2월 1일~14일, 고위험 취약점 24개, 중위험 취약점 71개
중국핵공업 등 40개 회사·기관 SW 또는 웹사이트에 보안취약점 존재

[보안뉴스 온기홍=중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 최대 명절 ‘춘절’(우리나라 설) 연휴가 포함된 2월 1일~14일 2주간 자국에서 최종 정식 등록된 정보보안 취약점은 101개라고 발표했다.

국가인터넷응급센터는 춘절 공식 연휴(8일~12일)가 포함된 1일부터 14일까지 6개 회원사와 협력사, 개인(화이트 해커) 등이 국가정보보안취약점공유플랫폼(이하 CNVD)에 보고한 804개에 달하는 사건형 취약점 위주의 보안 취약점들을 분석∙평가해 최종적으로 101개를 뽑아 공식 등록했다.

이들 가운데 ‘고위험’급 취약점은 24개였고, ‘중위험’ 취약점은 71개로 가장 많았다. ‘저위험’ 취약점은 6개였다. 전체 취약점 가운데 원격 공격 실시에 이용될 수 있는 취약점은 93개로 확인됐다고 센터는 밝혔다. 지난 2주간 정보보안 취약점 위협에 대한 전체적인 평가 등급은 ‘낮음’이라고 센터는 덧붙였다. 전체 취약점 가운데 97개에 대해서는 15일 현재 관련 업체들이 패치 솔루션을 내놓았다.


중국핵공업 등 40개 회사·기관 SW 또는 웹사이트 시스템에 보안취약점 존재
국가인터넷응급센터는 2월 1일~14일 중국수입자동차무역유한회사, 상하이신스다네트워크과기, 중국헝톈그룹, 선전시회인통전자상무, 왕션정보기술(베이징), 중국데이터, 중국철도콰이윈(속달운송), 정팡SW, 캐논(중국법인), 항저우마이다전자, 써우거우(Sogou), 상하이커푸정보기술, 중국핵공업, 진롄왕쟈(베이징)전자지불과기, 상하이치팡정보기술, 시안차오위에SW, 후난멍싱과기, 베이징디지털톈탕정보기술, 싱메이국제잉청(영화관), 상하이셰다SW과기, 상하이야무통신기술, 저쟝성톈정설계공정, 중국국제경제무역중재위원회, 차이졔(재계) 사이트, 보어청교육 사이트, 국제공업자동화 사이트를 포함한 40개 회사와 기관의 SW 제품 또는 웹사이트 정보시스템에 존재하는 정보유출, SQL 주입, 취약한 암호, 임의 파일 업로드, 자바(Java) 반시리얼라이제이션, 원격 명령 실행 따위의 취약점들을 협조해 처리했다고 밝혔다.

공격자들은 이들 취약점을 악용해 사용자의 중요한 정보를 훔치고, 임의 파일 업로드, 임의 코드 실행, 서버 권한 확보 등을 할 수 있다고 센터는 설명했다.


정보보안 취약점이 영향을 끼친 대상에 따른 유형
국가인터넷응급센터가 2월 1일~14일 공식 등록한 101개의 취약점들을 영향 대상에 따라 나눠 보면, ‘애플리케이션 프로그램 취약점’이 79개(전체의 78% 차지)로 가장 많았다. 이어 네트워크 설비 취약점 12개(12%), 운영체제 취약점 4개(4%), 웹(Web) 애플리케이션 취약점 3개(3%), 보안제품 취약점 2개(2%), 데이터베이스 취약점 1개(1%)를 각각 기록했다.

분야별 보안취약점, 통신 분야 8개·모바일 인터넷 2개·공업제어 3개
지난 2월 1일~14일 전체 정보보안 취약점을 분야 별로 살펴보면, 통신 분야 관련 취약점은 8개, 모바일 인터넷 분야 취약점은 2개, 공업제어 분야 취약점은 3개였다. 이 가운데 ‘Cisco RV220W SQL주입 취약점’, ‘MICROSYS PROMOTIC 힙 버퍼 오버플로우((Heap buffer overflow) 취약점’, ‘Rockwell Automation MicroLogix 1100 PLC스택 버퍼 오버플로우(Stack Buffer Overflow) 취약점’ 등은 ‘고위험’으로 평가됐다. 관련 업체는 이들 취약점에 대한 패치 프로그램을 내놓았다.

한편, 국가인터넷응급센터가 업체∙제품별로 나눈 취약점 수량과 비중을 보면 구글(Google), 시스코(Cisco), NTP 등 차례로 많았다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>