[아이뉴스24 김국배기자] 미국 3대 신용정보기관 에퀴팩스의 개인정보 유출사고 원인으로 밝혀진 오픈소스 프레임워크 보안 취약점에 대한 주의가 요구된다.
에퀴팩스는 오픈소스 프레임워크인 '아파치 스트럿츠' 보안 취약점을 방치해 해킹 공격의 빌미를 제공한 것으로 알려졌다. 해커는 지난 5월부터 7월까지 보안망을 뚫고 침입해 사회보장번호, 운전면허 번호, 신용카드 번호 등 대규모 개인정보를 탈취했다. 해당 취약점(CVE-2017-5638)은 지난 3월 패치가 나온 바 있다.
오픈소스 관리 기업 블랙덕소프트웨어코리아는 26일 아파치 스트럿츠 보안 취약점 공격을 경고했다.
아파치 스트럿츠는 자바 기반 웹 애플리케이션 개발에 광범위하게 사용되는 오픈소스 프레임워크다. 포춘 100대 기업 중 65%가 이 프레임워크를 사용해 앱을 개발했을 것이라는 추정도 있다.
특히 국내에서도 오픈소스 SW 개발에 아파치 스트럿츠가 활발히 사용돼온 만큼 데이터 유출 사고 발생 가능성을 간과할 수 없다는 게 회사 측 설명이다.
더욱이 이 취약점은 취약점 점수 시스템에서 최고 위험도 점수인 10점을 받은 원격코드 실행 보안 취약점이다.
반면 국내 SW 개발 환경에서는 개발자가 직접 SW에 사용된 오픈소스 라이브러리와 버전을 일일이 관리하기 힘들어 실제로 쓰인 오픈소스를 확인하기 어렵다.
김택완 블랙덕소프트웨어코리아 대표는 "아파치 스트럿츠는 수많은 조직에서 사용하며 관련 보안 위협을 악용할 경우 전문적인 해킹 지식 없이도 쉽게 해킹할 수 있다"며 "이에 비해 이미 개발된 SW의 아파치 스트럿츠 보안 취약점은 확인이 쉽지 않다"고 지적했다.
아파치 스트럿츠 프로젝트 관리위원회는 오픈소스 SW 보안 취약점 관리를 위해 관련 오픈소스를 이용한 제품에 영향을 미치는 보안 취약점을 지속적으로 모니터링하고, 보안 패치를 즉시 배포하는 프로세스를 수립하라고 권고했다.
한편 미국 연방거래위원회(FTC)는 지난 13일 에퀴팩스에 대한 공식 수사에 돌입한 상태다. 미국 내에서는 이 회사를 대상으로 700억 달러(한화 79조원)에 해당하는 집단소송이 진행중이다. 이번 해킹으로 미국 성인 인구의 2분의 1 이상이 영향을 받은 것으로 추정된다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기