메타버스에서의 악의적: 새로운 국경에서 알려진 사이버 위협에 맞서기
이 기사의 한 버전이 에 게재되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
A 몇 년 전우리는 사이버 보안이 얼마나 황량한 서부인지에 대해 많은 이야기를 나눴습니다. 그리고 많은 사이버 공격이 야기할 수 있는 실제 생명 위험은 말할 것도 없고 더 많은 사람들이 사이버 보안에 대해 전반적으로 관심을 가져야 할 필요성이 절실히 필요했습니다.
2023년으로 거슬러 올라가면, 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 있었다는 것을 알게 되어 기쁩니다.하지만 우리에게 진정한 보안 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다.현재 가장 사랑받는 디지털 플랫폼인 메타버스의 등장으로 코드 수준의 취약점과 소셜 엔지니어링 모두에 대한 거대한 새로운 공격 표면이 추가되었습니다.
우리는 연기와 거울을 기반으로 하는 이 새로운 경기장에서 전투를 벌일 준비가 되어 있지 않을 뿐입니다.
혼합 현실은 위험 심화를 동반합니다
현재 이달의 맛이라는 지위에도 불구하고 메타버스의 개념은 오래전부터 존재해 왔습니다.온라인 플랫폼 세컨드 라이프 2003년부터 운영되어 왔으며, 사용자의 아바타가 음성 및 문자 채팅을 통해 상호 작용하고, 게임을 플레이하고, Adidas와 같은 회사에서 공식 가상 매장을 제공하는 완벽한 맞춤형 온라인 세계를 통해 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다.순수한 게임 측면에서는 포트나이트 및 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인 (MMO) 게임은 플레이어에게 광대한 세계를 제공하며, 소액 결제에 의존하거나 가상 아이템을 위해 실제 돈을 벌는 방식으로 점점 더 많이 의존하고 있습니다.포트나이트만 단독으로 제작했습니다. 43억 달러의 소액 거래 수익 시장에 나온 첫 2년 동안.
메타버스 개념이 계속 유지될 뿐만 아니라 Mark Zuckerberg 수준의 개념이 될 것이라는 것은 매우 분명합니다. 메인스트림으로 밀어붙이기.우리가 알고 있는 것처럼 이것은 인터넷, 적어도 소셜 미디어와 일부 전자 상거래의 놀라운 진화입니다. 하지만 사이버 공격과 피해를 주는 익스플로잇의 가능성은 놀라울 정도입니다.
메타버스 공격 표면은 웹 기반 소프트웨어, API 및 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다.VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 됩니다. 이러한 장치에 내장된 소프트웨어는 취약한 경우 위험을 감수할 수 있는 매우 편리한 레드 카펫입니다.
럿거스 대학교의 보안 연구원들이 밝혔습니다.”페이스 마이크올해 초, 가상 현실 헤드셋의 음성 명령 기능이 어떻게 “도청 공격”으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지 조사한 최초의 연구입니다.이 연구는 흥미롭습니다. 위협 행위자가 동작 센서가 내장된 일부 가상 현실 (AR/VR) 헤드셋을 사용하여 음성 관련 얼굴 제스처를 녹음할 수 있으며, 이로 인해 신용 카드 정보 및 암호를 포함하여 음성 인식 제어를 통해 전달되는 민감한 정보가 도용될 수 있다는 것을 보여줍니다.문제의 근본 원인은 사용자 인증의 부재인 것으로 보입니다.액세스 권한이 필요 없는 가속도계와 자이로스코프를 사용하면 복잡한 얼굴 움직임, 뼈에서 발생하는 진동 및 공기 중 진동을 기록하고 이를 사용하여 사용자의 패턴에 따라 은행 PIN부터 매우 제한된 의료 기록까지 모든 것을 추론할 수 있습니다.
메타버스에서는 사용자가 하는 모든 움직임이 데이터 포인트이고, 느슨한 소프트웨어 보안을 통해 이에 대한 접근이 가능하다면 공격자가 운을 시험해 볼 유인은 엄청납니다.
스마트 컨트랙트는 똑똑한 적과 맞닥뜨립니다
메타 경제는 탈중앙화, 비물질화, 유연성, 그리고 물론 타협하지 않는 보안을 요구합니다.현재 시바 이누 (Shiba Inu) 와 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로이코노미가 성장하고 있습니다.가상 부동산 및 기타 무형 상품을 구매하기 위해서는 스마트 컨트랙트 블록체인에 저장된 데이터가 활용됩니다.
“블록체인”을 언급하면, (기술에 약간 정통한) 대부분의 일반 사람들은 블록체인을 디지털 통화의 미래로 간주되는 안전한 익명 시스템으로 이해합니다.하지만 여기에는 약간의 문제가 있습니다. 뚫을 수 없는 온라인 요새는 없으며 이러한 스마트 계약도 예외는 아닙니다.기본적으로 작은 프로그램이기 때문에 해킹당할 수 있습니다.
스마트 콘트랙트는 정수 오버플로 및 언더플로, 리플레이 공격, 재진입 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 상당히 흔한 몇 가지 취약점으로 인해 악용되기 쉽습니다. 재진입 공격은 사용자의 저장된 암호화폐 잔고를 고갈시킬 수 있습니다.이러한 모든 공격은 취약점을 악용할 수 있는 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 요소 때문에 가능합니다.
이 기술은 점점 더 널리 사용될 것이지만, 오늘날에는 안전하고 안전한 메타버스를 보장할 수 있는 충분한 보안 인식 개발자를 찾는 데 어려움을 겪을 것입니다.조직은 특히 데이터와 통화가 위험에 처해 있는 경우 메타버스 참여의 규모를 이해해야 합니다... 그리고 그렇지 않을 시나리오는 상상하기 어렵습니다.
규제가 없는 환경이지만 여러분은 (여전히) 제품입니다.
영화나 TV에서 보았던 것처럼 세컨드 라이프그리고 비디오 게임, 메타버스 환경은 우리가 원하는 사람이 될 수 있게 해줍니다.가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력입니다.하지만 메타와 같이 계획된 규모에서는 너무 방대하고 분산되어 있어서 보안상의 관점에서 완전히 밀폐될 수 있다는 단점이 있습니다.사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 볼 때 처리해야 할 일이 훨씬 더 많아질 것입니다.
민감한 사용자 데이터는 새로운 금이며 메타버스는 지금까지 본 것 중 가장 풍부하고 완전한 데이터 소스가 될 잠재력을 가지고 있습니다. 예상 채택 계획대로 진행됩니다.메타버스 관련 소프트웨어 빌드는 현재의 규제 표준 및 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장되는 디지털 세계와 경제를 지원하는 데 적합한 업데이트가 필요합니다.그 핵심은 소프트웨어를 개발하는 모든 사람이 프로세스의 모든 단계, 특히 개발 코호트에서 보안에 대해 생각하고 구현할 수 있도록 하는 사내 보안 성숙도 수준을 갖추고 메타버스에 대한 기여의 보안을 책임지는 조직이 될 것입니다.
메타버스의 성공에 시큐어 코딩이 중요한 이유
현실 세계에서 원하는 모든 것을 갖춘 아바타로 대표되는 무법 디지털 차원을 가로지르는 것이 재미있겠지만, 모든 “캐릭터”의 배후에는 인간이 있다는 사실을 절대 잊어서는 안 됩니다.그리고 실제 사람들의 데이터와 재정이 위험에 처할 때는 게임과는 거리가 멀죠.
사이버 보안 분야에서 우리는 실수가 진정으로 치명적일 수 있는 결과를 초래한다는 것을 잘 알고 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺으려면 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없습니다.
조직은 소프트웨어를 적극적으로 개발하는 개발자의 보안 기술 향상에 중점을 두고 보안 성숙도를 현실적으로 평가하여 지금 계획을 시작할 수 있습니다.Rutgers University의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나일 뿐이며, 보안을 잘 아는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 데 훨씬 더 유리할 것입니다.
사이버 보안 기술 부족에 대한 변명만으로는 중대한 메타버스 데이터 침해 이후 씻을 수 없습니다. 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 개선할 수 있는 도구가 있습니다.지금은 메타버스의 설계자를 교육하는 데 투자하고 우리가 알고 있는 제품과 서비스를 가상으로 재구상함으로써 얻을 수 있는 이점을 누려야 할 때입니다.
현재 가장 사랑받는 디지털 플랫폼인 메타버스의 등장으로 코드 수준의 취약점과 소셜 엔지니어링 모두에 대한 새로운 공격 표면이 추가되었습니다.게다가 우리는 연기와 거울을 기반으로 하는 이 새로운 경기장에서 전투를 벌일 준비가 되어 있지 않을 뿐입니다.
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사의 한 버전이 에 게재되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
A 몇 년 전우리는 사이버 보안이 얼마나 황량한 서부인지에 대해 많은 이야기를 나눴습니다. 그리고 많은 사이버 공격이 야기할 수 있는 실제 생명 위험은 말할 것도 없고 더 많은 사람들이 사이버 보안에 대해 전반적으로 관심을 가져야 할 필요성이 절실히 필요했습니다.
2023년으로 거슬러 올라가면, 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 있었다는 것을 알게 되어 기쁩니다.하지만 우리에게 진정한 보안 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다.현재 가장 사랑받는 디지털 플랫폼인 메타버스의 등장으로 코드 수준의 취약점과 소셜 엔지니어링 모두에 대한 거대한 새로운 공격 표면이 추가되었습니다.
우리는 연기와 거울을 기반으로 하는 이 새로운 경기장에서 전투를 벌일 준비가 되어 있지 않을 뿐입니다.
혼합 현실은 위험 심화를 동반합니다
현재 이달의 맛이라는 지위에도 불구하고 메타버스의 개념은 오래전부터 존재해 왔습니다.온라인 플랫폼 세컨드 라이프 2003년부터 운영되어 왔으며, 사용자의 아바타가 음성 및 문자 채팅을 통해 상호 작용하고, 게임을 플레이하고, Adidas와 같은 회사에서 공식 가상 매장을 제공하는 완벽한 맞춤형 온라인 세계를 통해 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다.순수한 게임 측면에서는 포트나이트 및 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인 (MMO) 게임은 플레이어에게 광대한 세계를 제공하며, 소액 결제에 의존하거나 가상 아이템을 위해 실제 돈을 벌는 방식으로 점점 더 많이 의존하고 있습니다.포트나이트만 단독으로 제작했습니다. 43억 달러의 소액 거래 수익 시장에 나온 첫 2년 동안.
메타버스 개념이 계속 유지될 뿐만 아니라 Mark Zuckerberg 수준의 개념이 될 것이라는 것은 매우 분명합니다. 메인스트림으로 밀어붙이기.우리가 알고 있는 것처럼 이것은 인터넷, 적어도 소셜 미디어와 일부 전자 상거래의 놀라운 진화입니다. 하지만 사이버 공격과 피해를 주는 익스플로잇의 가능성은 놀라울 정도입니다.
메타버스 공격 표면은 웹 기반 소프트웨어, API 및 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다.VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 됩니다. 이러한 장치에 내장된 소프트웨어는 취약한 경우 위험을 감수할 수 있는 매우 편리한 레드 카펫입니다.
럿거스 대학교의 보안 연구원들이 밝혔습니다.”페이스 마이크올해 초, 가상 현실 헤드셋의 음성 명령 기능이 어떻게 “도청 공격”으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지 조사한 최초의 연구입니다.이 연구는 흥미롭습니다. 위협 행위자가 동작 센서가 내장된 일부 가상 현실 (AR/VR) 헤드셋을 사용하여 음성 관련 얼굴 제스처를 녹음할 수 있으며, 이로 인해 신용 카드 정보 및 암호를 포함하여 음성 인식 제어를 통해 전달되는 민감한 정보가 도용될 수 있다는 것을 보여줍니다.문제의 근본 원인은 사용자 인증의 부재인 것으로 보입니다.액세스 권한이 필요 없는 가속도계와 자이로스코프를 사용하면 복잡한 얼굴 움직임, 뼈에서 발생하는 진동 및 공기 중 진동을 기록하고 이를 사용하여 사용자의 패턴에 따라 은행 PIN부터 매우 제한된 의료 기록까지 모든 것을 추론할 수 있습니다.
메타버스에서는 사용자가 하는 모든 움직임이 데이터 포인트이고, 느슨한 소프트웨어 보안을 통해 이에 대한 접근이 가능하다면 공격자가 운을 시험해 볼 유인은 엄청납니다.
스마트 컨트랙트는 똑똑한 적과 맞닥뜨립니다
메타 경제는 탈중앙화, 비물질화, 유연성, 그리고 물론 타협하지 않는 보안을 요구합니다.현재 시바 이누 (Shiba Inu) 와 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로이코노미가 성장하고 있습니다.가상 부동산 및 기타 무형 상품을 구매하기 위해서는 스마트 컨트랙트 블록체인에 저장된 데이터가 활용됩니다.
“블록체인”을 언급하면, (기술에 약간 정통한) 대부분의 일반 사람들은 블록체인을 디지털 통화의 미래로 간주되는 안전한 익명 시스템으로 이해합니다.하지만 여기에는 약간의 문제가 있습니다. 뚫을 수 없는 온라인 요새는 없으며 이러한 스마트 계약도 예외는 아닙니다.기본적으로 작은 프로그램이기 때문에 해킹당할 수 있습니다.
스마트 콘트랙트는 정수 오버플로 및 언더플로, 리플레이 공격, 재진입 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 상당히 흔한 몇 가지 취약점으로 인해 악용되기 쉽습니다. 재진입 공격은 사용자의 저장된 암호화폐 잔고를 고갈시킬 수 있습니다.이러한 모든 공격은 취약점을 악용할 수 있는 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 요소 때문에 가능합니다.
이 기술은 점점 더 널리 사용될 것이지만, 오늘날에는 안전하고 안전한 메타버스를 보장할 수 있는 충분한 보안 인식 개발자를 찾는 데 어려움을 겪을 것입니다.조직은 특히 데이터와 통화가 위험에 처해 있는 경우 메타버스 참여의 규모를 이해해야 합니다... 그리고 그렇지 않을 시나리오는 상상하기 어렵습니다.
규제가 없는 환경이지만 여러분은 (여전히) 제품입니다.
영화나 TV에서 보았던 것처럼 세컨드 라이프그리고 비디오 게임, 메타버스 환경은 우리가 원하는 사람이 될 수 있게 해줍니다.가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력입니다.하지만 메타와 같이 계획된 규모에서는 너무 방대하고 분산되어 있어서 보안상의 관점에서 완전히 밀폐될 수 있다는 단점이 있습니다.사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 볼 때 처리해야 할 일이 훨씬 더 많아질 것입니다.
민감한 사용자 데이터는 새로운 금이며 메타버스는 지금까지 본 것 중 가장 풍부하고 완전한 데이터 소스가 될 잠재력을 가지고 있습니다. 예상 채택 계획대로 진행됩니다.메타버스 관련 소프트웨어 빌드는 현재의 규제 표준 및 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장되는 디지털 세계와 경제를 지원하는 데 적합한 업데이트가 필요합니다.그 핵심은 소프트웨어를 개발하는 모든 사람이 프로세스의 모든 단계, 특히 개발 코호트에서 보안에 대해 생각하고 구현할 수 있도록 하는 사내 보안 성숙도 수준을 갖추고 메타버스에 대한 기여의 보안을 책임지는 조직이 될 것입니다.
메타버스의 성공에 시큐어 코딩이 중요한 이유
현실 세계에서 원하는 모든 것을 갖춘 아바타로 대표되는 무법 디지털 차원을 가로지르는 것이 재미있겠지만, 모든 “캐릭터”의 배후에는 인간이 있다는 사실을 절대 잊어서는 안 됩니다.그리고 실제 사람들의 데이터와 재정이 위험에 처할 때는 게임과는 거리가 멀죠.
사이버 보안 분야에서 우리는 실수가 진정으로 치명적일 수 있는 결과를 초래한다는 것을 잘 알고 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺으려면 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없습니다.
조직은 소프트웨어를 적극적으로 개발하는 개발자의 보안 기술 향상에 중점을 두고 보안 성숙도를 현실적으로 평가하여 지금 계획을 시작할 수 있습니다.Rutgers University의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나일 뿐이며, 보안을 잘 아는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 데 훨씬 더 유리할 것입니다.
사이버 보안 기술 부족에 대한 변명만으로는 중대한 메타버스 데이터 침해 이후 씻을 수 없습니다. 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 개선할 수 있는 도구가 있습니다.지금은 메타버스의 설계자를 교육하는 데 투자하고 우리가 알고 있는 제품과 서비스를 가상으로 재구상함으로써 얻을 수 있는 이점을 누려야 할 때입니다.
이 기사의 한 버전이 에 게재되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
A 몇 년 전우리는 사이버 보안이 얼마나 황량한 서부인지에 대해 많은 이야기를 나눴습니다. 그리고 많은 사이버 공격이 야기할 수 있는 실제 생명 위험은 말할 것도 없고 더 많은 사람들이 사이버 보안에 대해 전반적으로 관심을 가져야 할 필요성이 절실히 필요했습니다.
2023년으로 거슬러 올라가면, 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 있었다는 것을 알게 되어 기쁩니다.하지만 우리에게 진정한 보안 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다.현재 가장 사랑받는 디지털 플랫폼인 메타버스의 등장으로 코드 수준의 취약점과 소셜 엔지니어링 모두에 대한 거대한 새로운 공격 표면이 추가되었습니다.
우리는 연기와 거울을 기반으로 하는 이 새로운 경기장에서 전투를 벌일 준비가 되어 있지 않을 뿐입니다.
혼합 현실은 위험 심화를 동반합니다
현재 이달의 맛이라는 지위에도 불구하고 메타버스의 개념은 오래전부터 존재해 왔습니다.온라인 플랫폼 세컨드 라이프 2003년부터 운영되어 왔으며, 사용자의 아바타가 음성 및 문자 채팅을 통해 상호 작용하고, 게임을 플레이하고, Adidas와 같은 회사에서 공식 가상 매장을 제공하는 완벽한 맞춤형 온라인 세계를 통해 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다.순수한 게임 측면에서는 포트나이트 및 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인 (MMO) 게임은 플레이어에게 광대한 세계를 제공하며, 소액 결제에 의존하거나 가상 아이템을 위해 실제 돈을 벌는 방식으로 점점 더 많이 의존하고 있습니다.포트나이트만 단독으로 제작했습니다. 43억 달러의 소액 거래 수익 시장에 나온 첫 2년 동안.
메타버스 개념이 계속 유지될 뿐만 아니라 Mark Zuckerberg 수준의 개념이 될 것이라는 것은 매우 분명합니다. 메인스트림으로 밀어붙이기.우리가 알고 있는 것처럼 이것은 인터넷, 적어도 소셜 미디어와 일부 전자 상거래의 놀라운 진화입니다. 하지만 사이버 공격과 피해를 주는 익스플로잇의 가능성은 놀라울 정도입니다.
메타버스 공격 표면은 웹 기반 소프트웨어, API 및 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다.VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 됩니다. 이러한 장치에 내장된 소프트웨어는 취약한 경우 위험을 감수할 수 있는 매우 편리한 레드 카펫입니다.
럿거스 대학교의 보안 연구원들이 밝혔습니다.”페이스 마이크올해 초, 가상 현실 헤드셋의 음성 명령 기능이 어떻게 “도청 공격”으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지 조사한 최초의 연구입니다.이 연구는 흥미롭습니다. 위협 행위자가 동작 센서가 내장된 일부 가상 현실 (AR/VR) 헤드셋을 사용하여 음성 관련 얼굴 제스처를 녹음할 수 있으며, 이로 인해 신용 카드 정보 및 암호를 포함하여 음성 인식 제어를 통해 전달되는 민감한 정보가 도용될 수 있다는 것을 보여줍니다.문제의 근본 원인은 사용자 인증의 부재인 것으로 보입니다.액세스 권한이 필요 없는 가속도계와 자이로스코프를 사용하면 복잡한 얼굴 움직임, 뼈에서 발생하는 진동 및 공기 중 진동을 기록하고 이를 사용하여 사용자의 패턴에 따라 은행 PIN부터 매우 제한된 의료 기록까지 모든 것을 추론할 수 있습니다.
메타버스에서는 사용자가 하는 모든 움직임이 데이터 포인트이고, 느슨한 소프트웨어 보안을 통해 이에 대한 접근이 가능하다면 공격자가 운을 시험해 볼 유인은 엄청납니다.
스마트 컨트랙트는 똑똑한 적과 맞닥뜨립니다
메타 경제는 탈중앙화, 비물질화, 유연성, 그리고 물론 타협하지 않는 보안을 요구합니다.현재 시바 이누 (Shiba Inu) 와 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로이코노미가 성장하고 있습니다.가상 부동산 및 기타 무형 상품을 구매하기 위해서는 스마트 컨트랙트 블록체인에 저장된 데이터가 활용됩니다.
“블록체인”을 언급하면, (기술에 약간 정통한) 대부분의 일반 사람들은 블록체인을 디지털 통화의 미래로 간주되는 안전한 익명 시스템으로 이해합니다.하지만 여기에는 약간의 문제가 있습니다. 뚫을 수 없는 온라인 요새는 없으며 이러한 스마트 계약도 예외는 아닙니다.기본적으로 작은 프로그램이기 때문에 해킹당할 수 있습니다.
스마트 콘트랙트는 정수 오버플로 및 언더플로, 리플레이 공격, 재진입 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 상당히 흔한 몇 가지 취약점으로 인해 악용되기 쉽습니다. 재진입 공격은 사용자의 저장된 암호화폐 잔고를 고갈시킬 수 있습니다.이러한 모든 공격은 취약점을 악용할 수 있는 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 요소 때문에 가능합니다.
이 기술은 점점 더 널리 사용될 것이지만, 오늘날에는 안전하고 안전한 메타버스를 보장할 수 있는 충분한 보안 인식 개발자를 찾는 데 어려움을 겪을 것입니다.조직은 특히 데이터와 통화가 위험에 처해 있는 경우 메타버스 참여의 규모를 이해해야 합니다... 그리고 그렇지 않을 시나리오는 상상하기 어렵습니다.
규제가 없는 환경이지만 여러분은 (여전히) 제품입니다.
영화나 TV에서 보았던 것처럼 세컨드 라이프그리고 비디오 게임, 메타버스 환경은 우리가 원하는 사람이 될 수 있게 해줍니다.가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력입니다.하지만 메타와 같이 계획된 규모에서는 너무 방대하고 분산되어 있어서 보안상의 관점에서 완전히 밀폐될 수 있다는 단점이 있습니다.사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 볼 때 처리해야 할 일이 훨씬 더 많아질 것입니다.
민감한 사용자 데이터는 새로운 금이며 메타버스는 지금까지 본 것 중 가장 풍부하고 완전한 데이터 소스가 될 잠재력을 가지고 있습니다. 예상 채택 계획대로 진행됩니다.메타버스 관련 소프트웨어 빌드는 현재의 규제 표준 및 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장되는 디지털 세계와 경제를 지원하는 데 적합한 업데이트가 필요합니다.그 핵심은 소프트웨어를 개발하는 모든 사람이 프로세스의 모든 단계, 특히 개발 코호트에서 보안에 대해 생각하고 구현할 수 있도록 하는 사내 보안 성숙도 수준을 갖추고 메타버스에 대한 기여의 보안을 책임지는 조직이 될 것입니다.
메타버스의 성공에 시큐어 코딩이 중요한 이유
현실 세계에서 원하는 모든 것을 갖춘 아바타로 대표되는 무법 디지털 차원을 가로지르는 것이 재미있겠지만, 모든 “캐릭터”의 배후에는 인간이 있다는 사실을 절대 잊어서는 안 됩니다.그리고 실제 사람들의 데이터와 재정이 위험에 처할 때는 게임과는 거리가 멀죠.
사이버 보안 분야에서 우리는 실수가 진정으로 치명적일 수 있는 결과를 초래한다는 것을 잘 알고 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺으려면 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없습니다.
조직은 소프트웨어를 적극적으로 개발하는 개발자의 보안 기술 향상에 중점을 두고 보안 성숙도를 현실적으로 평가하여 지금 계획을 시작할 수 있습니다.Rutgers University의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나일 뿐이며, 보안을 잘 아는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 데 훨씬 더 유리할 것입니다.
사이버 보안 기술 부족에 대한 변명만으로는 중대한 메타버스 데이터 침해 이후 씻을 수 없습니다. 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 개선할 수 있는 도구가 있습니다.지금은 메타버스의 설계자를 교육하는 데 투자하고 우리가 알고 있는 제품과 서비스를 가상으로 재구상함으로써 얻을 수 있는 이점을 누려야 할 때입니다.
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
이 기사의 한 버전이 에 게재되었습니다. 정보보안 매거진.여기에서 업데이트 및 신디케이트되었습니다.
A 몇 년 전우리는 사이버 보안이 얼마나 황량한 서부인지에 대해 많은 이야기를 나눴습니다. 그리고 많은 사이버 공격이 야기할 수 있는 실제 생명 위험은 말할 것도 없고 더 많은 사람들이 사이버 보안에 대해 전반적으로 관심을 가져야 할 필요성이 절실히 필요했습니다.
2023년으로 거슬러 올라가면, 특히 많은 영향력 있는 국가의 정부 차원에서 어느 정도 진전이 있었다는 것을 알게 되어 기쁩니다.하지만 우리에게 진정한 보안 코드와 더 안전한 소프트웨어를 향한 여정은 끝이 없습니다.현재 가장 사랑받는 디지털 플랫폼인 메타버스의 등장으로 코드 수준의 취약점과 소셜 엔지니어링 모두에 대한 거대한 새로운 공격 표면이 추가되었습니다.
우리는 연기와 거울을 기반으로 하는 이 새로운 경기장에서 전투를 벌일 준비가 되어 있지 않을 뿐입니다.
혼합 현실은 위험 심화를 동반합니다
현재 이달의 맛이라는 지위에도 불구하고 메타버스의 개념은 오래전부터 존재해 왔습니다.온라인 플랫폼 세컨드 라이프 2003년부터 운영되어 왔으며, 사용자의 아바타가 음성 및 문자 채팅을 통해 상호 작용하고, 게임을 플레이하고, Adidas와 같은 회사에서 공식 가상 매장을 제공하는 완벽한 맞춤형 온라인 세계를 통해 충성도 높은 틈새 시장에 서비스를 제공하고 있습니다.순수한 게임 측면에서는 포트나이트 및 월드 오브 워크래프트와 같은 대규모 멀티플레이어 온라인 (MMO) 게임은 플레이어에게 광대한 세계를 제공하며, 소액 결제에 의존하거나 가상 아이템을 위해 실제 돈을 벌는 방식으로 점점 더 많이 의존하고 있습니다.포트나이트만 단독으로 제작했습니다. 43억 달러의 소액 거래 수익 시장에 나온 첫 2년 동안.
메타버스 개념이 계속 유지될 뿐만 아니라 Mark Zuckerberg 수준의 개념이 될 것이라는 것은 매우 분명합니다. 메인스트림으로 밀어붙이기.우리가 알고 있는 것처럼 이것은 인터넷, 적어도 소셜 미디어와 일부 전자 상거래의 놀라운 진화입니다. 하지만 사이버 공격과 피해를 주는 익스플로잇의 가능성은 놀라울 정도입니다.
메타버스 공격 표면은 웹 기반 소프트웨어, API 및 결제 게이트웨이를 훨씬 뛰어넘어 광범위합니다.VR 헤드셋과 액세서리의 주변 요소도 핵심 데이터에 위협이 됩니다. 이러한 장치에 내장된 소프트웨어는 취약한 경우 위험을 감수할 수 있는 매우 편리한 레드 카펫입니다.
럿거스 대학교의 보안 연구원들이 밝혔습니다.”페이스 마이크올해 초, 가상 현실 헤드셋의 음성 명령 기능이 어떻게 “도청 공격”으로 알려진 심각한 개인 정보 침해로 이어질 수 있는지 조사한 최초의 연구입니다.이 연구는 흥미롭습니다. 위협 행위자가 동작 센서가 내장된 일부 가상 현실 (AR/VR) 헤드셋을 사용하여 음성 관련 얼굴 제스처를 녹음할 수 있으며, 이로 인해 신용 카드 정보 및 암호를 포함하여 음성 인식 제어를 통해 전달되는 민감한 정보가 도용될 수 있다는 것을 보여줍니다.문제의 근본 원인은 사용자 인증의 부재인 것으로 보입니다.액세스 권한이 필요 없는 가속도계와 자이로스코프를 사용하면 복잡한 얼굴 움직임, 뼈에서 발생하는 진동 및 공기 중 진동을 기록하고 이를 사용하여 사용자의 패턴에 따라 은행 PIN부터 매우 제한된 의료 기록까지 모든 것을 추론할 수 있습니다.
메타버스에서는 사용자가 하는 모든 움직임이 데이터 포인트이고, 느슨한 소프트웨어 보안을 통해 이에 대한 접근이 가능하다면 공격자가 운을 시험해 볼 유인은 엄청납니다.
스마트 컨트랙트는 똑똑한 적과 맞닥뜨립니다
메타 경제는 탈중앙화, 비물질화, 유연성, 그리고 물론 타협하지 않는 보안을 요구합니다.현재 시바 이누 (Shiba Inu) 와 같은 다양한 암호화폐 커뮤니티에서 메타버스 마이크로이코노미가 성장하고 있습니다.가상 부동산 및 기타 무형 상품을 구매하기 위해서는 스마트 컨트랙트 블록체인에 저장된 데이터가 활용됩니다.
“블록체인”을 언급하면, (기술에 약간 정통한) 대부분의 일반 사람들은 블록체인을 디지털 통화의 미래로 간주되는 안전한 익명 시스템으로 이해합니다.하지만 여기에는 약간의 문제가 있습니다. 뚫을 수 없는 온라인 요새는 없으며 이러한 스마트 계약도 예외는 아닙니다.기본적으로 작은 프로그램이기 때문에 해킹당할 수 있습니다.
스마트 콘트랙트는 정수 오버플로 및 언더플로, 리플레이 공격, 재진입 공격으로 이어지는 (매우 치명적인) 블록체인 중심 버그 등 상당히 흔한 몇 가지 취약점으로 인해 악용되기 쉽습니다. 재진입 공격은 사용자의 저장된 암호화폐 잔고를 고갈시킬 수 있습니다.이러한 모든 공격은 취약점을 악용할 수 있는 취약점으로 이어지는 잘못된 코딩 패턴과 안전하지 않은 설계 기본 요소 때문에 가능합니다.
이 기술은 점점 더 널리 사용될 것이지만, 오늘날에는 안전하고 안전한 메타버스를 보장할 수 있는 충분한 보안 인식 개발자를 찾는 데 어려움을 겪을 것입니다.조직은 특히 데이터와 통화가 위험에 처해 있는 경우 메타버스 참여의 규모를 이해해야 합니다... 그리고 그렇지 않을 시나리오는 상상하기 어렵습니다.
규제가 없는 환경이지만 여러분은 (여전히) 제품입니다.
영화나 TV에서 보았던 것처럼 세컨드 라이프그리고 비디오 게임, 메타버스 환경은 우리가 원하는 사람이 될 수 있게 해줍니다.가상 세계에서는 상상력에 의해서만 가능성이 제한되며, 이러한 유연성은 사용자에게 큰 매력입니다.하지만 메타와 같이 계획된 규모에서는 너무 방대하고 분산되어 있어서 보안상의 관점에서 완전히 밀폐될 수 있다는 단점이 있습니다.사기는 피할 수 없을 것이며, 숙련된 범죄자들은 사회 공학적 관점에서 볼 때 처리해야 할 일이 훨씬 더 많아질 것입니다.
민감한 사용자 데이터는 새로운 금이며 메타버스는 지금까지 본 것 중 가장 풍부하고 완전한 데이터 소스가 될 잠재력을 가지고 있습니다. 예상 채택 계획대로 진행됩니다.메타버스 관련 소프트웨어 빌드는 현재의 규제 표준 및 규정 준수 조치를 준수할 것이라고 가정할 수 있지만, 빠르게 확장되는 디지털 세계와 경제를 지원하는 데 적합한 업데이트가 필요합니다.그 핵심은 소프트웨어를 개발하는 모든 사람이 프로세스의 모든 단계, 특히 개발 코호트에서 보안에 대해 생각하고 구현할 수 있도록 하는 사내 보안 성숙도 수준을 갖추고 메타버스에 대한 기여의 보안을 책임지는 조직이 될 것입니다.
메타버스의 성공에 시큐어 코딩이 중요한 이유
현실 세계에서 원하는 모든 것을 갖춘 아바타로 대표되는 무법 디지털 차원을 가로지르는 것이 재미있겠지만, 모든 “캐릭터”의 배후에는 인간이 있다는 사실을 절대 잊어서는 안 됩니다.그리고 실제 사람들의 데이터와 재정이 위험에 처할 때는 게임과는 거리가 멀죠.
사이버 보안 분야에서 우리는 실수가 진정으로 치명적일 수 있는 결과를 초래한다는 것을 잘 알고 있으며, 광범위한 채택과 소비자 신뢰가 결실을 맺으려면 메타버스의 모든 구성 요소의 무결성을 나중에 고려할 수 없습니다.
조직은 소프트웨어를 적극적으로 개발하는 개발자의 보안 기술 향상에 중점을 두고 보안 성숙도를 현실적으로 평가하여 지금 계획을 시작할 수 있습니다.Rutgers University의 연구에서 알 수 있듯이 액세스 제어는 광범위한 데이터 유출로 이어질 수 있는 강력한 취약점 중 하나일 뿐이며, 보안을 잘 아는 개발자는 코드를 작성할 때, 그리고 커밋된 코드를 입력하기 훨씬 전에 이러한 문제를 해결하는 데 훨씬 더 유리할 것입니다.
사이버 보안 기술 부족에 대한 변명만으로는 중대한 메타버스 데이터 침해 이후 씻을 수 없습니다. 우리 앞에는 최선을 다할 뿐만 아니라 소프트웨어 보안 표준을 적극적으로 개선할 수 있는 도구가 있습니다.지금은 메타버스의 설계자를 교육하는 데 투자하고 우리가 알고 있는 제품과 서비스를 가상으로 재구상함으로써 얻을 수 있는 이점을 누려야 할 때입니다.
%20(1).avif)
.avif)
