• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

中 당국, 12월 첫째 주 보안취약점 92개 등록 2015.12.11

국가인터넷응급센터 “고위험 취약점 62개, 중위험 27개”
“애플리케이션 프로그램 취약점 51개, 웹 애플리케이션 취약점 27개”

[보안뉴스 온기홍=중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(이하 국가인터넷응급센터)는 12월 첫째 주(11월 30일~12월 6일)에 자국에서 최종 등록된 정보보안 취약점은 92개라고 8일 밝혔다. 이는 한 주 전보다 54개 줄어든 규모다.

국가인터넷응급센터는 지난달 30일부터 이달 6일까지 중국 내 정보보안 솔루션제공 업체들과 S/W 업체, 인터넷서비스 업체, CNCERT 지역 센터, 개인(화이트해커) 등이 국가정보보안취약점공유플랫폼(이하 CNVD)에 보고한 1,065개에 달하는 사건형 취약점 위주의 보안 취약점들을 종합 평가해 최종적으로 92개를 뽑아 등록했다고 덧붙였다.

이들 가운데 ‘고위험’급 취약점은 62개로, 전체의 약 70%를 차지했다. ‘중위험’ 취약점은 27개, ‘저위험’ 취약점은 3개였다. 또한 전체 취약점 가운데 원격 공격 실시에 이용될 수 있는 취약점은 87개로 밝혀졌다고 센터는 밝혔다.

12월 첫째 주 주요 보안 취약점 처리 상황
국가인터넷응급센터는 지난달 30일부터 이달 6일까지 중콩그룹(SUPCON), 상하이국제신탁, 산동비트전자공업, 베이징동팡왕징정보과기, 전자지불과기발전, 중국과기출판미디어, 쉬저우시 화망정보과기, 중국국제기술지력협력회사, 중국기계설비공정, 선전신웨이소프트웨어, 여우쿠투더우(동영상서비스회사), 구글, 선전시방직(그룹), 전국소방사물망정보관리플랫폼, 중국우정그룹회사 정보국, 중국티켓서비스센터, 중국신흥건설개발총공사, 정방소프트웨어, 전국외국어등급고시연구센터, 전국소방사물망정보관리플랫폼, 중국핵전정보망, 중국소비자협회, 중국고교교보전시플랫폼, WWF세계자연기금회, 중국법원망, 베이징의약업계협회 사이트, 전력고급인재 사이트, 중국수공업 사이트, 중국수협설비 사이트, 중국뉴스미디어 사이트, 중국건축에너지절약 사이트, 중국철도콰이윈물류 사이트를 포함한 60여 개 회사와 기관의 S/W 제품 혹은 웹사이트 정보시스템에 존재하는 SQL 주입, 취약한 암호, 무단 방문, 임의 파일 업로드·다운로드, 원격 명령 실행 따위의 취약점들을 중점 협조 처리했다고 밝혔다.

▲ ‘11월 30일~12월 6일’ 보안 취약점이 존재한 일부 제품 관련 업체 분포 통계


공격자들은 이들 취약점을 악용해 사용자의 중요한 정보를 빼내고, 권한 없이 무단 방문하며, 임의 파일을 업로드·다운로드 하거나 임의 코드를 실행한다고 센터는 강조했다. 또한 센터는 PCRE(Perl Compatible Regular Expressions), D-Link 등 여러 업체의 제품과 관련된 취약점을 공개했다. PCRE의 경우, 서비스 거부 취약점이 존재한 것으로 드러났으며, 공격자는 이 취약점을 악용해 서비스 거부 공격을 개시할 수 있다고 센터는 설명했다. 이 취약점은 ‘고위험’으로 평가됐다.

D-Link의 무선 공유기 제품인 D-Link DIR-825, DGL5500, DIR-890L, DIR-890R, DIR-866L, DIR-880L에는 디렉터리 리스팅과 버퍼 오버플로우(buffer overflow) 취약점이 존재하는 것으로 확인됐다고 센터는 설명했다. 공격자들은 이 취약점을 악용해 중요한 정보를 얻을 수 있고 임의 코드를 실행하며 서비스거부 공격을 일으킬 수 있다.

정보보안 취약점이 영향을 끼친 대상에 따른 유형
국가인터넷응급센터가 발표한 전체 92개의 취약점들을 영향 대상에 따라 나눠 보면, 애플리케이션 프로그램 취약점이 51개(전체의 56% 차지)로 가장 많았다. 이 취약점은 가장 높은 점유율을 계속 유지하고 있다.

▲ 12월 첫째 주 보안 취약점의 영향 대상에 따른 유형 통계표


이어 웹(Web) 애플리케이션 취약점 27개(점유율 29%), 네트워크 설비 취약점 12개(13%), 운영체제 취약점(1%)과 보안제품 취약점(1%)이 각각 1개를 기록했다. 전체 정보보안 취약점을 분야 별로 살펴 보면, 통신 분야 관련 취약점은 10개였고, 공업제어시스템 분야는 2개였다.

▲ 12월 첫째 주 분야별 정보보안 취약점 통계


이 가운데 △여러 IBM 제품 비밀번호 기한 초과 취약점 △Cisco ASR 1000IOS XE 보안 우회 취약점 △Siemens SIMATIC 통신기 모듈 정보 유출 취약점 △여러 Saia BurgessControls 제품의 PCD 하드코드 비밀번호 취약점 등은 ‘고위험’이라고 센터는 평가했다. 관련 업체들은 이미 이들 취약점의 패치 프로그램을 발표했다고 센터는 덧붙였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>