2024-03-29 21:50 (금)
국내 아파치 스트럿츠 보안취약점 관리 허술…해킹사고로 이어질 수 있어
상태바
국내 아파치 스트럿츠 보안취약점 관리 허술…해킹사고로 이어질 수 있어
  • 길민권 기자
  • 승인 2017.09.26 14:40
이 기사를 공유합니다

국내 오픈소스 소프트웨어의 보안취약점 관리 위험수위

ATM-1.jpg
심각한 아파치 스트럿츠(Apache Struts) 보안취약점에 대한 국내 기업들의 보안관리가 여전히 취약한 상황이다. 보다 적극적인 대처가 필요하다.

최근 미국의 3대 신용정보기관인 에퀴팩스(Equifax)에서 1억 4천3백만명 이상의 대규모 개인신용정보가 유출된 보안침해 사건의 원인으로 밝혀진 보안취약점(CVE-2017-5638)을 포함한 자바 기반의 오픈소스 프레임워크인 아파치 스트럿츠(Apache Struts)를 이용한 오픈소스 소프트웨어 개발이 국내에서도 지속적으로 이루어져 왔던 것으로 알려져 있다.

지난 9월 7일 에퀴팩스는 해커들이 올해 5월부터 7월까지 아파치 스트럿츠의 보안 취약점을 이용해, 에퀴팩스의 보안망을 뚫고 침입해 사회보장번호, 운전면허 번호, 신용카드 번호 등의 대규모 개인정보를 해킹했다고 발표했다. 이 해킹으로 미국 성인인구의 1/2이상이 영향을 받은 것으로 파악되었으며, 탈취된 데이터가 은행 계좌 탈취, 신용 도용 등 심각한 경제적 피해를 입힐 수 있는 범죄에 악용될 수 있어 우려가 커지고 있다.

이번 에퀴팩스 해킹에 이용된 아파치 스트럿츠 CVE-2017-5638 취약점은 이미 2017년 3월 6일에 발표되었지만, 패치를 적용하지 않아 해킹을 당한 것이다. 에퀴팩스가 아파치 스트럿츠 보안 취약점을 방치해 대규모 개인정보 침해를 초래했다는 사실이 밝혀짐에 따라, 9월 13일 미국 연방거래위원회(FTC)가 에퀴팩스를 대상으로 공식 수사에 돌입하는 등 관련 파장이 커지고 있는 상황이다. 현재 미국 내에서 에퀴팩스를 대상으로 700억불, 한화 79조원에 해당하는 집단 소송이 진행 중이다.

이 취약점은 취약점 점수 시스템 CVSS Common Vulnerability Scoring System)에서 최고 위험도 점수인 10점을 받은 원격 코드 실행 보안 취약점으로서, 해커가 HTTP 리퀘스트 헤더(HTTP Request Header)의 Content-Type 값을 변조해 원격 코드 실행을 가능하게 한다. 웹 기반 원격코드 실행기술은 진입 장벽이 낮아서 가장 위험한 타입의 익스플로잇 중 하나이다.

아파치 스트럿츠는 자바 기반 웹 애플리케이션 개발에 광범위하게 사용되는 오픈소스 프레임워크로, 개발자중심의 인더스트리 분석 회사인 레드몽크(RedMonk)의 분석가 핀탄 라이언(Fintan Ryan)에 의하면, Fortune 100대 기업 중 65%는 이 프레임워크를 사용하여 애플리케이션을 개발했을 것으로 추정된다.

국내에서도 아파치 스트럿츠를 다수의 개발자들이 사용해 온 것으로 알려져, 보안업계관계자들이 국내 데이터 유출사고의 발생 가능성을 경고하고 있다.

엔시큐어 손장군 이사는 “아파치 스트럿츠는 국내 개발자들 사이에서 오랫동안 사용된 프레임워크로 2014년에 국내외를 들썩인 오프소스 암호화 라이브러리 OpenSSL의 보안취약점 하트블리드와 같이 국내에서도 해당 보안 취약점과 관련된 데이터 유출사건이 일어날 수 있다”고 경고하면서 “기업보안에 타격을 줄 수 있는 새로운 보안취약점은 매년 계속 등장하고 있지만 이에 대한 국내 기업들의 대응은 주먹구구식이 대부분이며 심지어 어떤 오픈소스가 리스크를 포함하고 있는지 모르는 경우가 많다“고 국내 오픈소스 소프트웨어의 보안취약점 관리 행태에 대해 우려를 나타냈다.

또한 인사이너리의 강태진 대표는 “아파치 스트럿츠는 국내에서도 다수의 개발자들이 사용해왔다.”며 “국내 오픈 소프트웨어 개발 환경을 볼 때 개발자가 직접 관련 소프트웨어에 사용된 오픈소스 라이브러리와 버전을 하나하나 관리하기 힘들어 실제적으로 어떤 오픈소스가 쓰였는지 확인이 어렵기 때문에 문제가 더 심각하다”고 경고했다.

아파치 스트럿츠를 사용한 오픈소스기반 소프트웨어의 보안취약점 관리를 위하여, 아파치 스트럿츠 프로젝트 관리위원회(Apache Struts Project Committee)에서는 최근 다음과 같은 권고사항을 발표했다.

1. 귀사의 소프트웨어 제품에 사용된 지원 프레임워크과 라이브러리를 이해하라. 관련 오픈소스를 이용한 제품에 영향을 미치는 보안취약점을 지속적으로 모니터링 하라.

2. 즉시 보안 패치를 릴리즈하는 프로세스를 수립하라. 보안문제로 업데이트가 필요한 지원 프레임워크와 라이브러리가 확인되면 몇 시간, 혹은 몇 일 내로 패치를 배포 하는 것이 좋다. 대부분의 보안침해는 몇 달 혹은 몇 년간 보안 취약점이 알려져 왔지만 업데이트에 실패한 소프트웨어 컴포넌트를 통해서 이루어 진다.

3. 모든 복잡한 소프트웨어는 결함을 내포하고 있다. 특히, 보안 취약점에 있어서, 귀사의 지원 소프트웨어 제품이 결함이 없다는 가정하에 보안 정책을 세우지 말아라.

4. 보안 계층을 수립하라. 아파치 스트럿츠 프레임워크와 같이 공개된 프리젠테이션 계층 뒤에 개별적으로 보안 계층을 확보하는 것이 좋은 소프트웨어 엔지니어링 방법이다.

5. 귀사의 공개 웹 리소스에 대한 비정상적인 접근 패턴에 대한 모니터링을 수립하라. 최근에는 이러한 비정상적인 접근 패턴을 감지하고 경고를 해주는 오픈소스나 상업 제품들이 많이 있다. 비즈니스 크리티컬한 웹기반의 서비스에 대한 모니터링을 권고한다.

김택완 블랙덕소프트웨어코리아 대표는 “아파치 스트럿츠는 수많은 조직에서 사용하고 있으며, 관련 보안 위협을 악용할 경우 전문적인 해킹 지식이 없이도 쉽게 해킹할 수 있다”라며, “해킹이 수월한 것에 비해서, 이미 개발된 소프트웨어의 아파치 스트럿츠 보안취약점 확인은 쉽지 않기 때문에 자동화된 툴을 통해 보안취약점을 탐지하고 애플리케이션을 보호하는 것을 권고한다”라고 말했다.

블랙덕소프트웨어코리아는 2006년 국내법인 설립 이래 오픈소스 보안, 컴플라이언스 및 거버넌스 솔루션을 제공하고 오픈소스 컨설팅을 수행하며, 2016년부터 오픈소스 보안관리 자동화 솔루션 '블랙덕 허브(Black Duck Hub)'를 공급하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★