2020-11-26 21:05 (목)
개발 SW 검증도구 취약한 보안설정으로 기관·기업 침해사고 발생중…주의
상태바
개발 SW 검증도구 취약한 보안설정으로 기관·기업 침해사고 발생중…주의
  • 길민권 기자
  • 승인 2020.10.29 16:58
이 기사를 공유합니다

공격자, 내부 소스코드 저장소에 접근해 소스코드 열람 및 민감 정보 탈취

최근 개발 SW 검증에 사용되는 SonarQube 서버에서 취약한 보안설정으로 인한 침해사고가 발생하고 있어 기관 및 기업 이용자들의 각별한 주의가 요구된다.

‘SonarQube’는 SW 개발시 소스코드의 개선 및 보안 취약점 제거를 위한 코드 분석 도구다.

SonarQube 서버의 보안 설정 및 관리가 미흡한 경우 외부의 공격자가 기업, 기관 내부의 소스코드 저장소에 접근해 소스코드 열람 및 민감 정보 탈취로 이어질 수 있다.

KISA 침해사고분석단 취약점분석팀은 “대응 방안으로는 관리자 계정명, 패스워드, 포트(9000)를 변경하고 접근통제를 강화해야 한다”며 “보안장비(방화벽 등)를 SonarQube 인스턴스의 앞단에 구성하고 SonarQube 인스턴스에 접근할 수 있는 불필요한 자격증명(계정 등)을 폐지할 것”을 권고했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★