L사 해킹사태로 드러난 CVE 취약점 관리의 민낯… “CVE취약점 관리체계 강화 시급” 작성일 09-09 17 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="U1dk6ZVZTs"> <p contents-hash="60d921b91c95da0cc4e18d836c6f07a9eddced5c2165a35758f09bf383cc2895" dmcf-pid="utJEP5f5Wm" dmcf-ptype="general">최근 L사에서 발생한 해킹 사건은 단순히 개인 정보 유출을 넘어, 기업의 보안 시스템 관리 부실이 얼마나 심각한 결과를 초래할 수 있는지 여실히 보여주는 사례이다. 특히, 이번 해킹이 오래전에 공지됐던 CVE취약점을 통해 이루어졌다는 사실은 기업이 그동안 CVE취약점에 대해 얼마나 등한시했는지를 적나라하게 보여주는 충격적인 사실이다.<br><br> CVE(Common Vulnerabilities and Exposures)는 IT자산의 보안 취약점에 고유 번호를 부여하여 관리하는 시스템인데, 이번 해킹사건은 2017년에 발생한 오라클웹로직(Oracle Weblogic) WAS의 CVE취약점(CVE-2017-10271)을 이용하여 공격했다는 점에서 이미 2017년에 공개되어 패치까지 배포되었는데, 8년이 지난 지금도 L사는 IT자산에 오라클웹로직 CVE취약점이 있는지도 몰랐고, 당연히 해당 취약점이 패치도 되지 않은 채 방치되어 있었다는 점에서 상당히 충격적이다.<br><br> 금번 L사의 해킹사태는 그동안 국내 기업이 해커의 주요표적이 되는 CVE취약점 관리는 등한시하고, 보여 주기식의 보안 투자에 헛심을 썼다는 시사한다. 심각한 CVE취약점은 발견 즉시 패치를 적용하여 공격 경로를 차단하는 것이 가장 기본적인 보안 수칙이다. 그러나 L사는 이 기본적인 수칙조차 제대로 지키지 못한듯하다. 이는 △최신 CVE 보안 취약점 정보에 대한 무관심, △정기적인 CVE 보안 취약점 점검 및 패치 관리 프로세스 부재, △그리고 CVE취약점 관리에 대한 보안 실무자 및 CISO(Chief Information Security Officer: 최고정보보안책임자)의 중요성 인식 부족 등 여러가지 복합적인 문제에서 비롯된 문제로 보인다.<br><br> CVE취약점은 한 번 패치했다고 해서 영원히 안전한 것은 아니다. 새로운 CVE취약점은 끊임없이 발견되고 있으며, 공격자들은 이러한 CVE취약점을 악용하여 시스템을 침투한다. 따라서 지속적이고 체계적인 CVE취약점 관리는 더 이상 선택이 아닌 필수라고 할 수 있으며, 효과적인 CVE취약점 관리를 위해서는 다음과 같이 방법으로 선제적으로 대응해야 한다.<br><br> △정기적인 CVE취약점 점검: 시스템 전반에 걸쳐 최신 CVE취약점 여부를 정기적으로 점검하고, 발견된 취약점은 즉시 패치 △전문적인 CVE취약점 관리 솔루션 적용: 전문적인 CVE취약점 관리 솔루션을 내부 시스템에 적용할 수 있는 방안을 모색 △보안 실무자 및 CISO의 CVE 취약점 중요성 인식 제고: 금번 해킹 사태나 지난번 S사 해킹사태에서 나타난 것처럼 해커의 실제 표적이 되는 CVE취약점에 대한 관리가 중요하다는 인식을 제고.<br><br> </p> <figure class="figure_frm origin_fig" contents-hash="0c07f8866dd24333ea4f68dac61a39b472bc4d5276706630e33fe2290b7fffcd" dmcf-pid="7FiDQ141Tr" dmcf-ptype="figure"> <p class="link_figure"><img alt="NIST에서 발표한 오라클웹로직 CVE취약점 (CVE-2017-10271)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/09/dt/20250909091226076hxpl.jpg" data-org-width="640" dmcf-mid="p8fiqlUlCO" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/09/dt/20250909091226076hxpl.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> NIST에서 발표한 오라클웹로직 CVE취약점 (CVE-2017-10271) </figcaption> </figure> <p contents-hash="178b33dfa83dc6b1fc8cf2eb1ab5e21d0480b6d94dc9a831aac2e0aa8a29b9be" dmcf-pid="z3nwxt8tSw" dmcf-ptype="general"><br> CVE 취약점 세계1위의 보안 기업 테너블(Tenable)사의 한국 총판인 ㈜롤텍의 이중원 부사장은 “이번 L사의 해킹 사건은 기술적으로 복잡하거나 새로운 기법을 사용한 것이 아니고, 8년 전에 이미 알려진 CVE 취약점을 패치하지 않고 방치하여, 공격자에게 손쉬운 침입 경로를 제공하여 발생한 것으로 이번 사건은 L사뿐만 아니라 대부분의 기업들이 그동안소홀히 했던 CVE취약점관리가 얼마나 중요한지 보여줬다며, 이제는 전문적인 CVE취약점 솔루션을 통해 보안 위협에 대비해야 한다”라고 말한다.<br><br> 정래연 기자 fodus0202@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 KT 소액결제 피해 확산…서울YMCA "정부·KT, 즉각 대응하라" 09-09 다음 '55세' 이승진, 생애 첫 프로당구 우승… "인생 가장 행복한 날" 09-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
!['쉬는부부' 검진표 이후 합방 성공?..."각방 끊어볼게 안아줄게"[종합]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718005204995wmju.jpg)
!["애아빠, 아동수당으로 도박+폭력까지" 절박한 심정으로 SOS [고딩엄빠3]](https://t1.daumcdn.net/news/202307/18/mydaily/20230718004505971gzch.jpg)
!['장백지 스캔들' 사정봉, 10년 만에 아들과 함께 있는 모습 포착 [룩@차이나]](https://t1.daumcdn.net/news/202307/18/tvreport/20230718004034360pmkk.jpg)
![‘결혼지옥’ 사막부부 아내 “빚에 예물까지 팔아.. 남편, 분유 비싸니 모유 수유하라고”[종합]](https://t1.daumcdn.net/news/202307/18/poctan/20230718003031923dkkf.jpg)
![추자현♥ 우효광, ‘동상이몽2’ 4년 만 컴백... ‘6살 子’ 육아 일상 공개 [종합]](https://t1.daumcdn.net/news/202307/18/startoday/20230718002705384wudc.jpg)
![비비 '볼하트에 동그란 토끼 눈'[엑's HD포토]](https://mimgnews.pstatic.net/image/311/2023/07/18/0001617342_001_20230718180303538.jpg?type=w540)
![[포토]소연, 매력만점 하트](https://ssl.pstatic.net/mimgnews/image/112/2023/07/21/202307211149393697310_20230721115005_01_20230721115103586.jpg?type=w540)