[보안뉴스 강현주 기자] 대한민국 전자정부 표준프레임워크 전수 분석한 결과 1300여건의 1차 탐지 취약점이 나왔으며, 최종 식별된 치명적 취약점 990건 중 300건의 보안 패치가 완료됐다.
14일 사단법인 프로젝트 플라즈마가 안전하고 지속 가능한 글로벌 오픈소스 소프트웨어 생태계를 구축하기 위해 출범한 공익 AI 보안 이니셔티브 ‘프로젝트 캐노피’(Project Canopy)의 첫 번째 분석 결과물을 전격 공개했다.

프로젝트 캐노피의 첫 번째 프로젝트 대상은 대한민국 정부 및 수많은 공공·민간 시스템 통합(SI) 프로젝트에서 표준 베이스라인으로 활용 중인 ‘전자정부 표준프레임워크’(eGovFrame)였다.
프로젝트 캐노피는 프레임워크가 배포하는 공통 컴포넌트(기존 모놀리식 및 신규 MSA용 공통 컴포넌트 전체)를 대상으로 AI 기반 자동화 취약점 분석 엔진을 가동했다. 1차 탐지된 1300여 건의 취약점 후보군 중 고도화된 정제 시스템을 거쳐 중복 및 오탐을 엄격하게 필터링한 결과, 시스템에 치명적인 오류나 권한 상승 등을 유발할 수 있는 구조적 결함 및 보안 취약점 990건을 최종 식별했다. 캐노피는 300건의 보안 패치를 완료했다. 나머지 취약점들도 우선순위를 분류하고 신속하게 패치를 진행할 예정이다.
특히 최종 식별된 취약점 중 10%가 ‘심각’(Critical) 또는 ‘높음’(High) 등급에 해당해 사용자들의 각별한 주의가 요구된다. 주요 사례로는 비밀번호 없이 임의의 계정으로 접속할 수 있는 ‘인증 우회’, 일반 사용자가 서버 권한으로 데이터베이스를 조작할 수 있는 ‘임의 SQL 실행’, 고정 암호키 노출에 따른 ‘임의 파일 탈취’, 권한 상승 공격이 가능한 ‘안전하지 않은 직접 객체 참조’(IDOR/BOLA) 등이 포함돼 있다.
전자정부 표준프레임워크는 외부 라이브러리처럼 한 줄의 선언으로 업데이트가 불가능하고, 소스 코드를 복사해 사용하는 ‘템플릿 형태’의 구조적 특성을 지니고 있다. 이로 인해 공급망 파이프라인이 단절되어 일선 시스템에는 취약점이 패치되지 않은 채 장기간 방치되는 ‘패치 고립’ 현상이 발생하기 쉽다. 프레임워크의 복제된 코드가 수많은 다운스트림 시스템에 넓게 퍼져 있는 만큼, 내부 취약점 하나가 단일 사이트의 문제를 넘어 국가 공공·민간 서비스 전반의 잠재적 위협으로 직결될 수 있다는 지적이다.
특히 프로젝트 캐노피 측은 이번에 집계된 수치가 일반적인 거대언어모델(LLM)이 생성한 가공되지 않은 날 것 그대로의 결과물이 아니라는 점을 강조했다. 고도화된 자체 시스템 분석 엔진을 거쳐 오탐(False Positive) 가능성이 높은 항목을 시스템 차원에서 선제적으로 걸러낸 ‘정제 데이터’라는 설명이다. 사람이 수개월을 매달려도 다 보지 못할 방대한 코드에서, 오직 시스템분석 만으로 악용 가능한 수많은 보안 취약점 후보를 찾아낸 것이다. 최소한 취약점을 탐지하는 단계만큼은 AI 분석 기술이 인간에 비해 압도적인 우위를 점하는 시대가 왔음을 증명한 것이다.
캐노피 관계자는 “탐지 자동화는 성공했으나 이제 진짜 과제는 다음 단계에 있다”며 “이 방대한 취약점 후보군을 누가 꼼꼼히 선별(Triage)하고, 또 어떻게 고칠 것인가에 대한 답을 찾는 것이 프로젝트 캐노피의 궁극적인 목적”이라고 말했다.
AI 기반 자동화 엔진이 쏟아낸 방대한 탐지 물량을 인적 자원이 검증하는 ‘대기열 병목 현상’ 속에서도, 관련 기관들은 공식 제보된 취약점을 적극 패치하며 최신 브랜치에 반영하고 있다.
박세준 프로젝트 캐노피 위원장은 “현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업 및 기관이라면 이번 분석 결과를 반드시 참고하고 보안 조치를 취해야 한다”며 “현재 조치 대기 중인 잔여 취약점 정보와 기적용된 구체적인 패치 정보는 ‘프로젝트 캐노피 파트너’ 회원사에는 선제 제공된다”고 밝혔다.
캐노피 파트너십에 가입한 기업·기관은 자사 시스템 공급망의 위협을 선제적으로 인지하고 방어할 수 있는 특전을 얻게 된다. 아울러 프로젝트 캐노피는 전자정부 표준프레임워크 외에 글로벌 시장 및 국내외 환경에서 널리 쓰이는 또 다른 오픈소스 소프트웨어 분석을 정기적으로 이어갈 방침이다.
박 위원장은 “보안 취약점을 탐지하는 기술은 이미 AI의 도입으로 인간의 한계를 넘어섰지만, 이를 실질적으로 검증하고 패치를 전파해 안전한 생태계를 만드는 것은 결국 유기적인 협업 플랫폼의 몫”이라며 “취약점 탐지를 넘어 공공 소프트웨어 공급망의 안전지대를 구축하는 프로젝트 캐노피의 여정에 많은 기업과 연구자 여러분의 적극적인 관심과 파트너십 참여를 기대한다”고 전했다.
프로젝트 캐노피의 첫 번째 분석 결과와 파트너 가입 및 스튜어드 신청에 대한 자세한 내용은 프로젝트 캐노피 공식 웹사이트에서 확인할 수 있다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














