中 당국 “10월 마지막주 정보보안 취약점 260개 확인”

국가인터넷응급센터 “고위험 취약점 69개, 중위험 152개, 저위험 39개”
“원격 공격 악용 가능성 취약점 225개, 애플리케이션 프로그램 취약점 146개”

[보안뉴스 온기홍=중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(이하 국가인터넷응급센터)는 10월 마지막주(10월 26일~11월 1일)에 최종 등록된 정보보안 취약점은 260개라고 밝혔다.

국가인터넷응급센터는 지난 한주 중국 내 정보보안업체(치후360·치밍싱천∙안톈랩 등), SW 업체, 인터넷서비스 업체와 개인 등이 국가정보보안취약점공유플랫폼(이하 CNVD)에 보고한 781개의 사건형 취약점들을 대상으로 종합 평가해 최종적으로 260개를 뽑아 공개했다.

지난주 최종 확인된 정보보안 취약점은 한 주전에 비해 83개 늘었다. 이들 가운데 ‘중위험’급 취약점이 152개로 가장 많았고, ‘고위험’급 취약점은 69개, ‘저위험’급 취약점은 39개를 각각 기록했다. 또한, 전체 취약점 가운데 원격 공격에 이용될 수 있는 취약점은 225개에 달했다. 전체 취약점 가운데 253개에 대해서는 해당 업체들이 2일 현재 이미 패치 업데이트 프로그램을 비롯한 복구 솔루션을 내놓았다고 센터는 밝혔다.

10월 마지막주 주요 보안 취약점 상황
국가인터넷응급센터는 지난 주 CNVD를 통해 ‘Joomla 핵심 컴포넌트에 SQL 주입 취약점 존재에 관한 보안 공고’, ‘버추얼 머신(Virtual Machine) 시스템 소프트웨어 Xen에 권한 상승 취약점 존재에 관한 보안 공고’를 발표했다. 센터는 이 두 취약점이 광범위한 CMS 시스템과 클라우드 서비스 시스템에 응용되고 있으므로, 유관 업체들과 기관들은 즉시 복구를 진행해야 한다고 강조했다.

▲ 중국 국가인터넷응급센터가 발표한 ‘10월 26일~11월 1일’ 기간 보안 취약점이 존재한 제품 관련 업체 분포 통계표

특히, 국가인터넷응급센터는 지난주 항저우푸리컴퓨터SW, 킹소프트, 베이징왕멍정보기술발전, 중국건축과학연구원건축과기주식회사, 중국공정원, 중국항톈과기그룹, 루이싱정보기술, 완커그룹, 중국SW테스트센터, 국가자연과학기금위원회, 중국과학기술출판사, 중국컴퓨터학회, 중국소비자협회, 중국TV망, 중국전문인재망 등 70여개 회사∙기관의 SW 제품 또는 웹사이트 정보 시스템에 존재하는 SQL 주입, 권한 상승, 임의파일 업로드, 원격 명령 실행 등의 취약점을 처리했다고 밝혔다. 공격자들은 이런 취약점들을 악용해 사용자의 중요한 정보들을 빼내고 권한 상승, 임의 파일 업로드, 임의 코드 실행 등을 할 수 있다고 센터는 덧붙였다.

센터는 CNVD를 통해 오라클(Oracle), 애플(Apple), NTP 등 여러 업체의 제품과 관련된 취약점들을 발표했다. 업체별 취약점 수를 보면, 오라클이 125개로 전체의 48%를 차지해 가장 많았다. 이어 애플(35개), NTP(17개), 어도비(Adobe, 8개), Moodle(7개), ZyXEL(5개), 시스코(5개), 리눅스(4개), Persistent Systems(4개), 기타(50개) 등 차례로 나타났다.

정보보안 취약점의 영향 대상에 따른 유형
국가인터넷응급센터가 발표한 지난 주 260개의 취약점을 영향 대상에 따라 나눠 보면, 애플리케이션 프로그램 취약점이 146개로 가장 많았다. 한 주 전보다 11개 줄었다. 이어 운영체제 취약점은 55개로 한 주전에 비해 38개 늘었다. 데이터베이스 취약점은 34개로 28개 증가했고, 웹(Web) 애플리케이션 취약점 22개, 네트워크 설비 취약점은 10개, 보안제품 취약점 4개를 각각 차지했다.

▲ 10월 마지막주 보안 취약점의 영향 대상에 따른 유형 통계표

국가인터넷응급센터가 발표한 주요 보안 취약점 정보를 보면, 먼저 오라클 제품에서는 ‘Oracle MySQL Server에 불분명한 취약점 존재’(CNVD-2015-06976, CNVD-2015-06980, CNVD-2015-06981, CNVD-2015-06983, CNVD-2015-06984, CNVD-2015-06839, CNVD-2015-06986, CNVD-2015-06840) 등이다. 앞서 오라클은 10월 보안 패치를 발표하면서 자사 여러 제품에 존재한 154개의 보안 취약점을 해결했다.

Joomla 제품의 경우, 핵심 컴포넌트에서 여러 SQL 주입 취약점(CNVD-2015-06805, CNVD-2015-06804, CNVD-2015-06803)이 확인됐다. 이 취약점은 ‘고위험’급으로 평가됐다.

버추얼 머신 시스템 SW인 ‘Xen’에서는 권한 상승 취약점(CNVD-2015-07060)이 발견됐다. 이 취약점도 ‘고위험’급으로 분류됐다. Adobe 제품의 보안 취약점으로는 Adobe Flash Player/AIR 메모리 인용 착오 취약점(CNVD-2015-06882, CNVD-2015-06881, CNVD-2015-06880, CNVD-2015-06879, CNVD-2015-06878, CNVD-2015-06877, CNVD-2015-06876, CNVD-2015-06875)이 확인됐다. 이는 ‘고위험’급에 속하는 취약점이다.

체코 보안업체 어베스트 소프트웨어의 바이러스 퇴치 SW인 ‘Avast’와 관련해서는 ‘Avast 150918-0’ 이전 버전에서 디렉터리 리스팅(Directory Listing) 취약점이 존재하는 것으로 드러났다고 센터는 밝혔다.

▲ 10월 마지막주 일부 ‘고위험’ 보안 취약점

한편, 지난주 CNVD에 오른 취약점 가운데 통신분야 취약점은 53개, 모바일 인터넷 분야는 30개, 공업시스템 분야 취약점은 3개에 각각 달했다. 이 가운데 ‘여러 ZyXEL 라우터의 증거 관리 취약점 △ZyXEL PMG5318-B20A 회화 기간경과 취약점 △ZyXEL PMG5318-B20A diagnostic ping 기능 입력 검증 취약점 △Oracle Database Server 불명확한 취약점 존재(CNVD-2015-06942, CNVD-2015-06948, CNVD-2015-06946, CNVD-2015-06945）△Oracle MySQL Server 불명확한 취약점 존재(CNVD-2015-06985) △여러 Apple 제품의 CoreText 엔진의 버퍼 오버플로우 취약점 △Apple iOS/OS X/watchOS 메모리 파괴 취약점 △Apple iOSGasGauge 메모리 파괴 취약점 △Apple iOS/Safari/iTunes 메모리 파괴 취약점 △IniNet Solutions SCADA Web Server 버퍼 오버플로우 취약점 등은 ‘고위험’급으로 평가됐다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)