#보안

푸른곰's avatar
푸른곰

@purengom@purengom.com

서론 한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 […]
디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.

서론

한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 권한 모델을 우회해야 하는 구조적 특성상, 오히려 공격 면을 넓히고 호환성과 접근성을 떨어뜨리는 역설도 발생합니다.

암호 자산 업계의 보안 대응

글로벌 표준은 이미 다른 길을 걷고 있습니다. 핵심은 사용자의 단말에 무언가를 더 설치하게 만드는 것이 아니라, 서버·결제(출금)·보관 레이어에 방어를 집중하는 것입니다. 인증은 피싱 저항성이 높은 WebAuthn/FIDO2 기반 MFA로 강화하고, 로그인·이체·출금 같은 고위험 이벤트는 서버에서 맥락을 평가해 추가 확인이나 지연을 자동으로 적용합니다. 이렇게 하면 사용자는 불필요한 설치 없이도 실질적인 보안 이익을 경험할 수 있습니다.

암호자산 업계는 이러한 ‘시스템적 방어’를 비교적 일찍 도입했습니다. 고객 자산의 대부분을 오프라인 콜드 스토리지에 보관하고, 온라인에 노출되는 잔고를 최소화합니다. 자금이 실제로 빠져나가는 순간에는 주소 화이트리스트, 출금 지연, 다중 승인 같은 제동 장치가 작동하여 침해가 발생해도 피해 확산을 막을 시간을 벌어줍니다. 계정 보안 설정을 봉인해 임의 변경이나 신규 출금을 차단하는 기능도 널리 사용되고 있습니다. 중요한 점은 이 모든 것이 사용자의 PC에 별도의 보안 모듈을 설치하지 않고도 구현된다는 사실입니다.

물론 이 분야에서도 사고가 전혀 없는 것은 아닙니다. 다만 관점이 달라졌습니다. 사고를 0으로 만드는 데 집착하기보다는, 사고가 발생하더라도 대량 인출로 직결되지 않도록 구조를 설계하고, 사후 탐지·차단·보전 체계를 통해 피해를 체계적으로 제한하려는 방향으로 진화하고 있습니다. 이는 ‘사용자 잘못’으로 귀결시키는 방식보다 훨씬 성숙한 책임 배분이라고 생각합니다.

한국도 이제 바뀌어야 할 때

이제 한국의 금융 보안도 같은 원칙을 채택할 때입니다. 먼저, 브라우저·OS 보안 모델을 저해하는 설치형 모듈은 단계적으로 폐지하는 것이 바람직합니다. 루트 인증서 삽입이나 키 입력 후킹처럼 본질적으로 위험한 기법은 지양해야 합니다. 대신 고액 이체, 새로운 기기 등록, 해외 송금 등 위험도가 높은 이벤트에는 패스키·보안키 같은 피싱 저항 인증을 기본값으로 제시하고, SMS·이메일 OTP는 보조 수단으로 격하하는 편이 합리적입니다.

다음으로, 이체·출금 레이어에 실질적 제어를 도입해야 합니다. 수취인 화이트리스트를 기본 제공하고 신규 추가 시 냉각기간을 두는 방식, 보안 설정 변경과 출금 권한을 일정 기간 봉인하는 방식, 의심 징후가 감지되면 자동으로 지연·보류·2차 승인을 요구하는 방식이 효과적입니다. 이러한 통제는 사용자의 행동을 과도하게 제한하지 않으면서도 현실적인 방어력을 제공합니다.

서버 측 리스크 엔진의 고도화도 필수적입니다. 기기 특성, 접속 위치, 사용 패턴 등 신호를 종합 평가해 평시에는 마찰을 최소화하고, 이상 징후 시에는 단계적으로 인증을 강화하거나 거래를 보류하는 체계가 필요합니다. 여기에 더해 투명성과 규제 준수 역시 중요합니다. 국내외 기준에 맞춘 송·수신자 정보 관리와 사후 추적·차단 메커니즘을 정교하게 연결하면, 범죄 악용 가능성을 한층 낮출 수 있습니다.

대형 사고를 가정한 대응력도 준비되어 있어야 합니다. 출금 중지 스위치, 고객 공지와 보상 기준, 수사기관·타 기관과의 공조 절차를 표준운영절차로 문서화하고 주기적으로 점검하는 것이 좋습니다. 외부 침투 테스트와 버그 바운티 프로그램을 통해 취약점을 찾아내고, 개선 결과를 투명하게 공개하는 문화 또한 신뢰 형성에 큰 도움이 됩니다.

마무리

결론적으로, 오늘의 보안은 “사용자에게 무엇을 더 깔게 할 것인가”가 아니라 “시스템이 무엇을 선제적으로 막아 줄 것인가”를 묻습니다. 설치형 보안 프로그램으로 사용자에게 책임과 불편을 전가하는 방식은 시대착오적입니다. 피싱 저항 MFA와 서버·출금·보관 레이어 중심의 방어 심층으로 전환할 때, 우리는 보안성과 사용성을 동시에 끌어올릴 수 있습니다. 한국의 금융 보안이 이러한 방향으로 재설계된다면, 이용자 경험은 더 간결해지고 실제 위험에 대한 대응력은 한층 단단해질 것입니다.

디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
ALT text details디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
푸른곰's avatar
푸른곰

@purengom@purengom.com

서론 한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 […]
디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.

서론

한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 권한 모델을 우회해야 하는 구조적 특성상, 오히려 공격 면을 넓히고 호환성과 접근성을 떨어뜨리는 역설도 발생합니다.

암호 자산 업계의 보안 대응

글로벌 표준은 이미 다른 길을 걷고 있습니다. 핵심은 사용자의 단말에 무언가를 더 설치하게 만드는 것이 아니라, 서버·결제(출금)·보관 레이어에 방어를 집중하는 것입니다. 인증은 피싱 저항성이 높은 WebAuthn/FIDO2 기반 MFA로 강화하고, 로그인·이체·출금 같은 고위험 이벤트는 서버에서 맥락을 평가해 추가 확인이나 지연을 자동으로 적용합니다. 이렇게 하면 사용자는 불필요한 설치 없이도 실질적인 보안 이익을 경험할 수 있습니다.

암호자산 업계는 이러한 ‘시스템적 방어’를 비교적 일찍 도입했습니다. 고객 자산의 대부분을 오프라인 콜드 스토리지에 보관하고, 온라인에 노출되는 잔고를 최소화합니다. 자금이 실제로 빠져나가는 순간에는 주소 화이트리스트, 출금 지연, 다중 승인 같은 제동 장치가 작동하여 침해가 발생해도 피해 확산을 막을 시간을 벌어줍니다. 계정 보안 설정을 봉인해 임의 변경이나 신규 출금을 차단하는 기능도 널리 사용되고 있습니다. 중요한 점은 이 모든 것이 사용자의 PC에 별도의 보안 모듈을 설치하지 않고도 구현된다는 사실입니다.

물론 이 분야에서도 사고가 전혀 없는 것은 아닙니다. 다만 관점이 달라졌습니다. 사고를 0으로 만드는 데 집착하기보다는, 사고가 발생하더라도 대량 인출로 직결되지 않도록 구조를 설계하고, 사후 탐지·차단·보전 체계를 통해 피해를 체계적으로 제한하려는 방향으로 진화하고 있습니다. 이는 ‘사용자 잘못’으로 귀결시키는 방식보다 훨씬 성숙한 책임 배분이라고 생각합니다.

한국도 이제 바뀌어야 할 때

이제 한국의 금융 보안도 같은 원칙을 채택할 때입니다. 먼저, 브라우저·OS 보안 모델을 저해하는 설치형 모듈은 단계적으로 폐지하는 것이 바람직합니다. 루트 인증서 삽입이나 키 입력 후킹처럼 본질적으로 위험한 기법은 지양해야 합니다. 대신 고액 이체, 새로운 기기 등록, 해외 송금 등 위험도가 높은 이벤트에는 패스키·보안키 같은 피싱 저항 인증을 기본값으로 제시하고, SMS·이메일 OTP는 보조 수단으로 격하하는 편이 합리적입니다.

다음으로, 이체·출금 레이어에 실질적 제어를 도입해야 합니다. 수취인 화이트리스트를 기본 제공하고 신규 추가 시 냉각기간을 두는 방식, 보안 설정 변경과 출금 권한을 일정 기간 봉인하는 방식, 의심 징후가 감지되면 자동으로 지연·보류·2차 승인을 요구하는 방식이 효과적입니다. 이러한 통제는 사용자의 행동을 과도하게 제한하지 않으면서도 현실적인 방어력을 제공합니다.

서버 측 리스크 엔진의 고도화도 필수적입니다. 기기 특성, 접속 위치, 사용 패턴 등 신호를 종합 평가해 평시에는 마찰을 최소화하고, 이상 징후 시에는 단계적으로 인증을 강화하거나 거래를 보류하는 체계가 필요합니다. 여기에 더해 투명성과 규제 준수 역시 중요합니다. 국내외 기준에 맞춘 송·수신자 정보 관리와 사후 추적·차단 메커니즘을 정교하게 연결하면, 범죄 악용 가능성을 한층 낮출 수 있습니다.

대형 사고를 가정한 대응력도 준비되어 있어야 합니다. 출금 중지 스위치, 고객 공지와 보상 기준, 수사기관·타 기관과의 공조 절차를 표준운영절차로 문서화하고 주기적으로 점검하는 것이 좋습니다. 외부 침투 테스트와 버그 바운티 프로그램을 통해 취약점을 찾아내고, 개선 결과를 투명하게 공개하는 문화 또한 신뢰 형성에 큰 도움이 됩니다.

마무리

결론적으로, 오늘의 보안은 “사용자에게 무엇을 더 깔게 할 것인가”가 아니라 “시스템이 무엇을 선제적으로 막아 줄 것인가”를 묻습니다. 설치형 보안 프로그램으로 사용자에게 책임과 불편을 전가하는 방식은 시대착오적입니다. 피싱 저항 MFA와 서버·출금·보관 레이어 중심의 방어 심층으로 전환할 때, 우리는 보안성과 사용성을 동시에 끌어올릴 수 있습니다. 한국의 금융 보안이 이러한 방향으로 재설계된다면, 이용자 경험은 더 간결해지고 실제 위험에 대한 대응력은 한층 단단해질 것입니다.

디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
ALT text details디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
푸른곰's avatar
푸른곰

@purengom@purengom.com

서론 한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 […]
디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.

서론

한국의 인터넷 금융은 오랫동안 키보드 보안과 각종 실행형 보안 프로그램 설치를 전제로 해왔습니다. 이러한 접근은 사용자의 PC와 브라우저를 강하게 통제하면 안전해진다는 가정에 기대고 있습니다. 그러나 오늘날의 웹·모바일 환경에서는 이 방식이 보안 효과에 비해 불편과 부작용을 더 크게 초래하는 것으로 평가되고 있습니다. 브라우저의 샌드박스와 운영체제 권한 모델을 우회해야 하는 구조적 특성상, 오히려 공격 면을 넓히고 호환성과 접근성을 떨어뜨리는 역설도 발생합니다.

암호 자산 업계의 보안 대응

글로벌 표준은 이미 다른 길을 걷고 있습니다. 핵심은 사용자의 단말에 무언가를 더 설치하게 만드는 것이 아니라, 서버·결제(출금)·보관 레이어에 방어를 집중하는 것입니다. 인증은 피싱 저항성이 높은 WebAuthn/FIDO2 기반 MFA로 강화하고, 로그인·이체·출금 같은 고위험 이벤트는 서버에서 맥락을 평가해 추가 확인이나 지연을 자동으로 적용합니다. 이렇게 하면 사용자는 불필요한 설치 없이도 실질적인 보안 이익을 경험할 수 있습니다.

암호자산 업계는 이러한 ‘시스템적 방어’를 비교적 일찍 도입했습니다. 고객 자산의 대부분을 오프라인 콜드 스토리지에 보관하고, 온라인에 노출되는 잔고를 최소화합니다. 자금이 실제로 빠져나가는 순간에는 주소 화이트리스트, 출금 지연, 다중 승인 같은 제동 장치가 작동하여 침해가 발생해도 피해 확산을 막을 시간을 벌어줍니다. 계정 보안 설정을 봉인해 임의 변경이나 신규 출금을 차단하는 기능도 널리 사용되고 있습니다. 중요한 점은 이 모든 것이 사용자의 PC에 별도의 보안 모듈을 설치하지 않고도 구현된다는 사실입니다.

물론 이 분야에서도 사고가 전혀 없는 것은 아닙니다. 다만 관점이 달라졌습니다. 사고를 0으로 만드는 데 집착하기보다는, 사고가 발생하더라도 대량 인출로 직결되지 않도록 구조를 설계하고, 사후 탐지·차단·보전 체계를 통해 피해를 체계적으로 제한하려는 방향으로 진화하고 있습니다. 이는 ‘사용자 잘못’으로 귀결시키는 방식보다 훨씬 성숙한 책임 배분이라고 생각합니다.

한국도 이제 바뀌어야 할 때

이제 한국의 금융 보안도 같은 원칙을 채택할 때입니다. 먼저, 브라우저·OS 보안 모델을 저해하는 설치형 모듈은 단계적으로 폐지하는 것이 바람직합니다. 루트 인증서 삽입이나 키 입력 후킹처럼 본질적으로 위험한 기법은 지양해야 합니다. 대신 고액 이체, 새로운 기기 등록, 해외 송금 등 위험도가 높은 이벤트에는 패스키·보안키 같은 피싱 저항 인증을 기본값으로 제시하고, SMS·이메일 OTP는 보조 수단으로 격하하는 편이 합리적입니다.

다음으로, 이체·출금 레이어에 실질적 제어를 도입해야 합니다. 수취인 화이트리스트를 기본 제공하고 신규 추가 시 냉각기간을 두는 방식, 보안 설정 변경과 출금 권한을 일정 기간 봉인하는 방식, 의심 징후가 감지되면 자동으로 지연·보류·2차 승인을 요구하는 방식이 효과적입니다. 이러한 통제는 사용자의 행동을 과도하게 제한하지 않으면서도 현실적인 방어력을 제공합니다.

서버 측 리스크 엔진의 고도화도 필수적입니다. 기기 특성, 접속 위치, 사용 패턴 등 신호를 종합 평가해 평시에는 마찰을 최소화하고, 이상 징후 시에는 단계적으로 인증을 강화하거나 거래를 보류하는 체계가 필요합니다. 여기에 더해 투명성과 규제 준수 역시 중요합니다. 국내외 기준에 맞춘 송·수신자 정보 관리와 사후 추적·차단 메커니즘을 정교하게 연결하면, 범죄 악용 가능성을 한층 낮출 수 있습니다.

대형 사고를 가정한 대응력도 준비되어 있어야 합니다. 출금 중지 스위치, 고객 공지와 보상 기준, 수사기관·타 기관과의 공조 절차를 표준운영절차로 문서화하고 주기적으로 점검하는 것이 좋습니다. 외부 침투 테스트와 버그 바운티 프로그램을 통해 취약점을 찾아내고, 개선 결과를 투명하게 공개하는 문화 또한 신뢰 형성에 큰 도움이 됩니다.

마무리

결론적으로, 오늘의 보안은 “사용자에게 무엇을 더 깔게 할 것인가”가 아니라 “시스템이 무엇을 선제적으로 막아 줄 것인가”를 묻습니다. 설치형 보안 프로그램으로 사용자에게 책임과 불편을 전가하는 방식은 시대착오적입니다. 피싱 저항 MFA와 서버·출금·보관 레이어 중심의 방어 심층으로 전환할 때, 우리는 보안성과 사용성을 동시에 끌어올릴 수 있습니다. 한국의 금융 보안이 이러한 방향으로 재설계된다면, 이용자 경험은 더 간결해지고 실제 위험에 대한 대응력은 한층 단단해질 것입니다.

디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
ALT text details디지털 보안 시스템을 상징하는 그래픽으로, 방패, 체크마크, 카드, 금고 이미지가 포함되어 있으며, 보안과 인증을 강조하는 디자인.
Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

Fedify 프레임워크의 해결하기 위해 보안 업데이트를 릴리스했습니다 (0.4.12, 0.5.7, 0.6.6). 이번 업데이트는 CVE-2025-54888을 수정하는 최신 Fedify 보안 패치를 포함합니다.

모든 Hollo 인스턴스 관리자분들께서는 가능한 한 빨리 해당 릴리스 브랜치의 최신 버전으로 업데이트하시기를 강력히 권장합니다.

업데이트 방법:

  • Railway 사용자: 프로젝트 대시보드에서 Hollo 서비스를 선택하고, deployments의 점 세 개 메뉴를 클릭한 후 “Redeploy”를 선택하세요
  • Docker 사용자: docker pull ghcr.io/fedify-dev/hollo:latest로 최신 이미지를 받고 컨테이너를 재시작하세요
  • 수동 설치 사용자: git pull로 최신 코드를 받은 후 pnpm install을 실행하고 서비스를 재시작하세요
Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

Fedify 프레임워크의 해결하기 위해 보안 업데이트를 릴리스했습니다 (0.4.12, 0.5.7, 0.6.6). 이번 업데이트는 CVE-2025-54888을 수정하는 최신 Fedify 보안 패치를 포함합니다.

모든 Hollo 인스턴스 관리자분들께서는 가능한 한 빨리 해당 릴리스 브랜치의 최신 버전으로 업데이트하시기를 강력히 권장합니다.

업데이트 방법:

  • Railway 사용자: 프로젝트 대시보드에서 Hollo 서비스를 선택하고, deployments의 점 세 개 메뉴를 클릭한 후 “Redeploy”를 선택하세요
  • Docker 사용자: docker pull ghcr.io/fedify-dev/hollo:latest로 최신 이미지를 받고 컨테이너를 재시작하세요
  • 수동 설치 사용자: git pull로 최신 코드를 받은 후 pnpm install을 실행하고 서비스를 재시작하세요
Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

Fedify 프레임워크의 해결하기 위해 보안 업데이트를 릴리스했습니다 (0.4.12, 0.5.7, 0.6.6). 이번 업데이트는 CVE-2025-54888을 수정하는 최신 Fedify 보안 패치를 포함합니다.

모든 Hollo 인스턴스 관리자분들께서는 가능한 한 빨리 해당 릴리스 브랜치의 최신 버전으로 업데이트하시기를 강력히 권장합니다.

업데이트 방법:

  • Railway 사용자: 프로젝트 대시보드에서 Hollo 서비스를 선택하고, deployments의 점 세 개 메뉴를 클릭한 후 “Redeploy”를 선택하세요
  • Docker 사용자: docker pull ghcr.io/fedify-dev/hollo:latest로 최신 이미지를 받고 컨테이너를 재시작하세요
  • 수동 설치 사용자: git pull로 최신 코드를 받은 후 pnpm install을 실행하고 서비스를 재시작하세요
Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

Fedify 프레임워크의 해결하기 위해 보안 업데이트를 릴리스했습니다 (0.4.12, 0.5.7, 0.6.6). 이번 업데이트는 CVE-2025-54888을 수정하는 최신 Fedify 보안 패치를 포함합니다.

모든 Hollo 인스턴스 관리자분들께서는 가능한 한 빨리 해당 릴리스 브랜치의 최신 버전으로 업데이트하시기를 강력히 권장합니다.

업데이트 방법:

  • Railway 사용자: 프로젝트 대시보드에서 Hollo 서비스를 선택하고, deployments의 점 세 개 메뉴를 클릭한 후 “Redeploy”를 선택하세요
  • Docker 사용자: docker pull ghcr.io/fedify-dev/hollo:latest로 최신 이미지를 받고 컨테이너를 재시작하세요
  • 수동 설치 사용자: git pull로 최신 코드를 받은 후 pnpm install을 실행하고 서비스를 재시작하세요
Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

🚨 보안 업데이트: Hollo 0.6.5 릴리스

CVE-2025-53941 취약점을 해결하는 0.6.5를 릴리스했습니다. 연합 게시물의 HTML 주입 취약점이 수정되었습니다.

피싱 및 XSS 공격으로부터 인스턴스를 보호하기 위해 즉시 업데이트해 주세요.

업데이트 방법:

  • Railway: 배포 탭 → 점 세 개 클릭 → Redeploy
  • Docker: docker pull ghcr.io/fedify-dev/hollo:latest 후 재시작
  • 수동: git pull origin stable && pnpm install 후 서버 재시작

Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

🚨 보안 업데이트: Hollo 0.6.5 릴리스

CVE-2025-53941 취약점을 해결하는 0.6.5를 릴리스했습니다. 연합 게시물의 HTML 주입 취약점이 수정되었습니다.

피싱 및 XSS 공격으로부터 인스턴스를 보호하기 위해 즉시 업데이트해 주세요.

업데이트 방법:

  • Railway: 배포 탭 → 점 세 개 클릭 → Redeploy
  • Docker: docker pull ghcr.io/fedify-dev/hollo:latest 후 재시작
  • 수동: git pull origin stable && pnpm install 후 서버 재시작

Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

🚨 보안 업데이트: Hollo 0.6.5 릴리스

CVE-2025-53941 취약점을 해결하는 0.6.5를 릴리스했습니다. 연합 게시물의 HTML 주입 취약점이 수정되었습니다.

피싱 및 XSS 공격으로부터 인스턴스를 보호하기 위해 즉시 업데이트해 주세요.

업데이트 방법:

  • Railway: 배포 탭 → 점 세 개 클릭 → Redeploy
  • Docker: docker pull ghcr.io/fedify-dev/hollo:latest 후 재시작
  • 수동: git pull origin stable && pnpm install 후 서버 재시작

Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

🚨 보안 업데이트: Hollo 0.6.5 릴리스

CVE-2025-53941 취약점을 해결하는 0.6.5를 릴리스했습니다. 연합 게시물의 HTML 주입 취약점이 수정되었습니다.

피싱 및 XSS 공격으로부터 인스턴스를 보호하기 위해 즉시 업데이트해 주세요.

업데이트 방법:

  • Railway: 배포 탭 → 점 세 개 클릭 → Redeploy
  • Docker: docker pull ghcr.io/fedify-dev/hollo:latest 후 재시작
  • 수동: git pull origin stable && pnpm install 후 서버 재시작

Ubuntu Korea Community's avatar
Ubuntu Korea Community

@UbuntuKrOrg@mastodon.social

Korea 마감이 1주일 정도 남았는데요, 아직 를 고민 중이신가요?

지난 UbuCon Korea 2023 에는 "회사 아래에서 우분투 사용하기" 주제로 세션이 있었습니다! 확인 해 보세요!
youtube.com/watch?v=UO5EV4FaatE

발표제안은 2025.ubuntu-kr.org/cfp 에서 하실 수 있습니다!

💫64기가💥👽몰루니움🖖's avatar
💫64기가💥👽몰루니움🖖

@mollunium@pointless.chat

"유인원, 뭉치면 강하다!"

"유인원, 뭉치면 강하다." 원숭이 혹성 영화 시리즈의 한 장면.
ALT text details"유인원, 뭉치면 강하다." 원숭이 혹성 영화 시리즈의 한 장면.
Ape(유인원) 한 번만 쓴 암호는 약한 암호지만 ApeApeApeApe 유인원 네 번 연속으로 쓴 암호는 강한 암호라는 그래프
ALT text detailsApe(유인원) 한 번만 쓴 암호는 약한 암호지만 ApeApeApeApe 유인원 네 번 연속으로 쓴 암호는 강한 암호라는 그래프
💫64기가💥👽몰루니움🖖's avatar
💫64기가💥👽몰루니움🖖

@mollunium@pointless.chat

딥시크가 보안을 허술히 해서 사용 로그, 채팅 히스토리, 비밀 키 등등이 있는 데이터베이스가 다 노출이 되고 다 털렸을거라는 늬우스ㅋ

appleinsider.com/articles/25/0

💫64기가💥👽몰루니움🖖's avatar
💫64기가💥👽몰루니움🖖

@mollunium@pointless.chat

딥시크가 보안을 허술히 해서 사용 로그, 채팅 히스토리, 비밀 키 등등이 있는 데이터베이스가 다 노출이 되고 다 털렸을거라는 늬우스ㅋ

appleinsider.com/articles/25/0

Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

이와 관련하여, 역시 업데이트가 이뤄졌습니다. 0.3.6 또는 0.4.4 버전으로 바로 업데이트하시기 바랍니다!

https://hollo.social/@fedify/0194848b-3b9e-7da1-b631-c011db2f4c43

Fedify: ActivityPub server framework's avatar
Fedify: ActivityPub server framework

@fedify@hollo.social · Reply to Fedify: ActivityPub server framework's post

프레임워크의 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.

취약점 내용

보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:

  • 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
  • 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
  • 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능

수정된 버전

  • 1.3.x 시리즈: 1.3.4로 업데이트
  • 1.2.x 시리즈: 1.2.11로 업데이트
  • 1.1.x 시리즈: 1.1.11로 업데이트
  • 1.0.x 시리즈: 1.0.14로 업데이트

변경 사항

이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:

  1. 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
  2. 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
  3. SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단

업데이트 방법

다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:

# npm 사용자의 경우
npm update @fedify/fedify

# Deno 사용자의 경우
deno add jsr:@fedify/fedify

이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.

이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.

문의 사항이나 우려 사항이 있으시다면 GitHub DiscussionsMatrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.

Hollo :hollo:'s avatar
Hollo :hollo:

@hollo@hollo.social · Reply to Hollo :hollo:'s post

이와 관련하여, 역시 업데이트가 이뤄졌습니다. 0.3.6 또는 0.4.4 버전으로 바로 업데이트하시기 바랍니다!

https://hollo.social/@fedify/0194848b-3b9e-7da1-b631-c011db2f4c43

Fedify: ActivityPub server framework's avatar
Fedify: ActivityPub server framework

@fedify@hollo.social · Reply to Fedify: ActivityPub server framework's post

프레임워크의 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.

취약점 내용

보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:

  • 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
  • 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
  • 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능

수정된 버전

  • 1.3.x 시리즈: 1.3.4로 업데이트
  • 1.2.x 시리즈: 1.2.11로 업데이트
  • 1.1.x 시리즈: 1.1.11로 업데이트
  • 1.0.x 시리즈: 1.0.14로 업데이트

변경 사항

이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:

  1. 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
  2. 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
  3. SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단

업데이트 방법

다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:

# npm 사용자의 경우
npm update @fedify/fedify

# Deno 사용자의 경우
deno add jsr:@fedify/fedify

이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.

이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.

문의 사항이나 우려 사항이 있으시다면 GitHub DiscussionsMatrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.

Fedify: ActivityPub server framework's avatar
Fedify: ActivityPub server framework

@fedify@hollo.social · Reply to Fedify: ActivityPub server framework's post

프레임워크의 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.

취약점 내용

보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:

  • 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
  • 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
  • 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능

수정된 버전

  • 1.3.x 시리즈: 1.3.4로 업데이트
  • 1.2.x 시리즈: 1.2.11로 업데이트
  • 1.1.x 시리즈: 1.1.11로 업데이트
  • 1.0.x 시리즈: 1.0.14로 업데이트

변경 사항

이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:

  1. 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
  2. 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
  3. SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단

업데이트 방법

다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:

# npm 사용자의 경우
npm update @fedify/fedify

# Deno 사용자의 경우
deno add jsr:@fedify/fedify

이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.

이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.

문의 사항이나 우려 사항이 있으시다면 GitHub DiscussionsMatrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.

Fedify: ActivityPub server framework's avatar
Fedify: ActivityPub server framework

@fedify@hollo.social · Reply to Fedify: ActivityPub server framework's post

프레임워크의 구현에서 발견된 보안 취약점 CVE-2025-23221을 해결하기 위한 보안 업데이트(1.0.14, 1.1.11, 1.2.11, 1.3.4)를 배포했습니다. 모든 사용자께서는 각자 사용 중인 버전에 해당하는 최신 버전으로 즉시 업데이트하시기를 권장합니다.

취약점 내용

보안 연구자가 Fedify의 lookupWebFinger() 함수에서 다음과 같은 보안 문제점들을 발견했습니다:

  • 무한 리다이렉트 루프를 통한 서비스 거부 공격 가능
  • 내부 네트워크 주소로의 리다이렉트를 통한 SSRF (서버측 요청 위조) 공격 가능
  • 리다이렉트 조작을 통한 의도하지 않은 URL 스킴 접근 가능

수정된 버전

  • 1.3.x 시리즈: 1.3.4로 업데이트
  • 1.2.x 시리즈: 1.2.11로 업데이트
  • 1.1.x 시리즈: 1.1.11로 업데이트
  • 1.0.x 시리즈: 1.0.14로 업데이트

변경 사항

이번 보안 업데이트에는 다음과 같은 수정 사항이 포함되어 있습니다:

  1. 무한 리다이렉트 루프를 방지하기 위해 최대 리다이렉트 횟수 제한(5회) 도입
  2. 원래 요청과 동일한 스킴(HTTP/HTTPS)으로만 리다이렉트 허용하도록 제한
  3. SSRF 공격 방지를 위해 내부 네트워크 주소로의 리다이렉트 차단

업데이트 방법

다음 명령어로 최신 보안 버전으로 업데이트하실 수 있습니다:

# npm 사용자의 경우
npm update @fedify/fedify

# Deno 사용자의 경우
deno add jsr:@fedify/fedify

이 취약점을 책임감 있게 보고해 주신 보안 연구자께 감사드립니다. 덕분에 신속하게 문제를 해결할 수 있었습니다.

이 취약점에 대한 자세한 내용은 보안 권고문을 참고해 주시기 바랍니다.

문의 사항이나 우려 사항이 있으시다면 GitHub DiscussionsMatrix 채팅방, 또는 Discord 서버를 통해 언제든 연락해 주시기 바랍니다.