中, 7월 1~2주 화웨이·레노보 제품 보안취약점 다수 발견

인터넷응급센터 “약 110개 회사 SW·웹사이트 시스템에 보안취약점 존재”
애플리케이션 프로그램·운영체제 취약점 비중 높아

[보안뉴스 온기홍= 중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 7월 둘째 주(11일~17일) 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 8개 협력회사(보안업체 중심)와 개인(화이트해커)로부터 접수한 사건형 취약점 보고를 평가해 보안취약점 201개를 최종 등록했다고 밝혔다. 한 주 전에 비해 100개 급증했다. 2주 연속 감소했다가 크게 반등했다.

전체 보안취약점 가운데 ‘고위험’급 취약점은 103개로 전 주 보다 76개 급증했다. 이어 ‘중위험’ 취약점은 83개로 24개 늘었고, ‘저위험’ 취약점은 한 주 전과 같은 15개로 파악됐다. 전체 취약점 가운데 제로데이(0day) 관련 취약점은 23개로 전체의 11%를 차지했다. 센터가 CNVD를 통해 이 기간 접수한 당·정부기관 및 기업들과 관련된 사건형 보안 취약점은 419개로 전 주(457개)에 비해 8% 감소했다. 2주 연속 줄었다. 센터는 이 기간 중국내 정보보안 취약점 위협은 ‘중간’ 수준으로 평가됐다고 밝혔다.

인터넷응급센터 “지난 주 53개 회사 SW·웹사이트 시스템에 보안취약점 존재”
국가인터넷응급센터는 지난 11일~17일 중국 유·무선 통신 서비스업체에 정보보안 취약점 사건 18건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 14건이었다.

센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요기관과 관련된 보안취약점 사건 357건을 검증해 처리했다고 밝혔다. 이어 센터는 중국 교육·과학연구 컴퓨터망인 CERNET의 운영과 관리를 맡고 있는 사이얼네트워크회사 및 상하이교통대학 네트워크정보센터 등 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 37건을 검증해 처리했다. 센터는 국가급 정보보안 협조기관에 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 22건을 보고했다.

이러한 가운데 센터는 선전(시)톈위안디커정보기술, 베이징스다이홍윈네트워크통신, 항저우쟈번과기, 저쟝다화기술, 베이징제3건축공정, 선전시지스통신, 쟈오상국제선박대리, 쑤저우수리다정보기술, 푸젠하이화금융정보, 저쟝장롱항공, 중국철도속달, 광저우중하이다위성항법기술, 저쟝보어베이투자관리, 동화SW, 쟈오상국국제정보기술, 중국철도23국그룹, 이양그룹, 세계발견검색엔진(사이트), 전국고등직업교육전문건설 및 직업발전관리 사이트, 중국선박공업그룹 정보과기센터, 군사의학과학원, 세계중의약학회연합회, 중국철강산업 사이트, 중국철강과기 사이트 등 53개에 달하는 회사와 기관의 정보 시스템 또는 SW 제품에서 보안 취약점을 발견해 해당 기업과 기관에 통보했다고 밝혔다.

▲ 7월 11일~17일 중국 내 정보보안 취약점의 영향 대상에 따른 유형 통계

中 7월 둘째 주 ‘운영체제 취약점’ 50%로 가장 많아
국가인터넷응급센터가 지난 주 공식 등록한 전체 201개의 취약점들을 영향 대상에 따라 나눠 보면, 운영체제 취약점은 102개로 가장 많았다. 전체의 50%를 차지했다. 이어 그 동안 줄곧 점유율 1위를 유지해온 ‘애플리케이션 프로그램 취약점’은 88개(44% 차지)였다. 웹(Web) 애플리케이션 취약점은 9개(4%), 네트워크 장비 취약점 1개(1%), 보안제품 취약점 1개(1%)를 각각 기록했다.

전체 정보보안 취약점을 분야별로 보면, 모바일 인터넷 분야 취약점은 99개(http://mi.cnvd.org.cn/)로 가장 많았다. 이 중 고위험은 78개, 중위험은 18개, 저위험 3개였다. 이밖에 통신 분야 취약점(중위험)은 1개(http://telecom.cnvd.org.cn/), 공업제어 시스템 관련 취약점(중위험)도 1개(http://ics.cnvd.org.cn/)로 나타났다.

▲ 7월 11일~17일 보안 취약점이 존재한 일부 제품 관련 업체 분포 통계

이 가운데 ‘Android Media Tek Wi-Fi 권한 취약점, Android Qualcomm 컴포넌트 힙 버퍼 오버플로우(Heap buffer overflow), Android NVIDIA 드라이버 권한 상승 취약점, Android NFC 권한 상승 취약점, Android Sockets 권한 상승 취약점, Android Framework APIs 권한 상승 취약점, Android libpng 권한 상승 취약점, Android Chooser Target 서비스 권한 상승 취약점, Android sof 권한 상승 취약점, Android 커널 권한 상승 취약점 등은 ‘고위험’으로 평가됐다고 센터는 밝혔다.

한편, 국가인터넷응급센터가 업체·제품 별로 나눈 취약점 수량과 비중을 보면, Google, Adobe, IBM, Microsoft, SELTECO 순으로 많았다.

인터넷응급센터, 7월 첫째 주 보안취약점 101개 확인
국가인터넷응급센터는 7월 첫째 주(4일~10일) CNVD를 통해 8개 협력회사와 화이트해커들로부터 접수한 사건형 취약점 보고를 평가해 보안 취약점 101개를 최종 등록했다고 밝혔다. 한 주 전에 비해 17개 줄었다. 2주 연속 감소세를 보였다. 전체 보안취약점 가운데 ‘고위험’급 취약점은 27개, ‘중위험’ 취약점은 59개, ‘저위험’ 취약점은 15개였다. 전체 취약점 가운데 제로 데이(0day) 관련 취약점은 10개로 전체의 10%를 차지했다.

센터가 CNVD를 통해 이 기간 접수한 당·정부 기관 및 기업들과 관련된 사건형 보안 취약점은 457개로 전 주(518개)에 비해 12% 감소했다. 센터는 이 기간 중국내 정보보안 취약점 위협은 ‘낮음’ 수준으로 평가했다.

인터넷응급센터 “7월 첫째 주 54개 회사 SW·웹사이트 시스템에 보안취약점 존재”
국가인터넷응급센터는 지난 4일~10일 중국 유·무선 통신 서비스업체에 보안 취약점 사건 24건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 38건이었다. 센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요 기관과 관련된 보안 취약점 사건 250건을 검증해 처리했다.

▲ 7월 4일~10일 중국 내 정보보안 취약점의 영향 대상에 따른 유형별 비율(출처: 중국 국가인터넷응급센터)

또한, 센터는 중국 교육·과학연구 컴퓨터망인 CERNET의 운영과 관리를 맡고 있는 사이얼네트워크회사 및 상하이교통대학 네트워크정보센터 등 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 26건을 검증해 처리했다. 센터는 국가급 정보보안 협조기관에 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 20건을 보고했다고 밝혔다.

이와 함께 센터는 상하이용펑컴퓨터네트워크기술, 여우신전자설비(상하이), 미국GSI, 샤먼위성위치측정응용, 베이징신용다인터넷정보기술, 중국철도물자그룹홍콩마카오, 양광영상미디어, 중국지하철공정자문, 베이징제3건축공정, 마이크로소프트(MS) 중국법인, 광동성공항관리그룹, UT스다캉(중국), 선저우통신그룹, 윈캉그룹, 중국철도물류그룹, 중국임업과학데이터센터, Turbo Mail 전자우편, 궈통택배, 구글, 난팡일보사, 중국법원 사이트, 융자계중문 사이트 등 54개에 달하는 회사와 기관의 정보 시스템 또는 S/W 제품에서 보안 취약점을 발견해 해당 기업과 기관에 통보했다고 밝혔다.

▲ 7월 4일~10일 중국 내 정보보안 취약점의 영향 대상에 따른 유형 통계

中 7월 첫째 주 ‘애플리케이션 프로그램 취약점’ 60%로 가장 많아
국가인터넷응급센터가 이 기간 공식 등록한 전체 101개의 취약점들을 영향 대상에 따라 나눠 보면, ‘애플리케이션 프로그램 취약점’이 60개로 가장 많았다. 전체의 59%를 차지했다. 이어 네트워크 장비 취약점 13개(13% 차지), 보안제품 취약점 12개(12%), 웹(Web) 애플리케이션 취약점은 8개(8%), 운영체제 취약점은 7개(7%), 데이터베이스 취약점은 1개(1%)를 각각 기록했다.

전체 정보보안 취약점을 분야별로 보면, 통신 분야 취약점(중위험 8개, 저위험 1개)이 9개(http://telecom.cnvd.org.cn/)로 가장 많았다. 모바일 인터넷 분야 취약점(중위험)은 3개(http://mi.cnvd.org.cn/), 공업제어 시스템 관련 취약점(중위험)은 2개(http://ics.cnvd.org.cn/)였다.

▲ 7월 4일~10일 보안 취약점이 존재한 일부 제품 관련 업체 분포

또한, 주요 정보보안 취약점들 중에서는 중국 유명 스마트폰·통신장비제조회사인 화웨이(Huawei)의 제품들에서 보안 취약점들이 발견됐다. 구체적으로 보면 화웨이의 클라우드 솔루션인 Huawei Public Cloud Solution의 XSS 취약점, PC기반 이동전화기 보조 SW인 Huawei Hi Suite의 임의 설치 취약점, 기업 라우터 제품인 Huawei AR3200MPLS의 메모리 유출 취약점, 스마트폰 Huawei Mate 8의 버퍼 오버플로우 취약점(CNVD-2016-04480), Huawei Mate 8 보안 우회 데이터 삭제 취약점, Xen 오픈소스 기반의로 설계된 기업급 개방식 서버 가상화 솔루션 Huawei Fusion Compute 서비스거부 취약점, Huawei Mate 8 보안 우회 취약점, Huawei Hi Suite임의 코드 실행 취약점 등이다. 공격자들은 이들 취약점을 이용해 임의 코드 실행, 보안 제한 우회, XSS 실시 등을 진행할 수 있다고 센터는 지적했다.

중국 PC·모바일기기 제조업체인 롄샹(Lenovo)의 ‘Lenovo Solution Center 임의 코드 실행 취약점’(CNVD-2016-04466)도 발견됐다. 한편, 국가인터넷응급센터가 업체·제품별로 나눈 취약점 수량과 비중을 보면, Cisco, Symantec, IBM, Huawei 순으로 많았다.
[중국 베이징 / 온기홍 특파원 onkihong@yahoo.com]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)