삼성SDS가 보여준 취약점 점검·패치의 중요성

삼성SDS, 액티브X 보안취약점 이슈 제기되자 신속하고 대대적인 취약점 점검 진행
관계기관과 협조해 빠르게 패치 완료... 이용자들도 보안 업데이트에 관심 가져야

[보안뉴스 김경애 기자] 최근 발생한 보안이슈의 대부분은 취약점을 악용한 사이버공격으로 발생했다. 많은 사람들이 이용하는 SW 프로그램이거나 신뢰하는 보안 프로그램일수록 공격자의 구미가 당길 수밖에 없다. 호시탐탐 공격의 기회를 노리고 있던 공격자에게 취약점 발견은 큰 수확이다. 많은 이용자를 감염시켜 시스템을 장악하거나 정보를 탈취하는 등 공격자의 입맛에 따라 PC나 시스템을 좌지우지 할 수 있기 때문이다.

▲삼성SDS 보안패치 문서 파일[이미지=삼성SDS]

본지는 지난 5월 24일 ‘액티브X가 또 악성코드 통로? 황금도끼 작전 재개됐나’란 제목으로 북한 추정 해커조직의 사이버공격 현황에 대해 보도한 바 있다. 액티브X 취약점을 이용한 사이버공격 이슈였다. 여기에는 삼성SDS에서 제작한 에이큐브(ACUBE) 프로그램도 포함돼 있었다.

본지 보도 바로 다음 날인 5월 25일 삼성SDS는 ‘Patch Note ACUBE FILECTRL 보안 패치(일반)’란 제목으로 보안패치를 발표했고, 한국인터넷진흥원은 5월 28일 이를 공지했다. 이에 앞서 삼성SDS는 한국인터넷진흥원, 금융보안원과 함께 대대적인 취약점 점검에 들어간 것으로 알려졌다.

이번에 패치된 에이큐브 프로그램은 △ACUBE EP 5.0 △ACUBE EP 6.0 △ACUBE IAM 5.0△ACUBE IAM 6.0 △ACUBE KM △ACUBE BPM 5.0, 6.0 △ACUBE BPM 6.1 △ACUBE DM △ACUBE ADRM 등 총 9개다.

한국인터넷진흥원 관계자는 “현재는 보안 패치가 모두 완료됐다”며 “보안 공지를 통해서도 이를 알리고 있다”고 말했다.

이처럼 취약점을 악용한 공격은 수없이 많이 발생하고 있다. 하지만 상당수 기업들이 취약점 점검의 중요성을 간과하고 있는 상황이다. 대규모 사이버공격도 취약점을 통해 시작되는 경우가 많기 때문에 취약점 점검 및 관리는 정보보안에 있어 가장 기본적인 원칙이 되고 있다.

한 보안전문가는 “이번 사건에서처럼 기업에서 적극적으로 취약점을 찾고 해결하는 모습은 바람직한 것 같다”며 “다른 기업에서도 보안이슈 발생시 늦장대응하기 보다는 취약점을 신속히 점검 및 패치하고, 피해 예방을 위한 적극적인 대응 활동을 해야 한다”고 당부했다.

아주대학교 박춘식 교수는 “기업들은 취약점 제거를 위해 제품이나 서비스 개발 초기단계에서부터 시큐어코딩 적용 등에도 각별히 신경을 써야 한다”며 “개발이 완료된 이후에도 버그 바운티 등 다각도로 취약점 점검 및 패치 활동을 진행해야 한다”고 말했다.

한 기업의 CISO는 “특정 컴포넌트가 여러 소프트웨어 패키지에 사용되는 경우, 해당 컴포넌트의 취약점으로 인해 여러 패키지가 영향을 받게 된다”며 “점차 오픈소스 기반의 개발이 확대되는 트렌트를 고려할 때, 컴포넌트를 도입하기 전 철저한 보안 검수가 필요하다. 도입하는 컴포넌트가 안전할지라도, 소프트웨어 패키지의 다른 컴포넌트와의 관계에서 발생하는 위험도 있는 만큼 종합적 검토가 필요하다”고 말했다.

이와 함께 SW 이용자들의 적극적인 업데이트 노력이 무엇보다 중요하다. 기업에서 아무리 빨리 취약점을 패치해도 이용자가 이를 제대로 적용하지 않으면 무용지물이기 때문이다.
[김경애 기자(boan3@boannews.com)]

2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
	공급망 공격
	다크웹 기반 랜섬웨어 조직
	북한/중국/러시아 등 국가 지원 해킹그룹 활동
	스마트폰을 노린 보안 위협
	OT 타깃 공격
	피싱 공격
	기타(댓글로)