ACI, 구글 플레이스토어 내 앱 및 가정·사무실용 라우터 검사결과 발표

 
[아이티데일리] 국내 오픈소스 보안 솔루션 전문 기업 인사이너리(대표 강태진)는 최근 미국 소비자협회(이하 ACI)에서 실시한 ‘안드로이드 기반 애플리케이션 취약성 보고서’와 ‘가정 및 사무실용 라우터 펌웨어 취약성 보고서’에서 핑거프린트 기반 바이너리 코드스캔 소프트웨어인 ‘클래리티(Clarity)’가 활용됐다고 11일 밝혔다.

현재 유통되고 있는 소프트웨어의 90% 이상은 어떤 형태든 오프소스 기반의 코드를 포함하고 있다. 비용절감, 생산성 향상 등의 큰 장점 때문에 널리 사용되고 있지만, 반면에 오픈소스 사용에는 잠재적 리스크를 갖고 있다.

대부분의 경우 오픈소스가 포함된 펌웨어, 프로그램 등은 바이너리 파일의 형태로 고객에게 배포되거나 기업간 공유가 이뤄지는데 기존의 오픈소스 스캔 솔루션으로는 바이너리가 어떤 오픈소스를 사용해서 만들어졌는지 파악이 어렵다. 따라서 바이너리 파일 검증을 통해 사용된 오픈소스를 확인해 사전에 보안 취약점을 파악하고 라이선스를 관리해야 함에도 불구하고, 사전에 오픈소스 보안 취약점을 확인하는 것이 거의 불가능했다.

하지만 인사이너리 ‘클래리티’는 임베디드 펌웨어 또는 모든 바이너리에 대해 공개된 보안 취약점을 능동적으로 검사하고 라이선스 문제를 검증하는 솔루션으로, 소스코드나 리버스 엔지니어링 없이 바이너리 코드에 사용된 오픈소스 컴포넌트를 검출할 수 있다.


ACI, 구글 플레이스토어 내 330개 APK 파일 검사결과 발표

지난 8월 ACI는 ‘인기 있는 앱은 얼마나 안전한가? 치명적인 취약성에 소비자가 관심을 기울여야 할 이유에 대한 연구 보고서’를 위해 ‘클래리티’ 사용, 구글 플레이스토어에서 제공하고 있는 330개의 APK 파일을 검사했다. 선정된 파일은 스토어 내 33개의 개별 카테고리에서 10위권 이내에 랭크된 애플리케이션으로, 연구에 따르면 앱에서 보안 패치가 적용되지 않은 오픈소스 코드가 광범위하게 사용될 때 해당 애플리케이션은 심각한 보안 취약점을 가지게 된다.

보고서에 따르면, 330개의 애플리케이션 샘플 중 32%(105개)의 애플리케이션이 보안 취약성이 있는 것으로 밝혀졌으며, 식별된 애플리케이션당 평균 19개의 취약점이 존재했다. 또 샘플에서 발견된 1,978건의 보안 취약점은 모두 심각 수준이며, 이 중 43%가 고위험(High-risk) 또는 치명적(Critical) 단계로 진단됐다.

ACI는 해당 보고서를 지난 9월 12일 미국 상원 의사당 회의실에서 열린 ACI 주관 ‘데이터 보안과 온라인 프라이버시’를 주제로 한 전문가 토론회의에서 발표했다. 작년 에퀴팩스(Equifax) 보안사고 사례를 통해 알 수 있듯이 기업의 IT 인프라가 가지고 있는 오픈소스 취약점은 소비자 데이터가 해킹에 노출될 가능성을 높인다. 이에 대한 경각심을 높이고자, ACI는 기업들이 직접 제작해 사용자들에게 배포하는 모바일 앱의 취약성을 검사해 내부시스템의 취약 수준을 짐작 해보고자 했다.


와이파이 라우터 83%, 사이버 공격에 취약

ACI는 또한 인사인너리의 ‘클래리티’를 활용한 ‘IoT 디바이스의 보안: 당신의 와이파이 라우터는 얼마나 안전한가?’ 보고서에서 와이파이 라우터 제조사의 대다수가 알려진 취약성에 대해 펌웨어를 업데이트하는 것을 무시하고 있어 데이터 유출 및 개인정보 도난 등 심각한 위험에 처할 수 있다고 지적했다.

이런 문제는 가정과 사무실 등 대중적으로 사용되고 있는 대부분의 와이파이 라우터에 적용되고 있다. 분석된 라우터의 83%가 잠재적인 사이버 공격에 취약했고, 평균 186개의 라우터 샘플에서 32,003개의 취약점이 발견됐으며, 라우터들은 평균적으로 172개의 취약점을 갖고 있었다. 발견된 취약성 중 28%가 ‘고위험’ 혹은 ‘치명적’인 것으로 분류돼, 평균 12개의 ‘치명적’인 취약점과 36개의 ‘고위험’ 취약점이 각 라우터에 대해 발생했다.

ACI에 앞서, 인사이너리 역시 작년 7월에 국내에서 판매되는 주요 IP 공유기 펌웨어의 바이너리를 체크해 펌웨어 제작시 사용된 오픈소스를 분석한 결과, 보안 취약점이 다수 포함돼 있다고 밝힌 바 있다. 국내 시장 점유율 상위 4개 회사 제품 총 10가지 모델을 대상으로 진행한 결과, 대부분의 모델에서 위험도가 ‘높음’인 보안 취약점이 10개 이상 발견됐다.

강태진 인사이너리 대표는 “ACI의 이번 연구를 통해 아쉽게도 오픈소스를 활용한 많은 소프트웨어가 알려진 오픈소스 취약성으로부터 안전하지 못하다는 점이며, 제대로 관리가 이뤄지지 않고 있다는 점을 알 수 있었다”면서, “이렇게 발생하는 취약점으로 인해 기업, 소비자 및 정부는 해커의 공격에 노출되고 주요 데이터 및 소비자 정보가 유출되는 결과를 맞이하게 될 것이며, 따라서 바이너리 코드스캔과 같이 다양한 방법을 활용해 안전한 오픈소스를 쓰고 있는지 사전에 탐지 및 방지할 필요가 있다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지