세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
해킹의 주요 통로 액티브X, 사이트 1곳당 평균 8개 ‘덕지덕지’
  |  입력 : 2017-10-25 16:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
국내 100대 사이트 중 44개 사이트에 358개의 액티브X 설치
국내 사용자 많아 한국 노린 공격자 입장에서는 가장 좋아하는 취약점


[보안뉴스 김경애 기자] 국내 100대 사이트 중 44개 사이트에 358개의 액티브X가 설치돼 있는 것으로 나타났다. 액티브X를 사용하지 않는 액티브X 프리사이트가 56개인 것을 감안하면, 44개 사이트 1곳 당 8개의 액티브X가 설치되어 있는 셈이다.

[자료=더불어민주당 고용진 의원실 제공]


국회 과학기술정보방송통신위원회 소속 고용진 더불어민주당 의원(서울 노원갑)이 24일 과학기술정보통신부에서 받은 국내 100대 웹사이트 액티브X 사용 현황(2016년 기준) 자료에 따르면, 분야별 방문자 수와 페이지뷰 순위를 기준으로 확인한 결과, 액티브X가 가장 많이 설치된 사이트는 한게임(22개), 웹하드(15개), NH농협·신한은행·신한카드·천리안(12개), KB국민은행(11개) 순으로 조사됐다.

사용 분야는 금융(71개), 포털(51개), 교육(48개) 순으로 나타났으며, 용도별로는 멀티미디어(118개), 결제(76개), 전자문서(42개) 순으로 액티브X를 사용하는 것으로 확인됐다.

액티브X는 보안 취약점에 따른 악성코드 감염이 여러 차례 이슈가 된 바 있다. 지난 24일 본지가 보도한 리포팅 솔루션에서도 지난 5월 액티브X 취약점이 발견돼 패치된 바 있다. 문제가 된 취약점은 해커가 임의 코드 실행을 통해 악성코드 설치 등 악의적인 목적으로 사용이 가능하며, 낮은 버전의 액티브X 사용자는 악성코드 감염 등의 피해를 입을 수 있다.

이에 대해 해당 업체는 현재 팝업창을 띄워 패치된 제품에 대한 정기교육을 실시하고 있다. 교육대상은 유·무상 유지보수 고객이며, 신청기간은 매월 1일에서 7일까지이다.

또한, 최근 개인정보가 유출된 하나투어 역시 4종류의 액티브X를 사용하고 있는 것으로 조사됐다. 이처럼 액티브X는 보안에 취약한 데다 PC에 부담을 준다는 지적을 받아왔으며, 해외 소비자들의 국내 전자상거래 이용을 막는 걸림돌로도 지적되어 왔다.

이와 관련해 한 보안전문가는 “액티브X는 국내에서 많이 사용하고 있어 우리를 타깃으로 한 공격자 입장에서는 가장 좋아하는 취약점”이라며 “더군다나 국내 공공기관, 일반기업 등의 상당수가 여전히 사용 중이고, 취약점도 쉽게 찾을 수 있어 악성코드 감염 피해 확산에 악용되고 있다”고 지적했다.

순천향대학교 염흥열 교수는 “액티브X 방식은 사용자가 반드시 웹사이트에 방문해 패치를 해야 하기 때문에, 다시 방문하지 않으면 그 기간 동안 사용자 PC는 취약점에 노출된다”며 “이에 최근에는 액티브X를 지양하고 컴퓨터 상주버전인 exe 방식으로 배포해서 자동 업데이트를 유도하고 있다. 예를 들어 한글 자동업데이트 프로그램처럼 사용자가 웹사이트를 다시 방문해 업데이트를 하지 않아도 되는 것처럼 말이다. 하지만 해당 exe 프로그램은 계속 사용자 PC 자원을 사용하기 때문에 이용자 PC의 부담이 되는 단점이 있다”고 설명했다.

이어 염 교수는 “자사의 웹사이트에서 액티브X를 당분간 사용해야 한다면 최신 버전의 액티브X 프로그램인지 공급업체 등을 통해 수시로 체크해야 한다”며 “만약 웹사이트가 액티브X를 예전 버전에서 최신 버전으로 업데이트했다면, 예전 버전 이용자에게 여러 방법으로 알려서 다시 한번 웹사이트를 통해 패치를 받도록 해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)