2024-03-29 17:35 (금)
"올해 상반기 7천여 개 보안취약점 중 40%가 오픈소스 취약점...보안사고 위험 커"
상태바
"올해 상반기 7천여 개 보안취약점 중 40%가 오픈소스 취약점...보안사고 위험 커"
  • 길민권 기자
  • 승인 2018.07.05 16:24
이 기사를 공유합니다

SK인포섹 이큐스트 그룹, 상반기 보안 이슈 및 오픈소스 보안 중요성 알려

▲ 이재우 SK인포섹 이큐스트 그룹장. 올해 상반기 정보보안 이슈 및 오픈 소스 소프트웨어 보안에 대해 기자들에게 설명하고 있다.
▲ 이재우 SK인포섹 이큐스트 그룹장. 올해 상반기 정보보안 이슈 및 오픈 소스 소프트웨어 보안에 대해 기자들에게 설명하고 있다.
SK인포섹(대표 안희철)은 4일 광화문 센터포인트 빌딩에서 ‘이큐스트(EQST)그룹 정기 미디어 데이(Media Day)’를 열고, 올해 상반기 정보보안 이슈 및 오픈 소스 소프트웨어 보안에 대해 발표하는 자리를 가졌다.

이 자리에서 이재우 SK인포섹 이큐스트 그룹장은 "이번 조사는 2천여 개 고객사를 대상으로 조사한 내용이다. 올해 상반기 전체 공격 발생 이벤트 건수는 총 157만건 발생했으며 월 평균 26만건의 해킹 공격 이벤트가 발생했다"며 "이 수치는 지난해 스트럿츠 취약점으로 월 100만건 이상의 이베트가 발생한 것에 비해 1/4 정도 감소한 수치다. 또 올해 상반기 16건의 사고대응 성과를 거뒀다. 대부분 공격은 랜섬웨어에 집중돼 있었으며 APT 공격 사례는 없었다"고 전했다.

또 "상반기 오픈소스 보안 가이드를 공개한 바 있다. 하반기 오픈소스를 추가해 버전2를 공개할 예정이다. 그 이유는 현재 많은 기업들이 오픈소스를 사용해 서비스 개발을 하고 있지만 특별한 보안 대책을 세우지 않고 있어 큰 피해로 이어질 수 있기 때문이다. 오픈소스 보안 가이드가 기업에 도움이 될 수 있길 바란다. 오픈소스 보안관 관련 고객세미나도 정기적으로 개최해 나가겠다"고 밝히고 오픈소스 보안에 각별한 주의를 당부했다. 한편 현장에서 오픈소스 취약점을 악용한 2건의 해킹 시연도 공개해 관심을 끌었다.

이큐스트(EQST)는 SK인포섹의 하이테크 전문가 그룹으로 사이버 위협 분석∙연구를 비롯해, 실제 해킹 사고 현장에서 침해사고 대응을 맡고 있다.

이날 EQST 발표는 1월 초에 발생한 인텔 CPU 해킹을 시작으로 평창올림픽 해킹 공격, 갠드크랩(GandCrab) 랜섬웨어, 액티브엑스(ActiveX) 해킹공격, 그리고 최근에 일어난 암호화폐 거래소 공격까지 올해 상반기 동안 발생한 주요 공격과 공격 기법 등에 대해 정리할 수 있는 시간이 됐다.

발표를 맡은 이재우 이큐스트 그룹장은 “상반기에 발생한 갠드크랩 랜섬웨어나 암호화폐 거래소 공격 등을 보더라도 사이버 공격이 금전적 이득을 노리는 경향이 커지고 있다”고 말했다. 이와 함께 “4.27 남북정상회담 이후부터는 북한으로 추정 공격들이 정보 탈취에서 정보 수집 양상으로 변하고 있다”고 말했다.

SK인포섹 이큐스트(EQST)그룹은 SK인포섹 통합보안관제센터에서 수집한 데이터를 근거로 올해 상반기 동안 월 평균 26만건의 공격 시도가 있던 것으로 발표했다. 오픈 소스인 아파치 스트러츠(Apache Struts)의 취약점을 노린 공격이 많았으며, 다양한 종류의 랜섬웨어, 미라이 악성코드의 변종인 ‘사토리 봇넷(Satori)’에 의한 공격 시도도 다수 발견됐다.

상반기 동안 실제 발생한 해킹 피해 사례를 보면 웹사이트 악성코드 유포(31%), 이메일을 통한 악성코드 공격(25%), 웹로직(Weblogic) 취약점을 노린 공격(19%) 등이 해킹 원인이 됐다고 밝혔다.

이어 이큐스트 그룹 이광형 책임의 오픈 소스 소프트웨어(OSS)의 해킹 위험 관련 발표로 이어졌다.

올해 상반기 동안 약 7천여 개의 보안 취약점이 발견되었는데, 이중 오픈소스 소프트웨어와 관련한 취약점이 40%가 넘었다. 또한 이들 취약점 중에서 원격 제어 및 공격이 가능해 위험도가 높은 ‘리모트 코드 익스큐션(Remote Code Execution)’ 취약점도 다수 발견돼 오픈 소스 소프트웨어에 대한 보안이 매우 중요하다고 밝혔다.

오픈 소스 소프트웨어에 대한 해킹 시연도 있었다. 해킹 시연은 개발자 도구로 많이 쓰이는 젠킨스(Jenkins), 레디스(Redis)의 보안 취약점을 이용해 사용자 PC 및 서버를 장악하고, 암호화폐 채굴형 악성코드 ‘마이너(Miner)’를 심는 과정을 시나리오로 구성해 보여줬다.

시연을 맡은 이광형 책임은 “이번 해킹 시연은 지난 주 이큐스트 그룹이 발간한 오픈 소스 소프트웨어 보안 가이드북에도 나와 있는 보안 취약점을 이용한 것이었다”면서, “보안 정책 설정, 보안 패치 등 이미 알려진 것만 잘 대비해도 피해를 줄일 수 있다”고 강조했다.

SK인포섹 이큐스트 그룹은 최근 22종의 오픈 소스 소프트웨어에 대한 보안 가이드북을 무료로 배포한데이어, 하반기에는 10종을 추가 제작해 배포할 계획이다.

이재우 이큐스트 그룹장은 “오픈소스 소프트웨어를 사용하는 기업들이 많아지고 있음에도 불구하고, 기본적인 보안 조치를 하지 않아 생기는 해킹 피해 사례가 늘고 있다. 개발 단계부터 오픈 소스에 대한 보안을 신경 쓰지 않으면 해커에게 공격할 수 있는 문을 열어주는 것과 같다”면서 “이큐스트 그룹은 기업들이 오픈 소스 소프트웨어를 안전하게 사용할 수 있도록 보안 해법을 제시하는데 최선의 노력을 다하겠다”고 말했다.

SK인포섹 이큐스트(EQST)그룹의 '오픈소스 소프트웨어 보안가이드'는 SK인포섹 홈페이지에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★