
사단법인 프로젝트 플라즈마는 공익 인공지능(AI) 보안 이니셔티브 '프로젝트 캐노피'가 전자정부 표준프레임워크(eGovFrame)를 분석해 보안 취약점 990건을 식별해 제보했다고 14일 밝혔다.
eGovFrame는 정부, 공공기관, 민간 시스템통합(SI) 업체들이 웹서비스를 개발할 때 널리 사용하는 공개 프레임워크다.
프로젝트 캐노피는 인공지능(AI) 기반 자동화 취약점 분석 엔진을 통해 해당 프레임워크가 배포하는 공통 컴포넌트를 분석했다.
AI가 탐지한 취약점 후보 1300건 중 중복·오탐을 필터링해 확인된 구조적 결함 및 보안 취약점 990건이다. 이 중 '심각(Critical)' 또는 '높음(High)' 등급으로 분류된 취약점은 94건으로 나타났다.
주요 취약점은 △인증 우회 △임의 SQL 실행을 통한 데이터 탈취 △임의 파일 탈취 △안전하지 않은 직접 객체 참조(IDOR/BOLA) △출력 인코딩 부재(Stored XSS) 등이다.
eGovFrame 유지보수팀은 제보를 기반으로 최신 버전에 23건의 패치를 완료했다.
프로젝트 캐노피도 취약점 탐지·제보에 그치지 않고 299개 취약점 패치를 만들어 제출했다.
박세준 프로젝트 캐노피 위원장은 “현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업·기관이라면 반드시 보안 조치를 취해야 한다”며 “현재 조치 대기 중인 잔여 취약점 정보와 기적용된 구체적인 패치 정보는 '프로젝트 캐노피 파트너' 회원사에는 선제 제공된다”고 말했다.
박진형 기자 jin@etnews.com