□ 개요
o 최근 개발 프로젝트에 사용되는 온라인 소스코드 저장소*의 취약한
보안설정으로 인한 침해사고가 발생하고 있어
이용자들의 주의 당부 및 보안설정 권고
※ 온라인 소스코드 저장소 :
SW개발시 소스코드,
문서 등의 형상에 대한 변경을 체계적으로 관리하기 위한 도구
(GitHub, GitLab,
Bitbucket
등)
□ 주요내용
o 온라인
소스코드 저장소의 잘못된 보안설정으로 프로젝트가 외부에 공개되어 공격자가 소스코드 열람 및 민감 정보 탈취
o 공격자는
탈취한 계정 정보를 통해 온라인 소스코드 저장소에 접속하여, 소스코드
등 모든 데이터를 삭제하고 복구의
대가로 비트코인을 요구
□ 해결 방안
o 온라인
소스코드 저장소 사용자는 사고 예방을 위해 아래와 같이 개발환경에 대한 내부 보안 강화
① 패스워드에 대한 관리 강화
※ 강화된 인증(2Fa)
사용, 공용패스워드
사용금지, 주기적인 패스워드 변경(3개월),
복잡한 패스워드 사용(영문대소,
숫자, 특수기호가
포함된 9자리이상
구성)
② 온라인 소스코드 저장소 접근통제 및 프로젝트 공개 수준 점검
※ 방화벽을 통한 외부IP
접근통제 설정,
프로젝트 공개 수준 지정(Private,
Internal, Public)
③ 개발환경은 외부 인터넷을 차단하여 운영
□ 기타 문의사항
o 한국인터넷진흥원
인터넷침해대응센터: 국번없이 118
[참고사이트]
[1]
https://github.blog/2018-07-31-new-improvements-and-best-practices-for-account-security-and-recoverability/
(GitHub 보안설정 가이드)
[2]
https://about.gitlab.com/handbook/security/ (GitLab
보안설정 가이드)
[3]
https://confluence.atlassian.com/bitbucket/two-step-verification-777023203.html
(Bitbucket
보안설정 가이드)