정부 당국이 소프트웨어(SW) 등 제품 취약점을 공지하고 보안 업데이트를 권고하고 있지만 기업·기관 등이 보안 조치를 장기간 방치하는 것으로 나타났다.
에이아이스페라 '크리미널IP(Criminal IP)'에 따르면, 국내 8025곳이 '아파치 톰캣(apache tomcat)' 취약 버전을 여전히 사용하고 있는 것으로 조사됐다. 크리미널IP는 IP주소 기반 위협 인텔리전스(CTI) 검색엔진으로, 약 42억개 IP주소와 수십억개 도메인 등 사이버 자산 정보를 실시간 수집한다.
앞서 한국인터넷진흥원(KISA)은 지난해 2월 24일 아파치 재단이 아파치 톰캣에서 발생하는 취약점에 대한 보안 업데이트 발표했다며 공격자가 해당 취약점을 악용해 피해를 발생시킬 수 있어 해당 제품을 사용하는 이용자에게 해결 버전으로 업데이트할 것을 권고했다.
이 공지가 아파치 톰캣에 관한 마지막 보안공지인 점을 감안할 때 최소 1년 이상 업데이트 조치를 하지 않고 취약점을 그대로 노출한 것으로 분석된다. 아파치 톰캣은 웹애플리케이션 서버로, 기관과 기업은 물론 영업점, 아파트, 빌딩 등 다양한 곳에서 사용된다.
이번에 확인된 업데이트하지 않은 곳 중엔 국가정보자원관리원, 국가과학기술연구회, 한국원자력안전기술원, 한국과학기술정보연구원 등 공공기관이 눈에 띈다. 특히 항공대, 한남대, 연암공과대, 동국대, 용인대, 경상대, 군산대 등 다수의 대학도 업데이트 조치를 하지 않았다.
정보보호업계는 KISA 업데이터 권고에도 대다수 기업·기관이 정보보호 투자가 후순위로 밀려 있어 사이버 위험 공격성을 그대로 떠안고 있다고 지적한다.
보안업계 전문가는 “디지털전환(DX)이 확대되면서 공공과 민간 구분 없이 공격표면이 늘어나고 있다”면서 “적극적으로 업데이트 조치를 하는 것은 물론 공격표면관리에 힘써야 한다”고 말했다.
조재학 기자 2jh@etnews.com
