어영's

## 금융 분야 오픈소스 리스크 대응 '포세라 포털 위드 블랙덕' 등장!

엘에스웨어 신한금융그룹에 오픈소스 통합 관리 솔루션 제공

오픈소스 활용이 증가하는 금융 분야에서 오픈소스 공급망 보안은 핵심적인 문제입니다. 엘에스웨어는 신한금융그룹에 '포세라 포털 위드 블랙덕'을 구축하여 오픈소스 라이선스 충돌 보안 취약점 등을 통합 관리하고 안전한 오픈소스 활용 환경을 제공합니다.

주요 특징:

■ 오픈소스 라이선스 및 보안 취약점 통합 관리:

라이선스 위반 및 보안 공격으로부터 시스템을 보호합니다.

■ 자동 반입 및 점검 기능:

안전하고 신속한 오픈소스 활용을 가능하게 합니다.

■ SBOM 기반 체계적인 오픈소스 관리:

소프트웨어 공급망 보안을 강화합니다.

기대 효과:

■ 개방형 ICT 개발 문화 확산:

혁신적인 금융 서비스 개발을 촉진합니다.

■ 그룹사 중복 투자 최소화:

효율적인 자원 관리를 가능하게 합니다.

■ 고객 서비스 품질 향상:

안정적이고 안전한 금융 서비스 제공을 가능하게 합니다.

엘에스웨어 김민수 대표:

> '오픈소스 통합관리 시장에서 오픈소스 보안을 위한 기술 선도 기업으로서 역할을 다하겠다.'

블로그:

■ 엘에스웨어:

[http://www.lsware.kr/](http://www.lsware.kr/)

■ 포세라 포털 위드 블랙덕:

[https://www.ru.playblackdesert.com/News/Notice/Detail?boardNo=8067&CountryType=ru-RU](https://www.ru.playblackdesert.com/News/Notice/Detail?boardNo=8067&CountryType=ru-RU)

■ 신한금융그룹:

[https://www.shinhangroup.com/kr/index.jsp](https://www.shinhangroup.com/kr/index.jsp)

자세한 내용은 아래 링크(배너)를 클릭해주세요.
엘에스웨어, 신한금융그룹 오픈소스 통합 관리 포털 구축 맡는다

## 엠엘소프트 Tgate 취약점 발견 업데이트 필수!

엠엘소프트 Tgate 제품에서 관리자 권한 획득이 가능한 심각한 취약점이 발견되었습니다. 공격자는 이 취약점을 악용하여 악성코드 감염 등의 피해를 입힐 수 있습니다.

영향을 받는 제품 및 버전

■ Tgate v3.0: 모든 버전
■ Tgate v4.0: 4.0.r572 미만 버전

해결 방법

■ v3.0 사용자: 엠엘소프트社를 통해 패치 적용
■ v4.0 사용자: v4.0.r572 버전으로 업데이트

기타 문의사항

■ 엠엘소프트: 02-501-3221
■ 홈페이지: [http://www.mlsoft.com/](http://www.mlsoft.com/)

참고사이트

■ [http://www.mlsoft.com/notice-20240220](http://www.mlsoft.com/notice-20240220)

업데이트는 필수입니다! 지금 바로 확인하세요!

#엠엘소프트 #Tgate #취약점 #업데이트

자세한 내용은 아래 링크(배너)를 클릭해주세요.
엠엘소프트 Tgate 제품 보안 업데이트 권고

## 2023년 불법복제 SW 사용 현황: 제보 건수 1000건 넘어 침해 규모 100억 원 돌파

2023년 불법복제 SW 사용 제보 건수가 연간 1000건을 넘어섰고 침해 규모는 100억 원을 돌파했습니다.

한국소프트웨어저작권협회가 발표한 자료에 따르면 지난해 불법복제 SW 제보 서비스 '엔젤'에 접수된 불법복제 프로그램은 총 956건으로 이 중 일반사무용 SW가 273건(29%)으로 가장 많았습니다. 업종별로는 제조/화학 업종에서 139건(27%)으로 가장 높은 침해율을 보였습니다.

불법복제 SW 사용 유형은 처음부터 정품 SW를 구입하지 않고 카피본이나 크랙 제품을 사용하는 '정품 미보유'가 62%를 차지했습니다.

또한 계약된 라이선스를 위반하거나 구입 SW 수량보다 더 많은 양을 설치하여 사용하는 '라이선스 위반(초과사용 포함)'도 29%나 되는 것으로 나타났습니다.

한국소프트웨어저작권협회는 SW 불법복제 사용이 기업에 리스크를 야기하고 SW 산업 전체에 연쇄적으로 영향을 미친다고 강조했습니다.

이에 기업 차원에서 SW에 대한 철저한 주의·감독 및 임직원을 대상으로 한 SW 저작권 교육을 실시할 것을 권고했습니다.

주요 내용

■ 2023년 불법복제 SW 제보 건수: 956건
■ 침해 규모: 100억 원
■ 가장 많은 불법복제 SW 유형: 일반사무용 SW (273건 29%)
■ 가장 높은 침해율 업종: 제조/화학 업종 (139건 27%)
■ 불법복제 SW 사용 유형:
* 정품 미보유 (62%)
* 라이선스 위반(초과사용 포함) (29%)
■ 불법복제 SW 사용의 위험:
* 기업에 리스크 발생
* SW 산업 전체에 악영향

출처

■ 한국소프트웨어저작권협회

자세한 내용은 아래 링크(배너)를 클릭해주세요.
"SW 불법복제 제보 연간 1천 건, 침해 규모 100억 원 넘어"

## Mastodon 업데이트 공개 - 원격 계정 탈취 취약점 해결

개요

오픈소스 소셜 네트워킹 플랫폼 Mastodon에서 발생하는 원격 계정 탈취 취약점(CVE-2024-23832) 해결을 위한 업데이트가 공개되었습니다.

영향받는 플랫폼 및 해결 방안

| 취약점 | 플랫폼 | 영향받는 버전 | 해결 버전 |
|---|---|---|---|
| CVE-2024-23832 | Mastodon | 3.5.17 이전 | 3.5.17 | 4.0.x | 4.0.13 | 4.1.x | 4.1.13 | 4.2.x | 4.2.5 |

해결 방법

- 사용 중인 Mastodon 버전이 영향받는 버전인지 확인합니다.
- 영향받는 버전을 사용 중인 경우 즉시 최신 버전으로 업데이트합니다.

업데이트 방법

- 각 플랫폼별 업데이트 방법은 참고사이트를 확인하세요.

참고사이트

- [https://github.com/mastodon/mastodon/releases/tag/v4.2.5](https://github.com/mastodon/mastodon/releases/tag/v4.2.5)
- [https://nvd.nist.gov/vuln/detail/CVE-2024-23832](https://nvd.nist.gov/vuln/detail/CVE-2024-23832)

문의사항

- 한국인터넷진흥원 사이버민원센터: 국번없이 118

주의사항

- 업데이트를 미루면 공격자가 사용자 계정을 탈취하여 악용할 수 있습니다.
- 즉시 업데이트하여 시스템을 보호하세요.

자세한 내용은 아래 링크(배너)를 클릭해주세요.
Mastodon 플랫폼 보안 업데이트 권고

클라우드 네이티브 보안, 발주 단계부터 제대로 해야

정부가 오는 2030년까지 대다수 시스템을 클라우드 네이티브로 전환할 계획이다. 클라우드 네이티브는 클라우드 기능과 장점을 최대한 활용해서 애플리케이션(앱)을 구축·실행하는 것을 의미한다.

클라우드는 온프레미스(구축형) 환경보다 보안 위협에 더욱 노출돼 있어 높은 보안이 요구된다. 이보다 강화된 보안을 요구하는 것이 '클라우드 네이티브 보안'이다.

하지만 최근 공공 클라우드 네이티브 사업에서 보안 취약성이 잇따라 드러났다. 이는 사업 발주(RFP 작성)를 기관(발주처)에만 전적으로 맡긴 것이 가장 큰 요인으로 분석된다.

발주처의 클라우드 네이티브 보안 이해도가 낮다보니 발주 단계부터 포함돼야 할 보안 규정을 불비했고, 허점으로 이어졌다는 것이다.

문제는 이같은 발주처 인식 탓에 초기 단계인 국내 클라우드 네이티브 보안 시장이 좀처럼 활성화되지 못하고 있다는 점이다.

업계는 정부가 공공부문에 적용하는 클라우드 네이티브 보안을 명확히 해 발주로 이어지도록 하는 것이 문제 해결을 위한 출발점이라고 입을 모은다.

정부가 마중물 역할을 해야 국내 CSP와 국내 보안 업체 간에 협력이 강화되고, 기술 경쟁 등을 통해 외산 의존도 약화→국내 보안 생태계 확대→국가 시스템 보안 같은 선순환 체계가 구축될 수 있다는 것이다.

전문가들은 정부가 공공에 전파할 모범 가이드라인으로는 최근 한국지능정보사회진흥원(NIA)이 발주한 '서울소방재난본부 클라우드 네이티브 기반 시스템 전환 사업' 발주 제안요청서를 참고할 필요가 있다고 조언했다.

결론적으로, 공공 클라우드 네이티브 보안을 강화하기 위해서는 다음과 같은 노력이 필요하다.

■ 정부가 공공부문에 적용하는 클라우드 네이티브 보안 가이드를 마련하고, 이를 발주에 반영하도록 유도해야 한다.
■ 공공기관과 CSP, 보안 업체가 협력해 클라우드 네이티브 보안 기술을 개발하고, 이를 시장에서 활성화해야 한다.
■ 정부가 클라우드 네이티브 보안 강화를 위한 예산을 적절히 반영해야 한다.

공공 클라우드 네이티브 보안 강화는 국가 정보 시스템의 안전을 지키는 데 필수적이다. 정부와 관련 업계의 적극적인 노력이 필요한 시점이다.

자세한 내용은 아래 링크(배너)를 클릭해주세요.
[이슈플러스]클라우드 네이티브 사업, 보안 강화 시급

SonicWall 보안 업데이트

SonicWall은 자사 방화벽 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다. 이 취약점은 인증되지 않은 공격자가 방화벽에 대한 서비스 거부(DoS) 공격을 수행하거나 코드를 실행할 수 있는 잠재적인 위험을 초래할 수 있습니다.

영향을 받는 제품 및 해결 버전은 다음과 같습니다.

■ SonicWall 방화벽: 7.0.1-5050 이하 → 7.0.1-5051 이상
■ SonicWall NSsp 방화벽: 7.0.1-R579 이하 → 7.0.1-5030-HF-R844 (핫픽스) 또는 7.0.1-5031 (공식 펌웨어)
■ SonicWall NSv 방화벽: 6.5.4.4-44v-21-1452 이하 → 6.5.4.4-44v-21-1519 이상

SonicWall은 또한 관리자들에게 패치가 적용될 때까지 SonicOS 관리 액세스를 신뢰할 수 있는 소스로 제한할 것을 권장합니다.

이 보안 업데이트는 SonicWall 제품을 사용하는 모든 사용자에게 중요합니다. 영향을 받는 제품을 사용하는 경우 가능한 한 빨리 패치를 적용하는 것이 좋습니다.

SonicWall 보안 업데이트에 대한 자세한 내용은 [SonicWall 보안 공지](https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003)를 참조하세요.

자세한 내용은 아래 링크(배너)를 클릭해주세요.
SonicWall 제품 보안 업데이트 권고

Ivanti Connect Secure 및 Ivanti Policy Secure 취약점 주의 권고

Ivanti社는 자사 제품인 Ivanti Connect Secure 및 Ivanti Policy Secure에서 인증 우회 및 명령 주입 취약점이 발견되었다고 발표했습니다.

영향받는 제품

■ Ivanti Connect Secure 및 Ivanti Policy Secure
■ 버전: 9.x / 22.x

취약점 설명

■ 인증 우회 취약점(CVE-2023-46805): 공격자가 특정 조건을 만족하면 인증 없이 시스템에 접근할 수 있습니다.
■ 명령 주입 취약점(CVE-2024-21887): 공격자가 특정 조건을 만족하면 임의의 명령을 실행할 수 있습니다.

해결방안

■ Ivanti社는 임시 완화 조치 파일을 제공하고 있으며, 패치 버전은 1월 22일 주간부터 2월 19일 주간까지 출시될 예정입니다.

■ 임시 완화 조치:

Ivanti社 다운로드 포털에서 제공하는 파일을 다운로드하여 적용합니다.

■ 패치 적용:

Ivanti社 다운로드 포털에서 제공하는 패치를 다운로드하여 적용합니다.

문의처

■ 한국인터넷진흥원 사이버민원센터: 118

주의 사항

■ 해당 취약점은 악용될 경우 심각한 피해를 발생시킬 수 있으므로, 빠른 시일 내에 조치를 취하시기 바랍니다.

위와 같이 작성하였습니다.

' 와 ' 와 ' 와 ' 와 ″ 와 ' 와 ' 와 ` 를 제거하고 한문장이 끝날 때 줄바꿈 문자
를 포함하였습니다.

추가로, 블로그에 올리시기 전에 다음과 같은 내용을 고려하시기 바랍니다.

■ 해당 취약점의 영향 범위와 피해 가능성을 설명해주세요.
■ 취약점을 악용하여 피해를 입을 수 있는 방법을 설명해주세요.
■ 취약점을 해결하기 위한 구체적인 방법을 설명해주세요.

위와 같은 내용을 추가하면, 독자들이 해당 취약점에 대해 보다 이해하기 쉽고, 빠르게 조치를 취할 수 있을 것입니다.

자세한 내용은 아래 링크(배너)를 클릭해주세요.
Ivanti 제품 보안 주의 권고

GitLab 보안 업데이트 권고

GitLab社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다. 영향받는 버전을 사용 중인 시스템 사용자는 해당 업데이트를 통해 취약점을 해결하시기 바랍니다.

영향받는 취약점

■ 사용자 상호작용 없이 비밀번호 재설정을 통한 계정 탈취 취약점(CVE-2023-7028)
■ 공격자가 다른 사용자로 slash 명령 실행 취약점(CVE-2023-5356)
■ CODEOWNERS 승인 우회 취약점(CVE-2023-4812)
■ GitLab Remote Development에서 발생하는 부적절한 접근 제어 취약점(CVE-2023-6955)
■ 공격자가 서명된 커밋의 메타데이터를 잠재적으로 수정 가능한 취약점(CVE-2023-2030)

영향받는 제품 및 해결 버전

| 제품명 | 취약점 | 영향받는 버전 | 해결 버전 |
|---|---|---|---|
| GitLab Community Edition(CE) 및 Enterprise Edition(EE) | CVE-2023-7028 | 16.1 ~ 16.1.5, 16.2 ~ 16.2.8, 16.3 ~ 16.3.6, 16.4 ~ 16.4.4, 16.5 ~ 16.5.5, 16.6 ~ 16.6.3, 16.7 ~ 16.7.1 | 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-5356 | 8.13 ~ 16.5.6 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-4812 | 15.3 ~ 16.5.5 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.5, 16.6.4, 16.7.2 |
| CVE-2023-6955 | 16.5.6 이전 모든 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-2030 | 12.2 ~ 16.5.6 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |

업데이트 방법

해당 업데이트는 GitLab 공식 웹사이트에서 다운로드하실 수 있습니다. 업데이트 방법은 각 제품의 설치 가이드에 설명되어 있습니다.

주의사항

해당 취약점은 공격자가 악용할 경우 심각한 피해를 입힐 수 있으므로, 즉시 업데이트를 수행하시기 바랍니다.

문의처

문의 사항은 GitLab 공식 웹사이트의 문의 페이지를 이용하시기 바랍니다.

출처

■ GitLab 보안 업데이트: [https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/](https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)
■ [

자세한 내용은 아래 링크(배너)를 클릭해주세요.
GitLab 제품 보안 업데이트 권고