'프로그램'에 해당되는 글 129건
- 2017.09.12 S/W 개발 환경의 보안 위협에 따른 주의
- 2016.11.07 홈페이지 개발도구 보안 업데이트
- 2016.07.13 한강으로 피서 가자!
트윗하기 | |||
□ 개요
o 최근 국내 S/W 개발社를 대상으로 S/W가 제작되는 단계에서 설치파일변조 침해사고가 확인됨
※ Supply Chain Attack(공급사슬공격) : 해커가 특정 기업, 기관 등의 HW 및 SW 개발, 공급과정 등에 침투하여, 제품의 악의적 변조 또는 제품 내부에 악성코드 등을 숨기는 행위
□ 내용
o 공격자는 S/W 빌드단계와 관련된 서버를 해킹 한 후 악성코드를 삽입하여, 개발社가 제품 패키징(컴파일) 작업 시 정상파일에 악성모듈이 삽입되어 배포됨
□ 해결 방안
o 국내 S/W 개발社는 사고 예방을 위해 아래와 같이 자사 개발환경에 대한 내부 보안 강화
① 개발과정과 관련된 모든 시스템(개발자PC, 빌드서버, SVN(형상관리)서버 등)에 대해 원격관리프로그램(원격데스크탑, 팀뷰어, VNC 등)의 접속이력 점검
※ 불필요 시, 관련 프로그램 삭제 또는 서비스 중지
② 패스워드에 대한 관리 강화
※ 공용패스워드 사용금지, 주기적인 패스워드 변경(3개월), 복잡한 패스워드 사용(영문대소,숫자,특수기호가 포함된 9자리이상 구성)
③ 개발환경은 외부 인터넷을 차단하여 운영
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] Combatting Cyber Risks in the Supply Chain, SANS(`15.9월)
- https://www.sans.org/reading-room/whitepapers/analyst/combatting-cyber-risks-supply-chain-36252
[2] KISA인터넷보호나라&KrCERT-가이드 및 메뉴얼-코드서명 인증서 보안
- https://www.boho.or.kr/data/guideView.do?bulletin_writing_sequence=24163
트윗하기 | |||
□ 개요
o 홈페이지 게시판 구축 시 쉽게 활용 가능한 무료 개발도구(SmartEditor, CKEditor 등)에서 파일 업로드 및 디렉토리
리스팅 취약점 등에 대한 보안 업데이트 권고
o 취약한 버전을 사용하고 있을 경우 홈페이지 해킹에 의해 홈페이지 변조, 데이터베이스 정보 유출 등의 피해를 입을 수 있으므로
웹 관리자의 적극적인 조치 필요
□ 해당 시스템
o 영향 받는 소프트웨어
- 네이버 SmartEditor 2.8.2 미만 버전
- CKEditor : 4.5.11 미만 버전
□ 해결 방안
o 보안 업데이트가 적용된 상위 버전으로 업그레이드
- 네이버 SamrtEditor2.0 Basic 2.8.2.3 버전 [1]
- CKEditor 4.5.11 버전 [2]
o 해당 도구들에 포함된 불필요 샘플 페이지는 제거
□ 기타 문의사항
o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
[참고사이트]
[1] http://dev.naver.com/projects/smarteditor/download
[2] http://ckeditor.com/whatsnew