공격자, 내부 소스코드 저장소에 접근해 소스코드 열람 및 민감 정보 탈취
최근 개발 SW 검증에 사용되는 SonarQube 서버에서 취약한 보안설정으로 인한 침해사고가 발생하고 있어 기관 및 기업 이용자들의 각별한 주의가 요구된다.
‘SonarQube’는 SW 개발시 소스코드의 개선 및 보안 취약점 제거를 위한 코드 분석 도구다.
SonarQube 서버의 보안 설정 및 관리가 미흡한 경우 외부의 공격자가 기업, 기관 내부의 소스코드 저장소에 접근해 소스코드 열람 및 민감 정보 탈취로 이어질 수 있다.
KISA 침해사고분석단 취약점분석팀은 “대응 방안으로는 관리자 계정명, 패스워드, 포트(9000)를 변경하고 접근통제를 강화해야 한다”며 “보안장비(방화벽 등)를 SonarQube 인스턴스의 앞단에 구성하고 SonarQube 인스턴스에 접근할 수 있는 불필요한 자격증명(계정 등)을 폐지할 것”을 권고했다.
[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]
-날짜: 2020년 11월 10일 화요일
-장소: 서울 양재동 더케이호텔서울 2층 가야금홀
-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자
(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)
-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정
-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에
-사전등록: 클릭
-참가기업 모집중: mkgil@dailysecu.com으로 문의
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#침해사고
저작권자 © 데일리시큐 무단전재 및 재배포 금지