💌 2024 KISA IoT 보안테스트베드 교육 진행 💌

 

📌 2024 IoT 보안테스트베드 교육 프로그램 안내 (무료)

일시: 2024년 5월 23일(목) 14:00~17:00

주최: 한국인터넷진흥원

교육 진행: 소프트플로우(주)

교육 장소: 온라인 (교육 전일에 신청 시 입력한 메일 주소로 링크 발송)

신청 URL: https://www.onoffmix.com/event/299813

​

📌 SBOM 및 SW 구성요소 분석 도구

✅ Black Duck: 오픈소스 보안 취약점 및 라이선스 문제 식별이 가능한 SW 구성요소 분석 도구

​

소프트플로우, 세계 전기차 올림픽 'EVS 37' 전시회 참가

자동차 소프트웨어 보안 전문기업 소프트플로우는 오는 23일부터 26일까지 서울 코엑스에서 열리는 제37회 세계 전기자동차 학술대회 및 전시회(이하 EVS 37)에 참가한다.

전기차는 차량 자체가 소프트웨어로 제어되고 컴퓨터, 스마트폰처럼 외부 네트워크와 상시 연결되는 특성이 있어 안전한 소프트웨어가 필요하다. 보안 취약점이 발생해 사이버공격 타깃이 되면 개인 정보 노출, 금전적 피해, 안전사고 등으로 이어질 수 있어 자동차 제조업체 및 관련 협력사는 사이버 위협에 대비하는 것이 매우 중요하다.

지난 몇 년 동안 자동차 산업에는 ISO/SAE 21434, ISO 26262, UN R155 등 이를 위한 여러 표준과 규정이 도입됐다.

전기차 소프트웨어 보안을 강화하기 위한 방안으로 소프트웨어 개발 라이프사이클 전체에 걸쳐 보안 코딩 표준 및 모범 사례를 구현하는 보안 개발 관행, 정기적 보안 감사, 데이터 암호화, 강력한 인증, 국제 사이버보안 규정 준수, 지속적인 모니터링 및 업데이트를 포함한 포괄적인 보안 조치가 가능한 애플리케이션 보안 테스트 도구 도입이 있다.

소프트플로우는 EVS 37에서 자동차 소프트웨어 개발 라이프사이클의 보안 취약점을 해결하면서 국제 표준에 최적화된 애플리케이션 보안 테스트 도구를 선보인다. 대표적인 도구로는 △소스코드 스캔을 통해 잠재적인 보안 취약점을 조기에 감지해 해결하는 정적 분석 도구 Coverity △소프트웨어 구성요소 분석을 통한 오픈소스 보안 취약점 및 라이선스 문제 식별이 가능한 Black Duck △오작동을 유발할 수 있는 퍼징 기법의 테스트 케이스를 입력해 차량 내 알려지지 않은 취약점 식별이 가능한 Defensics가 있다.

이와 함께 보안 관행을 구현함으로써 자동차 제조업체 및 관련 협력사는 전기차 소프트웨어의 보안을 강화해 소비자를 안전 위협으로부터 보호하고, 무단 액세스 및 개인 정보 유출을 방지해 전기차의 안전성과 신뢰성을 높일 수 있다. 전시장 내 소프트플로우 부스(C1813)를 방문하면 상담이 가능하다.

소범석 소프트플로우 대표는 “전기차와 자율주행차 기술 발전과 함께 자동차 소프트웨어의 공급망 보안의 중요성은 더욱 커지고 있다”며 “OEM과 자동차 부품 협력사의 협업으로 개발되는 자동차 시스템은 소프트웨어 개발 단계부터 보안 강화가 필요하다”고 말했다.

 

보도일자: 2024.04.15

[전자신문] 이원지 기자

출처: https://www.etnews.com/20240415000235

💌 EVS 37에 여러분을 초대합니다. 💌

안녕하세요, 소프트플로우㈜입니다.

최근 미래 모빌리티를 대표하는 전기차의 인기가 점점 높아지고 있습니다. 전기차는 차량 자체가 소프트웨어로 제어되고 또한 컴퓨터, 스마트폰처럼 외부 네트워크와 상시 연결되는 특성이 있어 더욱 안전한 소프트웨어가 필요합니다. 만약 전기차 소프트웨어에 보안 취약점이 발생하여 사이버공격 타깃이 되면 개인 정보 노출, 금전적 피해, 안전사고 등으로 이어질 수 있는만큼 자동차 제조업체 및 관련 협력사는 소프트웨어 보안 위협에 철저하게 대비하는 것이 매우 중요합니다.

소프트플로우는 제37회 세계 전기자동차 학술대회 및 전시회(EVS 37)에 참가하여 자동차 소프트웨어 개발 라이프사이클 전체의 보안 취약점을 해결하면서 ISO/SAE 21434, ISO 26262, UN R155 등 국제 법규 및 표준에 따라 최적화된 애플리케이션 보안 테스트 도구를 선보입니다.

EVS 37에서 소프트플로우 부스를 방문하시면 자동차의 안전성과 신뢰성을 크게 향상시킬 수 있는 도구에 대한 상세한 상담이 가능합니다. 여러분의 많은 관심 부탁드리며 행사장에서 직접 만나뵐 수 있기를 바랍니다.

 

📌 대표 제품

✅ Coverity: 소스코드 스캔을 통해 잠재적인 보안 취약점을 조기에 감지하는 정적 분석 도구

✅ Black Duck: 오픈소스 보안 취약점 및 라이선스 문제 식별이 가능한 SW 구성요소 분석 도구

✅ Defensics: 오작동을 유발하는 퍼징 기법으로 SW 보안 취약점 검출이 가능한 퍼징 테스트 도구

​

📌  EVS 37 행사 안내

▪️ 행사 홈페이지: https://evs37korea.org/customize.asp?Gidx=18&Sidx=213

▪️ 주최: 세계전기자동차협회, 아시아태평양전기자동차협회

▪️ 주관: 한국자동차공학회

▪️ 일시: 2024년 4월 23일(화)~26일(금)

▪️ 장소: 서울 COEX 3층 C홀

▪️ 관람 시간:

23일(화) 13:00~17:00

24,25일(수,목) 09:00~17:00

26일(금) 09:00~13:00

▪️ 사전 무료 참관 신청 종료

▪️ 부스번호: C1813

Mar.2024

점점 더 날씨가 따뜻해지고 거리에 꽃이 피는 것을 보면서 봄이 곁에 성큼 다가왔음을 느낍니다.

화사한 봄날처럼 여러분의 마음에도 화사하고 따뜻한 봄날이 왔으면 좋겠습니다.

올해 초부터 60만 기관·기업이 사용하는 화상통신 SW 3CX ‘Desktop App’ 사고 등 공급망 공격의 심각성 및

피해가 날로 커지고 있습니다. 이런 상황과 관련하여 국내외 규제 및 가이드라인 시행이 본격화 되면서

자동차, 의료, 금융 등 다양한 산업에서 소프트웨어 공급망 보안 강화에 대한

대응 준비 및 문의가 증가하고 있습니다.

소프트웨어 공급망 보안과 관련된 최신 이슈를 아래와 같이 전해드립니다.

 

[Synopsys 2024 OSSRA 보고서]

Synopsys에서 올해로 9번째 출간하는 2024 "오픈소스 보안 및 위험 분석"(OSSRA) 보고서에서는 17개 산업에 걸쳐 1,000개 이상의 코드베이스에서 발견된 취약성과 라이선스 충돌을 조사했습니다. 보안, 법무, 리스크 및 개발 팀이 특별히 소프트웨어 공급망 보안의 관점에서 지난해에 발생한 오픈 소스 보안과 라이선스 위험 환경을 보다 정확히 이해하는 데 도움이 되며 이러한 위험 환경에 대응할 수 있는 방안을 제공하는 OSSRA 보고서 내용을 확인해보세요.

• Synopsys 2024 OSSRA 보고서 다운로드

(https://sites.ziftsolutions.com/synopsys.ziftsolutions.com/8a9982ac8e60b9cd018e6455a3410f9d)

• 2024 OSSRA 보고서: 오픈소스 구성요소 구 버전 코드의 위험 (소프트플로우 블로그)

(https://blog.naver.com/softflow_group/223388004242)

• 시높시스코리아, ‘오픈 소스 보안 및 위험 분석’ 보고서 발표 (보도자료)

(https://www.ddaily.co.kr/page/view/2024031818052539240)   * 2024 OSSRA 보고서 주요 내용  

[사이버보안 관련 NEWS]

• 미·EU 공급망 보안 규제 본격화… 국내는?

(https://www.digitaltoday.co.kr/news/articleView.html?idxno=502943)

• 국정원∙과기부 ‘ICT 공급망 보안 가이드라인 마련’ 추진

(https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bbsId=Notification_main&nttId=118731&pageIndex=2&searchCnd2=)

• SW 공급망보안 현장 간담회 개최 : SW 개발 단계부터 보안 내재화 방안 등 논의

(https://www.dailysecu.com/news/articleView.html?idxno=154442)  

[사이버보안 해외 동향]

• 신규 오픈소스 Wi-Fi 취약점 문제로 Android, Linux, ChromeOS 장치가 해커에게 노출

(https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html)

• 애플 iOS/iPadOS 메모리 손상, 심각한 취약점 발견

(https://www.cysecurity.news/2024/03/apple-ios-and-ipados-memory-corruption.html)  

[Synopsys 보안 NEWS]

• SBOM을 생성하는 방법
• 향상된 애플리케이션 보안을 위한 통합 노력
• 2024년 자동차 산업의 미래는 어떻게 될까요?

 

[SOFTFLOW NEWS]

• 2월 28일(수) ‘2024 자동차 소프트웨어 보안 동향 및 시험 방안’ 웨비나 성료

세션 1. 자동차 소프트웨어의 사이버보안 동향 및 시험 방안 세션 2. 자동차 소프트웨어 개발에 생산성 저하 없는 공급망 보안 적용 방안 다시보기 링크: https://youtu.be/E3li4CsgPeQ?si=b1nTApit8YSIwPG2

​

•  EVS 37(제 37회 세계 전기자동차 학술대회 및 전시회) 부스 참가

일시: 4월 23일(화)~4월 26일(금)

장소: 서울 COEX 3층 C홀

무료 참관 신청 기한: 4월 5일(금)

전시회 홈페이지: https://www.evs37korea.org/main.asp

💌 소프트플로우의 웨비나에 여러분을 초대합니다. 💌

UN 유럽경제위원회 산하 국제 자동차 기준 조화 회의체는 UN Regulation No.155(이하 UN R155)를 규정하고 2024년 7월부터 완성차 제조사에서 판매되는 모든 양산차에서 사이버보안 관리 체계(CSMS, Cyber Security Management Approval)를 획득할 것을 요구하고 있습니다. 사이버 공격으로부터 차량을 보호하기 위한 조직적인 보안 시스템이 충분히 구축되었음을 입증하지 못하면 차량 판매에 차질이 생기거나 품질 경쟁력에 격차가 벌어질 수 있기 때문에 UN R155 규정 준수는 자동차 산업에서 생존하기 위한 필수 요소로 대두되고 있습니다. 이러한 흐름에 맞춰 본 웨비나에서는 2024년 자동차 산업의 소프트웨어 보안 동향을 살펴보며 준수해야 할 사이버보안 규정에 대해 소개하고 이에 대응할 수 있는 전략을 제시하고자 합니다. 자동차 사이버보안에 관심있는 모든 분들, 지금 바로 웨비나에 사전 등록하시고 경품 당첨의 기회도 잡아보세요!!!   

📌 웨비나 참가 안내

✅ 일시: 2024년 2월 28일(수) 15:00~16:00 (생방송)

✅ 진행 방법: 온라인 송출 (전자신문 allshowTV)

✅ 주제: 2024 자동차 소프트웨어 보안 동향 및 대응 전략

Session 1. 자동차 소프트웨어의 사이버보안 동향 및 시험 방안

Session 2. 자동차 소프트웨어 개발에 생산성 저하 없는 공급망 보안 적용 방안

✅ 참가비: 무료

✅ 참가 방법: 옆의 URL 주소로 접속 (https://www.allshowtv.com/detail.html?idx=1429)

✅ 문의: info@softflow.io / 070-7724-2752

​

---

• 이벤트 경품은 회사 이메일로 등록하신 분에 한하여 당첨 기회가 주어집니다. (naver, gmail, hanmail 등의 등록자는 추첨에서 제외)
• 이벤트 경품은 웨비나 종료 후, 2주 내로 당첨자 분들께 문자 발송될 예정입니다.
• 미당첨자에게는 별도 안내가 없음을 양해부탁드립니다.

Jan.2024

2024 갑진년 청용의 해가 밝았습니다. 항상 건강하시고 행복이 가득한 한 해가 되기를 소프트플로우가 진심으로 기원합니다.

새해에도 소프트플로우에 대한 많은 관심과 응원 부탁드립니다.

2023년에 이어 2024년에도 소프트웨어 공급망 보안 위협 관련 이슈가 지속될 것으로 전망됩니다.

취약점에 대한 직접적인 피해도 있겠지만  미국, EU, 일본 등 주요국에서 SBOM을 도입하며 향후 국내 제품을 해외로 수출할 때에

새로운 무역 장벽으로 영향을 미칠 가능성이 대두되고 있습니다.

이에 따라 국가 및 기업 차원에서 여러 방향으로 소프트웨어 공급망 보안 위협 대응책을 계획하고 시행하게 될 것으로 보입니다.

이와 관련하여 더 읽어볼 만한 소식을 전달드립니다.

 

[2024년 소프트웨어 공급망 보안 관련 주요 이슈 및 전망]

• 7월부터 CSMS(사이버 보안 관리 시스템) UNCES 협약국에 판매하는 모든 차량에 인증 필요
• 한국인터넷진흥원(KISA) 올해까지 SBOM 통합관리 플랫폼 구축

  [소프트웨어 공급망 보안 관련 NEWS]

• [2024 보안 전망⑧] 광범위한 피해 입히는 SW 공급망 공격

(https://www.datanet.co.kr/news/articleView.html?idxno=190041)

• 올해 사이버 보안 위협은 SW 개발자 대상 공급망 공격 확대 등

(https://www.viva100.com/main/view.php?key=20231217010005105)

• "한 곳 뚫렸는데 전체가 폭삭"... 꼬리에 꼬리 무는 SW 공급망 공격

(https://www.fnnews.com/news/202312311100401454)

• 금융보안원이 꼽은 2024년 이슈, '금융보안 프렌들리'

(https://www.ddaily.co.kr/page/view/2023110216394435386)

• "SW 공급망 공격 피해, 2031년 1380억 달러"

(https://www.datanet.co.kr/news/articleView.html?idxno=189378)   [사이버보안 해외 동향]

• GitHub, 사용자 대상 이중인증(2FA) 활성화 강력 요청 - 공급망 공격으로부터 코드 변경 방지 위함 

(https://www.bleepingcomputer.com/news/software/github-warns-users-to-enable-2fa-before-upcoming-deadline/)

• TeamCity 서버 공격 지속: TeamCity 서버의 보안 취약점 이용 공급망 공격 실시 의도

(https://www.bleepingcomputer.com/news/security/cisa-russian-hackers-target-teamcity-servers-since-september/)

• Lazarus, 12월부터 Log4Shell 취약점 악용 신규 사이버 공격 시작

(https://cybersafe.news/lazarus-hackers-target-log4shell-flaw-via-telegram-bots/)   [Synopsys 보안 NEWS]

• DevSecOps 보고서: ASPM과 소프트웨어 보안에 미치는 영향
• 안전한 소프트웨어 공급망의 중요한 측면
• Defensics는 IoT 시장을 위한 퍼징 기능을 확장합니다.
• 성공적인 AppSec 프로그램의 중요한 기능은 무엇일까요?

  [SOFTFLOW NEWS]

• To be continued