액티브X 보안 취약점 신고포상제 결과, 시스템 명령 실행 등 총 85건 
전자금융감독규정 개정안 예고로 더욱 주목...23일까지 포상금 지급

[보안뉴스 김지언] 13일 발표된 전자금융감독규정 개정안 규정변경 예고로 사실상 액티브X를 강제하는 보안프로그램 설치 의무가 삭제된 가운데 공공분야, 게임사, 금융사 등에서 사용되는 액티브X들에서 총 85건의 신규 취약점이 발견된 것으로 집계됐다.

액티브X는 사용자 PC에 응용프로그램을 설치해 웹상 문서나 콘텐츠를 사용자 PC에서 이용할 수 있도록 해주는 인터넷 기술로 특정 웹페이지에 접속하면 자동으로 설치된다.

이번 분석결과는 한국인터넷진흥원(KISA)이 지난 8월 한달 동안 액티브X 취약점 중점 점검의 일환으로 실시한 ‘액티브X 보안 취약점 신고 포상제’에 따른 것으로, 공공분야, 게임사, 금융사 등에서 사용되는 다양한 액티브X를 대상으로 포상제를 실시한 결과 총 110건의 취약점이 접수됐다.

이 중 중복된 취약점을 제외한 신규 취약점으로는 85건이며, 악용되기 어렵거나 영향이 미비하다고 판단되는 4건의 취약점을 제외하고 81건에 한해 최종 포상금이 지급될 예정이다.

이번 취약점 신고 포상제를 통해 가장 많이 신고접수된 유형은 시스템 명령이 바로 실행되는 명령실행 취약점인데, 이는 대개 액티브X 개발 시 시큐어코딩을 적용하지 않아 문제가 발생한 것이다. 이외에도 버퍼오버플로우(Buffer Over Flow) 유형과 보안 설정 우회 등의 취약점이 뒤를 이었다.

이와 관련 KISA 관계자는 “이전에도 S/W 신규 보안 취약점 신고 포상제를 통해 액티브X 취약점을 신고받아 조치해 왔으나, 최근 액티브X의 취약점이 악용되는 사례가 발견되면서 액티브X 보안 취약점 신고 포상제를 운영하게 됐다”고 말했다. 

이어 그는 “포상제를 운영하면서 국내에서 주로 사용되는 액티브X의 취약점을 사전에 발견하고, 액티브X 소프트웨어 개발 업체에 패치하도록 요구함으로써 취약점을 이용한 공격을 사전 예방했다는 측면에서 의미가 있다. 이들 업체에 대해서는 취약점 내용과 함께 액티브X 개발가이드라인 파일도 함께 보내기 때문에 개발업체가 향후 소프트웨어 개발에 좀 더 신경 쓸 수 있을 것”으로 기대했다.

이와 함께 그는 “최근 KISA에서 액티브X 등 국내 인터넷 이용 환경 개선을 위해 국내 웹사이트를 대상으로 인터넷 이용환경 개선 컨설팅을 제공하고 있다”며 “기업이나 기관에서도 액티브X를 대체할 수 있는 새로운 방안 모색에 노력해야 하며 이용자들 역시도 취약한 엑티브엑스에 의해 악성코드 감염이 이루어지지 않도록 사용하지 않는 액티브엑스를 주기적으로 삭제하고 신뢰하는 사이트의 액티브X만 서명확인후 설치하는 보안인식이 필요하다”고 전했다.

한편 이번에 KISA에서 실시한 액티브X 보안 취약점 신고 포상제는 최신 버전의 소프트웨어에 영향을 줄 수 있는 액티브X의 보안 취약점을 국내외 거주하는 한국인을 대상으로 접수받은 후 평가결과에 따라 최대 500만원까지 지급하는 제도다. 액티브X 관련 취약점 포상은 오는 23일까지 개별 포상자에게 지급을 완료할 예정이다.
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>