는 강병탁 대표가 직접 발표를 맡아 최근 공공기관에서 발생한 사이버 보안 취약 사례를 분석하고, 효과적인 모니터링 및 관리 전략을 제시할 예정이다.AI스페라는 CTI 검색엔진 “크리미널 IP(Criminal IP)”와 공격 표면 관리 솔루션 “크리미널 IP ASM(Criminal IP ASM)”을 개발한 보안 기업으로, 공격 표면 기반 위협 인텔리전스를 수집-분석하고 있다.특히 크리미널 IP는 글로벌 런칭 이후 150개국에서 사용자를 확보했으며, 시스코, 테너블, 바이러스 토탈 등 세계적인 보안·IT 기업 40여 곳과 협업하며 안정적인 글로벌 네트워크를 구축하고 있다.최근 공공기관을 대상으로 한 사이버 공격 시도는 2023년 하루 평균 119만 건에서 162만 건으로 급증했으며, 국가 간 분쟁과 AI 기술이 고도화됨에 따라 해킹 공격은 더욱 정교해질 전망이다. 실제 지난해 중국 대규모 해킹 조직의 공격으로 미국 재무부 주요 문건이 유출됐으며, 국내 법원 행정처와 국방부 홈페이지도 해킹으로 마비되는 피해가 보고되는 만큼 이에 대한 대응 체계 구축이 시급한 실정이다.이번 웨비나에서는 공공기관의 보안 취약점을 살피고 필요한 대응책을 집중 조명할 예정이다. 공공기관은 노후화된 IT 인프라와 다양한 협력사 연계로 인해 해커들에게 노출되는 공격 표면이 상당하다는 점이 지적되어 왔다.이에 AI스페라는 크리미널 IP ASM의 라이브 시연을 통해 24시간 서버 및 IT 자산 스캐닝으로 숨겨진 위협을 탐지하고, 초기 단계에서 신속한 대응이 가능한 보안 체계를 제시할 계획이다.최근에는 CSAP 인증을 포함한 GS인증, K-PaaS 인증, KACI 클라우드 서비스 확인서 등을 획득하며 공공기관에 적합한 솔루션으로써 신뢰성과 안전성 검증을 마쳤다.웨비나 마지막에는 참석자들과 실시간 Q&A 세션도 진행된다. 참가 신청은 크리미널 IP 공식 블로그, X(트위터), 페이스북 등에 안내된 사전 등록 링크를 통해 가능하며, 등록자에게는 웨비나 접속 링크가 별도로 발송된다.AI스페라 강병탁 대표는 “공공기관은 복잡한 IT 환경과 오래된 인프라로 능동적인 보안 관리가 어려운 상황이다”라며 “이번 웨비나가 공공기관 보안 담당자들에게 크리미널 IP ASM의 기능과 효율적인 사이버 위협 대응 방법을 전달하는 계기가 되길 바란다”고 말했다.한편, AI스페라는 2023년 6월부터 의료제조업계 사이버 보안 관리, 보안 자동화 및 관제 방안, 크리덴셜 스터핑 예방 등 다양한 주제로 웨비나를 개최해왔다. 지난해 10월에는 글로벌 보안 담당자를 대상으로 크리미널 IP ASM을 활용한 공격 표면 관리 노하우 웨비나를 성공적으로 마무리했다.앞으로도 AI스페라는 관련 보안 행사와 웨비나를 지속적으로 개최하며 사이버 보안 인식 제고와 솔루션 확산에 앞장설 계획이다.[ISDP 2025] 2월 11일, 제13회 전반기 최대 정보보호&데이터 보안 컨퍼런스&전시회 개최(7시간 보안교육 이수 / 구 G-PRIVACY 컨퍼런스)-주최: 데일리시큐-후원기관: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회-일시: 2025년 2월 11일 화요일 오전 9시~오후 5시-장소: 서울 삼성동 코엑스 3층 컨퍼런스룸E(1~6 전관) 및 로비-참석인원: 개인정보보호 및 정보보안 실무자 1,000여 명-참가비: 무료(현업 보안실무자에 한해 참석가능/이외 참석불가)-점심 및 주차: 지원하지 않습니다.-보안교육이수: 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)(※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.)-등록마감: 2025년 2월 9일 오후 6시까지-전시회: 국내외 최신 정보보호 및 개인정보보호, 데이터 보호 솔루션 전시-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com-사전등록 링크: 클릭★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★</div>

'크리미널 IP ASM' 활용한 선제적 대응 방안 제시. AI스페라(에이아이스페라, 대표 강병탁)는 12일 오후 3시, ‘공공기관에서의 공격 표면 관리 실제 사례 분석’을 주제로 웨비나를 개최한다고 밝혔다.

AI스페라, 공공기관 대상 공격표면관리 웨비나 개최

<div><img src="https://www.hellot.net/data/photos/20250206/art_17386298556941_c5ace2.jpg" />환자가 하룻밤 이상 수면 측정한 뒤, 의사가 측정 결과 확인해 진단 및 치료 활용에이슬립이 수면무호흡증 사전선별 진단보조 디지털의료기기 ‘앱노트랙(허브)’가 분당서울대병원 등 병원에서 처방이 개시됐다고 밝혔다. 헬스케어 의료기기가 대학병원 등 일선 병원에서 처방이 된 드문 사례인 것으로 알려졌다. 앱노트랙은 에이슬립이 개발한 디지털의료기기 어플리케이션이다. 국내 최초로 수면 중 호흡음을 AI 알고리즘으로 분석해 수면무호흡증을 사전 선별한다. 이 앱은 지난해 5월에는 식약처 2등급 의료기기 승인, 이어 지난 12월 질병코드 G47.3(수면무호흡증 의증) 및 단순코골음으로 심평원 법정비급여 사용을 인정받아 마침내 올해 일선 병원에서도 선을 보이게 됐다. 처방 받은 기간 내에 환자가 하룻밤 이상 수면을 측정한 뒤 내원하면, 의사가 측정 결과를 확인해 진단 및 치료에 활용할 수 있다. 수면무호흡증은 성인 남성 유병률 19%, 잠재환자는 약 1000만 명으로 6명중 1명이 겪을만큼 흔한 질환이다. 비만과 급성심장정지 등 중증 질환 발병률을 급등시키는 등 온갖 합병증을 수반하지만 지금까지는 진단과 치료 처방이 제한적이었다. 현재 수면다원검사를 통해 중등도 이상의 수면무호흡증 발견 시 급여 대상이 되지만, 경증 이하로 분류될 경우 통상 60만 원 이상의 비급여 대상으로 환자의 비용 부담이 가중됐다. 그 결과 2023년 기준 수면무호흡증 진단을 받은 사람은 15만 명으로 잠재환자의 1.5%에 불과한 상황이다. 앱노트랙은 이와 같은 한계를 극복, 별도의 장비 없이 가정에서도 간편하게 스마트폰으로 수면 중 사용자의 수면무호흡, 수면의 양과 질을 정확하게 측정할 수 있다. 이는 기존의 수면다원검사에 비해 비용도 저렴하고, 절차도 간소하다는 장점이 있다.이에 앱노트랙은 2023년 8월 제 43호 혁신의료기기로 지정된 이후 단계별 심사로 약 8개월 만에 인허가를 받았고, 그 이후 건강보험심사평가원의 법정비급여 확인을 받으며 단 1년만에 병원 실처방 사례를 이끌어 낼 수 있었다. 앱노트랙 자체만으로 단독 소프트웨어 선별의료기기로 지정되면서, 국내 최초로 스마트폰만을 통해 진단 보조가 기능해졌다. 즉, 의사의 처방만 있으면 집에서 간단하게 스마트폰 앱으로 수면을 측정할 수 있는 첫 사례로 기록됐다. 이 같은 결과에 대해 에이슬립은 앱노트랙 개발진의 끊임없는 노력에 힘입어 분당서울대학교병원, 서울대학교병원 및 스탠포드 메디컬센터와의 공동 프로젝트를 통해 민감도 87%, 특이도 92%에 달하는 의료 AI 를 성공적으로 개발해 낸 결과라고 언급했다. 동시에 KGMP, ISO13485 등 까다로운 의료기기 제조 및 인증을 획득하는 등 공신력 확보에도 힘을 기울이고 있다.앱노트랙은 법정비급여 항목이며, 수면무호흡증 의심 환자를 대상으로 처방 시 실비보험이 적용된다. 기본적으로 수면장애 추정 환자에게 사용하며, 더불어 비만, 비염 등 수면무호흡증 유관 증상에도 처방이 가능한 만큼 저변이 차츰 확대될 전망이다. 에이슬립 이동헌 대표는 “수면무호흡을 방치하면 수면의 질이 무너지는 것은 물론이고 심혈관, 뇌질환 등의 중증 합병증까지 이어질수 있지만, 진단뿐 아니라 치료 후 개선 여부 확인이 어려운 실정”이라면서 “앱노트랙을 통해 이비인후과를 시작으로 여러 진료과 병의원 및 심평원 등 유관기관과 긴밀한 협력을 통해 수면무호흡증 진단의 대중화와 급여권 진입이라는 두 마리 토끼를 모두 잡겠다”고 말했다. 헬로티 서재창 기자 |</div>

환자가 하룻밤 이상 수면 측정한 뒤, 의사가 측정 결과 확인해 진단 및 치료 활용. 에이슬립이 수면무호흡증 사전선별 진단보조 디지털의료기기 ‘앱노트랙(허브)’가 분당서울대병원 등 병원에서 처방이 개시됐다고 밝혔다. 헬스케어 의료기기가 대학병원 등 일선 병원에서 처방이 된 드문 사례인 것으로 알려졌다.

에이슬립, 수면무호흡증 진단하는 '앱노트랙' 병원 처방 실시

<div>에어부산 여객기 화재 사고를 계기로 리튬 배터리의 기내 반입 규정을 강화해야 한다는 목소리가 힘을 얻고 있다. 아직 정확한 사고 원인이 밝혀진 것은 아니지만, 리튬 배터리로 인한 폭발 사고가 꾸준히 늘고 있고 승객 우려도 커진 만큼 정부도 규정 강화 필요성에는 공감하고 있다.문제는 현재 있는 규정조차 제대로 지켜지지 않고 있다는 점이다. 노트북·보조배터리·전동칫솔 등 다양한 전자기기에 사용되는 리튬 배터리를 전면 금지하는 것도 쉽지 않다. 정부는 일단 리튬 배터리의 위험성을 적극적으로 알리겠다는 입장이다.<figure><img src="https://img.khan.co.kr/news/2025/02/02/news-p.v1.20250202.c8742aaeb4444c6dbb6b43d8f0064bb3_P1.webp" /></figure>국토교통부는 지난달 28일 김해공항에서 발생한 에어부산 여객기 화재 사고 원인으로 지목된 리튬 배터리 기내 반입 규정 강화를 검토 중이라고 2일 밝혔다. 국토부 관계자는 “4월 발표 예정인 항공 안전 혁신 대책에 관련 내용이 포함될 것”이라며 “먼저 시행할 수 있는 단기 조치가 있는지도 다각도로 검토 중”이라고 말했다.리튬 배터리는 유엔이 설립한 국제민간항공기구(ICAO)가 ‘항공 위험물’로 분류한 물질로, 엄격한 운송 규제를 적용받는다. 적은 무게에 비해 에너지 밀도가 높아 경량화가 용이하지만, 온도나 주변 환경에 따라 폭발이나 변형 위험이 크다는 단점이 있다. 2010년 UPS 항공 006편, 2011년 아시아나항공 991편 추락 사고도 화물칸에 실린 리튬 이온 배터리 발화가 사고 원인으로 지목됐다.사고가 잇따르자 정부는 2016년 리튬 배터리 관련 규제를 강화했다. ICAO의 강화된 운송기준을 반영해 여객기 화물칸에 리튬 배터리를 단독 운송하는 것을 원천적으로 금지했다. 화물 전용기로 리튬 배터리를 운송할 경우에는 충전율을 30% 이하로 제한했다. 사실상 기내 반입을 권장한 것이다. 승객이나 승무원 손이 닿기 쉬운 위치에 두어 화재에 신속하게 대응하도록 하겠다는 취지다.다만 이 경우에도 제한 규정이 없는 것은 아니다. 전세계 항공사들의 협회인 국제항공운송협회(IATA)의 ‘위험물 규정(DGR)’에 따르면 기내에 반입되는 모든 보조배터리는 유엔의 심사 기준을 충족해야 하고, 배터리 단자에 절연 테이프를 붙이는 등의 방식으로 단락(과전류가 흐르는 등의 현상)을 방지해야 한다. 100와트시(Wh) 이하 리튬이온배터리나 리튬함량이 2g보다 낮은 리튬메탈배터리는 인당 최대 20개까지, 100~160Wh 배터리는 최대 2개까지만 휴대가 가능하다. 대부분의 국적 항공사는 이러한 규정을 준용해 자율적으로 리튬 배터리 기내 수화물 반입 규정을 운영하고 있다.하지만 승객들이 소지한 리튬 배터리가 UN 기준을 충족한 것인지에 대한 탑승 전 검사는 따로 이뤄지고 있지 않다. 최근 인증 여부가 불투명한 저가형 보조 배터리가 광범위하게 보급되면서 관련 사고도 늘고 있다. 미국 연방항공청(FAA)은 2006년부터 지난 16일까지 리튬 배터리로 인해 발생한 항공편 사고 총 587건 중 230건이 충전식 배터리에서 발생했다는 조사결과를 최근 내기도 했다.정부는 규정 강화 필요성에는 공감하지만, 다른 나라들도 기내에 반입하는 리튬 배터리 인증 여부를 일일이 확인하는 전례는 없다며 난색을 표하고 있다. 리튬 배터리가 광범위하게 사용되는 상황에서 항공사 부담이 지나치게 커질 수 있다는 것이다. 심장박동기, 보청기 등 의료 목적의 배터리를 기내에 반드시 반입해야 하는 경우도 있어 전면 금지도 쉽지 않다는 입장이다.이 때문에 정부는 보조배터리 반입 자체를 금지하기보다는, 초기 화재 진압이 용이하도록 눈에 보이는 곳에 두도록 하는 방안 등을 대안으로 검토하고 있다. 국토부 관계자는 “기내 방송이나 체크인 카운터에서의 안내를 강화하는 방안 등을 검토 중”이라고 말했다.</div>

에어부산 여객기 화재 사고를 계기로 리튬 배터리의 기내 반입 규정을 강화해야 한다는 목소리가 힘을 얻고 있다. 아직 정확한 사고 원인이 밝혀진 것은 아니지만, 리튬 배터리로 인한 폭발 사고가 꾸준히 늘고 있고 승객 우려도 커진 만큼 정부도 규정 강화 필요성에는 공감하고 있다.

금지도, 확인도 못한다···보조배터리 기내 반입 규제의 ‘딜레마’

<div>네트워크 장비 최다 공격 대상…전체의 28.2% 차지취약점 공개 후 한 달 이내 공격 발생…신속한 패치 필요<figure><img src="https://www.dailysecu.com/news/photo/202502/163440_191608_5837.jpeg" /></figure>2024년 한 해 동안 사이버 공격자들이 악용한 공개 취약점 및 노출(CVE, Common Vulnerabilities and Exposures)이 768건에 달한 것으로 나타났다. 이는 2023년 639건에서 20% 증가한 수치로, 해커들이 취약점 익스플로잇을 지속적으로 확대하고 있음을 보여준다.보안 분석업체 벌른체크(VulnCheck)는 올해 보고된 실전 악용 취약점(KEV, Known Exploited Vulnerabilities) 중 23.6%가 취약점 정보가 공개된 날 또는 그 이전부터 이미 공격자들에게 무기화됐다고 밝혔다. 이는 2023년의 27%에서 소폭 감소한 수치지만, 특정 취약점이 언제든지 공격에 활용될 수 있다는 점을 시사한다.2024년 주요 익스플로잇 동향…4~5월 집중 발생2024년 실전에서 악용된 취약점의 보고 시점을 분석한 결과, 4월과 5월에 가장 많은 공격이 발생했다. 특히, RSA 콘퍼런스와 같은 대형 보안 행사가 열리는 시기와 맞물려 보안 연구자들이 발표한 새로운 취약점이 곧바로 악용되는 경향이 뚜렷했다. 또한, 1월부터 섀도우서버(ShadowServer)와 같은 새로운 취약점 탐지 기관이 활동을 시작하면서 전반적인 취약점 보고 건수도 증가한 것으로 분석됐다.정부 기관부터 민간 보안 기업까지…100곳 이상이 취약점 보고벌른체크에 따르면 올해 취약점을 보고한 기관은 100곳 이상으로 다양했다. 보안 기업 체크포인트(CheckPoint)와 포티넷(Fortinet), 미국 국방부(Department of Defense, DOD), 미국 사이버보안 및 인프라 보안국(CISA, Cybersecurity and Infrastructure Security Agency), 비영리 단체 섀도우서버(ShadowServer) 등 정부 기관과 민간 기업이 협력해 취약점 정보를 공유하고 있는 것으로 나타났다.이처럼 다양한 기관에서 취약점을 탐지·보고하면서 공격자들의 활동이 점점 더 빨리 포착되고 있지만, 여전히 많은 기업과 기관이 적절한 패치 적용 및 보안 조치를 시행하지 않아 공격의 위험에 노출되고 있다.네트워크 장비 최다 공격 대상…전체의 28.2% 차지올해 가장 많은 익스플로잇이 발생한 취약점 유형을 분석한 결과, 네트워크 엣지(Network Edge) 장비가 전체의 28.2%를 차지하며 가장 큰 비중을 기록했다. 네트워크 엣지 장비에는 라우터, 모뎀, 방화벽 등이 포함되며, 이 장비들은 인터넷에 직접 연결되어 있어 공격자의 주요 타깃이 되고 있다.다음으로는 오픈소스 소프트웨어(16.7%), 서버 소프트웨어(12.8%) 순으로 높은 비중을 차지했다. 이는 기업과 기관들이 보안 패치를 제때 적용하지 않거나, 최신 버전으로 업데이트하지 않아 공격에 취약하다는 점을 반증하는 결과다.취약점 공개 후 한 달 이내 공격 발생…신속한 패치 필요2024년 9월 기준, 보고된 익스플로잇 취약점의 29.5%는 CVE가 공개된 후 한 달 이내에 악용된 것으로 확인됐다. 또한, 53.9%는 1년 이내에 공격자들에 의해 악용됐다. 이 같은 통계는 기업과 기관들이 보안 패치를 신속하게 적용하지 않으면, 취약점을 노린 공격이 지속적으로 발생할 수밖에 없다는 사실을 다시 한번 입증하고 있다.특히 제로데이(Zero-Day) 취약점에 대한 위협도 여전했다. 2024년 상반기 동안 총 53건의 제로데이 취약점이 발견됐으며, 이 중 상당수가 취약점 정보가 공개되기 전부터 이미 공격자들에게 악용된 것으로 확인됐다. 이는 전체 KEV 목록 중 13.6%에 해당하는 수치로, 제로데이 취약점이 기업 보안에 심각한 위협이 되고 있음을 시사한다.벌른체크는 이번 보고서에서 기업과 기관들이 공격을 예방하기 위해 ▲취약점이 포함된 기술의 사용 여부 점검 ▲위험 요소에 대한 가시성 확보 ▲최신 위협 인텔리전스 활용 ▲강력한 패치 관리 체계 구축 ▲인터넷에 직접 노출되는 장비의 최소화 등의 조치를 취해야 한다고 권고했다.[ISDP 2025] 2월 11일, 제13회 전반기 최대 정보보호&데이터 보안 컨퍼런스&전시회 개최(7시간 보안교육 이수 / 구 G-PRIVACY 컨퍼런스)-주최: 데일리시큐-후원기관: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회-일시: 2025년 2월 11일 화요일 오전 9시~오후 5시-장소: 서울 삼성동 코엑스 3층 컨퍼런스룸E(1~6 전관) 및 로비-참석인원: 개인정보보호 및 정보보안 실무자 1,000여 명-참가비: 무료(현업 보안실무자에 한해 참석가능/이외 참석불가)-점심 및 주차: 지원하지 않습니다. -보안교육이수: 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)(※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.)-등록마감: 2025년 2월 9일 오후 6시까지-전시회: 국내외 최신 정보보호 및 개인정보보호, 데이터 보호 솔루션 전시-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가-문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com-사전등록 링크: 클릭★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★</div>

네트워크 장비 최다 공격 대상…전체의 28.2% 차지. 취약점 공개 후 한 달 이내 공격 발생…신속한 패치 필요. 2024년 한 해 동안 사이버 공격자들이 악용한 공개 취약점 및 노출(CVE, Common Vulnerabilities and Exposures)이 768건에 달한 것으로 나타났다. 이는 2023년 639건에서 20% 증가한 수치로, 해커들이 취약점 익스플로잇을 지속적으로 확대하고 있음을 보여준다.

2024년, 사이버공격 실전에서 악용된 취약점 768개...전년 대비 20% 증가

<div>비마약성 진통제 신약 FDA 승인마약성 진통제 오피오이드를 대체할 수 있는 비마약성 진통제 신약이 연방식품의약국(FDA)의 허가를 받았다. 새 유형의 진통제가 FDA 승인을 받은 것은 20년 만에 처음이다. 지난달 30일 블룸버그 통신 등 언론에 따르면, FDA는 이날 버텍스 파마슈티컬스가 개발한 비마약성 진통제 저너백스(Journavx)를 부상, 수술, 질병, 외상, 고통스러운 의료시술로 발생하는 중등도 및 중증의 급성 통증의 치료제로 승인했다. 신약은 통증 신호가 뇌에 도달하기 전에 통증 신호를 원점에서 차단하는 방식으로 작동한다. 이는 뇌에 직접 작용해 통증을 차단함으로써 뇌의 보상 중추를 자극하고 중독을 유발하는 오피오이드와는 다른 것이다. 오피오이드로 초기 치료를 받은 급성 통증 환자의 거의 10%는 오피오이드를 장기간 사용하게 되는데, 매년 약 8만5000명이 중독이나 남용과 같은 오피오이드 사용 장애를 겪는다. 하루 두 번 복용하는 이 약의 도매가는 50㎜ 한알당 15.5달러로 책정됐다. UPS “아마존 배송 절반 줄일 것”물류회사 UPS가 최대 고객인 아마존 배송 물량을 절반 이상 줄이겠다고 밝혔다. 주가는 정규장에서 14% 이상 급락했고 시간외 거래에서도 반등을 하지 못하고 있다. 지난달 30일 UPS 주가는 전일 대비 14.11% 하락한 114.90달러를 기록했다. 오후 5시 27분(동부시간) 시간외 거래에서는 0.08% 하락한 114.81달러를 기록 중이다. UPS는 4분기 실적 발표에서 “최대 고객과 내년 하반기까지 물량을 50% 이상 줄이기로 원칙적으로 합의했다”고 밝혔다. 캐롤 톰 최고경영자(CEO)는 아마존이 UPS의 가장 큰 고객이지만 가장 수익성 있는 고객은 아니라고 말했다. 아마존 배송에 따른 마진이 “국내 사업을 매우 희석시킨다”고 말했다. 저마진 물량 취급이 실적에 영향을 준다는 의미로 해석된다. UPS는 4분기에 253억 달러의 매출을 기록했다고 발표했다. 이는 LSEG가 집계한 전문가 전망치인 254억2000만 달러를 밑도는 수치다. </div>

마약성 진통제 오피오이드를 대체할 수 있는 비마약성 진통제 신약이 연방식품의약국(FDA)의 허가를 받았다. 새 유형의 진통제가 FDA 승인을 받은 것은 20년 만에 처음이다.

[브리프] '비마약성 진통제 신약 FDA 승인'외

<div>국내 법, 스마트폰과 태블릿 PC의 안전인증 기준 달라"17cm 이상이면 태블릿 PC"...측정 방식 규정 없어갤럭시 '실측' 17cm 넘지만 아이폰은 둥근 모서리로<figure><img src="https://cdn.greened.kr/news/photo/202502/322831_366536_2320.png" /></figure>[녹색경제신문 = 우연주 기자] 삼성전자의 갤럭시 S24·S25 울트라는 KC안전확인인증(이하 안전확인)을 받았지만 애플의 아이폰 15·16 프로 맥스는 같은 인증을 받지 않은 것으로 확인됐다. 우리나라 법은 기기의 대각선 길이가 17cm 이상이면 안전확인을 받도록 하고 있지만 아이폰이 예외로 인정받을 수 있었던 이유는 '둥근 모서리' 탓이다.■ KC안전인증, 종류도 가지가지...스마트폰은 원래 '공급자 적합성 확인' 대상이지만KC인증은 크게 '안전인증'과 '전자파인증'으로 나뉜다. 이 중 전자는 제품과 공장에 대한 심사가 포함되는 '안전인증', 국가가 지정한 안전인증기관을 통해 제품을 심사하는 '안전확인', 공급자가 민간시험소에서 시험해도 되는 '공급자 적합성 확인'으로 나뉜다.스마트폰은 위 기준에서 가장 난이도가 낮은 공급자 적합성 확인 대상이다.하지만 '전기용품 및 생활용품 안전관리 운용요령'의 '태블릿 PC' 항목에는 "화면 대각선의 길이가 17cm 이상인 것에 한정하며, 음성 통화기능이 있는 경우도 태블릿 PC로 본다"고 돼 있다.태블릿 PC는 위 기준에서 두 번째인 안전확인 대상이다. 때문에 '스마트폰'으로 출시됐다 하더라도 대각선 길이가 17cm가 넘는 경우 태블릿 PC로 간주될 수 있기 때문에 안전확인을 받는 추세다.대표적인 경우가 삼성전자의 갤럭시 S24·25 울트라 시리즈다. ■ 갤럭시는 덜 둥글고, 아이폰은 더 둥글었네...법의 '17cm' 비껴나간 이유갤럭시 S24 울트라의 경우 직각화해 측정하면 대각선 길이가 17.25cm다. 갤럭시 S25 울트라도 직각화해 측정하면 대각선 길이가 17.42cm다.이에 갤럭시 S24·25 울트라 시리즈는 모두 안전확인 인증을 받았다.아이폰도 광고된 대각선 길이는 모두 17cm 이상이다.아이폰 15 프로 맥스의 경우 대각선 길이가 17cm라고 공식 홈페이지에 광고돼 있고, 아이폰 16 프로 맥스는 17cm를 훌쩍 넘는 17.43cm로 광고되고 있다.관건은 '실측'이었다. 아이폰 프로 맥스 시리즈의 경우 모서리 둥글게 깎여 있어, 대각선으로 길이를 측정하면 두 기기 모두 17cm에 못 미친다.기자가 직접 측정한 아이폰 16 프로 맥스의 화면 대각선 길이는 약 16.7cm였다.행정사 A씨는 "KC인증은 무조건 실측 기준이다"며 "제조사가 이렇다, 저렇다 주장할 수 있지 않나. 그래서 시험기관에서 직접 측정하고 실험한 결과를 기준으로 한다"고 배경을 전했다.내막을 잘 아는 B씨는 "애플 측이 소명한 자료를 보니 합리적(reasonable)이었다"고 상황을 전했다. 둥근 모서리로 인해 실측 결과가 깎여나간 것을 가리킨 것으로 풀이된다.<figure><img src="https://cdn.greened.kr/news/photo/202502/322831_366537_2712.png" /></figure>■ 가상의 직사각형 만들어 대각선 길이 측정...기준 애매하다는 지적도그렇다면 광고된 '17cm'와 '17.43cm'는 무엇일까? 힌트는 '직각화'라는 표현에 있었다.애플 홈페이지에는 "아이폰 16 프로 맥스 디스플레이는 모서리가 둥근 형태로, 기기의 아름다운 곡면 디자인을 반영합니다. 이 모서리는 기기의 전체적인 모양인 직사각형 내부에 위치합니다. 직사각형 기준으로 측정했을 때, 화면은 대각선 길이 기준 17.43cm입니다(실제로 보이는 영역은 이보다 좁음)"고 쓰여 있다.즉, 둥근 모서리를 만들기 위헤 깎아낸 부분을 가상으로 채워넣어 직사각형을 만든 후 측정한 수치라는 것이다.갤럭시의 경우 모서리가 깎인 정도가 상대적으로 덜해 실측값도 모두 17cm가 넘었다. 갤럭시 S24·S25 울트라는 KC 안전확인을 받은 배경이다.업계에서는 '기준이 애매하다'는 점을 지적하기도 한다.B씨는 "사실 화면 측정 방식에 대해 명확히 규정된 바가 없다. 제조사가 제출한 자료를 바탕으로 판단해야 한다"고 말했다.다른 제조사 관계자도 "원래는 스마트폰이니 공급자 적합성만 받으면 되는데, 디스플레이 길이가 17cm를 넘으니 태블릿 PC로 볼 수도 있다는 의견이 외부 기관에서 전달된 것으로 안다"고 말했다.우연주 기자 lycaon@greened.kr▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'</div>

국내 법, 스마트폰과 태블릿 PC의 안전인증 기준 달라. "17cm 이상이면 태블릿 PC"...측정 방식 규정 없어. 갤럭시 '실측' 17cm 넘지만 아이폰은 둥근 모서리로

KC 안전확인, 갤럭시는 받았는데 아이폰은 안 받았다...이유는?

중국산 환자 모니터링 시스템에서 백도어가 발견되어 논란이다. tomshardware는 중국 Contec CMS8000 시리즈에서 모니터링 데이터를 특정 IP 주소로 전송하는 백도어가 발견된 사실을 전했다.

중국산 환자 모니터링 시스템서 백도어 발견

관련 뉴스