인터넷응급센터, 8월 첫째·둘째 주 보안취약점 515개 확인·등록
고위험 197개, 중위험 204개, 저위험 13개
‘애플리케이션 취약점’, 전체 절반 안팎 달해

[보안뉴스 온기홍= 중국 베이징] 중국 정부기관이 8월 첫째 주와 둘째 주 공식 확인해 등록한 정보보안 취약점이 500개를 넘었다. 이 가운데 고위험급과 중위험급이 절반씩 차지했다.

중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 8월 둘째 주(7일~13일) 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 16개 협력회사(보안업체, 통신서비스업체, 통신기기장비업체)와 CNCERT 지역센터, 개인(화이트해커)로부터 접수한 사건형 취약점 보고들을 평가해 최종적으로 정보보안 취약점 302개를 확인·등록했다고 밝혔다. 8월 첫째 주(7월 31일~8월 4일)에는 212개가 정식 등록됐다.

8월 둘째 주 전체 보안취약점 212개 가운데 ‘고위험’급 취약점은 107개, ‘중위험’급 188개, ‘저위험’급 취약점은 7개였다고 센터는 설명했다. 전체 취약점 가운데 제로 데이(0day) 관련 취약점은 169개로 전체의 56%를 차지했다. 8월 첫째 주에는 전체 212개 취약점 가운데 고위험 90개, 중위험 16개, 저위험 6개로 파악됐다.


인터넷응급센터가 7월에 공식 확인해 등록한 보안 취약점 수량을 보면, △마지막 주(7월 24일~30일) 276개(고위험 102개, 중위험 208개, 저위험 32개) △셋째 주(17일~23일) 309개(고위험 69개, 중위험 208개, 저위험 32개) △둘째 주(10일~16일) 413개(고위험 178개, 중위험 216개, 저위험 19개) △첫째 주(3일~9일) 308개(고위험 112개, 중위험 162개, 저위험 34개)였다.


중국내 정보보안 취약점 위협 수준을 보면, 8월 첫째 주와 둘째 주 모두 ‘중간’으로 평가됐다. 7월에도 첫째 주부터 넷째 주까지 ‘중간’ 정도의 위협 수준이었다.

中 정부·통신·금융·에너지·교육 기관 정보시스템 내 보안취약점 현황
인터넷응급센터가 CNVD를 통해 접수한 당·정부 기관 및 기업들과 관련된 사건형 보안 취약점은 8월 첫째 주 2,257개로 한 주 사이 21% 줄었고, 둘째 주에는 1,665개(주간 26% 감소)였다. 7월에는 △넷째 주(24일~30일) 2,841개 △셋째 주(17일~23일) 1,352개(주간 13% 증가) △둘째 주(10일~16일) 1,192개(18% 증가) △첫째 주(3일~9일) 1,011개(31% 감소)였다고 센터는 밝혔다.

인터넷응급센터는 8월 둘째 주 중국 3개 유·무선 통신 서비스 업체들에 정보보안 취약점 사건 35건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 702건이었다.

센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요 기관과 관련된 보안 취약점 사건 702건을 비롯해 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 190건을 각각 검증해 처리했다. 센터는 국가 상급 정보보안 협조 기관에 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 38건을 보고했다고 덧붙였다.

이에 앞서 센터가 8월 첫째 주 3개 유·무선 통신 서비스업체에 통보한 정보보안 취약점 사건은 53건이었다. 7월 중에는 넷째 주 18건, 셋째 주 16건, 둘째 주 13건, 첫째 주 22건이었다.
센터가 8월 첫째 주 은행, 증권, 보험, 에너지 등 중요 분야의 기업·기관에 통보한 보안 취약점 관련 사건은 30건을 기록했다. 7월 넷째 주에는 37건, 셋째 주 29건, 둘째 주 27건, 첫째 주 28건으로 집계됐다.

센터가 전국 각 지역의 CNCERT 센터와 협력해 처리한 지방 중요 기관과 관련된 보안 취약점 사건은 8월 첫째 주 661건에 달했다. 7월 넷째 주 865건, 셋째 주 717건, 둘째 주 540건, 첫째 주 529건이었다.

고등교육 기관 및 연구소 시스템 관련 보안 취약점 사건은 8월 첫째 주 279건으로 파악됐다. 7월 넷째 주 174건, 셋째 주 125건, 둘째 주 135건, 첫째 주 90건으로 확인됐다.

정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건은 8월 첫째 주 34건, 7월 넷째 주 70건, 둘째 주 42건, 첫째 주 32건이었다.

기업·기관 정보시스템·SW 제품에서 보안취약점 탐지
인터넷응급센터는 8월 둘째 주 아리 클라우드컴퓨팅, 다칭쥬쥬네트워크과기, 충칭시 샹롼커과기발전, 용요우S/W, 창샤 미퉈정보기술, 마이크로소프트 중국법인, 충칭 펀다자동차임대, 베이징 진화져로봇인과기, 베이징 자동차그룹, 진샨SW, 러스홀딩스(베이징), 청두 디지정보기술, 상하이 요우이네트워크과기, 항저우 지베이전자과기, 러바오베이(베이징)과기, 하이얼 그룹, 청두 공공교통그룹, 중국사회과학원, 중국관리과학연구원, EnGenius, 시에청여행 사이트(ctrip.com), 칭샹 어문사이트 등 53곳의 회사·기관의 정보시스템·SW 제품에서 보안 취약점이 드러났다고 밝혔다.

8월 첫째 주에는 베이징 모웨이얼(movier) 과기발전, 베이징 장충통과기, 청두 아이청과기, 광저우 메이런정보기술, 선전시 이톈롄과기, 시안 다우쉐교육과기, 창청 관따이(광대역) 사이트, 중국사회심리학회 등 19곳이었다.

7월 현황을 보면, 마지막 주(24~30일)에 상하이지텅통신설비, 용요우이동통신기술서비스, 상하이줘줘네트워크과기, 창샤미퉈정보기술, 중국철도전기화국그룹 제1공정유한회사, 베이징신안세기과기, 후동온라인(베이징)과기, 중국다탕그룹 과기공정유한회사, 상하이치뉴정보기술, 선전시안이통과기발전, 아리 클라우드컴퓨팅유한회사, 국가기술표준자원서비스플랫폼, 중화의학회 신경병학분회, 세계화인연합총회 교육위원회, 중국과협정보센터, 국제매니저협회 등 25곳의 정보시스템 또는 SW 제품에서 보안 취약점이 탐지됐다.

7월 셋째 주(17~23일)에는 상하이 윈다택배(물류) 유한회사, 베이징후이동시대과기, 지난롱저우정보기술, 선전시 쉰레이네트워크과기, 지난 제페이SW, 샨시니우쿠정보과기, 용요우네트워크과기, 샤먼커쉰SW, 하이펑국제홀딩스, 중하이그룹, 알리바바그룹 보안응급대응센터, 진샨 사우용SW, 고등교육독학시험사이트, 중국건축, 상하이철강교역센터, 중국건설공정질량협회, 중국환경보이사회, 중국건축업과기협회, 중국도시농촌건설협회, 중국원립협회 등 28곳이었다.

둘째 주에는 7월 10~16일 선전시 신펑향과기, 중국통신건설 제5공정국, 샤먼 커쉰SW, 타이위앤 쉰이과기, 션져우디지털그룹, 정저우 보어펑SW, 슈광정보산업서비스, 중국환경보이사회, 국가건축재료테스트센터, 중국공정제어사이트 등 19곳으로 확인됐다.

첫째 주에는 중국철도건설투자그룹, 시스콤시스템(중국법인)네트워크기술, 아리(알리바바)클라우드컴퓨팅, 선전시 신펑향과기, 구글(중국법인), 샨시 니우쿠정보과기, 챵샤 미퉈정보기술, 용요우이동통신기술서비스, 용요우네트워크과기, 초상국 국제유한회사, 중국 국기 중공그룹, 중국 어린이소년기금회, 해이신 그룹, ZZCMS, BEESCMS, emlsoft、중국 국제경제무역중재위원회 온라인쟁이해결센터, 중국 문물사이트 등 28곳에 달했다.

‘애플리케이션 취약점’, 절반 안팎 비중 차지해 가장 많아
인터넷응급센터가 8월 둘째 주 공식적으로 최종 등록한 전체 302개의 보안 취약점들을 영향 대상에 따라 살펴보면, 애플리케이션 (프로그램) 취약점이 158개(점유율 52%)로 가장 많았다. 웹(Web) 애플리케이션 취약점 84개(28%), 네트워크 장비 취약점 33개(11%), 운영체제 취약점 20개(7%), 보안제품 취약점 4개(1%), 데이터베이스 취약점 3개(1%) 순으로 뒤를 이었다.

8월 첫째 주에는 전체 212개 취약점 가운데 애플리케이션 취약점이 108개로 52%를 차지했다. 웹 애플리케이션 취약점 62개(29%), 운영체제 취약점 28개(13%), 네트워크 장비 취약점 10개(5%), 데이터베이스 취약점 3개(1%), 보안제품 취약점은 1개 순이었다.


7월 상황을 보면, 마지막 주인 24일~30일에는 애플리케이션 취약점이 118개로 가장 많았다. 하지만 전체 유형 가운데 점유율은 이전보다 줄어 43%를 기록했다. 이어 운영체제 취약점 113개(41%), 데이터베이스 취약점 18개(7%), 네트워크 장비 취약점 12개(4%), 웹(Web) 애플리케이션 취약점 11개(4%), 보안 제품 취약점 4개(1%)를 각각 기록했다.

7월 셋째 주인 17일~23일에는 애플리케이션 취약점이 206개로 67%를 차지했다. 웹 애플리케이션 취약점 57개(18%), 운영체제 취약점 18개(6%), 네트워크 장비 취약점 17개(5%), 데이터베이스 취약점 6개(2%), 보안제품 취약점은 5개(2%) 순이었다.

둘째 주에도 애플리케이션 취약점이 210개(51%)로 가장 많았고, 웹 애플리케이션 취약점 125개(30%), 운영체제 취약점 48개(11%), 네트워크 장비 취약점 29개(7%), 데이터베이스 취약점 1개(1%)로 확인됐다.

첫째 주에는 애플리케이션 취약점이 112개(점유율 36%)로 가장 많았으나 점유율이 이전보다 20% 안팎 떨어졌고, 웹 애플리케이션 취약점 99개(32%), 운영체제 취약점 75개(24%), 네트워크 장비 취약점 17개(6%), 보안제품 취약점은 5개(2%)로 파악됐다.


“보안 취약점, 모바일 인터넷·통신·공업제어시스템 부분 순으로 많아”
지난 8월 둘째 주 등록된 정보보안 취약점을 분야 별로 보면, 통신 분야 취약점(http://telecom.cnvd.org.cn/)이 23개(고위험 7개, 중위험 12개, 저위험 4개), 모바일 인터넷 분야 취약점(http://mi.cnvd.org.cn/)은 15개(고위험 3개, 중위험 12개), 공업제어 시스템 분야 취약점 10개(고위험)로 나타났다.

이 가운데 중국 스마트폰·통시장비업체 화웨이(Huawei)의 ‘DIR 계열 라우터에서 원격 명령 실행 취약점’, 화웨이가 출시한 스마트폰 ‘honor6x’의 드라이버 버퍼 오버플로우 취약점(CNVD-2017-19194), 여러 화웨이 스마트폰의 버퍼 오버플로우 취약점은 ‘고위험’급으로 평가됐다고 센터는 밝혔다.

공격자는 이들 스마트폰 사용자를 속여 안드로이드(Android) 운영체제 루트(Root) 권한을 얻는 악성 애플리케이션을 설치하게 함으로써 단말기 드라이버에 특정 파라미터를 발송한다. 이로써 단말기의 시스템 재부팅 또는 임의 코드 실행을 초래한다. 센터가 CNVD에 등록한 화웨이의 스마트폰 관련 보안 취약점에는 ‘통화 모듈 서비스거부 취약점(CNVD-2017-19188)도 포함됐다.

중국 PHP+MySql이 개발한 콘텐츠 관리 시스템인 ‘FineCMS’의 ‘V5.0.8’ 버전에서는 파일 업로드 취약점이 발견됐다. 이 취약점이 존재하는 파일은 ‘finecms\dayrui\controllers\Api.php’이다.

앞서 8월 첫째 주에 △통신 분야 12개(고위험 3개, 중위험 8개, 저위험 1개) △모바일 인터넷 분야 취약점은 14개(고위험 12개, 중위험 2개)였다.

지난 7월 마지막 주에는 △통신 분야 취약점이 20개(고위험 12개, 중위험 18개) △모바일 인터넷 분야 취약점은 83개(고위험 35개, 중위험 46개, 저위험 2개) △공업제어시스템 분야 취약점 3개(고위험 1개, 중위험 2개)로 나타났다. 이 중 중국 IT업체 롄샹(Lenovo) VIBEnac_server의 컴포넌트 로컬 권한 취약점 등은 ‘고위험’급으로 확인됐다고 센터는 밝혔다.

셋째 주에는 △통신 분야 13개(고위험 1개, 중위험 10개, 저위험 2개) △모바일 인터넷 분야 취약점은 5개(고위험 2개, 중위험 2개, 저위험 1개) △공업제어시스템 분야 취약점 2개(고위험)였다.

둘째 주에는 △모바일 인터넷 분야 취약점이 81개(고위험 57개, 중위험 23개, 저위험 1개) △통신 분야 8개(고위험 2개, 중위험 3개, 저위험 3개) △공업제어시스템 분야 취약점이 2개(고위험 1개, 중위험 1개)였다. 이 가운데 중국 롄샹(Lenovo)이 출시한 여러 스마트폰 ‘VIBE’의 ‘무권한 방문 취약점’, 중국 화웨이가 내놓은 스마트폰 ‘P10 Plus’의 ‘터치스크린 드라이브 메모리 중복 릴리즈 취약점’ 등은 고위험급이라고 센터는 설명했다.

첫째 주에는 △모바일 인터넷 분야 취약점이 19개(고위험 7개, 중위험 11개, 저위험 1개) △통신 분야 17개(고위험 11개, 중위험 6개) △공업제어시스템 분야 취약점이 3개(중위험) 였다.


한편, 인터넷응급센터가 8월 둘째 주 국내외 업체·제품 별로 나눈 보안 취약점 수량과 비중을 보면, Oracle(20개, 점유율 7%), Microsoft(20개), Trend Micro(12개), Advantech(10개), GraphicsMagick(10개), Cisco(9개), Huawei(9개), Motorola(9개), ImageMagick(7개) 등이 차례로 상위 10위 안에 들었다.

8월 첫째 주에는 Oracle(48개, 점유율 23%), ImageMagick(16개), Google(12개), Microsoft(10개), FontForge(10개), FineCms(9개), Linux(7개), Televes(3개), Cacti(2개) 순으로 보안 취약점이 많았다고 센터는 밝혔다.

7월 마지막 주에는 Apple, Google, Microsoft, Oracle, ImageMagick, Cisco, FreeRADIUS, Exiv2, Linux 등 차례로 상위 10위 안에 들었다. 셋째 주에는 Oracle(25개, 점유율 8%), IBM(25개), IrfanView(24개), XnView(12개, FineCMS(11개), WordPress(10개), Microsoft(9개), SWFTools(8개), Linux(6개), 기타(131개) 순으로 보안 취약점이 많았다.

둘째 주에는 Google(취약점 48개, 점유율 12%), XnView(34개), IrfanView(27개), Foscam(13개), Cisco(11개), Microsoft(10개), IBM(10개), SAP(8개), Siemens(6개), 기타 246개로 나타났다. 첫째 주에는 Microsoft(52개, 점유율 17%), Mozilla(27개), Google(15개), Huawei(14개), Cisco(9개), LAME(7개), FFmpeg(7개), Wordpress(6개), IBM(6개), 기타(165개) 등의 차례였다고 센터는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>