SK쉴더스, 일렉트론 기초이론, 취약점 분석, 버그바운티 사례 등 담은 보고서 공개
“지속적인 전문 보고서 발간으로 안전한 디지털 환경을 구축하기 위한 방안 모색할 것”
[보안뉴스 조재호 기자] SK쉴더스(대표 홍원표)의 EQST가 일렉트론(Electron) 애플리케이션 취약점 연구 보고서를 발표했다고 21일 밝혔다.
▲ SK쉴더스의 EQST가 발간한 취약점 연구 보고서 표지 [이미지=SK쉴더스]
SK쉴더스의 EQST(Experts, Qualified Security Team, 이큐스트)는 랜섬웨어를 비롯해 모의해킹, 웹 모바일 보안 취약점, 공격 패턴 등 잠재 위협을 분석·연구하며 지능형 보안 위협에 선제적으로 대응하고 있는 국내 최대 규모의 화이트해커 그룹이다. 이번 보고서에 일렉트론의 기초이론과 취약점 분석, 버그바운티 사례 등을 상세히 소개했다. 앞서 EQST에서는 10여 건의 제로데이(zero-day) 취약점을 제보한 바 있다.
일렉트론은 개발자들 사이에서 널리 활용되고 있는 소프트웨어 도구다. 비교적 진입장벽이 낮은 개발 프로그래밍 언어를 기반으로 윈도우와 맥 등 다양한 운영체제에서 사용할 수 있는 데스크톱 애플리케이션 개발 시 사용된다. 스카이프(Skype), 노션(Notion), 워드프레스(Wordpress), 슬랙(Slack), 디스코드(Discord) 등 잘 알려진 다수의 애플리케이션도 일렉트론으로 제작됐다.
일렉트론 애플리케이션은 기본적인 웹 해킹 공격에 비해 단순 취약점이 RCE(원격명령실행)까지 연결될 가능성이 커 위험성이 높다. RCE란 해커가 보안 취약점을 악용해 원격으로 사용자 시스템과 네트워크에 접속해 악성코드를 실행하는 공격을 말한다. 여기서 취약한 버전의 일렉트론을 사용하는 소프트웨어가 배포·사용되고 있어 보안 위협에 노출돼 있는 상황이다.
이에 SK쉴더스는 보안 설정 미흡과 Chrome 원격 디버깅 악용등 총 5가지의 주요 일렉트론 애플리케이션 공격 기법을 소개하며 주의를 당부했다. 특히, 기존 일렉트론 애플리케이션에서 발견된 실제 취약점도 예시로 들어 익스플로잇(Exploit) 기법을 단계적으로 설명했다. 아울러 △대상 선정 및 정보 수집 △보안 옵션 확인 △버전 업데이트 여부 확인 △익스플로잇의 흐름으로 진행되는 버그카운티를 소개했다. 이어서 SK쉴더스에서 발견한 일렉트론 애플리케이션 CVE 취약점과 버그카운티 사례를 설명했다.
SK쉴더스는 빠르게 변화하는 IT 신기술에 대응해 △클라우드 △IoT 등 폭넓은 분야의 정보봏안 가이드를 외부에 무료로 제공하고 있다. 일렉트론 애플리케이션 취약점 연구 보고서 외에도 AI 거대언어모델(LLM) 가이드를 연내 추가로 공개할 계획이다.
SK쉴더스 김병무 정보보안사업부장은 “SK쉴더스는 지속적으로 전문 보고서 발간을 통해 정보보안 지식 공유와 취약점 개선에 앞장서는 ESG 활동을 강화해 나갈 것”이라며 “보안에 취약한 중소기업은 물론 사회 전반에 안전한 디지털 환경을 구축하기 위해 다양한 방안을 모색하겠다”고 밝혔다.
한편, SK쉴더스는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
“지속적인 전문 보고서 발간으로 안전한 디지털 환경을 구축하기 위한 방안 모색할 것”
[보안뉴스 조재호 기자] SK쉴더스(대표 홍원표)의 EQST가 일렉트론(Electron) 애플리케이션 취약점 연구 보고서를 발표했다고 21일 밝혔다.
▲ SK쉴더스의 EQST가 발간한 취약점 연구 보고서 표지 [이미지=SK쉴더스]
SK쉴더스의 EQST(Experts, Qualified Security Team, 이큐스트)는 랜섬웨어를 비롯해 모의해킹, 웹 모바일 보안 취약점, 공격 패턴 등 잠재 위협을 분석·연구하며 지능형 보안 위협에 선제적으로 대응하고 있는 국내 최대 규모의 화이트해커 그룹이다. 이번 보고서에 일렉트론의 기초이론과 취약점 분석, 버그바운티 사례 등을 상세히 소개했다. 앞서 EQST에서는 10여 건의 제로데이(zero-day) 취약점을 제보한 바 있다.
일렉트론은 개발자들 사이에서 널리 활용되고 있는 소프트웨어 도구다. 비교적 진입장벽이 낮은 개발 프로그래밍 언어를 기반으로 윈도우와 맥 등 다양한 운영체제에서 사용할 수 있는 데스크톱 애플리케이션 개발 시 사용된다. 스카이프(Skype), 노션(Notion), 워드프레스(Wordpress), 슬랙(Slack), 디스코드(Discord) 등 잘 알려진 다수의 애플리케이션도 일렉트론으로 제작됐다.
일렉트론 애플리케이션은 기본적인 웹 해킹 공격에 비해 단순 취약점이 RCE(원격명령실행)까지 연결될 가능성이 커 위험성이 높다. RCE란 해커가 보안 취약점을 악용해 원격으로 사용자 시스템과 네트워크에 접속해 악성코드를 실행하는 공격을 말한다. 여기서 취약한 버전의 일렉트론을 사용하는 소프트웨어가 배포·사용되고 있어 보안 위협에 노출돼 있는 상황이다.
이에 SK쉴더스는 보안 설정 미흡과 Chrome 원격 디버깅 악용등 총 5가지의 주요 일렉트론 애플리케이션 공격 기법을 소개하며 주의를 당부했다. 특히, 기존 일렉트론 애플리케이션에서 발견된 실제 취약점도 예시로 들어 익스플로잇(Exploit) 기법을 단계적으로 설명했다. 아울러 △대상 선정 및 정보 수집 △보안 옵션 확인 △버전 업데이트 여부 확인 △익스플로잇의 흐름으로 진행되는 버그카운티를 소개했다. 이어서 SK쉴더스에서 발견한 일렉트론 애플리케이션 CVE 취약점과 버그카운티 사례를 설명했다.
SK쉴더스는 빠르게 변화하는 IT 신기술에 대응해 △클라우드 △IoT 등 폭넓은 분야의 정보봏안 가이드를 외부에 무료로 제공하고 있다. 일렉트론 애플리케이션 취약점 연구 보고서 외에도 AI 거대언어모델(LLM) 가이드를 연내 추가로 공개할 계획이다.
SK쉴더스 김병무 정보보안사업부장은 “SK쉴더스는 지속적으로 전문 보고서 발간을 통해 정보보안 지식 공유와 취약점 개선에 앞장서는 ESG 활동을 강화해 나갈 것”이라며 “보안에 취약한 중소기업은 물론 사회 전반에 안전한 디지털 환경을 구축하기 위해 다양한 방안을 모색하겠다”고 밝혔다.
한편, SK쉴더스는 보안뉴스·시큐리티월드가 선정한 2023 Global Security TOP 100 기업이다. Global Security TOP 100은 물리보안 분야와 사이버보안 분야를 모두 포함해 2023년 한 해 동안 국내외에서 매출, 성장 속도, 기술력, 혁신성, 지속가능성 등에서 우수한 평가를 받아 선정됐다.
[조재호 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
