2024-03-28 19:05 (목)
에퀴팩스, 아파치 스트럿츠가 보안 허술점임을 인정
상태바
에퀴팩스, 아파치 스트럿츠가 보안 허술점임을 인정
  • 유성희 기자
  • 승인 2017.10.19 15:49
이 기사를 공유합니다

z.png

사진 출처 : 비메오

아파치 스트럿츠 CVE-2017-5638(Apache Struts CVE-2017-5638)이 2개월 전에 패치를 마쳤지만, 미국의 신용정보 업체 에퀴팩스(Equifax)가 발표한 성명서에 따르면, 지난 5월 발생한 에퀴팩스 데이터 유출 사건의 허점은 아파치 스트럿츠라고 한다.

에퀴팩스는 고객 1억 4,300만 명의 개인 정보가 유출된 사실을 확인했다. 에퀴팩스 관계자는 온라인 게시판을 통해 "우리는 범죄자가 미국 웹사이트 응용 프로그램 취약점을 악용한 사실을 알고 있다. 취약점은 아파치 스트럿츠 CVE-2017-5638이었다. 우리는 범죄 수사의 일환으로 법 집행 기관과 계속 협력하고 있다. 범인이 어떤 정보에 접근했는지, 누가 영향을 미쳤는지 알아보기 위해 독립적인 사이버 보안 회사의 도움을 받아 침입 범위를 집중적으로 조사하는 중이다"라고 언급했다.

아파치 스트럿츠 프레임 워크 수정은 3월 6일에 진행됐으며, 그로부터 3일 후 버그가 공격을 받았다. 애커들은 이 허점을 이용해 웹에 악의적인 응용 프로그램을 설치했다. 하지만 에퀴팩스는 정보 유출이 발생한 것은 5월 중순이라고 강조했다.

이로 비추어 볼 때 에퀴팩스는 자신들의 웹사이트가 보안 침해에 취약하다는 사실을 알고 있었으면서도 웹 응용 프로그램을 업데이트하지 않은 것으로 보인다. 한 IT 솔루션 업체는 에퀴팩스가 보안 허점을 처음 발견했을 때 패치를 진행하는 것이 노동력이 많이 들고 어려운 일이라고 생각한 것 같다고 말하며 그 이유는 스트럿츠의 새로운 버전을 다운로드한 뒤 오래되고 버그가 많은 버전을 사용했던 모든 응용 프로그램을 다시 만들어야 하기 때문이라고 설명했다. 에퀴팩스는 이에 대해 입장을 밝히지 않았다.

웹사이트는 보통 수십 개의 서로 다른 서버에 흩어져 있는 응용 프로그램을 사용하기 때문에 이것을 다시 구축한 뒤 엄격한 테스트를 거쳐 다른 기능을 손상시키지 않으면서 새로 구현하기가 어렵다.

미국의 조사 업체인 베어드 에쿼티 리서치(Baird Equity Research)는 에퀴팩스가 아파치 보안 허점으로 침입당한 증거는 없다고 말했으며 아파치 소프트웨어 또한 아파치 스트럿츠의 취약점이 보안 사고의 경로인지 여부를 알지 못했다고 전했다.

아파치 스트럿츠는 자바 EE 웹 응용 프로그램을 개발하기 위한 오픈 소스 웹 응용 프로그램 프레임 워크다. 자바 서블릿 API를 사용하고 확장하여 개발자가 MVC (모델 뷰 컨트롤러) 아키텍처를 채택하도록 권장한다.

포춘지 선정 500대 기업에 속한 많은 기업들과 정부 기관에서도 아파치 스트럿츠 응용 프로그램을 사용하고 있다.


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★