(출처=프로젝트 캐노피)

프로젝트 캐노피, 전자정부 표준프레임워크서 취약점 990건 발견

사단법인 프로젝트 플라즈마의 공익 인공지능(AI) 보안 이니셔티브 ‘프로젝트 캐노피(Project Canopy)’는 전자정부 표준프레임워크(eGovFrame)의 공통 컴포넌트를 분석해 구조적 결함과 보안 취약점 990건을 식별했다고 14일 밝혔다. 프로젝트 캐노피는 이 가운데 300여건의 보안 패치를 완료했다고 설명했다.

전자정부 표준프레임워크는 정부와 공공기관을 비롯한 여러 정보시스템 구축 사업에서 개발 기반으로 활용하는 프레임워크다. 프로젝트 캐노피는 기존 단일형 구조와 마이크로서비스 아키텍처(MSA)용 공통 컴포넌트 전체를 분석 대상으로 삼았다. 공통 컴포넌트는 여러 시스템에서 반복해 사용하는 기능을 미리 구현한 코드 묶음이다.

프로젝트 캐노피는 AI 기반 자동 취약점 분석 엔진으로 취약점 후보 1300여건을 먼저 탐지했다. 이후 중복 항목과 실제 취약점이 아닌 오탐을 걸러내 구조적 결함과 보안 취약점 990건을 최종 식별했다.

프로젝트 캐노피는 최종 식별한 항목 가운데 10%를 ‘심각’ 또는 ‘높음’ 등급으로 분류했다. 주요 유형은 비밀번호 없이 다른 계정으로 접속할 수 있는 인증 우회와 일반 사용자가 서버 권한으로 데이터베이스(DB) 명령을 실행할 수 있는 취약점이다.

코드에 고정된 암호키가 노출돼 파일을 탈취할 수 있는 문제도 확인했다. 객체 식별자를 조작해 권한이 없는 데이터에 접근하는 직접 객체 참조 취약점(IDOR·BOLA)도 포함됐다.

프로젝트 캐노피는 전자정부 표준프레임워크의 배포 구조도 취약점 조치를 어렵게 만드는 요인으로 지목했다. 해당 프레임워크의 공통 컴포넌트는 외부 라이브러리를 갱신하는 방식이 아니라 소스 코드를 시스템에 복사해 사용하는 경우가 많다.

원본 코드에 패치를 적용해도 이를 복사해 구축한 개별 시스템에는 수정 사항이 자동으로 반영되지 않는다. 프로젝트 캐노피는 이처럼 업데이트 경로가 끊어져 취약한 코드가 개별 시스템에 남는 현상을 ‘패치 고립’이라고 설명했다.

AI가 대량의 취약점 후보를 탐지한 뒤 사람이 결과를 검증하고 우선순위를 정하는 과정도 과제로 꼽았다. 프로젝트 캐노피는 관련 기관과 함께 확인을 마친 취약점을 패치해 최신 개발 브랜치에 반영하고 있다고 밝혔다.

프로젝트 캐노피는 AI로 주요 오픈소스 소프트웨어와 프레임워크의 취약점을 찾고 패치까지 연결하기 위해 지난 6월17일 출범했다. 현재 36개 기업과 기관이 파트너로 참여하고 있다. 전자정부 표준프레임워크에 이어 국내외에서 사용하는 다른 오픈소스 소프트웨어도 정기적으로 분석할 계획이다.

박세준(티오리 대표) 프로젝트 캐노피 위원장은 “현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업과 기관은 이번 분석 결과를 참고해 보안 조치를 취해야 한다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.