[공지] HTTP 구간암호화 RC4방식 보안취약점

페이지 정보

작성자 기술지원 댓글 0건 조회 638회 작성일 20-02-13 12:31

본문

최근 교육기관에서 MyBuilder를 활용한 시스템을 대상으로 실시한 보안점검에서 HTTP 구간암호화에 대한 취약점이 보고되어
관련 내용을 공지합니다.


A. 주요내용 : MyBuilder에 설정된 HTTP 구간 암호화에 적용된 암호화 방식(RC4)이 송/수신 데이타 위/변조에 취약함.


B. 대응방안 : 1안) 전문 구간암호화 솔루션 도입 적용
                  2안) MyBuilder 내 암호화 방식 변경(SEED, AES)


C. MyBuilder에서 제공하는 SEED, AES 암호화 방식으로 변경 방법

    1) SEED/AES 지원버전 6.2.2016.429 이후 버전(MyBuilder2009, MyBuilder2011, MyBuilderPlus)
                                    이전 버전은 해당 기능을 제공하고 있지 않습니다.

    2) 현재 사용중인 HTTP 구간 암호화 확인 방법

        환경설정(MyForm.inf) – [DataBase] Section - DB 연결정보에 ENCODE 옵션 확인
   
        [암호화 적용 옵션]
           1  = RC4 256 송신/수신 암호화
           2  = RC4 256 송신 암호화
          11 = kisa seed 256 송신/수신 암호화(EBC 작업모드)
          12 = kisa seed 256 송신만 암호화(EBC 작업모드)
          13 = kisa seed 128 송신/수신 암호화(CBC 작업모드)
          14 = kisa seed 128 송신만 암호화(CBC 작업모드)
          15 = kisa seed 256 송신/수신 암호화(EBC 작업모드) - 필드명 암호화
          17 = kisa seed 128 송신/수신 암호화(CBC 작업모드) - 필드명 암호화
          21 = aes 256 송신/수신 암호화
          22 = aes 256 송신만 암호화
          23 = aes 256 송신/수신 암호화 - 필드명 암호화

  
   3) 암호화 적용방법
      3.1) 2)번과 같이 환경설정 - [DataBase] Section에 ENCODE 옵션 지정

      3.2) 암호화 키를 환경설정 - [DataBase] Section에 HTTPKEY로 지정
            .- HTTPKEY는 MyBuilder HTTP 암호 만들기로 생성된 값


      3.3) Agent에 지정한 암호화 방식 라이브러리 적용.
           .- MyBuilder와 데이타를 송/수신하는 서블릿을 Agent로 통칭
           .- SEED, AES 암호화 라이브러리는 KISA 사이트 참조(https://seed.kisa.or.kr)
           .- Agent 샘플은 액티브소프트 HelpDesk(02-2203-7030) 으로 문의 하시거나
              대표 메일(support@activesoft.co.kr)로 아래의 양식으로 요청해 주세요.


          * 암호화 방식은 KISA에서 관련 자료들을 제공하고 있는 SEED 128 방식을 추천합니다.


4) 요청 메일 양식(support@activesoft.co.kr)
    .- 제목 : [MyBuilder HTTP 구간암호화 설정 가이드 요청]
    .- 내용 : 고객명 + 프로젝트명
                담당자 연락처  : ex) 홍길동, sales@active.co.kr, 010-111-1111
                도입년도(혹은 프로젝트 진행 년도) : ex)2010년
                MyBuilder 적용환경 : ex) MyBuilder 2011 6.2.2011.011 버전 활용 중(Ansi 혹은 Unicode 버전 확인)
                                                  MDI 형태의 전용브라우저 운영 혹은 jsp에 업무 화면만 적용
                현재 사용중인 HTTP 구간 암호화 방식 : ex) DB Connect 0 은 ENCODE =1
                                                                        DB Connect 1 은 ENCODE 옵션 미적용