아파치 스트럿츠(Apache Struts)의 보안취약점이 미국 3대 신용평가업체 에퀴팩스(Equifax)에서 1억4천300만명 이상의 개인신용정보가 유출되는 사건 원인으로 지목된 가운데, 한국에서도 해당 취약점 악용 가능성이 심각하다는 경고가 나왔다.
블랙덕소프트웨어코리아(대표 김택완)는 국내에서도 아파치 스트럿츠를 이용한 소프트웨어 개발이 지속적으로 이뤄진만큼, 에퀴팩스의 대규모 개인신용정보 유출 사고 원인이었던 보안취약점(CVE-2017-5638) 대응에 관한 주의가 필요하다고 26일 밝혔다.
김택완 블랙덕소프트웨어코리아 대표는 "아파치 스트럿츠는 수많은 조직에서 사용하고 있으며, 관련 보안 위협을 악용할 경우 전문적인 지식 없이 쉽게 해킹할 수 있다"면서 "이미 개발된 소프트웨어의 아파치 스트럿츠 보안취약점 확인은 쉽지 않기 때문에, 자동화된 툴을 통해 보안취약점을 탐지하고 애플리케이션을 보호할 것을 권고한다"고 말했다.
블랙덕소프트웨어코리아는 지난 2006년 한국법인을 설립한 이래 오픈소스 보안, 컴플라이언스 및 거버넌스 솔루션 공급 및 오픈소스컨설팅을 수행해 왔다. 지난해부터 오픈소스 보안관리 자동화 솔루션 '블랙덕 허브(Black Duck Hub)'를 제공하고 있다.
아파치 스트럿츠는 자바 기반 웹애플리케이션 개발에 널리 쓰이는 오픈소스 프레임워크다. 미국 소프트웨어 개발업 전문 분석업체 레드몽크는 포춘100대기업 65%가 애플리케이션 개발에 이 프레임워크를 사용했을 것으로 추정하고 있다. 블랙덕소프트웨어코리아 측이 제시한 업계 전문가의 견해에 따르면 국내서도 관련 취약점으로 인한 보안위협이 가볍지 않다.
엔시큐어 손장군 이사는 "아파치 스트럿츠는 국내 개발자 사이에서 오랫동안 사용된 프레임워크"라며 "2014년 오픈소스 암호화 라이브러리 오픈SSL의 보안취약점 '하트블리드'처럼 국내에서도 해당 취약점과 관련된 데이터 유출 사건이 일어날 수 있다"고 경고했다.
강태진 인사이너리 대표는 "국내 오픈 소프트웨어 개발 환경을 볼 때 개발자가 직접 관련 소프트웨어에 사용된 오픈소스 라이브러리와 버전을 하나하나 관리하기 힘들다"며 "실제적으로 어떤 오픈소스가 쓰였는지 확인이 어렵기 때문에 문제가 더 심각하다"고 지적했다.
스트럿츠 프레임워크의 CVE-2017-5638 취약점은 지난 3월 6일 발표됐다. [☞관련기사] 블랙덕소프트웨어코리아 취약점 점수시스템(CVSS) 기준 위험도 최고수준인 10점이 매겨진 원격코드실행 보안취약점이다. 해커가 HTTP 요청 헤더의 값(Content-Type)을 변조해 원격코드실행을 허용하게 만든다. 에퀴팩스는 이를 패치하지 않아 지난 9월 7일 해킹을 당했다.
해커들은 지난 5월부터 7월까지 에퀴팩스의 보안을 뚫고 침입해 사회보장번호, 운전면허, 신용카드 번호 등을 해킹했다. 미국 성인 인구 과반이 경제적 피해를 입을 수 있는 범죄 위험에 노출됐다. 이 사고 이후 지난 13일 미국 연방거래위원회(FTC)는 공식 조사에 들어갔다. 미국 현지에서 에퀴팩스 대상으로 7억달러(약 79조원) 규모 집단소송이 진행 중이다.
관련기사
- 아파치 웹서버 메모리 임의로 유출되는 버그 발견2017.09.26
- 美 초유의 해킹사건, 챗봇이 소송 돕는다2017.09.26
- 인사이너리, 임베디드·IoT 취약점 스캔서비스 출시2017.09.26
- 아파치 스트럿츠 취약점 노린 공격 확산2017.09.26
아파치 스트럿츠 프로젝트 관리위원회(Project Committee)는 다음 5가지 보안 권고사항을 발표했다.
첫째, 소프트웨어에 사용된 프레임워크와 라이브러리를 이해하고 영향을 받는 보안취약점을 지속 모니터링하라. 둘째, 즉각적인 보안패치 배포 프로세스를 수립하라. 셋째, 소프트웨어 제품에 결함이 없다는 전제로 보안 정책을 세우지 말라. 넷째, 공개된 표현계층 뒤에 개별적인 보안 계층을 확보하라. 다섯째, 비정상적인 웹리소스 접근 패턴 모니터링을 수행하라.