한국 사이트의 액티브X에서 치명적 취약점 발견돼

ActiveX Controls in South Korean websites are affected by critical flaws

Risk Based Security의 보안 전문가들이 한국의 액티브X 컨트롤 10개에서 치명적인 취약점 수 십 개를 발견했습니다.

액티브X 컨트롤과 관련된 많은 위험 요소들이 있음에도 정부 사이트 다수를 포함한 많은 한국 웹사이트에서 아직도 해당 기술을 사용하고 있습니다.

그 이유는 사용자에게 인터넷 익스플로러 및 액티브X 컨트롤 실행을 요구하는 20년 된 오래된 법 때문인 것으로 나타났습니다. 

한국 정부는 이에 대한 문제점을 인식하고 2014년 액티브X 사용을 없애기 위한 활동을 이어나갔으며, 2018년부터 적극적으로 액티브X 제거를 위한 TF를 구성하고 2020년까지 전부 제거하는 것을 목표로 하고 있습니다.

※ 관련 자료

[금융위원회] 전자상거래 결제 간편화 방안 보도자료(2014.07.28)

[금융위원회] 역동적 창조경제 구현 보도자료(2015.01.14)

[과학기술정보통신부] 신산업·신기술 규제혁신으로 혁신성장 뒷받침한다 보도자료(2018.01.22)

[과학기술정보통신부] '공인인증서 제도' 20년 만에 전면 폐지 추진 보도자료(2018.03.29)

[대한민국정책브리핑] 민간 웹사이트 플러그인 개선 가이드라인(2018.11.30)

또한, 마이크로소프트가 더 이상 마이크로소프트 엣지(Edge) 브라우저에서 액티브X를 지원하지 않기 때문에 액티브X는 전 세계적으로 사용하지 않는 추세입니다.

IssueMakersLab 전문가들의 연구에 따르면, 2007년부터 2018년까지 북한과 관련된 공격에 액티브X 제로데이 취약점이 다수 악용된 것으로 나타났습니다.

2014년, 한국 정부는 액티브X 컨트롤의 필수 사용을 폐지했으나, 아직 많은 사이트가 액티브X를 사용하는 것으로 조사되었습니다. 

한국은 모든 정부 사이트에서 2020년까지 액티브X를 제거하는 것을 목표로 하고 있습니다.

Risk Based Security는 2019년 초, 제로데이 공격에 악용되었던 한국의 액티브X 컨트롤에 대한 조사를 진행하였고, 그 결과 완전하게 수정되지 않은 것을 발견했습니다. 

조사 과정에서 Risk Based Security는 한국에서 사용되는 액티브X 컨트롤 100개 가량의 레포지토리를 확보했다고 밝혔습니다.

보안 연구원들은 2019년 1월부터 액티브X 컨트롤 취약점을 찾기 시작해, 가장 인기 있는 컨트롤 10개에서 중요 취약점 40개를 발견했습니다. 

전문가들은 심층적 리버스 엔지니어링(Reverse Engineering) 및 퍼징(Fuzzing)을 통해 이 결함을 발견했다고 전했습니다.

발견된 취약점은 사용자의 시스템에서 임의 코드 실행을 허용하는 다양한 버퍼 오버플로우 및 보호장치 없이 노출된 기능 등 매우 기본적인 것들이었습니다. 

취약한 액티브X 컨트롤은 은행, 주요 금융 회사, 주요 기술 회사, 대학, 정부 기관을 포함한 많은 조직의 웹 사이트에서 사용되고 있습니다.

해당 연구원은 KISA(Korea Internet & Security Agency) 측에 지난 2월 초 이를 제보했습니다.

KISA 측은 영향을 받는 기관에 해당 사실을 알렸으며 취약점을 수정하고 취약한 액티브X를 제거하도록 권고했습니다.

※ 취약한 ActiveX 보고 자료

출처:

https://securityaffairs.co/wordpress/85973/hacking/south-korea-activex-controls-flaws.html

https://www.riskbasedsecurity.com/2019/05/critical-vulnerabilities-discovered-in-south-korean-activex-controls/

https://www.boannews.com/media/view.asp?idx=79783&kind=