대법원 가족관계증명서 발급 사이트에 보안 취약점이 노출된 프로그램을 방치해 논란이다. 해당 사이트에 방문해 취약한 버전의 필수 설치프로그램을 설치한 사람은 사이버 공격에 노출된다.
사이버 보안 전문연구그룹 이슈메이커스랩은 법원 전자가족관계등록시스템이 보안에 취약한 보이스아이의 음성변환 소프트웨어 '액티브브리지 1.4.0.0' 이하 버전을 사용한다고 밝혔다. 해당 프로그램은 8월 21일 보안 업데이트가 나왔지만 전자가족관계등록시스템은 여전히 취약한 버전을 배포한다.
이슈메이커스랩과 트렌드마이크로는 지난 7월 해커가 해당 프로그램을 악용하려는 정황을 포착했다. 해커는 보이스아이 음성변환 솔루션이 설치됐는지 여부를 수집하는 악성 스크립트를 웹사이트에 주입했다가 삭제하는 활동을 지속했다.
테일러 김 이슈메이커스랩 연구원은 “보이스아이 취약점은 향후 공격을 위한 정찰 작업으로 보인다”면서 “그간 밝혀진 액티브X 모듈뿐만 아니라 논(non) 액티브X도 새로운 공격 대상에 포함했다”고 말했다. 이어 “취약점이 알려지고 개발사가 보안 업데이트를 내놨는데도 대국민 사이트가 취약한 버전을 계속 사용한다”면서 “해당 사이트를 방문해 음성변환 소프트웨어를 설치한 사람은 사이버 위협에 노출된다”고 지적했다.
보이스아이는 취약점 공개 후 한 달이 지난 8월 21일 보안 업데이트를 내놨다. 취약점을 조치한 버전이 나왔지만 대국민 사이트는 적용되지 않았다. 대국민 사이트가 업데이트 버전을 웹사이트에 적용 후 사용자가 사이트가 접속해 업데이트해야 안전한 버전으로 변환된다.
그동안 국내를 주로 공격한 해커는 정부와 금융기관 웹사이트에서 주로 쓰는 액티브X 모듈 취약점을 이용해 사용자를 공격했다. 이번에는 보안이 허술해 퇴출된 액티브X 모듈을 대신한 논 액티브X 취약점을 공략했다. 액티브X 취약점은 마이크로소프트 인터넷익스플로러(IE) 브라우저 사용자를 주로 공격한다. 논 액티브X는 IE는 물론이고 크롬 등 다른 브라우저 사용자까지 공격한다.
테일러 김 연구원은 “국민은 일 년에 한두 번 대국민 사이트를 이용하고 서비스를 받으려면 해당 프로그램을 반드시 설치해야 한다”면서 “보안에 취약한 프로그램이 PC에 설치됐는지 여부도 알지 못 한다”고 지적했다. 김 연구원은 “대법원 등 대국민 사이트는 신속히 안전한 버전으로 음성변환소프트웨어를 교체해야 한다”고 지적했다.
한국인터넷진흥원은 “취약한 버전 이용자는 최신버전 (2.0.0.1)으로 설치하라”면서 “업데이트 파일은 보이스아이 서비스데스크에 문의하라”고 공지했다.
이에 대해 대법원 관계자는 “해당 내용을 파악 중”이라고 밝혔다.
김인순 보안 전문기자 insoon@etnews.com