100개가 넘는 액티브X 보안 취약점이 발견됐다.
한국인터넷진흥원(KISA)은 8월 한 달간 104개에 달하는 액티브X 취약점을 신고 받았다. KISA는 최근 액티브X 취약점을 악용한 악성코드 유포가 지속적으로 발생해 지난 한 달간 한시적으로 ‘액티브X 보안 취약점 신고 포상제’를 운영했다.
KISA는 2012년 10월부터 ‘SW 신규 보안 취약점 신고 포상제’를 운영하고 있으며 분기 평균 30~40건의 취약점이 접수된다. KISA는 이번에 단 한 달간 100여건이 넘는 액티브X 취약점이 접수되자 놀랍다는 반응이다.
예상보다 많은 취약점 접수에 KISA는 평가와 분석에 상당 기간이 소요될 것으로 점쳤다.
박진환 KISA 취약점분석팀장은 “액티브X에 한정된 보안 취약점 찾기에 많은 보안 전문가가 참여했다”며 “분석이 되는 대로 해당 SW개발사나 서비스사에 통보해 패치할 것”이라고 말했다.
KISA는 취약점 전문가로 구성된 평가위원회에서 100여개 취약점을 평가해 올해 안에 포상금을 지급할 계획이다. 국민이나 기업이 많이 쓰고 있어 악용될 경우 대량의 악성코드가 유포돼 침해사고를 유발할 수 있는 취약점에 높은 점수를 부여한다. 평가 결과에 따라 최고 500만원이 지급된다.
100여개가 넘는 취약점이 접수된 것으로 알려지면서 SW개발사들은 비상이 걸렸다.
이번에 접수된 취약점이 국내 SW나 보안 기업이 주로 쓰는 액티브X 모듈과 관계가 깊은 탓이다. 이미 KISA는 일부 분석된 취약점을 쓰는 기업과 서비스사에 패치를 지시했다.
한 보안기업 대표는 “은행 등 고객사가 패치를 요구해 개발에 들어갔다”며 “가능한 빨리 취약점을 패치에 서비스 보안에 만전을 기할 것”이라고 말했다. 그는 “취약점을 찾아 빨리 패치하는 것은 당연하지만 SW개발사가 아닌 마이크로소프트가 해결해야 하는 액티브X의 본질적인 문제까지 국내 회사에 패치를 요구하는 건 문제가 있다”고 덧붙였다.
김인순기자 insoon@etnews.com
