2024-03-28 20:45 (목)
인사이너리 ‘클래리티’, 미국 소비자 협회 오픈소스 보안 취약성 보고서에 활용돼
상태바
인사이너리 ‘클래리티’, 미국 소비자 협회 오픈소스 보안 취약성 보고서에 활용돼
  • 길민권 기자
  • 승인 2018.10.11 17:15
이 기사를 공유합니다

1011-6.jpg
국내 오픈소스 보안 솔루션 전문 기업 인사이너리는 최근 미국 소비자 협회(이하 ACI)에서 실시한 안드로이드 기반 애플리케이션 취약성 보고서와 가정 및 사무실용 라우터 펌웨어 취약성 보고서에서 핑거프린트 기반 바이너리 코드스캔 소프트웨어인 ‘클래리티(Clarity)’가 활용됐다고 밝혔다.

인사이너리 ‘클래리티’는 임베디드 펌웨어 또는 모든 바이너리에 대해 공개된 보안 취약점을 능동적으로 검사하고 라이선스 문제를 검증하는 솔루션으로, 소스코드나 리버스 엔지니어링 없이 바이너리 코드에 사용된 오픈소스 컴포넌트를 검출할 수 있다.

지난 8월, ACI는 《인기 있는 앱은 얼마나 안전한가? 치명적인 취약성에 소비자가 관심을 기울여야 할 이유에 대한 연구 보고서》를 위해 바이너리 코드 스캐너인 ‘클래리티(Clarity)’를 사용하여 구글 플레이 스토어에서 제공하고 있는 330개의 APK 파일을 검사했다.

선정된 파일들은 스토어 내 33개의 개별 카테고리에서 10위권 이내에 랭크된 인기 있는 애플리케이션들이다. 연구에 따르면 앱에서 보안 패치가 적용되지 않은 오픈소스 코드가 광범위하게 사용될 때, 해당 애플리케이션은 심각한 보안 취약점을 가지게 된다.

보고서의 주요 내용은 다음과 같다.

▲330개의 애플리케이션 샘플 중 32%(105개)의 애플리케이션이 보안 취약성이 있는 것으로 밝혀졌으며, 식별된 애플리케이션당 평균 19개의 취약성 존재했다.

▲샘플에서 발견된 1,978건의 보안 취약성이 모두 심각 수준이며, 이 중 43%가 고위험 또는 치명적 단계로 진단

▲가장 보편적으로 사용하고 있는 은행, 티켓, 스포츠 및 여행 애플리케이션들이 알려진 취약성에 대한 보안 패치가 없는 경우 기업 및 소비자에게 심각한 피해를 끼칠 수 있음

ACI는 이번 보고서를 지난 9월 12일 미국 상원 의사당 회의실에서 열린 ACI 주관 《데이터 보안과 온라인 프라이버시》를 주제로 한 전문가 토론회의에서 발표했다. 작년 Equifax 보안사고 사례를 통해 알 수 있듯이 기업의 IT 인프라가 가지고 있는 오픈소스 취약점은 소비자 데이터가 해킹에 노출될 가능성을 높인다. 이에 대한 경각심을 높이고자 ACI는 기업들이 직접 제작해 사용자들에게 배포하는 모바일 앱의 취약성을 검사해 내부시스템의 취약 수준을 짐작해보고자 했다.

또한 ACI는 인사인너리의 ‘클래리티(Clarity)’를 활용한 《IoT 디바이스의 보안: 당신의 와이파이 라우터는 얼마나 안전한가?》 보고서에서 Wi-Fi 라우터 제조사의 대다수가 알려진 취약성에 대해 펌웨어를 업데이트하는 것을 무시하고 있어 데이터 유출 및 개인정보 도난 등 심각한 위험에 처할 수 있다는 사실을 밝혔다.

이러한 문제가 가정과 사무실 등 대중적으로 사용되고 있는 대부분의 Wi-Fi 라우터에 적용되고 있다. 보고서의 주요 내용으로는 ▲분석된 라우터의 83%가 잠재적인 사이버 공격에 취약 ▲평균 186개의 라우터 샘플에서 32,003 개의 취약점이 발견되었으며, 라우터들은 평균적으로 172개의 취약점을 갖고 있음 ▲발견된 취약성 중 28%가 “고위험” 혹은 “치명적”인 것으로 분류되어, 평균 12개의 “치명적”인 취약점과 36개의 “고위험” 취약점이 각 라우터에 대해 발생함이다.

인사이너리의 강태진 대표는 “ACI의 이번 연구를 통해 아쉽게도 오픈소스를 활용한 많은 소프트웨어가 알려진 오픈소스 취약성으로부터 안전하지 못하다는 점이며, 제대로 관리가 이루어지지 않고 있다는 점을 알 수 있었다”라며 “이렇게 발생하는 취약점으로 인해 기업, 소비자 및 정부는 해커의 공격에 노출되고 주요 데이터 및 소비자 정보가 유출되는 결과를 맞이하게 될 것이다. 따라서 바이너리 코드스캔과 같이 다양한 방법을 활용하여 안전한 오픈소스를 쓰고 있는지 사전에 탐지 및 방지할 필요가 있다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★