"C·C++ 프로그램 보안 취약"…美 CISA, 기업 내 SW 보안 악습 3가지 제시 작성일 11-05 162 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">핵심 SW 정보 노출·지원 종료 SW 사용·부족한 보안 절차…"안전한 디지털 환경 조성 추진"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FPnM2o5rpi"> <p dmcf-pid="3wSsjT6FFJ" dmcf-ptype="general">(지디넷코리아=남혁우 기자)<span>미국 사이버 보안 및 인프라 보안국(CISA)이 사이버위협에 대한 방지를 위해 기업에서 반드시 피해야 할 보안의 악습(Bad Practices)에 대한 지침을 발표했다.</span></p> <p dmcf-pid="0oDNerqyud" dmcf-ptype="general">이 가이드라인은 중요한 인프라를 지원하는 시스템과 서비스의 보안 취약성을 줄이고 안전한 디지털 환경을 조성하는 데 중점을 두고 있다. 특히 C와 C++ 기반으로 작성된 중요 소프트웨어(SW)의 경우 2026년까지 메모리안전언어로 전환할 것을 강하게 권고했다.</p> <p dmcf-pid="pxoefatsue" dmcf-ptype="general">5일 더뉴스택 등 외신에 따르면 CISA는 '제품 보안의 나쁜 관행(Product Security Bad Practices)'이라는 보안 지침을 발표했다.</p> <figure class="figure_frm origin_fig" dmcf-pid="Up975VsdpR" dmcf-ptype="figure"> <p class="link_figure"><img alt="미국 사이버보안 및 인프라 보안국(CISA)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202411/05/ZDNetKorea/20241105094506492oewd.png" data-org-width="640" dmcf-mid="thSsjT6F3n" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202411/05/ZDNetKorea/20241105094506492oewd.png" width="658"></p> <figcaption class="txt_caption default_figure"> 미국 사이버보안 및 인프라 보안국(CISA) </figcaption> </figure> <p dmcf-pid="uAOELC2X0M" dmcf-ptype="general">CISA는 사이버 공격이 점차 정교해지고 빈번해지면서 금융, 의료, 공공 안전 등 주요 산업 분야에 대한 공격으로 인한 피해를 사전에 방지하기 위해 이번 지침을 마련했다. 해당 지침은 시스템 보호를 비롯해 기업 평판과 고객 데이터 보호를 위한 기준 제시를 목표로 한다.</p> <p dmcf-pid="7WFHh0g2zx" dmcf-ptype="general">CISA는 보안 취약점을 초래하는 대표적인 악습으로 제품 속성 정보 노출, 지원 종료된 제품 사용, 부족한 보안 절차 등 세 가지를 강조했다:</p> <p dmcf-pid="zIq0GbDx0Q" dmcf-ptype="general">지침에 따르면 많은 기업에서 SW의 버전과 디버깅 정보, 개발 환경 세부사항 등 민감한 속성 정보를 노출하는 경우가 있다. 이러한 정보는 공격자에게 제품의 내부 구조나 잠재적 취약점을 노출시키며 이를 악용해 시스템을 침해할 수 있는 근거가 된다.</p> <p dmcf-pid="qte6BJGkFP" dmcf-ptype="general">특히 CISA는 C와 C++로 작성된 프로그램의 경우 지속적으로 발생하는 메모리 버그 등으로 인해 보안 취약점이 발생하기 쉬운 점을 지적하며 메모리 안전성이 높은 언어로 전환하거나 메모리 안전 로드맵을 구성할 것을 권했다.</p> <p dmcf-pid="BJTIcWQ0p6" dmcf-ptype="general">메모리 안전 로드맵은 메모리 오류로 인한 보안 취약점을 줄이고 코드의 안정성과 신뢰성을 높이기 위한 전략과 계획을 말한다.</p> <p dmcf-pid="bv2z1fOJ78" dmcf-ptype="general">기술 지원이 종료된 SW는 더 이상 보안 업데이트가 제공되지 않으므로 외부에 노출된 보안 취약점에 대한 대비가 이뤄지지 못한다. 해커 등 외부 공격자들이 이런 부분을 노려 시스템에 침투할 가능성이 높은 만큼 항상 SW 제품은 최신 버전을 유지하거나 보안 패치를 최대한 빠르게 적용해야 한다.</p> <p dmcf-pid="KOz3YBEQp4" dmcf-ptype="general">많은 기업에서 설치 시 제공되는 사용자명과 비밀번호를 변경하지 않고 그대로 사용할 수 있는 것으로 알려졌다. 이는 사이버공격에 쉽게 노출될 수 있는 위험 요소로 시스템 설치와 함께 변경해 보안을 강화해야 한다.</p> <p dmcf-pid="9CBpHKwMzf" dmcf-ptype="general">CISA는 중요한 정보가 포함된 시스템의 경우 최신 암호화 표준을 적용해 데이터를 보호해야 하며 구식 암호화 알고리즘은 지양할 것을 권했다. 이와 함께 중요 인프라나 서비스의 경우 생체인증 등 다중 요소 인증(MFA)을 적용해 안전하게 시스템을 보호할 수 있는 환경을 마련해야 한다고 조언했다.</p> <p dmcf-pid="28mciOKGUV" dmcf-ptype="general">CISA 측은 "주요 기업들이 2026년 초까지 사이버위협에 대한 대비 계획을 마련해야 한다"며 "일찍 준비할수록 중요한 SW 자산을 보장하기 위해 더울 나은 수단을 찾을 수 있는 시간을 더 많이 확보할 수 있다"고 강조했다.</p> <p dmcf-pid="VxCwglf5U2" dmcf-ptype="general">남혁우 기자(firstblood@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 LG U+, 임직원·고객과 함께 하는 ‘2024 U+ESG Fair’ 개최 11-05 다음 LG유플러스, 임직원·고객과 함께 '2024 U+ESG 페어' 개최 11-05 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.