• 스프링 프레임워크 취약점에 대한 Udemy의 대응

    보안 전문가들은 최근에 스프링 프레임워크와 관련된 원격 코드 실행(RCE) 취약점 3개(CVE-2022-22965, CVE-2022-22963, CVE-2022-22947)를 식별했습니다. 그 외에도 심각도가 중간 정도인 스프링의 4번째 DoS 취약점 CVE-2022-22950도 있습니다.

    이러한 문제가 처음 밝혀진 이후 Udemy 보안 팀은 Udemy 시스템을 검토하고 보호하기 위해 최선을 다하고 있습니다. 현 시점에서 이러한 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다.

    이와 같이 영향이 큰 고위험 취약점에 대해 Udemy 팀은 필요에 따라 취약 정도 테스트, 네트워크 연결 제한, 소프트웨어 또는 시스템 업데이트 또는 해결책 적용 등 여러 즉각적인 조치를 취합니다. Udemy 보안 및 엔지니어링 팀은 해당 취약점, 공격 시도 및 당사와 계약한 타사로부터의 통지 사례를 확인하기 위해 환경, 주요 하위 프로세서 및 공급업체를 모니터링할 예정입니다.

    추가 정보를 입수되는 대로 이 페이지를 통해 업데이트 사항을 제공하겠습니다.Udemy 보안 팀은 보안 연구원의 권고 사항이 변화함에 따라 시스템을 안전하게 보호하기 위해 최선을 다하고 있어 현재 사용자 맞춤 대응은 제공할 수 없습니다. Udemy의 대응 방식에 대한 자세한 정보는 아래 자주 묻는 질문을 참조하시기 바랍니다. 

    더 안전한 스프링 프레임워크 버전으로 업데이트하셨나요?

    이전에 스프링 프레임워크나 관련 제품의 취약한 버전이 사용되었던 각각의 경우, Udemy는 권장되는 최신 버전으로 업그레이드하거나 권장되는 해결책을 구현하는 등 세심한 복원 노력을 기울였습니다. 또한, 전 세계 사내 시스템을 보호하기 위해 다층 방어 기능을 조정했습니다.

    언제 복원이 완료될까요?

    스프링 프레임워크 취약점 공격 패턴이 진화함에 따라 Udemy 보안 팀은 보안 전문가 및 공급업체의 권고 사항을 모니터링하고 있으며, 이러한 권고 사항이 공유됨에 따라 복원 및 완화 노력을 계속할 것입니다. 

    고객 데이터가 손상되었나요?

    현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다. 

    Udemy 환경에서 사용하는 타사 공급업체에 스프링 프레임워크가 미치는 영향에 대해 질문하고 있나요?

    Udemy는 주요 Udemy Business 하위 처리자에 연락을 취했으며, 공급업체에서 업데이트를 릴리스함에 따라 툴링 업데이트를 적용했습니다.

    문서 읽기
  • Udemy Business 기능을 허용 목록에 추가하기

    사용자가 회사의 네트워크를 통해 Udemy Business 계정에 액세스하는 경우, 조직의 IT 부서에서 일부 기능이 올바르게 작동하도록 여러 도메인 및 하위 도메인을 허용 목록에 추가해야 할 수 있습니다. 

    이 문서에서는 특정 Udemy Business 기능에 대해 어떤 도메인과 하위 도메인을 허용 목록에 추가해야 하는지 설명합니다.

    콘텐츠를 허용 목록에 추가하기(동영상 스트리밍)

    사용자가 회사 네트워크를 통해 동영상을 스트리밍하고 콘텐츠를 볼 때 재생 지연 등 성능이 크게 저하되는 경우에는 Udemy Business에서 사용하는 동영상 스트리밍 도메인을 허용 목록에 추가해야 합니다.

    사용자가 문제 없이 Udemy Business 콘텐츠를 시청할 수 있도록 조직의 IT 부서에서 네트워크 방화벽/게이트웨이의 허용 목록에 다음 동영상 스트리밍 도메인을 추가해야 합니다. *.udemycdn.com

    스트리밍 문제가 계속됩니까? IT 부서에서 해당 도메인을 추가한 후에도 문제가 지속되면 해당 사용자가 Udemy Business 지원 팀에 문의하여 HAR 파일을 제공하도록 안내해 주시기 바랍니다. HAR 파일 속 정보를 통해 저희 엔지니어들이 문제의 원인을 파악하고 해결책을 찾을 수 있습니다.

    이메일을 허용 목록에 추가하기

    회사의 방화벽이 기본적으로 제한된 경우(일반적으로 사용하는 특정 사이트가 차단된 경우), 초대, 비밀번호 재설정 및 기타 중요한 이메일 수신을 위해 다음 Udemy for Business의 이메일 발송 도메인 및 모든 하위 도메인을 허용 목록에 추가해야 합니다.

    • a) *.udemy.com 
    • b) *.udemymail.com

    중요: 이메일 서비스 제공업체마다 상이할 수 있으므로, 해당 도메인의 모든 하위 도메인을 허용 목록에 추가하는 올바른 방법은 제공업체와 확인해야 합니다. 하위 도메인이 허용 목록에 올바르게 추가되지 않은 경우에는, 해당 도메인의 Udemy Business 이메일 발송이 차단될 수 있습니다.

    연구실 및 Workspace를 허용 목록에 추가하기(Udemy Business Pro 사용자)

    회사 네트워크 내부에서 Udemy Business에 액세스하는 Udemy Business Pro 사용자Workspace연구실이 제대로 작동하도록 조직의 IT 부서에서 다음 도메인을 허용 목록에 추가하는 것이 필요할 수 있습니다.

    • *.udemy.com
    • *.udemycdn.com
    • *.udemylabs.com
    • *.vocareum.com
    • *.amazon.com

    Azure에 대한 허용 목록 항목

    Microsoft에서 Azure에 권장하는 허용 목록 항록은 이 Microsoft 자료에서 확인할 수 있습니다.

    문서 읽기
  • Log4J 취약점에 대한 Udemy의 대응

    최근 보안 연구원들은 다양한 소프트웨어 제공업체에서 사용하는 Apache의 Java 기반 로깅 유틸리티인 Log4J 툴에 영향을 미치는 원격 코드 실행(RCE) 취약점(CVE-2021-44228)을 발견했습니다.

    이 문제가 처음 밝혀진 이후 Udemy 보안 팀은 Udemy 시스템을 검토하고 보호하기 위해 노력을 아끼지 않고 있습니다. 현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다. Udemy는 당사의 인프라 및 애플리케이션 전반에 걸쳐 이 취약점의 영향을 지속적으로 조사할 것입니다. 

    이와 같이 영향이 큰 고위험 취약점에 대해 Udemy 팀은 필요에 따라 취약 정도 테스트, 네트워크 연결 제한, 소프트웨어 또는 시스템 업데이트 또는 해결책 적용 등 여러 즉각적인 조치를 취합니다. Udemy 보안 및 엔지니어링 팀은 해당 취약점, 공격 시도 및 당사와 계약한 타사로부터의 통지 사례를 확인하기 위해 환경, 주요 하위 프로세서 및 공급업체를 모니터링할 예정입니다.

    추가 정보를 입수되는 대로 이 페이지를 통해 업데이트 사항을 제공하겠습니다. Udemy 보안 팀은 보안 연구원의 권고 사항이 변화함에 따라 시스템을 안전하게 보호하기 위해 최선을 다하고 있어 현재 사용자 맞춤 대응은 제공할 수 없습니다. Udemy의 대응 방식에 대한 자세한 정보는 아래 자주 묻는 질문을 참조하시기 바랍니다. 

    더 안전한 Log4J 버전(2.0-2.14.1)으로 업데이트하셨나요?

    이전에 Log4J의 취약한 버전이 사용되었던 각각의 경우, Udemy는 권장되는 최신 버전으로 업그레이드하거나 권장되는 해결책을 구현하는 등 세심한 복원 노력을 기울였습니다. 또한, 시스템을 보다 전반적으로 보호하기 위해 다중 방어(예: 인바운드 및 아웃바운드 네트워크 연결에 추가 제한 적용)를 조정했습니다.

    언제 복원이 완료될까요?

     Log4J 취약점 공격 패턴이 진화함에 따라 Udemy 보안 팀은 보안 전문가 및 공급업체의 권고 사항을 모니터링하고 있으며, 이러한 권고 사항이 공유됨에 따라 복원 및 완화 노력을 계속할 것입니다. 

    고객 데이터가 손상되었나요?

    현 시점에서 이 취약점이 기업 또는 개인 데이터에 부정적인 영향을 미쳤다는 지표는 없습니다. 

    Udemy 환경에서 사용하는 타사 공급업체에 Log4J가 미치는 영향에 대해 질문하고 있나요?

    Udemy는 공급업체에 연락을 취해 공급업체에서 업데이트를 릴리스함에 따라 툴링 업데이트를 적용했습니다. 또한, 보안 전문가가 마련한 종합 목록을 모니터링하여 툴별로 기타 권장 보안 위험 완화에 대응하고 있습니다.

    문서 읽기
  • 로그인 문제

    사용자가 귀하의 Udemy Business 계정에 초대된 후에도 로그인을 할 수 없는 경우에는 우선 비밀번호를 재설정하시기 바랍니다. 그 후에도 해결되지 않았다면 해당 사용자가 직접 지원 티켓을 제출하여 문의하시기 바랍니다. 저희 지원 팀이 24시간 이내에 답변하도록 하겠습니다.

    Udemy Business를 위해 통합 인증(SSO)을 설정했다면 귀하의 기관의 IT 부서에 연락하여 해당 사용자가 SSO 제공자를 통해 Udemy Business에 접속 권한을 부여 받았는지 확인해 보시기 바랍니다.

    귀하의 회사 방어벽이 기본적으로 제한된 경우 (일반적으로 사용하는 특정 사이트가 차단된 경우), 비밀번호 재설정 기능을 활성화하기 위해 Udemy에서 보내는 이메일을 허용 항목 목록에 추가해야 합니다.Udemy Business의 이메일 전송 도메인과 서브 도메인을 허용 항목 목록에 추가하는 방법에 대해 더 자세히 알아보세요.

    문서 읽기