中 6월 정보보안 취약점 실태 분석해보니...화웨이 등 포함

인터넷응급센터, 6월 보안 취약점 1,400개 확인등록
고위험 530개, 중위험 780개, 저위험 95개 안팎
‘애플리케이션 프로그램’ 취약점, 전체 절반 차지

[보안뉴스 온기홍= 중국 베이징] 중국 기관이 지난 한 달 공식 확인해 등록한 정보보안 취약점 수량이 1,400개에 달했다. 이 가운데 중위험급 취약점이 절반을 차지해 가장 많았고, 고위험급이 530개 안팎으로 확인됐다.

중국 ‘국가 컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 6월 마지막 주(6월 26일~7월 2일) 국가정보보안 취약점공유 플랫폼(이하 CNVD)을 통해 19개 협력회사(보안업체, 통신서비스업체, 통신기기장비업체)와 CNCERT 지역 센터, 개인(화이트 해커)으로부터 접수한 사건형 취약점 보고들을 평가해 최종적으로 정보보안 취약점 307개를 확인·등록했다고 밝혔다.

전체 보안취약점 가운데 ‘고위험’급 취약점은 104개, ‘중위험’급 취약점은 173개, ‘저위험’급 취약점은 30개로 나타났다. 전체 취약점 가운데 제로데이(0day) 관련 취약점은 79개로 전체의 26%를 차지했다.

6월에 공식 확인·등록된 보안 취약점 수량을 보면, △넷째 주(6월 19일~25일) 326개(고위험 128개, 중위험 172개, 저위험 26개) △셋째 주(12일~18일) 296개(고위험 104개, 중위험 177개, 저위험 15개) △둘째 주(5일~11일) 326개(고위험 147개, 중위험 163개, 저위험 16개) △첫째 주(5월 29일~6월 4일) 157개(고위험 54개, 중위험 95개, 저위험 8개)였다.

▲ 6월 중국 인터넷응급센터가 공식 확인해 등록한 정보보안 취약점 수량[자료=중국인터넷응급센터]

인터넷응급센터가 CNVD를 통해 접수한 당·정부 기관 및 기업들과 관련된 사건형 보안 취약점은 6월 마지막 주 1,466개(한 주 전에 비해 10% 증가), 넷째 주(19일~2일) 1,336개(전주와 비슷), 셋째 주 1,342개(26% 증가), 둘째 주 1,067개(39% 증가), 첫째 주 766개(37% 증가)였다.

주간 중국 내 정보보안 취약점 위협 수준을 보면, 6월 마지막 주 ‘중간’, 6월 넷째 주(19일~25일) ‘중간’, 셋째 주 ‘높음’, 둘째 주 ‘중간’, 첫째 주 ‘중간’으로 각각 평가됐다.

“기업·기관 정보시스템·S/W 제품에서 보안취약점 탐지”
인터넷응급센터는 6월 26일~7월 2일 중국 3개 유·무선 통신 서비스업체들에 정보보안 취약점 사건 30건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 28건이었다.

센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요 기관과 관련된 보안 취약점 사건 684건을 비롯해 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 122건을 각각 검증해 처리했다. 센터는 국가 상급 정보보안 협조 기관에 각 정부부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보 시스템 내 취약점 사건 27건을 보고했다고 덧붙였다.

센터가 6월 중 3개 유·무선 통신 서비스업체에 통보한 정보보안 취약점 사건은 넷째 주(19일~26일) 27건, 셋째 주 14건, 둘째 주 32건, 첫째 주 4건이었다. 또한 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 6월 넷째 주 29건, 셋째 주 16건, 둘째 주 25건, 첫째 주 5건을 각각 기록했다. 센터가 전국 각 지역의 CNCERT 센터와 협력해 처리한 지방 중요기관과 관련된 보안 취약점 사건은 6월 넷째 주 485건, 셋째 주 534건, 둘째 주 499건, 첫째 주 117건에 달했다.

고등교육 기관 및 연구소 시스템 관련 보안 취약점 사건은 6월 넷째 주 176건, 셋째 주 195건, 둘째 주 144건, 첫째 주 42건으로 집계됐다. 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건은 6월 넷째 주 44건, 셋째 주 22건, 둘째 주 29건, 첫째 주 6건이었다.

센터는 6월 마지막 주에 중국철도, 창샤미퉈정보기술, 용요우네트워크과기, 선전타이지윈롼(클라우드)기술, 아리클라우드컴퓨팅, 진샨S/W, 중국중신, 칭다오이롼톈촹네트워크과기, 루이싱정보기술, 중국오주공정설계, 국가판권교역사이트, 중국철도물류사이트 등 19곳의 회사·기관의 정보시스템·S/W 제품에서 보안 취약점이 드러났다고 밝혔다.

6월 넷째 주에는 항저우페이롼S/W, 진샨S/W, 용요우네트워크과기, 왕이(NetEase), 베이징이중요우정보기술, 베이징화샤촹신과기, 중국철도건설 23국 그룹궤도교통공정, 중국핵그룹 핵동력운행연구소, Zabbix, 중국국제디지털지식산권감측웨이취앤 사이트, 중국철도물류 사이트 등 20곳의 정보시스템 또는 S/W에서 보안 취약점이 탐지됐다.

셋째 주에는 마이크로소프트 중국법인, 베이징홍징스지S/W, 광저우궈웨이S/W과기, 중국철도물류 사이트, 진샨 사무용S/W 등 16곳으로 확인됐다. 둘째 주에는 항저우궈웨이S/W과기, 베이징우즈후롄과기, 베이징안톈네트워크안저기술, 베이징지능(스마트)관쟈과기, 진샨S/W, 후동온라인과기, 선전시 화스루이통정보기술, 상하이위앤펑정보과기 등 22곳이었다. 6월 첫째 주에는 용요우요우푸, 진샨S/W, 샤먼커쉰S/W, 광저우홍판컴퓨터과기 등 5곳의 정보시스템 또는 S/W에서 보안 취약점이 발견됐다고 센터는 밝혔다.

‘애플리케이션 프로그램 취약점’, 절반 안팎 비중 차지
인터넷응급센터가 6월 26일~7월 2일 공식적으로 최종 등록한 전체 307개의 보안 취약점들을 영향 대상에 따라 살펴보면, 애플리케이션 프로그램 취약점이 179개로 가장 많았다. 전체의 58%를 차지했다. 이어 웹(Web) 애플리케이션 취약점 57개(18%), 운영체제 취약점 48개(16%), 네트워크 장비 취약점 17개(5%), 보안 제품 취약점 5개(2%), 데이터베이스 취약점 1개(1%)를 각각 기록했다.

6월 넷째 주에는 전체 327개 보안 취약점 가운데 애플리케이션 프로그램 취약점이 217개(66%), 웹 애플리케이션 취약점 45개(14%), 운영체제 취약점 38개(12%), 네트워크 장비 취약점 20개(6%), 보안제품 취약점은 6개(2%)였다.

셋째 주에는 애플리케이션 프로그램 취약점이 212개로 72%를 차지했다. 웹 애플리케이션 취약점 34개(12%), 운영체제 취약점 26개(9%), 네트워크 장비 취약점 19개(6%), 보안제품 취약점은 5개(2%) 순이었다.

둘째 주에 애플리케이션 프로그램 취약점은 150개(46%)였고, 웹 애플리케이션 취약점 104개(32%), 운영체제 취약점 33개(10%), 네트워크 장비 취약점 30개(9%), 보안제품 취약점은 8개(2%), 데이터베이스 취약점 1개(1%)로 확인됐다.

첫째 주에는 애플리케이션 프로그램 취약점이 79개(50%)로 절반을 차지했고, 운영체제 취약점 49개(31%), 웹 애플리케이션 취약점 22개(14%), 네트워크 장비 취약점 5개(3%), 보안제품 취약점은 1개(1%), 데이터베이스 취약점 1개(1%)로 파악됐다.

▲ 2017년 6월 중국 내 정보보안 취약점의 영향 대상에 따른 유형[자료=중국인터넷응급센터]

“보안 취약점, 모바일 인터넷·통신·공업제어시스템 부분 순으로 많아”
지난 6월 26일~7월 2일 등록된 정보보안 취약점을 분야 별로 보면, 통신 분야 취약점(http://telecom.cnvd.org.cn/)이 10개(고위험 4개, 중위험 5개, 저위험 1개), 모바일 인터넷 분야 취약점(http://mi.cnvd.org.cn/)은 36개(고위험 16개, 중위험 19개, 저위험 1개)로 나타났다.

이 가운데 Cisco IOS XR Software 권한 상승 취약점, Cisco IOS XR Software 로컬 명령 주입 취약점, Cisco Ultra Services Framework Element Manager 디폴트 패스워드 취약점, Google Android메모리 방문 취약점, Huawei 스마트폰 ‘Y6’ Prographics 드라이버 버퍼 오버플로(Buffer Overflow) 취약점, Google Android 신분증 인증 우회 취약점 등은 고위험 급으로 평가됐다고 센터는 밝혔다.

앞서 넷째 주에는 모바일 인터넷 분야 취약점이 46개(고위험 24개, 중위험 17개, 저위험 5개), 통신 분야 취약점 11게(고위험 7개, 중위험 3개, 저위험 1개), 공업제어 시스템 분야 취약점은 8개(고위험 4개, 중위험 4개)였다. 이 가운데 여러 Zyxel 제품의 원격 서비스 거부 취약점, SierraWireless GX440 명령 주입 취약점, Sierra Wireless GX440 권한 상승 취약점, MiniUPnPMiniUPnPc 서비스거부 취약점, Apple WebKit 원격코드 실행 취약점, Trihedral VT Scada의 XSS(Cross-site Scripting) 취약점과 서비스거부 취약점 등은 고위험 급으로 평가됐다.

6월 셋째 주에 모바일 인터넷 분야 취약점은 46개(고위험 16개, 중위험 29개, 저위험 1개), 통신 분야 18개(고위험 5개, 중위험 12개, 저위험 1개)였다. 이중 Cisco Prime Data Center Network Manager 디폴트 계정 검증 우회 취약점, 여러 Peplink Balance 내 SQL 주입 취약점, Google Android Qualcomm Trust Zone보안 우회 취약점 등은 고위험 급으로 확인됐다.

둘째 주에는 모바일 인터넷 분야 취약점이 25개(고위험 13개, 중위험 9개, 저위험 3개), 통신 분야 4개(중위험 3개, 저위험 1개), 공업제어 시스템 분야 취약점이 6개(고위험 2개, 중위험 2개, 저위험 2개)였다. 이 가운데 여러 Rockwell Automation 제품 내 불명확한 취약점(CNVD-2017-08711), Google Android HTC bootloader 권한 상승 취약점, Google Android Goodix touchscreen driver 권한 상승 취약점, Google Android Motorola bootloader 권한 상승 취약점은 고위험 급이라고 센터는 밝혔다.

첫째 주에는 모바일 인터넷 분야 취약점이 35개(고위험 21개, 중위험 14개), 통신 분야 5개(고위험 2개, 중위험 3개), 공업제어시스템 분야 취약점이 1개(고위험)였다. 이 중 Fortinet FortiWLC-SD 권한 상승 취약점, Schneider Electric Wonderware InduSoft Web Studio 권한 상승 취약점, Apple mac OSS ierra iBooks 권한 상승 취약점, 여러 Apple 제품Foundation 컴포넌트 메모리 파괴 취약점, Apple mac OSS ierra IOSurface 권한 상승 취약점은 고위험 급으로 파악됐다.

▲ 2017년 6월 19일~7월2일 보안 취약점이 존재한 일부 제품 관련 업체 분포[자료=중국인터넷응급센터]

한편, 인터넷응급센터가 6월 26일~7월 2일 국내외 업체·제품 별로 나눈 보안 취약점 수량과 비중을 보면, Microsoft, Google, Cisco, GNU, IBM, FAAD2, libquicktime, Elasticsearch, Pivotal 등 차례로 상위 10위 안에 들었다.

6월 넷째 주에는 Google, Adobe, Wireshark, Apple, SAP, WordPress, Fortinet, IBM, GNU 순으로 보안 취약점이 많았다고 센터는 밝혔다. 셋째 주에는 Google(취약점 41개), Schneider Electric(23개), IBM(16개), Microsoft(11개), Cisco(6개), Peplink(7개), Pivotal(7개), MarkLogic(6개), Huawei(5개), 기타 172개로 나타났다.

둘째 주에는 AutoTrace(취약점 수량 49개), Google(24개), Foscam(18개), WordPress(18개), Fastspot(12개), IBM(10개), Huawei(10개), Trend Micro(10개), Microsoft(7개), 기타(168개)로 파악됐다.

첫째 주에는 Apple(취약점 수량 55개), Cisco(10개), Image Worsener(9개), Oracle(9개), VirusTotal(4개), Atlassian(3개), IBM(3개), QPDF(3개), RoundCube(3개), 기타(58개) 등 차례로 많았다.

中 6월 주요 업체·제품 보안취약점
중국 인터넷응급센터가 꼽은 6월 주요 중국 업체와 제품의 보안취약점을 살펴보면, 스마트폰·통신장비업체인 화웨이(Huawei)의 스마트폰 ‘nova’, ‘Y6 Pro’에서 취약점이 확인됐다. 스마트폰 Huawei nova 권한 상승 취약점, Huawei Y6 Prographics 드라이브 메모리 유출 취약점, Huawei Y6 Pro graphics 드라이브 버퍼 오버플로 취약점, 스마트폰 TEE 모듈 Use After Free 취약점이 발견됐다. 공격자들은 이 취약점을 이용해 권한을 상승시키거나 임의 코드를 실행할 수 있다. 이 가운데 ‘Huawei Y6 Prographics드라이브 버퍼 오버플로 취약점’은 고위험 급으로 평가됐다.

화웨이의 ‘Load Balancer Management System’에서는 ‘s2-045’ 원격 명령 실형 취약점(CNVD-2017-06129)이 나타났다. 공격자는 ‘header’ 중의 ‘Content-Type’ 함수를 만들고 취약점을 이용해 임의 명령을 실행할 수 있다.

화웨이의 문서관리 S/W인 ‘Huawei HedEx Lite’에서 DLL 하이재킹 취약점, XSS 취약점, CSRF 취약점, 임의 파일 다운로드 취약점이 드러났다. 또 스마트폰 Huawei P7, P8의 서비스거부 취약점, 스마트폰 Huawei P9 Plus의 메모리 에러 레퍼런스 취약점이 발견됐다. 모두 고위험 급 취약점들이다. 공격자는 이를 악용해 권한을 상승시키거나 임의 명령을 실행하고 서버스거부 공격을 일으킨다.

중국 업체 모샤(Moxa)과기의 무선교환기 ‘Moxa AWK-3131A Wireless Access Point’에서는 운영체제 명령 주입 취약점(CNVD-2017-11314)이 드러났다. 공격자는 이 취약점을 통해 설비를 제어할 수 있다. 인터넷에서는 이미 이 취약점을 겨냥한 공격 코드가 나타났다고 인터넷응급센터는 밝혔다.

모샤과기가 개발한 실시간 IP 영상감시제어 S/W인 ‘Soft NVR-IA NVRLV’의 제어 소프트웨어 ‘InitialSDK’ 방법에서 스택 오버플로 취약점(CNVD-2017-06121)이 확인됐다고 센터는 밝혔다. 공격자는 사용자가 특정 링크를 방문하도록 유도하고 임의 코드를 실행하게 된다.

모샤과기의 공업용 IP 게이트웨이 ‘OnCell G3110-HSPA’, 공업용 셀룰러 라우터 ‘OnCell 5104-HSPA’에서는 CSRF 취약점(CNVD-2017-09878)이 탐지됐다. 공격자는 이를 이용해 설비의 설정을 수정한다.

중국 통신장비·스마트폰기업 중싱(中兴)의 음성 게이트웨이 접속설비 두 제품(ZXSS10 I524-FXS2400A, ZXSS10 I508-FXS0800B)에서 SNMP 문자열 우회 취약점(CNVD-2017-06789)이 존재하는 것으로 확인됐다. 공격자는 임의 문자열 또는 정수 값을 이용해 SNMP의 방문 통제를 우회한다. 또 MIB wd 임의 문자열을 입력해 설비의 중요한 정보들을 얻을 수 있다.

중국 업체 궈덴루이츠위앤징정보기술(国电瑞驰远景信息技术)의 전력 안전관리정보시스템에서는 ‘Hibernate SQL 주입 취약점(CNVD-2017-06657)’이 탐지됐다. 공격자는 비밀번호를 찾아내서 중요한 정보들을 빼낼 수 있다.

저쟝대화기술(浙江大华技术)이 개발한 디지털 감시제어 관리 시스템(Digital Surveillance System)인 ‘DSS 3.0’에서는 ‘struts2-045’ 원격 코드 실행 취약점(CNVD-2017-07049)이 확인됐다. 공격자는 이를 틈타 웹사이트 서버의 원격 통제권한을 손에 넣을 수 있게 된다.

소호(SOHO)용 무선 라우터 ‘TP-Link WR841N’에서는 임의 코드 실행 취약점(CNVD-2017-10556)이 드러났다. 공격자는 이 취약점을 통해 더 높은 권한을 얻게 된 후, 환경 설정(Configuration) 서비스 안에 존재하는 스택(Stack) 오버플로우(Overflow) 취약점을 이용해 코드를 실행한다.

광저우시 소재 이항후롄통신(毅航互联通信)이 공급하는 게이트웨이 시스템 ‘igateway’에서는 ‘s2-045’ 원격 코드 실행 취약점(CNVD-2017-06763)이 존재하는 것으로 확인됐다. 공격자는 이를 통해 명령을 실행하고 서버 권한을 획득하게 된다.

선전시 소재 환위후통정보기술이 개발한 물류 웹사이트 관리시스템에는 ‘Struts2 S2-016’ 원격 명령 실행 취약점(CNVD-2017-05998)이 존재하는 것으로 확인됐다. 공격자는 웹사이트 서버에 대한 원격제어 권한을 확보할 수 있다.

중국의 오픈소스 PHP 콘텐츠관리시스템인 ‘Catfish CMS’에서는 임의 파일 삭제 취약점(CNVD-2017-04680)이 발견됐다. 공격자는 이 취약점을 활용해 임의 파일을 삭제함으로써 시스템 재설치를 야기한다.

사진류 웹사이트 개발과 관련한 CMS 관리 프로그램인 ‘TUTUCMS’의 ‘admin\Article.php’ 웹페이지 ‘by’ 파라미터에서 SQL 주입 취약점(CNVD-2017-04645)이 탐지됐다. 이 ‘by’ 파라미터가 필터링이 부족한 때문에 공격자는 이 취약점을 이용해 데이터베이스에 있는 민감한 정보들을 얻게 된다는 센터는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)