세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
中 정부 “국경절·중추절 연휴 보안취약점 약 300개 달해”
  |  입력 : 2017-10-12 10:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인터넷응급센터, 9월 마지막 주~10월 첫째 주 고위험 취약점 119개
애플리케이션 부문 취약점이 가장 많아


[보안뉴스 온기홍=중국 베이징] 중국에서 지난 국경절(10월 1일)과 중추절을 비롯한 공식 연휴(10월 1일~8일) 기간 정부기관이 확인해 최종 등록한 국내 정보보안 취약점이 약 300개에 달한 것으로 확인됐다.

[이미지=iclickart]


중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 9월 25일부터 10월 8일까지 국가정보보안취약점공유플랫폼(이하 CNVD)을 통해 14개 협력회사(보안 업체, 통신서비스 업체, 통신기기장비 업체)와 CNCERT 지역 센터, 개인(화이트해커)로부터 접수한 1,162개의 사건형 정보보안 취약점들을 평가해 최종적으로 328개를 등록했다고 밝혔다. 센터는 2주 동안 정보보안 취약점 위협을 ‘중간’ 수준으로 평가했다.

9월 셋째 주(18일~24일)에는 325개, 둘째 주(11일~17일)에 450개, 첫째 주(4일~10일)에는 335개의 정보보안 취약점을 최종 등록됐다고 센터는 덧붙였다.

9월 마지막 주~10월 첫째 주 전체 보안취약점 328개 가운데 ‘고위험’급 취약점은 119개, ‘중위험’급 184개, ‘저위험’급 25개로 평가됐다고 센터는 밝혔다. 전체 취약점 가운데 제로데이(0day) 관련 취약점은 60개로 전체의 18%를 차지했다.

9월 셋째 주에는 전체 보안취약점 325개 가운데 ‘고위험’급 취약점이 129개, ‘중위험’급 182개, ‘저위험’급 취약점 14개였다. 제로데이 관련 취약점은 90개로 전체의 28%에 달했다. 9월 둘째 주에는 최종 450개의 보안취약점 가운데 고위험급이 178개, 중위험급 249개, 저위험금 23개로 평가됐다. 제로데이 관련 취약점은 101개로 22%의 점유율을 보였다. 9월 첫째 주의 경우 전체 335개 취약점 가운데 고위험급은 94개, 중위험급 213개, 저위험급은 28개로 드러났다. 제로데이 취약점은 124개(전체의 37%)였다.

▲ 9월 첫째 주~10월 첫째 주 CNCERT가 공식 확인해 등록한 정보보안 취약점 수량[자료=중국인터넷응급센터]


中 정부·통신·금융·에너지·교육 기관 정보시스템 내 보안취약점 현황
인터넷응급센터가 CNVD를 통해 접수한 당·정부기관 및 기업들과 관련된 사건형 보안취약점은 9월 마지막 주~10월 첫째 주 2,028개에 달했다. 9월 셋째 주에는 1,162개(주간 13% 증가), 둘째 주 1,029개(주간 22% 감소), 첫째 주에 1,326개(주간 19% 감소)를 기록했다.

인터넷응급센터는 9월 마지막 주~10월 첫째 주 중국 3개 유·무선 통신 서비스 업체들에 정보보안 취약점 사건 10건을 통보했다고 밝혔다. 9월 셋째 주에도 10건, 둘째 주에는 7건, 첫째 주에는 13건을 각각 통보했다. 센터가 은행, 증권, 보험, 에너지 등 중요 분야 기업·기관에 통보한 보안 취약점 관련 사건은 9월 마지막 주~10월 첫째 주 23건, 9월 셋째 주 28건, 둘째 주 21건, 첫째 주 32건이었다.

센터가 전국 각 지역의 CNCERT 센터와 협력해 검증한 보안 취약점 사건은 9월 마지막 주~10월 첫째 주 298건, 9월 셋째 주 406건, 둘째 주 323건, 9월 첫째 주 527건으로 집계됐다. 센터가 고등교육 분야 응급조직과 협조해 검증·처리한 대학·연구소 시스템 취약점 사건은 9월 마지막 주~10월 첫째 주 61건, 9월 셋째 주 123건, 둘째 주 73건, 첫째 주 98건이었다.

센터가 9월 마지막 주~10월 첫째 주 국가 상급 정보보안 협조기관에 각 정부부처 및 위원회의 홈페이지와 부설 웹사이트 또는 직속 기관의 정보 시스템 내 취약점 사건 35건을 보고했다고 밝혔다. 9월 셋째 주에는 29건, 둘째 주 34건, 첫째 주에는 36건을 각각 보고했다.

정보시스템·S/W·H/W 제품에서 보안취약점 탐지된 中 주요 기업·기관
인터넷응급센터는 9월 25일~10월 8일 쉰레이네트워크과기(선전), 허이정보기술(베이징), 톈진제출과기발전, 칭다오쑤푸전자상무, 항저우슈웨이과기, 상하이중주정보과기, 중국건재(건축자재)그룹, 동롼그룹, 베이징이차이인력자원자문, 산동항톈정보, 선전시롱윈과기, 진디에국제소프트웨어그룹, 중국현대농업발전촉진회, Wuke.Lite, 기업제일 사이트 등 60곳의 회사·기관의 정보 시스템과 H/W·S/W 제품에서 보안 취약점이 드러났다고 밝혔다.

9월 셋째 주에는 시나(SINA)기술, 중국철도건설그룹 설치설비회사, 진샨S/W, 중국건자재검사인증그룹, 소후(SOHU), 안톈 랩, 중국의약공업연구총원, 국가유전자데이터베이스, 중국정보기술서비스·아웃소싱 산업연맹, 과학·기술정보 사이트, 중국사회법 사이트, 중국법률정보 사이트, 중국신용상무 사이트를 비롯해 약 50곳 회사·기관의 정보 시스템과 H/W·S/W에서 보안 취약점이 탐지됐다.

9월 둘째 주에는 동팡메이예(베이징)교육과기, 진샨S/W, 요우쉱너자설비(상하이), 용요우이동통신기술서비스, 베이징톈롱신교육과기, 용요우네트워크과기, 선전시 진스인터넷금융, 인민음악출판사, 국가표준화관리위원회 정보센터, 중국뉴스미디어 사이트, 해양 CMS, 중국과학기술협회 등 42곳의 정보 시스템과 H/W·S/W 제품에서 보안 취약점이 발견됐다고 센터는 밝혔다.

9월 첫째 주에는 상하이상쉰네트워크과기, 마이크로소프트 중국지사, 상하이 타오커네트워크기술, 베이징다멍과기, 중국우저우공정설계, 구글 중국지사, 장청네트워크정보공작실, 중국자동차공업협회, 중국전자상무전문가 서비스센터, 중국공업제어 사이트, 중국교외교육 사이트 등 44곳에서 정보 시스템 또는 H/W·S/W에서 보안 취약점이 드러났다.

애플리케이션 취약점, 절반 안팎 비중 차지해 가장 많아
인터넷응급센터가 9월 마지막 주~10월 첫째 주 공식적으로 최종 등록한 전체 328개의 보안 취약점들을 영향 대상에 따라 살펴보면, 애플리케이션(프로그램) 부문 취약점이 241개(점유율 73%)로 가장 많았다. 이어 웹(Web) 애플리케이션 취약점 35개(10%), 네트워크 장비 취약점 23개(7%), 운영체제 취약점 19개(6%), 보안제품 취약점 9개(3%), 데이터베이스 취약점 1개(1%) 순이었다.

9월 셋째 주에는 전체 325개의 보안 취약점 중 애플리케이션 취약점이 229개(점유율 70%)로 가장 많았고, 웹 애플리케이션 취약점 41개(13%), 네트워크 장비 취약점 29개(9%), 운영체제 취약점 26개(8%)로 드러났다.

9월 둘째 주에는 애플리케이션 부문 취약점이 236개로 절반(점유율 52%) 넘게 차지했고, 웹 애플리케이션 취약점 116개(26%), 운영체제 취약점 61개(13%), 네트워크 장비 취약점(5%) 22개, 보안제품 취약점 12개(3%), 데이터베이스 취약점 3개(1%)였다.

9월 첫째 주에는 총 335개 취약점 가운데 애플리케이션 취약점 222개(점유율 66%), 웹 애플리케이션 취약점 85개(25%), 네트워크 장비 취약점 14개(4%), 운영체제 취약점 11개(3%), 데이터베이스 취약점 2개(1%), 보안제품 취약점 1개(1%)로 파악됐다.

▲9월 첫째 주~10월 첫째 주 중국 내 정보보안 취약점의 영향 대상에 따른 유형[자료=중국인터넷응급센터]


보안 취약점, 모바일 인터넷·통신·공업제어 시스템 부분 순으로 많아
9월 마지막 주~10월 첫째 주 등록된 정보보안 취약점을 분야별로 보면, 모바일 인터넷 분야 취약점(http://mi.cnvd.org.cn/)이 29개(고위험 4개, 중위험 24개, 저위험 1개)로 가장 많았고, 통신 분야 취약점(http://telecom.cnvd.org.cn/)은 9개(고위험 1개, 중위험 1개, 저위험 7개), 공업제어 시스템 분야 취약점 1개(고위험)로 드러났다.

9월 셋째 주에는 모바일 인터넷 분야 취약점이 33개(고위험 17개, 중위험 15개, 저위험 1개), 통신 분야 취약점은 6개(고위험 4개, 중위험 1개, 저위험 1개), 공업제어 시스템 분야 취약점 5개로 나타났다. 이 가운데 중국 최대 인터넷 검색업체인 바이두(Baidu)의 IME에서 신뢰할 수 없는 검색 경로 취약점(CNVD-2017-27945)은 고위험급이라고 센터는 밝혔다.

9월 둘째 주에는 모바일 인터넷 분야 취약점 105개(고위험급 61개, 중위험급 43개, 저위험급 1개), 통신 분야 취약점 15개(고위험급 3개, 중위험급 11개, 저위험급 1개), 공업제어 시스템 분야 취약점 4개(고위험급 2개, 중위험급 2개)였다.

9월 첫째 주의 경우 모바일 인터넷 분야 취약점 43개(고위험급 12개, 중위험급 31개, 저위험급 1개), 통신 분야 취약점 15개(고위험급 6개, 중위험급 6개, 저위험급 3개), 공업제어 시스템 분야 취약점 10개(고위험급 6개, 중위험급 3개, 저위험급 1개)였다.

中 주요 제품의 보안 취약점
9월 마지막 주와 10월 첫째 주 중국 내 주요 제품 보안 취약점을 보면, 중국 정보보안 업체인 치후360의 무료 클라우드 바이러스 백신프로그램에서 ‘히프 오버플로우(Heap overflow)’ 취약점(CNVD-2017-26309)이 탐지됐다고 센터는 밝혔다. 공격자는 이 취약점을 이용해 바이러스 스캐닝을 중지시킴으로써 서비스거부를 야기하고 원격 코드 공격을 실행할 수 있다.

중국의 오픈소스형 콘텐츠 관리 시스템인 UCMS의 ‘ajax.php’ 파일에서는 ‘SQL 주입’ 취약점(CNVD-2017-22081)이 드러났다. 해커는 이를 악용해 데이터베이스 내 중요한 정보들을 빼낼 수 있다.

중국 통신장비·스마트폰 업체 화웨이(Huawei)의 스마트폰 ‘Huawei P10’과 ‘P10 Plus’에서 고위험급의 ‘임의 메모리 쓰기 취약점’(CNVD-2017-28814)이 발견됐다고 센터는 밝혔다. 공격자는 스마트폰 사용자를 꾀어 악성 애플리케이션을 설치하게 하고, 특정 데이터 수정을 통해 시스템의 재부팅 과정에서 임의 메모리 쓰기를 진행한다. 이로써 스마트폰은 시작 단계에서 재부팅하거나 임의 코드 실행을 하게 된다.

중국의 통신장비·스마트폰 업체 중싱통신(ZTE)의 ADSL 모뎀 제품 ‘ZTE ADSL ZXV10 W300’에서는 ‘비밀번호 가로채기’ 취약점(CNVD-2017-28177)이 존재하는 것으로 밝혀졌다. 공격자는 비밀번호를 가로채서 리퀘스트를 바꾸며, 이 취약점을 악용해 관리자 비밀번호를 바꾼다.

9월 셋째 주 중국에서 관심도가 높았던 업체 제품의 보안 취약점을 보면, Brother 사가 내놓은 프린터인 ‘Brother DCP-J132W’에서 서비스거부 취약점(CNVD-2017-27958)이 드러났다. 공격자가 대량의 HTTP 데이터를 발송해 인쇄 대기(네트워크 연결 끊음) 상태를 일으킬 수 있다. 샨시(성) 니우쿠정보과기유한회사가 내놓은 PHP 오픈소스형 온라인 마켓 시스템인 ‘NiuShop’의 ‘NiuShop_b2c_data_release’에서 여러 보안 취약점(CNVD-2017-23258)이 드러났다고 센터는 밝혔다. 공격자는 이 취약점을 써서 애플리케이션에 위협을 가하고 데이터를 수정하며 서버 권한을 획득할 수 있다.

9월 둘째 주에는 선전시 이톈롄커지(深圳市亿天联科技)가 제공하는 웹사이트 구축 시스템의 여러 웹페이지에서 SQL 주입 취약점(CNVD-2017-20589)이 발견됐다고 센터가 밝혔다. 이 취약점은 공격자가 데이터베이스의 중요한 정보들을 빼내는 데 악용될 수 있다.

샨시(성) 니우쿠정보과기유한회사가 개발한 PHP의 오픈소스형 온라인 마켓 시스템 ‘NiuShop’에서는 SQL 주입 취약점(CNVD-2017-20698)이 탐지됐다. 공격자는 이 취약점을 통해 데이터베이스 내 정보들을 훔칠 수 있다.

샤먼시 소재 후동촹샹(互动创想)디지털과기가 내놓은 웹사이트 구축 시스템 ‘news-details.php’ 웹페이지에서도 SQL 주입 취약점(CNVD-2017-20610)이 발견됐다. 이는 데이터베이스 내 정보의 도난으로 이어지게 된다.

저쟝(성) 소내 다화즈능(스마트)이 내놓은 운영유지관리 시스템에서도 SQL 주입 취약점(CNVD-2017-20985)이 드러났다. 이 시스템은 스마트 분석, 고장 검사, 업무 플로우 엔진 등 기술을 갖추고 있다. 공격자는 이 취약점을 악용해 데이터베이스 내 임의 내용과 서버상 임의 파일을 다운로드할 수 있고, ‘webshell’ 업로드까지 할 수 있게 된다고 센터는 설명했다.

중국 통신장비·스마트폰 업체인 화웨이의 네트워크 방화벽 제품 ‘USG 6300/USG6600’에서는 취약한 알고리즘 취약점(CNVD-2017-26776)이 드러났다. 공격자는 이를 이용해 네트워크 전송 정보를 빼내고, 암호 해제를 진행해 중요한 정보들을 훔칠 수 있다.

9월 첫째 주에는 중국 모바일 메신저인 웨이신의 사무용 S/W인 ‘웨이(微) OA365’에서는 코드 실행 취약점(CNVD-2017-20481)이 탐지됐다고 센터는 밝혔다. 이는 공격자의 웹사이트 서버 통제권 획득을 일으키게 된다. 허난성 소재 쉬에S/W유한회사가 내놓은 웹사이트 그룹 콘텐츠관리 시스템에서는 SQL 주입 취약점(CNVD-2017-20494)이 발견됐다. 공격자는 이를 악용해 데이터베이스 내 민감한 정보들을 빼낸다.

중국 업체가 PHP과 Mysql을 써서 개발한 콘텐츠관리 시스템(CMS)인 ‘MetInfo’에서는 파일 업로드 취약점(CNVD-2017-21993)이 드러났다. 공격자는 ‘.phtml’ 파일 업로드를 통해 임의 PHP코드를 실행하게 된다.

중국 무선 라우터 ‘페이쉰 K2(PSG1218)’에서는 월권 방문 취약점(CNVD-2017-20666)이 탐지됐다. 공격자는 이 취약점을 이용해 로그인하지 않은 상태에서 LAN 내 모든 단말 설비의 상세한 정보를 손에 넣을 수 있고, 불법 조작 실행도 가능하다.

중국 허친커지(合勤科技)가 내놓은 무선 교환기인 ‘ZyXEL PK5001Z’에는 루트(Root) 방문 취약점(CNVD-2017-25518)이 존재하는 것으로 확인됐다. 공격자는 이를 악용해 특수한 요구를 제기하고 루트 방문 권한을 획득할 수 있다고 센터는 설명했다.

▲2017년 9월 셋째 주~10월 첫째 주 중국 내 보안 취약점이 존재한 일부 제품 관련 업체 분포
[자료=중국인터넷응급센터]


한편, 인터넷응급센터가 9월 마지막 주~10월 첫째 주 국내외 업체·제품별로 나눈 보안 취약점 수량과 비중을 보면, Tcpdump, Microsoft, Oracle, Adobe, Cisco, Huawei, Apache, Red Hat, WordPress 순으로 상위 10위 안에 포함됐다.

9월 셋째 주에는 Oracle, Tcpdump, Google, Cisco, Microsoft, SMA, IBM, Apache, Synology 등 차례로 상위 10위 안에 들었다. 9월 둘째 주에는 Google, Oracle, Adobe, Cisco, WordPress, IBM, Joomla!, NVIDIA, Aruba Networks 순으로 보안 취약점 수량이 많았다고 센터는 밝혔다. 9월 첫째 주의 경우 IBM, ImageMagick, JasPer, Google, Adobe, Smiths Medical, WordPress, libfpx, Wireshark 순으로 많았다고 센터는 덧붙였다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)