Home > 전체기사
中, 7월 3~4주 화웨이 등 통신분야 취약점 32개 발표
  |  입력 : 2016-08-08 15:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷응급센터, “35개 회사 SW·웹사이트 시스템에 보안취약점 존재”
애플리케이션 프로그램· Web 애플리케이션 취약점 많아


[보안뉴스 온기홍= 중국 베이징] 중국 정부 산하 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 국가인터넷응급센터)는 7월 마지막 주(25일~31일) 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 9개 협력회사(보안업체 중심)와 개인(화이트 해커)로부터 접수한 사건형 취약점 보고를 평가해 보안취약점 433개를 최종 등록했다고 발표했다.

전체 보안취약점 가운데 ‘고위험’급 취약점은 159개였다. 이어 ‘중위험’ 취약점은 254개, ‘저위험’ 취약점은 20개로 나타났다. 전체 취약점 가운데 제로데이(0day) 관련 취약점은 108개로 전체의 25%를 차지했다.

센터가 CNVD를 통해 이 기간 접수한 당∙정부 기관 및 기업들과 관련된 사건형 보안 취약점은 158개로 전 주(648개)에 비해 76% 감소했다. 센터는 이 기간 중국 내 정보보안 취약점 위협은 ‘중간’ 수준으로 평가됐다고 설명했다.

인터넷응급센터 “7월 마지막 주 8개 회사 S/W·웹사이트 시스템에 보안취약점 존재”
국가인터넷응급센터는 7월 25일~31일 중국 유∙무선 통신 서비스업체에 정보보안 취약점 사건 7건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업∙기관에 통보한 보안 취약점 관련 사건은 4건이었다.

센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요 기관과 관련된 보안 취약점 사건 53건을 검증해 처리했다고 덧붙였다. 이어 센터는 중국 교육∙과학연구 컴퓨터망인 CERNET의 운영과 관리를 맡고 있는 사이얼네트워크회사 및 상하이교통대학 네트워크정보센터 등 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 13건을 검증해 처리했다.

센터는 국가급 정보보안 협조기관에 각 정부부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 7건을 보고했다고 밝혔다.

이러한 가운데 센터는 선양무터우런문화전파, 베이징중메이시대과기발전, 스터우(상하이)인터넷금융정보서비스, 베이징아오여우천하과기, 례바오이동, 중쟈오왕샤오, 중국전자학회, 콰이콰이브라우저 등 8개에 달하는 회사와 기관의 정보 시스템 또는 SW 제품에서 보안 취약점을 발견해 해당 기업과 기관에 통보했다고 공개했다.

▲7월 25일~31일 중국 내 정보보안 취약점의 영향 대상에 따른 유형별 비율 (출처: 중국 국가인터넷응급센터)


中 7월 마지막 주 ‘운영체제 취약점’ 50%로 가장 많아
국가인터넷응급센터가 7월 마지막 주 공식 등록한 전체 433개의 보안 취약점들을 영향 대상에 따라 살펴보면, 애플리케이션 프로그램 취약점이 274로 가장 많았다. 전체의 63.3%를 차지했다.

이어 웹(Web) 애플리케이션 취약점은 92개(21.2% 차지), 운영체제 취약점 26개(6%), 데이터베이스 취약점 22개(5.1%), 네트워크 장비 취약점 10개(2.3%), 보안제품 취약점은 9개(2.1%)를 각각 기록했다.

▲7월 25일~31일중국 내 정보보안 취약점의 영향 대상에 따른 유형 통계


전체 정보보안 취약점을 분야 별로 보면, 통신 분야 취약점이 59개(http://telecom.cnvd.org.cn/)로 가장 많았다. 이들 취약점 중 28개는 고위험급, 29개는 중위험급이었다. 이어 모바일 인터넷 분야 취약점(고위험급 5개, 중위험급 9개)은 14개(http://mi.cnvd.org.cn/), 공업제어 시스템 분야 취약점(고위험급 5개, 중위험급 1개)이 6개(http://ics.cnvd.org.cn/)였다.

이 가운데 ‘Oracle Fusion Middleware Outside In Technology에 불명의 취약점(CNVD-2016-05414/05415/05416/05417/05418/05419/05420/05421/05422/05423), Apple Core Graphics BMP Framework img_decode_read 원격코드 실행 취약점 등은 ‘고위험’으로 평가됐다고 센터는 밝혔다.

국가인터넷응급센터가 업체∙제품 별로 나눈 취약점 수량과 비중을 보면, Oracle, Google, Apple, PHP, Drupal, WordPress, Cisco, YPO3, Siemens 순으로 많았다.

▲7월 25일~31일 보안 취약점이 존재한 일부 제품 관련 업체 분포 통계


인터넷응급센터, 7월 셋째 주 보안취약점 370개 확인
국가인터넷응급센터는 7월 셋째 주(18일~24일) CNVD를 통해 9개 협력회사와 화이트해커들로부터 접수한 사건형 취약점 보고를 평가해 보안취약점 370개를 최종 등록했다고 밝혔다.

전체 보안취약점 가운데 ‘고위험’급 취약점은 159개, ‘중위험’ 취약점은 178개, ‘저위험’ 취약점은 33개였다. 전체 취약점 가운데 제로 데이(0day) 관련 취약점은 74개로 전체의 20%를 차지했다.

센터가 CNVD를 통해 이 기간 접수한 당∙정부 기관 및 기업들과 관련된 사건형 보안 취약점은 648개로 전 주(419개)에 비해 55% 급증했다. 센터는 이 기간 중국내 정보보안 취약점 위협은 ‘중간’ 수준으로 평가했다.

이 가운데 인터넷에서 ‘TP-LinkWireless N Network Camera 운영체제 명령 주입 취약점, Apache Continuum ‘save Installation. Action’ 명령 주입 취약점 등 제로데이 코드 공격 취약점이 나타났다고 센터는 밝혔다.

인터넷응급센터 “7월 셋째 주 27개 회사 SW·웹사이트 시스템에 보안취약점 존재”
국가인터넷응급센터는 7월 18일~24일 중국 유∙무선 통신 서비스업체에 보안 취약점 사건 24건을 통보했다고 밝혔다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업∙기관에 통보한 보안 취약점 관련 사건은 28건이었다. 센터는 또 전국 각 지역의 CNCERT 센터와 협력해 지방 중요 기관과 관련된 보안 취약점 사건 312건을 검증해 처리했다.

센터는 또 중국 CERNET의 운영과 관리를 맡고 있는 사이얼네트워크회사 및 상하이교통대학 네트워크정보센터 등 교육 분야 기관들과 협력해 고등교육 기관 및 연구소 시스템의 보안 취약점 사건 87건을 검증해 처리했다고 밝혔다. 센터는 국가급 정보보안 협조기관에 각 정부 부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보시스템 내 취약점 사건 21건을 보고했다고 덧붙였다.

이와 함께 센터는 광저우시중대동일교육과기, 지난앙리완SW개발, 이가오과기(항저우), 중국통신건설그룹, 난징시MAGAPP, 동완시딩덴네트워크과기, 동해항공, 장쑤궈타이신뎬SW, 중국정방SW, 중옌해외공정, 베이징베이다(베이징대)팡정전자, 가오더즈디그룹, 베이징보어텐샤과기, 펑보어스전신미디어그룹-정보센터, 텅쉰보안응급대응센터, 중국복장인재 사이트, 중국건축출판 온라인망, 국가석탄공업 사이트 등 27개 회사와 기관의 정보 시스템 또는 SW 제품에서 보안 취약점을 발견해 해당 기업과 기관에 통보했다고 밝혔다.

▲7월 18일~24일 중국 내 정보보안 취약점의 영향 대상에 따른 유형별 비율 (출처: 중국 국가인터넷응급센터)


中 7월 셋째 주 ‘애플리케이션 프로그램 취약점’ 60%로 가장 많아
국가인터넷응급센터가 7월 18일~24일 공식 등록한 전체 370개의 취약점들을 영향 대상에 따라 나눠 보면, ‘애플리케이션 프로그램 취약점’이 236개로 가장 많았다. 전체의 63.8%를 차지했다.

이어 웹(Web) 애플리케이션 취약점이 66개(17.8% 차지), 네트워크 장비 취약점29개(7.8%), 운영체제 취약점 23개(6.2%), 데이터베이스 취약점 8개(2.2%), 보안제품 취약점이 8개(2.2%)인 것으로 확인됐다고 센터는 밝혔다.

▲7월 18일~24일 중국 내 정보보안 취약점의 영향 대상에 따른 유형 통계


전체 정보보안 취약점을 분야별로 보면, 통신 분야 취약점(고위험 12개, 중위험 19개, 저위험 1개)이 32개(http://telecom.cnvd.org.cn/)로 가장 많았다. 모바일 인터넷 분야 취약점(고위험 2개, 중위험 2개)은 4개(http://mi.cnvd.org.cn/), 공업제어 시스템 관련 취약점(고위험)은 1개(http://ics.cnvd.org.cn/)였다.

특히 이 기간 중요한 보안 취약점 가운데 중국의 유명 스마트폰∙통신장비업체인 화웨이(Huawei)의 스마트폰 제품 ‘Huawei Honor 4C’, ‘Huawei P8’, ‘Huawei Honor6’에서 인증 입력, 로컬 권한 제시, 버퍼 오버플로우 취약점이 발견됐다고 센터는 밝혔다. 공격자는 이들 취약점을 악용해 권한 상승과 임의 코드 실행을 할 수 있다.

구체적으로 보면, ‘Huawei Honor 4C’ 드라이브 인증 입력 취약점, ‘Huawei Honor 6 Smart Phone’ 로컬 권한 제시 취약점, ‘Huawei P8’ 로컬 버퍼 오버 플로우 취약점, Huawei Honor 4C 드라이브 인증 입력 취약점(CNVD-2016-05174, CNVD-2016-05175, CNVD-2016-05176, CNVD-2016-05177), ‘Huawei P8’ 로컬 버퍼 오버 플로우 취약점(CNVD-2016-04990) 등이다.

▲7월 18일~24일 보안 취약점이 존재한 일부 제품 관련 업체 분포 통계


한편, 이 기간 국가인터넷응급센터가 업체∙제품 별로 나눈 취약점 수량과 비중을 보면, Adobe, Microsoft, Drupal, Oracle, Huawei, Cisco, TYPO3, WordPress, OpenBSD 순으로 많았다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)