프로젝트 캐노피, 전자정부 표준프레임워크 취약점 990건 분석 결과 공개

반응형

2026.07.15 - [IT 소식 뉴스/IT 소식] - 전자정부 표준프레임워크 5.0, Spring 6와 Jakarta 전환 핵심

 

전자정부 표준프레임워크 5.0, Spring 6와 Jakarta 전환 핵심

전자정부 표준프레임워크 5.0, Spring 6와 Jakarta 전환 핵심 전자정부 표준프레임워크 5.0은 단순한 라이브러리 버전 업데이트가 아니다. JDK 17, Spring Framework 6.2 계열과 Jakarta 기반 기술 스택을 적용하

one-day-growth.com

 

공익 AI 보안 이니셔티브 프로젝트 캐노피가 전자정부 표준프레임워크를 대상으로 수행한 보안 분석 결과를 공개했다. AI 기반 자동 분석으로 탐지한 약 1,300건의 후보 가운데 오탐 가능성이 높은 항목을 걸러내고, 구조적 결함과 보안 취약점 990건을 최종 식별했다는 내용이다.

식별 항목 중 약 10%는 심각 또는 높음 등급으로 분류됐으며, 프로젝트 캐노피와 유관 기관은 검증과 패치 작업을 순차적으로 진행하고 있다. 전자정부 표준프레임워크 기반 시스템을 운영하는 기관과 기업은 적용 버전과 사용 컴포넌트를 확인하고 관련 패치 반영 여부를 점검할 필요가 있다.

핵심 내용

프로젝트 캐노피는 전자정부 표준프레임워크의 기존 모놀리식 컴포넌트와 신규 MSA용 공공 컴포넌트를 분석했다. 최종 식별된 취약점은 990건이며, 인증 우회와 임의 SQL 실행, 암호키 노출, IDOR·BOLA 유형의 권한 검증 문제 등이 주요 사례로 제시됐다.

전자정부 표준프레임워크에서 990건 취약점 식별

프로젝트 캐노피는 사단법인 프로젝트 플라즈마가 안전하고 지속 가능한 오픈소스 소프트웨어 생태계 구축을 목표로 출범한 공익 보안 이니셔티브다. 첫 번째 분석 대상으로 국내 공공 및 민간 시스템 통합 프로젝트에 널리 활용되는 전자정부 표준프레임워크를 선정했다.

분석 범위에는 기존 모놀리식 구조의 공공 컴포넌트와 신규 MSA 환경을 위한 컴포넌트가 포함됐다. AI 기반 자동화 취약점 분석 엔진으로 약 1,300건의 후보를 탐지한 뒤 별도의 정제 시스템을 적용해 오탐 가능성이 높은 항목을 제외했다.

정제 이후 시스템 오류나 권한 상승으로 이어질 수 있는 구조적 결함과 보안 취약점 990건이 최종 식별됐다. 프로젝트 캐노피 측은 자동 탐지 결과를 그대로 공개한 것이 아니라 실무 검토에 활용할 수 있도록 신뢰도를 높이는 정제 과정을 거쳤다고 설명했다.

주요 취약점 유형과 예상되는 보안 영향

공개된 내용에 따르면 전체 식별 항목의 약 10%는 심각 또는 높음 등급에 해당한다. 주요 사례는 인증과 권한 검증, 데이터베이스 접근, 암호키 관리 영역에 집중돼 있다.

```
취약점 유형 주요 내용 예상 영향
인증 우회 비밀번호 검증 없이 임의 계정으로 접근할 가능성 계정 탈취, 비인가 기능 접근
임의 SQL 실행 일반 사용자가 서버 권한으로 데이터베이스 명령을 실행할 가능성 데이터 조회·변조·삭제 위험
고정 암호키 노출 소스 코드 또는 설정에 고정된 암호키가 포함된 구조 보호 파일이나 민감 정보 탈취 가능성
IDOR·BOLA 객체 식별자 변경만으로 다른 사용자 자원에 접근할 가능성 권한 상승, 타 사용자 데이터 접근

개별 시스템의 실제 영향은 적용된 전자정부 표준프레임워크 버전과 컴포넌트, 사용자 인증 구조, 외부 노출 범위에 따라 달라질 수 있다. 따라서 공개된 취약점 수만으로 개별 서비스의 침해 여부를 단정하기보다 사용 코드와 패치 상태를 함께 확인해야 한다.

```

복제형 컴포넌트 구조에서 발생하는 패치 고립 문제

전자정부 표준프레임워크의 공공 컴포넌트는 필요한 소스 코드를 프로젝트에 복사해 사용하는 형태가 많다. 중앙 라이브러리만 갱신하면 모든 시스템에 변경 사항이 반영되는 구조와 달리, 복제된 코드는 각 프로젝트에서 별도로 수정하고 배포해야 한다.

이 구조에서는 원본 컴포넌트에 보안 패치가 제공되더라도 이미 구축된 시스템에 자동으로 반영되지 않을 수 있다. 같은 취약한 코드가 여러 공공기관과 민간 서비스에 남아 있는 패치 고립 현상이 발생하기 쉬운 이유다.

단일 컴포넌트의 결함이 다양한 시스템에 복제돼 있다면 개별 시스템의 문제가 아니라 공통 공급망 위험으로 확대될 수 있다. 프레임워크 운영 주체의 수정만으로 끝나는 것이 아니라 해당 코드를 가져다 사용한 각 기관과 개발·운영 사업자의 후속 조치가 필요하다.

AI 자동 탐지 이후 검증과 패치가 중요한 이유

프로젝트 캐노피는 AI 기술을 활용해 대규모 소스 코드에서 취약점 후보를 빠르게 찾는 데 초점을 맞췄다. 다만 자동 분석으로 탐지된 항목은 실제 취약 여부와 악용 가능성, 서비스 영향 범위를 사람이 다시 검증해야 한다.

탐지 속도가 빨라질수록 분석가 검증과 수정 코드 작성, 회귀 테스트, 패치 배포 과정이 새로운 병목이 될 수 있다. 프로젝트 캐노피가 현재 집중하는 부분도 자동 탐지 이후의 검증과 패치 처리 속도를 높이는 협업 구조다.

유관 기관들은 공식 제보된 취약점을 순차적으로 수정해 최신 소프트웨어 버전에 반영하고 있다. 조치 대기 중인 잔여 취약점 정보와 적용된 패치 정보는 프로젝트 캐노피 파트너 회원사에 우선 제공되는 것으로 전해졌다.

전자정부 표준프레임워크 사용 기관의 점검 항목

전자정부 표준프레임워크 기반 시스템을 운영하는 기관과 기업은 단순히 프레임워크 버전만 확인해서는 부족하다. 실제 프로젝트에 복사된 공공 컴포넌트와 이후 자체 수정된 코드까지 함께 살펴봐야 한다.

```
  • 현재 운영 중인 전자정부 표준프레임워크 버전과 적용 컴포넌트를 식별한다.
  • 모놀리식 또는 MSA 공공 컴포넌트의 소스 코드 복제 여부를 확인한다.
  • 인증, 권한 검증, SQL 실행, 파일 처리, 암호키 관리 영역을 우선 점검한다.
  • 최신 배포 버전과 현재 운영 코드의 변경 사항을 비교한다.
  • 공식 패치가 제공된 항목은 영향 분석과 회귀 테스트 후 반영한다.
  • 직접 수정한 코드가 향후 프레임워크 업데이트 과정에서 누락되지 않도록 변경 이력을 관리한다.

주의할 점

취약점 정보가 공개됐다는 이유만으로 운영 시스템에 임의 수정 사항을 바로 적용하면 기능 오류나 호환성 문제가 발생할 수 있다. 운영 반영 전에는 적용 버전, 컴포넌트 사용 여부, 수정 범위와 서비스 영향을 확인하고 테스트 환경에서 검증해야 한다.

```

오픈소스 보안 분석 대상으로 확대 예정

프로젝트 캐노피는 전자정부 표준프레임워크 분석을 시작으로 국내외에서 널리 사용되는 주요 오픈소스 소프트웨어에 대한 보안 분석을 정기적으로 수행할 계획이다.

박세준 프로젝트 캐노피 위원장은 취약점 탐지 기술의 발전에 맞춰 검증과 패치를 신속하게 배포할 수 있는 협업 플랫폼을 구축하겠다는 방향을 밝혔다. 앞으로는 취약점 탐지 건수뿐 아니라 실제 패치 반영 속도와 기존 구축 시스템까지 수정 사항을 전달하는 체계가 중요한 평가 기준이 될 것으로 보인다.

반응형