전자정부 표준 SW에 보안구멍 990건…AI가 찾아냈다

2 hours ago 2

뉴시스
정부와 공공기관이 시스템을 만들 때 기본 틀로 쓰는 전자정부 표준프레임워크에서 해킹에 악용될 수 있는 보안 취약점 990건이 발견됐다. 인공지능(AI) 기반 자동화 취약점 분석 엔진이 전자정부 시스템을 점검한 결과다.

14일 사단법인 프로젝트 플라즈마의 보안 프로젝트 ‘프로젝트 캐노피’는 이 같은 분석 결과를 공개했다.

프로젝트 캐노피는 지난달 17일 공식 출범해 AI 기반 취약점 방어를 목적으로 하는 공익 이니셔티브다. 현재 36개 기업과 기관이 파트너로 참여하고 있다.

분석 대상은 정부와 공공·민간 시스템 대부분이 표준으로 쓰는 ‘전자정부 표준프레임워크(eGovFRAME)’로, 캐노피 측은 AI 기반 분석 엔진을 가동해 전자정부 표준프레임워크의 모든 공통 컴포넌트를 살펴봤다.

분석 엔진이 1차로 걸러낸 취약점은 1300여 건이다. 이 중 중복되거나 잘못 찾은 데이터들을 걸러낸 뒤 최종적으로 990건이 실제 취약점으로 확인됐다.

이 중 10%는 ‘심각(Critical)’ 또는 ‘높음(High)’ 등급에 해당했다.

주요 사례로는 비밀번호 없이 아무 계정으로나 로그인할 수 있는 ‘인증 우회’, 서버 권한으로 데이터베이스를 마음대로 바꿀 수 있는 ‘임의 SQL 실행’, 암호키 노출로 파일을 빼갈 수 있는 문제, 접근 권한을 몰래 높이는 결함 등이 있었다.

● 작은 결함도 치명적…서비스 전반 위협으로 직결돼
전자정부 표준프레임워크는 일반 프로그램처럼 자동 업데이트되지 않는다. 개발자가 소스 코드를 직접 복사해 쓰는 ‘템플릿’ 방식이기 때문이다. 이 때문에 한 번 취약점이 생기면 여러 시스템에 오랫동안 남는 경우가 많다.

그럼에도 이 프레임워크를 복사해 쓰는 곳이 워낙 많다 보니, 한 곳의 결함이 전국 공공·민간 서비스 전체의 위협으로 번질 수 있다는 게 캐노피 측 설명이다.

또 캐노피 측은 이번 결과가 대규모 언어 모델(LLM)이 생성한 가공되지 않은 데이터가 아니라고 강조했다. 잘못 찾아낸 항목을 분석 엔진을 거쳐 미리 걸러낸 ‘정제된 자료’라는 것이다.

캐노피 측은 이번 분석에 따라 300여 건의 보안 취약점을 해결했다. 패치가 완료된 항목들은 △관리자 권한 무단 획득 △권한 체계 임의 변경 등 권한 관리와 직결된 핵심 결함들이다.

● 보안 취약점 탐지 기술은 이미 ‘한계 돌파’

박세준 프로젝트 캐노피 위원장은 “전자정부 표준프레임워크로 시스템을 운영 중인 기업과 기관은 이번 결과를 참고해 보안 조치를 해야 한다”고 밝혔다.

이어 그는 “보안 취약점 탐지 기술은 이미 AI 도입으로 한계를 넘었다”며 “이를 실질적으로 검증하고 패치를 전파해 안전한 생태계를 만드는 것은 협업 플랫폼의 몫”이라고 짚었다.

현재는 AI가 쏟아낸 방대한 탐지 물량을 사람이 직접 검증하고 있다. 관련 기관들은 접수된 취약점을 하나씩 고쳐 최신 버전에 반영하고 있다.

앞으로 캐노피 측은 전자정부 표준프레임워크 외에도 국내외에서 널리 쓰이는 다른 오픈소스 소프트웨어를 정기적으로 분석해나갈 계획이다. 최종적으로는 취약점 분석 결과와 실시간 조치 현황을 직관적으로 확인할 수 있는 전용 플랫폼을 개발해 다가오는 8월경 공개할 예정이다.

김영호 기자 rladudgh2349@donga.com

© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지

  • 좋아요 0
  • 슬퍼요 0
  • 화나요 0

지금 뜨는 뉴스

Read Entire Article