소나큐브 (행정안전부 보안 보고서) 취약점 문의드립니다.
- 작성자 :
- 장*국
- 작성일 :
- 2025-04-11 17:17:01
- 조회수 :
- 109
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
소나큐브 (행정안전부 보안 보고서) 취약점 중 하드코드된 암호화 키 (curvc-egs-java:CEG025) 취약점 해결이 안 됩니다.
다음과 같이 취약점에 대응했으나 계속 취약점으로 잡힙니다.
1. application.properties에 암호화된 키 값을 넣어두고 복호화 하여 사용
2. OS 환경변수를 불러와서 사용
3. 외부 파일을 읽어와서 복호화하여 사용
수정 방안을 문의드립니다.
다음과 같이 취약점에 대응했으나 계속 취약점으로 잡힙니다.
1. application.properties에 암호화된 키 값을 넣어두고 복호화 하여 사용
2. OS 환경변수를 불러와서 사용
3. 외부 파일을 읽어와서 복호화하여 사용
수정 방안을 문의드립니다.
환경정보
-
- OS 정보 : 리눅스
- 표준프레임워크 버전 : 2.5.0
- JDK(JRE) 정보 : 1.8
- WAS 정보 : 톰캣
- DB 정보 : 오라클
- 기타 환경 정보 :
A
안녕하세요
표준프레임워크센터입니다.
작성해주신 사항만으로는
커스텀된 소스 코드 구성을 파악할 수 없어 문제점을 확인하기 어렵습니다.
배포되는 템플릿 또는 예제 소스코드를 참조 하시기 바랍니다.
표준프레임워크센터는 crypto 간소화 서비스를 이용해 암호화를 진행하고 있습니다.
아래 URL 내 가이드를 참조하셔서 설정을 확인해보시기 바랍니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte4.2:fdl:crypto
표준프레임워크센터에서는 아래 URL의 보안가이드에 따라 개발되었습니다.
해당 페이지를 확인하시어 관련된 사항을 조치해보시기 바랍니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
또는 행정안전부에서 제공하는 시큐어 코딩(보안 코딩) 가이드의 내용을 참고하실 수 있습니다.
해당 게시물의 첨부 파일에서 내용을 확인 가능합니다.
https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=88956
감사합니다.
표준프레임워크센터입니다.
작성해주신 사항만으로는
커스텀된 소스 코드 구성을 파악할 수 없어 문제점을 확인하기 어렵습니다.
배포되는 템플릿 또는 예제 소스코드를 참조 하시기 바랍니다.
표준프레임워크센터는 crypto 간소화 서비스를 이용해 암호화를 진행하고 있습니다.
아래 URL 내 가이드를 참조하셔서 설정을 확인해보시기 바랍니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte4.2:fdl:crypto
표준프레임워크센터에서는 아래 URL의 보안가이드에 따라 개발되었습니다.
해당 페이지를 확인하시어 관련된 사항을 조치해보시기 바랍니다.
https://www.egovframe.go.kr/home/ntt/nttRead.do?pagerOffset=0&searchKey=&searchValue=&menuNo=76&bbsId=171&nttId=1813
또는 행정안전부에서 제공하는 시큐어 코딩(보안 코딩) 가이드의 내용을 참고하실 수 있습니다.
해당 게시물의 첨부 파일에서 내용을 확인 가능합니다.
https://www.mois.go.kr/frt/bbs/type001/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000015&nttId=88956
감사합니다.
