전자정부 표준프레임워크 치명적 취약점 990건 발견... 300건 패치 완료

2026-07-14 18:30
  • 카카오톡
  • 네이버 블로그
  • url
캐노피 “취약점 탐지 넘어 ‘실질적 조치와 전파’ 중심”

[보안뉴스 강현주 기자] 대한민국 전자정부 표준프레임워크 전수 분석한 결과 1300여건의 1차 탐지 취약점이 나왔으며, 최종 식별된 치명적 취약점 990건 중 300건의 보안 패치가 완료됐다.

14일 사단법인 프로젝트 플라즈마가 안전하고 지속 가능한 글로벌 오픈소스 소프트웨어 생태계를 구축하기 위해 출범한 공익 AI 보안 이니셔티브 ‘프로젝트 캐노피’(Project Canopy)의 첫 번째 분석 결과물을 전격 공개했다.



프로젝트 캐노피의 첫 번째 프로젝트 대상은 대한민국 정부 및 수많은 공공·민간 시스템 통합(SI) 프로젝트에서 표준 베이스라인으로 활용 중인 ‘전자정부 표준프레임워크’(eGovFrame)였다.

프로젝트 캐노피는 프레임워크가 배포하는 공통 컴포넌트(기존 모놀리식 및 신규 MSA용 공통 컴포넌트 전체)를 대상으로 AI 기반 자동화 취약점 분석 엔진을 가동했다. 1차 탐지된 1300여 건의 취약점 후보군 중 고도화된 정제 시스템을 거쳐 중복 및 오탐을 엄격하게 필터링한 결과, 시스템에 치명적인 오류나 권한 상승 등을 유발할 수 있는 구조적 결함 및 보안 취약점 990건을 최종 식별했다. 캐노피는 300건의 보안 패치를 완료했다. 나머지 취약점들도 우선순위를 분류하고 신속하게 패치를 진행할 예정이다.

특히 최종 식별된 취약점 중 10%가 ‘심각’(Critical) 또는 ‘높음’(High) 등급에 해당해 사용자들의 각별한 주의가 요구된다. 주요 사례로는 비밀번호 없이 임의의 계정으로 접속할 수 있는 ‘인증 우회’, 일반 사용자가 서버 권한으로 데이터베이스를 조작할 수 있는 ‘임의 SQL 실행’, 고정 암호키 노출에 따른 ‘임의 파일 탈취’, 권한 상승 공격이 가능한 ‘안전하지 않은 직접 객체 참조’(IDOR/BOLA) 등이 포함돼 있다.

전자정부 표준프레임워크는 외부 라이브러리처럼 한 줄의 선언으로 업데이트가 불가능하고, 소스 코드를 복사해 사용하는 ‘템플릿 형태’의 구조적 특성을 지니고 있다. 이로 인해 공급망 파이프라인이 단절되어 일선 시스템에는 취약점이 패치되지 않은 채 장기간 방치되는 ‘패치 고립’ 현상이 발생하기 쉽다. 프레임워크의 복제된 코드가 수많은 다운스트림 시스템에 넓게 퍼져 있는 만큼, 내부 취약점 하나가 단일 사이트의 문제를 넘어 국가 공공·민간 서비스 전반의 잠재적 위협으로 직결될 수 있다는 지적이다.

특히 프로젝트 캐노피 측은 이번에 집계된 수치가 일반적인 거대언어모델(LLM)이 생성한 가공되지 않은 날 것 그대로의 결과물이 아니라는 점을 강조했다. 고도화된 자체 시스템 분석 엔진을 거쳐 오탐(False Positive) 가능성이 높은 항목을 시스템 차원에서 선제적으로 걸러낸 ‘정제 데이터’라는 설명이다. 사람이 수개월을 매달려도 다 보지 못할 방대한 코드에서, 오직 시스템분석 만으로 악용 가능한 수많은 보안 취약점 후보를 찾아낸 것이다. 최소한 취약점을 탐지하는 단계만큼은 AI 분석 기술이 인간에 비해 압도적인 우위를 점하는 시대가 왔음을 증명한 것이다.

캐노피 관계자는 “탐지 자동화는 성공했으나 이제 진짜 과제는 다음 단계에 있다”며 “이 방대한 취약점 후보군을 누가 꼼꼼히 선별(Triage)하고, 또 어떻게 고칠 것인가에 대한 답을 찾는 것이 프로젝트 캐노피의 궁극적인 목적”이라고 말했다.

AI 기반 자동화 엔진이 쏟아낸 방대한 탐지 물량을 인적 자원이 검증하는 ‘대기열 병목 현상’ 속에서도, 관련 기관들은 공식 제보된 취약점을 적극 패치하며 최신 브랜치에 반영하고 있다.

박세준 프로젝트 캐노피 위원장은 “현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업 및 기관이라면 이번 분석 결과를 반드시 참고하고 보안 조치를 취해야 한다”며 “현재 조치 대기 중인 잔여 취약점 정보와 기적용된 구체적인 패치 정보는 ‘프로젝트 캐노피 파트너’ 회원사에는 선제 제공된다”고 밝혔다.

캐노피 파트너십에 가입한 기업·기관은 자사 시스템 공급망의 위협을 선제적으로 인지하고 방어할 수 있는 특전을 얻게 된다. 아울러 프로젝트 캐노피는 전자정부 표준프레임워크 외에 글로벌 시장 및 국내외 환경에서 널리 쓰이는 또 다른 오픈소스 소프트웨어 분석을 정기적으로 이어갈 방침이다.

박 위원장은 “보안 취약점을 탐지하는 기술은 이미 AI의 도입으로 인간의 한계를 넘어섰지만, 이를 실질적으로 검증하고 패치를 전파해 안전한 생태계를 만드는 것은 결국 유기적인 협업 플랫폼의 몫”이라며 “취약점 탐지를 넘어 공공 소프트웨어 공급망의 안전지대를 구축하는 프로젝트 캐노피의 여정에 많은 기업과 연구자 여러분의 적극적인 관심과 파트너십 참여를 기대한다”고 전했다.

프로젝트 캐노피의 첫 번째 분석 결과와 파트너 가입 및 스튜어드 신청에 대한 자세한 내용은 프로젝트 캐노피 공식 웹사이트에서 확인할 수 있다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기