전체기사 최신뉴스 GAM 라씨로
KYD 디데이
산업 전기·전자

속보

더보기

SK쉴더스 '일렉트론 애플리케이션 취약점 연구 보고서' 발간

기사입력 : 2024년10월21일 09:37

최종수정 : 2024년10월21일 09:37

일렉트론 기초이론, 취약점 분석, 버그바운티 사례 등 담은 연구 보고서 공개

[서울=뉴스핌] 김정인 기자 = SK쉴더스의 화이트해커그룹 EQST가 일렉트론(Electron) 애플리케이션 취약점 연구 보고서를 발표했다고 21일 밝혔다. 

SK쉴더스의 EQST는 랜섬웨어를 비롯해 모의해킹, 웹·모바일 보안 취약점, 공격패턴 등 침해 위협을 분석, 연구하며 지능형 보안 위협에 선제적으로 대응하고 있는 국내 최대 규모의 화이트해커그룹이다. EQST는 이번 보고서에서 일렉트론의 기초이론과 취약점 분석, 버그바운티 사례 등을 상세히 소개했다. 

올해 SK쉴더스 EQST에서는 10여 건의 제로데이(zero-day) 취약점을 제보한 바 있다. 제로데이는 보안 취약점이 발견된 후 보안 패치가 이뤄지기 전에 악용되는 공격 기법이다. 

SK쉴더스의 화이트해커그룹 EQST가 발표한 'Desktop-Application(Electron) 취약점 연구 보고서'의 표지. [사진=SK쉴더스]

일렉트론은 개발자들 사이에서 널리 활용되고 있는 소프트웨어 도구다. 비교적 진입장벽이 낮은 웹 개발 프로그래밍 언어를 기반으로 윈도우, 맥 등 다양한 운영체제에서 사용할 수 있는 데스크톱 애플리케이션 개발 시 사용된다. 스카이프(Skype), 노션(Notion), 워드프레스(Wordpress), 슬랙(Slack), 디스코드(Discord) 등 잘 알려진 다수의 애플리케이션도 일렉트론으로 제작됐다.

일렉트론 애플리케이션은 기본적인 웹 해킹 공격에 비해 단순 취약점이 원격명령실행(RCE)까지 연결될 가능성이 커 위험성이 높다. 특히 취약한 버전의 일렉트론을 사용하는 소프트웨어가 배포, 사용되고 있어 보안 위협에 노출돼 있는 상황이다. 

이에 SK쉴더스는 보안 설정 미흡과 Chrome 원격 디버깅 악용 등 총 5가지의 주요 일렉트론 애플리케이션 공격 기법을 소개하며 주의를 당부했다. 특히 기존 일렉트론 애플리케이션에서 발견된 실제 취약점도 예시로 들어 익스플로잇 기법을 단계별로 설명했다.

또한 ▲대상 선정 및 정보 수집 ▲보안 옵션 확인 ▲버전 업데이트 여부 확인 ▲익스플로잇의 흐름으로 진행되는 버그바운티를 소개했다. 이후 SK쉴더스에서 발견한 일렉트론 애플리케이션 CVE취약점과 버그바운티 사례를 설명했다.

SK쉴더스는 빠르게 변화하는 IT 신기술에 대응해 ▲클라우드 ▲IoT 등 폭넓은 분야의 정보보안 가이드를 외부에 무료로 제공하고 있다. 일렉트론 애플리케이션 취약점 연구 보고서 외에도 AI 거대언어모델(LLM) 가이드를 연내 추가로 공개할 예정이다.

김병무 SK쉴더스 정보보안사업부장(부사장)은 "SK쉴더스는 지속적으로 전문 보고서 발간을 통해 정보보안 지식 공유와 취약점 개선에 앞장서는 ESG 활동을 강화해 나갈 것"이라며 "보안에 취약한 중소기업은 물론 사회 전반에 안전한 디지털 환경을 구축하기 위한 다양한 방안을 모색하겠다"고 말했다.

kji01@newspim.com

CES 2025 참관단 모집

[뉴스핌 베스트 기사]

사진
고려아연, 2.5조 유증에 하한가 [서울=뉴스핌] 송기욱 기자 = 연일 상승하던 고려아연 주가가 유상증자 결정 이후 급락해 하한가를 기록했다. 30일 한국거래소에 따르면 고려아연은 오후 12시 기준 전 거래일 대비 46만2000원(-29.94%) 하락한 108만1000원에 거래 중이다. [서울=뉴스핌] 이호형 기자 = 고려아연 최윤범 회장이 30일 오전 서울 종로구 본사에서 긴급 이사회를 연 가운데 경영권 방어를 위한 대책을 논의했다. 긴급 이사회가 비공개로 진행된 고려아연 본사 그랑서울 타워1. 2024.10.30 leemario@newspim.com 최근 6거래일 연속 급등세를 이어오던 고려아연 주가는 이날 오전 고려아연의 긴급이사회 개최 소식에 3.69% 하락 시작했다. 이후 고려아연이 유상증자를 결정하자 주가는 급락했다. 고려아연은 이날 이사회에서 보통주 373만2650주에 대한 유상증자를 결정했다. 1주당 모집 가액은 67만원으로, 공개매수로 취득한 소각대상 자기주식을 제외한 발행주식 수의 20%에 해당하는 규모다. 업계 관계자는 "이사회가 결정한 2조5000억 규모 유상증자는 그동안 최윤범 회장이 공개매수를 하겠다며 금융기관으로부터 차입한 금액과 유사한 규모"라며 "결국 투자자들의 자금으로 차입금을 갚고 우리 사주에 지분을 넘김으로서 경영권을 확보하려는 전략"이라고 지적했다. 그러면서 "이는 투자자들에게 매우 큰 손실을 일으킬 수 있어 주가 폭락에도 영향을 미친 것"이라고 부연했다. oneway@newspim.com 2024-10-30 12:20
사진
러, 대규모 핵 훈련…육해공 핵 전력 총동원 [서울=뉴스핌]박공식 기자 = 북한군의 우크라이나 전선 파병을 계기로 서방 국가와의 긴장이 고조되고 있는 가운데 러시아가 29일(현지시간) 대규모 핵 훈련을 실시했다. 훈련을 직접 참관한 블라디미르 푸틴 러시아 대통령이 "지정학적 긴장이 높아지고 외부 위협과 위험성이 대두해 전략군의 대비 태세가 중요하다"며 훈련 사실을 발표했다고 로이터통신이 전했다.  안드레이 벨로소우프 러시아 국방장관은 푸틴 대통령에게 훈련이 "적의 핵 타격에 대응한 전략군의 대규모 핵 타격 훈련"이라고 보고했다. 푸틴 대통령은 핵무기 사용은 "극도로 예외적인 수단"이라고 말하고 "우리는 새로운 군비 경쟁을 하지 않고 필요한 수준의 핵 전략을 유지할 것"이라고 덧붙였다. 이어 "러시아가 발사 준비 시간을 줄이고 미사일 방어망을 뚫는 새로운 고정 및 이동 미사일 시스템으로 전환하고 있다"고 덧붙였다. 훈련에는 지상, 해상, 공중 발사 핵미사일 전체가 동원됐다. 러시아 국방부에 따르면 러시아 북서부 플레세츠크 우주기지에서 발사된 야르스 대륙간탄도미사일(ICBM)이 극동의 캄차카 반도의 쿠라 기지의 목표물을 명중시켰다. 바렌츠해와 오호츠크해의 핵잠수함에서 시네바 및 불라바 탄도미사일이 발사되고 전략 폭격기 TU-95MS가 순항 미사일을 발사했다. 러시아는 지난 18일에도 모스크바 북서부 티베르 지역에서 야르스 ICBM을 갖춘 지상군 부대가 참가한 훈련을 실시했다.   북한군의 우크라이나전 참전을 이유로 미국과 동맹국이 우크라이나에 장거리미사일로 러시아 영내 깊숙이 타격하는 것을 허용할지 모른다는 관측이 나오고 있다. 이번 훈련은 미국과 동맹국에 대한 강력한 경고 메시지로 해석된다. 러시아는 지난달 핵무기 사용 지침을 변경해 핵무기 보유국이 지원하는 공격은 재래식 무기를 사용하더라도 합동 공격으로 간주해 핵무기를 사용할 수 있는 길을 열었다. 이는 우크라이나가 미국이 제공한 재래 무기로 러시아 영토를 공격하는 것을 미국이 허용하지 말라는 경고로 해석됐다. 푸틴 대통령은 우크라이나전에서 승리하기 위해 우크라이나에서 핵무기를 사용할 필요는 없다는 입장을 견지해왔다. 러시아는 세계 최대의 핵 강국이다. 전 세계 핵탄두의 88%를 러시아와 미국이 보유하고 있다. 야르스 대륙간탄도미사일이 29일 러시아 북부 플레츠크 기지에서 발사되고 있다. [사진=로이터 뉴스핌] kongsikpark@newspim.com 2024-10-30 13:21
안다쇼핑
Top으로 이동