미래부, 제2의 3·20 사이버테러 유발 취약점 발견

SW 업데이트 보안 가이드라인 배포

미래창조과학부와 국가보안기술연구소는 소프트웨어(SW) 업데이트 체계의 보안성을 점검한 결과 제2의 3·20 사이버공격을 유발할 수 있는 취약점이 발견됐다고 19일 밝혔다. 적발된 곳은 5개 기업의 SW 20종이며 이중 2개는 사용자가 1000만명 이상인 것으로 조사됐다.

미래부는 “이번에 발견된 취약점은 업데이트 서버가 해킹당했을 때 해당 SW 사용자 PC 전체에 악성코드를 유포할 수 있는 치명적인 수준”이라고 말했다.

지난해 3월20일 발생한 사이버테러는 SW 업데이트 과정에 해커가 개입해 대량의 PC를 악성코드에 감염된 좀비PC로 만든 수법이다. 해당 PC에 디도스(DDoS) 공격을 하거나 디스크를 손상하는 방식으로 진행됐다.

미래부는 보안 문제점이 재발하지 않도록 SW 업데이트 체계 보안 가이드라인(십계명)을 개발했다. 가이드라인에는 업데이트 설정파일 암호화, 실행파일 디지털 서명 검증, 인증서 상태 검사, 실행파일 난독화 등 10가지 지침이 포함되어 있다.

한편, 한국인터넷진흥원(KISA)은 가이드라인에서 제시하는 검증 모듈을 KISA 보호나라 홈페이지(www.boho.or.kr)에서 무료로 내려받을 수 있다.