세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
삼성SDS가 보여준 취약점 점검·패치의 중요성
  |  입력 : 2018-06-05 12:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
삼성SDS, 액티브X 보안취약점 이슈 제기되자 신속하고 대대적인 취약점 점검 진행
관계기관과 협조해 빠르게 패치 완료... 이용자들도 보안 업데이트에 관심 가져야


[보안뉴스 김경애 기자] 최근 발생한 보안이슈의 대부분은 취약점을 악용한 사이버공격으로 발생했다. 많은 사람들이 이용하는 SW 프로그램이거나 신뢰하는 보안 프로그램일수록 공격자의 구미가 당길 수밖에 없다. 호시탐탐 공격의 기회를 노리고 있던 공격자에게 취약점 발견은 큰 수확이다. 많은 이용자를 감염시켜 시스템을 장악하거나 정보를 탈취하는 등 공격자의 입맛에 따라 PC나 시스템을 좌지우지 할 수 있기 때문이다.

▲삼성SDS 보안패치 문서 파일[이미지=삼성SDS]


본지는 지난 5월 24일 ‘액티브X가 또 악성코드 통로? 황금도끼 작전 재개됐나’란 제목으로 북한 추정 해커조직의 사이버공격 현황에 대해 보도한 바 있다. 액티브X 취약점을 이용한 사이버공격 이슈였다. 여기에는 삼성SDS에서 제작한 에이큐브(ACUBE) 프로그램도 포함돼 있었다.

본지 보도 바로 다음 날인 5월 25일 삼성SDS는 ‘Patch Note ACUBE FILECTRL 보안 패치(일반)’란 제목으로 보안패치를 발표했고, 한국인터넷진흥원은 5월 28일 이를 공지했다. 이에 앞서 삼성SDS는 한국인터넷진흥원, 금융보안원과 함께 대대적인 취약점 점검에 들어간 것으로 알려졌다.

이번에 패치된 에이큐브 프로그램은 △ACUBE EP 5.0 △ACUBE EP 6.0 △ACUBE IAM 5.0△ACUBE IAM 6.0 △ACUBE KM △ACUBE BPM 5.0, 6.0 △ACUBE BPM 6.1 △ACUBE DM △ACUBE ADRM 등 총 9개다.

한국인터넷진흥원 관계자는 “현재는 보안 패치가 모두 완료됐다”며 “보안 공지를 통해서도 이를 알리고 있다”고 말했다.

이처럼 취약점을 악용한 공격은 수없이 많이 발생하고 있다. 하지만 상당수 기업들이 취약점 점검의 중요성을 간과하고 있는 상황이다. 대규모 사이버공격도 취약점을 통해 시작되는 경우가 많기 때문에 취약점 점검 및 관리는 정보보안에 있어 가장 기본적인 원칙이 되고 있다.

한 보안전문가는 “이번 사건에서처럼 기업에서 적극적으로 취약점을 찾고 해결하는 모습은 바람직한 것 같다”며 “다른 기업에서도 보안이슈 발생시 늦장대응하기 보다는 취약점을 신속히 점검 및 패치하고, 피해 예방을 위한 적극적인 대응 활동을 해야 한다”고 당부했다.

아주대학교 박춘식 교수는 “기업들은 취약점 제거를 위해 제품이나 서비스 개발 초기단계에서부터 시큐어코딩 적용 등에도 각별히 신경을 써야 한다”며 “개발이 완료된 이후에도 버그 바운티 등 다각도로 취약점 점검 및 패치 활동을 진행해야 한다”고 말했다.

한 기업의 CISO는 “특정 컴포넌트가 여러 소프트웨어 패키지에 사용되는 경우, 해당 컴포넌트의 취약점으로 인해 여러 패키지가 영향을 받게 된다”며 “점차 오픈소스 기반의 개발이 확대되는 트렌트를 고려할 때, 컴포넌트를 도입하기 전 철저한 보안 검수가 필요하다. 도입하는 컴포넌트가 안전할지라도, 소프트웨어 패키지의 다른 컴포넌트와의 관계에서 발생하는 위험도 있는 만큼 종합적 검토가 필요하다”고 말했다.

이와 함께 SW 이용자들의 적극적인 업데이트 노력이 무엇보다 중요하다. 기업에서 아무리 빨리 취약점을 패치해도 이용자가 이를 제대로 적용하지 않으면 무용지물이기 때문이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)