CVE-2025-6554는 구글 크롬 V8 자바스크립트 엔진의 유형 혼동 취약점입니다. 유형 혼동은 프로그램이 한 데이터 유형을 다른 데이터 유형으로 잘못 해석하여 공격자가 피해자의 시스템에서 임의의 코드를 실행할 수 있게 하는 안전하지 않은 메모리 작업으로 이어질 수 있는 일반적인 메모리 손상 취약점 클래스입니다.

2025년 산업 제어 시스템 보안은 기술 혁신과 도난의 양방향 위험, 구 기술과 신기술의 공존으로 인한 이중 위험, 공급망 보안 위기의 심화, 제로데이 취약성 및 은폐 전략의 실패 등 전례 없는 도전에 직면하게 될 것입니다.

Apple iMessage 제로 클릭 취약점은 공격자가 사용자 상호 작용 없이 악의적으로 조작된 iMessage 메시지를 전송하여 원격으로 기기를 손상시킬 수 있습니다. 이 취약점은 Graphite 스파이웨어에 의해 언론인을 대상으로 한 공격에 악용되었습니다.

이 취약점은 스토어-스토어 제거 최적화를 수행할 때 동적 인덱스 로딩을 잘못 처리하여 별칭 관계를 잘못 분류하고 중요한 스토어 작업을 잘못 제거하여 메모리 액세스 범위를 벗어나는 결과를 초래하는 V8 TurboFan 컴파일러에서 비롯됩니다. 공격자는 특수하게 조작된 HTML 페이지를 구성하여 사용자 액세스를 유도하고, 악성 JavaScript 코드 실행을 트리거하고, 이 취약점을 악용하여 원격 코드 실행 및 샌드박스 탈출을 달성하고, 궁극적으로 피해자의 디바이스를 완전히 제어할 수 있습니다.

에임 시큐리티는 RAG Copilot의 전형적인 설계 결함을 악용하여 공격자가 특정 사용자 행동에 의존하지 않고도 M365 Copilot의 모든 데이터를 자동으로 훔칠 수 있는 "EchoLeak" 취약점을 발견했습니다. 주요 공격 체인은 세 가지 취약점으로 구성되어 있지만, Aim Labs는 연구 중에 악용이 가능한 다른 취약점도 확인했습니다.

디지털화는 막대한 경제적, 사회적 혜택을 가져왔지만 디지털 기술에 대한 의존도가 높아지면서 상당한 위험도 초래하고 있습니다. 개발도상국의 경우 디지털화 속도가 사이버 복원력을 구축하는 데 필요한 투자와 관심을 앞지르는 경우가 많으며, 이로 인해 치명적인 결과를 초래할 수 있습니다.

중화인민공화국 개인정보 보호에 관한 법률(2021년 11월 1일 발효)

제54조 및 제64조: 개인정보 보호 준수 감사에 대한 기본 법적 틀을 제공하여 기업이 감사 의무를 적극적으로 이행하고 규제에 협조하도록 요구합니다.

네트워크 데이터 보안 관리에 관한 규정(2025년 1월 1일 시행)

제27조: 감사 요건을 더욱 구체화하기 위해 네트워크 데이터 처리자는 법률 및 행정 규정을 준수하여 개인정보를 처리하는지에 대해 자체적으로 또는 전문 기관에 의뢰하여 정기적으로 규정 준수 감사를 실시해야 합니다.

개인정보 보호에 대한 컴플라이언스 감사 관리 조치(2025년 2월 14일 발표, 2025년 5월 1일 시행)

개인정보 보호 컴플라이언스 감사에 대한 첫 번째 지원 규정이 공식적으로 시행됩니다.

전 세계 개발자, 보안 및 운영 담당자 1,000여 명을 대상으로 실시한 설문조사를 바탕으로 작성된 2024 글로벌 DevSecOps 현황 보고서에서는 다음과 같은 주요 데이터를 통해 DevSecOps 분야의 주요 트렌드와 과제를 확인할 수 있습니다.

82% 조직은 6~20개의 보안 도구를 사용합니다.
60%에 대한 테스트 결과에는 21%-60%의 노이즈가 포함되어 있습니다.
응답자의 24%만이 AI 코드 보호에 대해 "매우 자신 있다"고 답했습니다.
86%에 속한 조직은 보안 테스트가 개발 속도를 늦춘다고 느꼈습니다.

Windows OLE(개체 연결 및 임베딩)의 Microsoft Outlook 제로 클릭 원격 코드 실행(RCE) 취약점에 대한 새로운 개념 증명(PoC)인 CVE-2025-21298이 공개되었습니다.

최근에 공개된 인기 있는 파일 아카이빙 소프트웨어 7-Zip의 취약점(CVE-2025-0411) 이 취약점을 통해 원격 공격자는 Windows MOTW(웹 마크) 보호 메커니즘을 우회하여 영향을 받는 시스템에서 임의의 코드를 실행할 수 있습니다.