세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
삼성SDS가 보여준 취약점 점검·패치의 중요성
  |  입력 : 2018-06-05 12:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
삼성SDS, 액티브X 보안취약점 이슈 제기되자 신속하고 대대적인 취약점 점검 진행
관계기관과 협조해 빠르게 패치 완료... 이용자들도 보안 업데이트에 관심 가져야


[보안뉴스 김경애 기자] 최근 발생한 보안이슈의 대부분은 취약점을 악용한 사이버공격으로 발생했다. 많은 사람들이 이용하는 SW 프로그램이거나 신뢰하는 보안 프로그램일수록 공격자의 구미가 당길 수밖에 없다. 호시탐탐 공격의 기회를 노리고 있던 공격자에게 취약점 발견은 큰 수확이다. 많은 이용자를 감염시켜 시스템을 장악하거나 정보를 탈취하는 등 공격자의 입맛에 따라 PC나 시스템을 좌지우지 할 수 있기 때문이다.

▲삼성SDS 보안패치 문서 파일[이미지=삼성SDS]


본지는 지난 5월 24일 ‘액티브X가 또 악성코드 통로? 황금도끼 작전 재개됐나’란 제목으로 북한 추정 해커조직의 사이버공격 현황에 대해 보도한 바 있다. 액티브X 취약점을 이용한 사이버공격 이슈였다. 여기에는 삼성SDS에서 제작한 에이큐브(ACUBE) 프로그램도 포함돼 있었다.

본지 보도 바로 다음 날인 5월 25일 삼성SDS는 ‘Patch Note ACUBE FILECTRL 보안 패치(일반)’란 제목으로 보안패치를 발표했고, 한국인터넷진흥원은 5월 28일 이를 공지했다. 이에 앞서 삼성SDS는 한국인터넷진흥원, 금융보안원과 함께 대대적인 취약점 점검에 들어간 것으로 알려졌다.

이번에 패치된 에이큐브 프로그램은 △ACUBE EP 5.0 △ACUBE EP 6.0 △ACUBE IAM 5.0△ACUBE IAM 6.0 △ACUBE KM △ACUBE BPM 5.0, 6.0 △ACUBE BPM 6.1 △ACUBE DM △ACUBE ADRM 등 총 9개다.

한국인터넷진흥원 관계자는 “현재는 보안 패치가 모두 완료됐다”며 “보안 공지를 통해서도 이를 알리고 있다”고 말했다.

이처럼 취약점을 악용한 공격은 수없이 많이 발생하고 있다. 하지만 상당수 기업들이 취약점 점검의 중요성을 간과하고 있는 상황이다. 대규모 사이버공격도 취약점을 통해 시작되는 경우가 많기 때문에 취약점 점검 및 관리는 정보보안에 있어 가장 기본적인 원칙이 되고 있다.

한 보안전문가는 “이번 사건에서처럼 기업에서 적극적으로 취약점을 찾고 해결하는 모습은 바람직한 것 같다”며 “다른 기업에서도 보안이슈 발생시 늦장대응하기 보다는 취약점을 신속히 점검 및 패치하고, 피해 예방을 위한 적극적인 대응 활동을 해야 한다”고 당부했다.

아주대학교 박춘식 교수는 “기업들은 취약점 제거를 위해 제품이나 서비스 개발 초기단계에서부터 시큐어코딩 적용 등에도 각별히 신경을 써야 한다”며 “개발이 완료된 이후에도 버그 바운티 등 다각도로 취약점 점검 및 패치 활동을 진행해야 한다”고 말했다.

한 기업의 CISO는 “특정 컴포넌트가 여러 소프트웨어 패키지에 사용되는 경우, 해당 컴포넌트의 취약점으로 인해 여러 패키지가 영향을 받게 된다”며 “점차 오픈소스 기반의 개발이 확대되는 트렌트를 고려할 때, 컴포넌트를 도입하기 전 철저한 보안 검수가 필요하다. 도입하는 컴포넌트가 안전할지라도, 소프트웨어 패키지의 다른 컴포넌트와의 관계에서 발생하는 위험도 있는 만큼 종합적 검토가 필요하다”고 말했다.

이와 함께 SW 이용자들의 적극적인 업데이트 노력이 무엇보다 중요하다. 기업에서 아무리 빨리 취약점을 패치해도 이용자가 이를 제대로 적용하지 않으면 무용지물이기 때문이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술