• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 취약점 패치되면 뭐하나...여전히 취약 버전 사용하는데 2017.10.24

특정 리포팅 솔루션, 지난 5·6월 패치됐지만 공공기관 등 여전히 취약 버전 사용
보안회사 조차도 액티브X 방식의 솔루션 개발에 보안 고려 안해

[보안뉴스 김경애 기자] 보안취약점이 발견된 특정 리포팅 솔루션이 지난 5월과 6월 패치됐음에도 해당 솔루션을 사용하는 공공기관과 기업들이 여전히 취약한 버전을 사용하고 있는 것으로 드러났다.

▲취약점이 발견된 프로그램 사용 정황 화면[이미지=보안뉴스 입수]


당시 발견된 취약점은 리포팅 솔루션의 리포트 출력기능에서 임의코드 실행이 가능한 취약점으로 알려졌다. 해당 취약점은 해커가 임의 코드 실행을 통해 악성코드 설치 등 악의적인 목적으로 사용이 가능하다. 낮은 버전의 액티브X 사용자는 악성코드 감염 등의 피해를 입을 수 있다.

이에 한국인터넷진흥원(KISA)은 당시 영향 받는 제품 버전에 대해 최신 버전으로 업데이트 버전 설치와 예전 프로그램 삭제 등 적극적인 대처와 사용자 주의를 당부한 바 있다.

본지가 조사한 바에 따르면 해당 솔루션은 정부기관과 금융기관 상당수가 사용하고 있다. 해당 솔루션의 주요 고객사를 살펴보면 공공기관 19곳, 일반기업 25곳, 금융기관 24곳, 교육기관 11곳, 의료기관 3곳, 국방 분야 6곳 총 88개 기업으로 철저한 보안관리가 요구되는 중요한 곳들이 모두 포함돼 있다. 따라서 고객사들 중 해당 취약점이 존재하는 프로그램을 사용하고 있다면 악성코드 감염 대상이 될 수 있어 각별한 주의가 필요한 실정이다.

하지만 여전히 많은 기관과 기업에서는 패치되지 않은 취약 버전을 그대로 사용하고 있는 것으로 드러났다. 지난 23일 △XXX고용관리 시스템 △창의적 체험활동 종합지원 시스템 XXX △XX점용 정보마당 △XX광역시교육연구정보원 △XX기술 정보 포털사이트 등에서 취약한 버전을 업데이트 하지 않고, 그대로 사용하고 있는 정황이 드러났다.

특히, XX기술 정보 포털 사이트에서 사용하는 농업회계 프로그램 역시 패치되지 않은 솔루션을 사용하는 정황이 포착됐다. 해당 웹사이트는 더군다나 농장명, 회계년도, 사업자등록번호, 대표자명, 주민번호, 업태, 종목, 전화번호, 팩스번호, 주소 등 민감한 개인정보를 수집하고 있어 보안관리의 허술함이 도마 위에 올랐다.

익명의 보안전문가는 “일반 사용자 입장에서는 정부에서 도입한 프로그램을 신뢰해서 설치 및 사용하는 건데, 패치가 제대로 안 된 프로그램을 배포할 경우 사용자들은 PC의 악성코드 감염 등 해킹 피해를 고스란히 입게 된다”며 “프로그램 패치 관리 등 보안관리가 허술한 상황”이라고 지적했다.

또한, XX윤리종합정보시스템의 경우 문제가 된 해당 프로그램의 취약점이 패치됐다고 알렸지만, 일반 자료실에만 올려 별도로 확인해야만 업데이트 정보를 알 수 있다.

이에 대해 한 보안업체 관계자는 “정말 보안을 생각한다면 별도 게시판을 통해 알리는 것이 아니라 웹사이트 메인페이지 팝업창에 띄워 공지하고, set-up 파일에 패치를 포함시켜 재배포해 접속하는 사용자 누구나 업데이트 버전을 다운로드 받을 수 있게 돼야 한다”며 “좀더 적극적인 보안관리와 홍보가 진행돼야 한다”고 강조했다.

또 다른 보안업체 연구원은 “제작사는 설계 당시부터 부터 취약점을 최소화할 수 있게 해야 하며 취약점이 발견됐을 경우 고객사 및 사용자가 손쉽게 패치할 수 있도록 해야 한다”며 “국내에서 활동하고 있는 해커조직 중 국내 소프트웨어 취약점을 주로 이용하는 조직도 존재하므로 기업이나 기관도 취약점을 최대한 빨리 패치될 수 있도록 해야 한다”고 당부했다.

익명을 요구한 한 CISO는 “고객사에 취약점의 구체적인 내용을 알리고, 고객사의 사내정보 보안담당자로 하여금 내부망을 통해 별도의 안내공지가 진행되도록 하는 등 보다 적극적인 대처가 있어야 한다”며 “통상 기업에서는 PMS(Patch Management System)을 통해 임직원 PC에 설치된 소프트웨어(SW)를 관리할 수 있다. 이를 통해 최소한 취약점이 존재하는 버전의 SW를 설치한 직원들을 대상으로 최신 버전 설치를 안내할 수 있는데, 이를 제대로 하지 못하고 있다”고 지적했다.

낮은 버전의 액티브X 사용자가 악성코드에 감염되는 문제도 도마 위에 올랐다. 한 보안업체 대표는 “보안회사 조차도 액티브X 방식의 솔루션 개발에 보안을 고려하지 않았다”며 “잠재된 문제는 얼마든지 더 드러날 수 있다. 따라서 제품 개발에 있어 보안 검증이 좀더 강화돼야 한다”고 설명했다.

또 다른 보안업체 대표는 “제품 생산은 제품기획에서 완성까지 하나의 흐름을 가지지만 취약점 대응은 다양한 상황을 고려한 전방위적인 작업”이라며 “SW 취약점을 관리 및 보완하려는 노력과 해당 업체 정책에 따라 취약점 범위와 규모는 달라질 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>