정부24 등 공공기관 홈페이지에서 웹 PDF 뷰어로 주로 사용
유니닥스 홈페이지에서 자동 삭제 프로그램 내려받아 구 버전 제거한 후, 취약점 개선한 새 버전 설치 권고

[보안뉴스 이상우 기자] PDF 편집기 ‘ezPDF’ 일부 버전에서 취약점이 발견돼 한국인터넷진흥원이 구버전 삭제 및 보안 업데이트를 권고했다. 유니닥스가 개발한 ezPDF는 개인 사용자(기업·기관 유료)가 무료로 쓸 수 있는 PDF 편집 도구로, 이 중 PDF 리더인 ezPDF Reader 2.0~3.0 버전에서 취약점이 발견됐다. 또한, 정부24 등 정부기관 홈페이지에서는 웹에서 바로 PDF 문서를 볼 수 있는 뷰어 ‘ezPDF ReaderG4C’를 도입해 운영하고 있으며, 해당 취약점이 있는 버전은 2.0.2.23이다.


▲취약점이 있는 ezPDF Reader 버전[자료=한국인터넷진흥원]

취약점 유형은 원격 임의 명령 실행(임의 코드 실행) 취약점이며, 공격자는 이를 통해 원격에서 악성코드를 유포해 추가적인 피해를 일으킬 수 있다. 다만, 기업·기관·교육기관 등이 구매한 ezPDF Editor 3.0, 네이버 소프트웨어에서 배포하는 ezPDF Editor 3.0 및 ezPDF Reader 등은 해당 취약점과 무관하다는 설명이다.

피해를 입지 않으려면 사용자는 ezPDF Reader 구 버전을 삭제해야 한다. 작업 표시줄 검색창에 ‘앱 및 기능’이라는 검색어를 입력한 뒤 시스템 설정에 진입하고, ezPDF Reader 2.XX ~ 3.XX 버전을 선택한 뒤 제거 버튼을 누르면 된다.


▲유니닥스가 제공하는 자동 삭제 프로그램[자료=보안뉴스]

또한, 개발사인 유니닥스는 해당 취약점이 있는 버전을 자동으로 삭제하는 프로그램을 자사 홈페이지에 공개했으며, 사용자는 이를 내려받아 실행한 뒤 ‘ezPDF ReaderG4C 2.0.2.23 버전을 선택한 뒤 삭제를 누르면 된다. 현재 정부24 등 주요 공공기관에서는 취약점이 제거된 버전을 새롭게 배포하고 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>