[디지털데일리 최민지기자] 최근 미국 3대 신용정보기관인 에퀴팩스(Equifax)에서 1억4300만명 이상의 대규모 개인신용정보가 유출됐다. 이번 보안침해 사건의 원인으로 밝혀진 보안취약점(CVE-2017-5638)을 포함한 아파치 스트럿츠(Apache Struts)를 이용한 오픈소스 소프트웨어 개발이 국내에서도 이뤄져 왔던 것으로 확인됐다.

지난 7일 에퀴팩스는 해커들이 올해 5월부터 7월까지 아파치 스트럿츠의 보안 취약점을 이용해 사회보장번호, 운전면허 번호, 신용카드번호 등의 대규모 개인정보를 해킹했다고 알렸다. 이번 해킹으로 미국 성인인구의 절반 이상이 영향을 받은 것으로 파악됐다. 탈취된 데이터는 은행 계좌 탈취, 신용 도용 등 심각한 경제적 피해를 입힐 수 있는 범죄에 악용될 수 있어 우려가 커지고 있다.

이번 해킹에 이용된 아파치 스트럿츠 CVE-2017-5638 취약점은 이미 지난 3월6일에 발표됐지만, 에퀴팩스는 패치를 적용하지 않아 해킹에 당하게 됐다. 에퀴팩스가 아파치 스트럿츠 보안 취약점을 방치해 대규모 개인정보 침해를 초래했다는 사실이 밝혀짐에 따라, 지난 13일 미국 연방거래위원회(FTC)가 에퀴팩스를 대상으로 공식 수사에 돌입하는 등 관련 파장이 커지고 있다. 현재 미국 내에서 에퀴팩스를 대상으로 700억달러(한화 79조원)에 해당하는 집단 소송이 진행 중이다.

아파치 스트럿츠는 자바 기반 웹 애플리케이션 개발에 광범위하게 사용되는 오픈소스 프레임워크로, 개발자중심의 인더스트리 분석 회사인 레드몽크(RedMonk)의 분석가 핀탄 라이언에 따르면 포춘(Fortune) 100대 기업 중 65%는 이 프레임워크를 사용해 애플리케이션을 개발했을 것으로 추정된다.

국내에서도 아파치 스트럿츠를 다수의 개발자들이 사용해 온 것으로 알려져, 보안업계관계자들이 국내 데이터 유출사고의 발생 가능성을 경고하고 있다.

손장군 엔시큐어 이사는, “국내에서도 해당 보안 취약점과 관련된 데이터 유출사건이 일어날 수 있다”며 “기업보안에 타격을 줄 수 있는 새로운 보안취약점은 매년 계속 등장하고 있지만 국내 기업들의 대응은 주먹구구식이 대부분이며, 심지어 어떤 오픈소스가 리스크를 포함하고 있는지 모르는 경우가 많다”고 우려했다.

김택완 블랙덕소프트웨어코리아 대표는 “아파치 스트럿츠는 수많은 조직에서 사용하고 있으며, 관련 보안 위협을 악용할 경우 전문적인 해킹 지식이 없이도 쉽게 해킹할 수 있다”며 “해킹이 수월한 것에 비해서 이미 개발된 소프트웨어의 아파치 스트럿츠 보안취약점 확인은 쉽지 않기 때문에 자동화된 툴을 통해 보안취약점을 탐지하고 애플리케이션을 보호해야 한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr