中 인터넷응급센터 “3월 셋째 주 보안취약점 143개 확인”

“고위험 71개·중위험 69개, 당·정 기관 취약점 906개”
약 100개 회사 S/W·웹사이트에 보안취약점 존재

[보안뉴스 온기홍=중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 3월 14일~20일 자국에서 정보보안 취약점 143개를 최종 등록했다고 21일 밝혔다.

국가인터넷응급센터는 이 기간 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 보안업체들이 중심이 된 7개 회원사들과 협력사, 개인(화이트 해커) 등으로부터 906(전 주 대비 310개 감소)의 사건형 취약점 보고를 접수했다고 밝혔다. 센터가 최종 등록한 취약점 수량(143개)은 한 주 전에 비해 24개 많았다. 2주 연속 증가했다. 센터는 지난 주 중국내 정보보안 취약점 위협에 대한 종합적인 평가 등급은 ‘높음’이었다고 밝혔다.

이들 가운데 ‘고위험’급 취약점은 71개로 한 주 전보다 3개 늘었다. ‘중위험’ 취약점은 69개(23개 증가), ‘저위험’ 취약점은 3개였다. 전체 취약점 가운데 제로 데이(0day) 관련 취약점은 15개로 전체의 10%를 차지했다.

지난 주 중국 당·정부 기관·기업들과 관련된 사건형 보안 취약점 수량은 총 906개로 한 주 전(1,214개)에 비해 25% 줄었다. 2주 동안 감소폭은 63%에 달했다. 이 중 ‘Apache Struts2’에서 원격코드 실행 취약점이 존재한다고 센터는 밝혔다. 현재로선 아직 유효한 원격 이용 코드가 존재하지 않지만 검증 정보가 있으며, 후속으로 대규모 공격의 가능성을 배제할 수 없다고 센터는 덧붙였다. 따라서 사용자들은 즉시 패치 업데이트를 해야 한다고 센터는 당부했다.

약 100개 회사 S/W 제품 또는 웹사이트 시스템에 보안취약점 존재
국가인터넷응급센터는 3월 14일~20일 유무선 통신 서비스업체에 보안 취약점 사건 52건(전 주 대비 7건 감소)을 통보했다고 밝혔다. 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 취약점 사건은 56건으로 6건 증가했다. 센터는 또 전국 각 지역의 CNCERT 센터와 협력해, 지방 중요 기관과 관련된 보안 취약점 사건 634건(26건 감소)을 검증해 처리했다고 밝혔다.

이어 센터는 중국 교육·과학연구 컴퓨터망인 CERNET의 운영과 관리를 맡고 있는 사이얼네트워크회사 및 상하이교통대학 네트워크정보센터 등 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 76건(33건 감소)을 검증해 처리했다. 이와 함께 센터는 국가급 정보보안 협조기관에 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 31건을 보고했다고 덧붙였다.

이런 가운데 센터는 보어하이국제신탁, 허페이보어이정보과기, 원야커정보기술(상하이), 푸졘여우롱네트워크, 중졘미국, 샨시궈진투자관리발전, Cacti, 중국중신그룹, 인민전기그룹, 상하이위앤톈소프트웨어, 정팡소프트웨어, 베이징궈신링통네트워크과기, 중국건축, 상하이지샹항공, 중국철로통신신호, 여우쉰전자설비(상하이), 중국철도건설, 청두스피더정보기술, 초상국국제정보기술, 중국통신건설그룹설계원, 중국에너지환보(환경보호)그룹, 중국기계공업그룹, 베이징지식재산권대리, 항메이미디어그룹, 중스국제미디어, 중국국제해운컨테이너(그룹), 우한웨이스다소프트웨어공정, 중국중쓰그룹, 쉬저우시윈바오네트워크과기, 선양시디지털농업공정연구센터, 중국강제제품인증서비스 온라인, 중국건재(건축재료)온라인 사이트, 중국과학기술협회, WWF세계자연기금회, 중화의학회, 중국폭파기재업종협회, 진청교육 사이트, 치화일보 사이트, 교학고시쟈오성(학생 모집) 사이트, 중국인증기업 사이트, 중국즈왕(사이트), 항윈다오항 사이트를 비롯해 약 100개 회사와 기관의 정보 시스템 또는 S/W 제품에서 보안 취약점을 발견해 해당 기업과 기관에 통보했다고 밝혔다.

▲ 3월14일~20일 중국 내 정보보안 취약점의 영향 대상에 따른 유형 통계(출처:중국 국가인터넷응급센터)

정보보안 취약점이 영향을 끼친 대상에 따른 유형
국가인터넷응급센터가 공식 등록한 143개의 취약점들을 영향 대상에 따라 나눠 보면, ‘애플리케이션 프로그램 취약점’이 107개(전체의 75% 차지)로 가장 많았다. 이어 네트워크 설비 취약점은 17개(12%), 운영체제 취약점 15개(11%), 웹(Web) 애플리케이션 취약점 2개(1%), 보안제품 취약점이 2개(1%)를 각각 기록했다.

통신 분야 정보보안 취약점 7개·모바일 인터넷 분야 13개, 공업제어 분야 5개
전체 정보보안 취약점을 분야 별로 보면, 통신 분야 관련 취약점은 7개(http://telecom.cnvd.org.cn/), 모바일 인터넷 분야 13개(http://mi.cnvd.org.cn/), 공업 제어 분야 5개(http://ics.cnvd.org.cn/)로 나타났다.

▲ 3월 14일~20일 보안 취약점이 존재한 일부 제품 관련 업체 분포 통계(출처:중국 국가인터넷응급센터)

이 가운데 △Android MediaTek Wi-Fi 커널 드라이버 프로그램 권한 획득 취약점 △Android MediaTek connectivity 권한 획득 취약점 △Android media server 권한 획득 취약점 등은 고위험으로 평가됐다고 센터는 밝혔다.

이 가운데 대만계 네트워크 설비∙솔루션업체인 D-Link의 제품에서 버퍼 오버플로우 취약점이 발견됐다. 공격자들은 이 취약점을 악용해 임의 코드를 실행할 수 있다고 센터는 밝혔다. 한편, 국가인터넷응급센터가 업체∙제품 별로 나눈 취약점 수량과 비중을 보면, Mozilla, Adobe, Google 순으로 많았다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)