연합뉴스

전자정부 프레임워크 취약점 990건…AI가 찾아냈다

입력 2026-07-14 11:39:34

다음 내용이 궁금하다면?

불편하시다면 뒤로 가기를 눌러주세요


인증 우회·SQL 실행 등 심각 취약점 포함


AI 보안 프로젝트 '캐노피' 300여건 패치 완료




IT 보안사고 (PG)

[강민지 제작] 일러스트


(서울=연합뉴스) 권하영 기자 = 정부와 공공기관 시스템의 토대가 되는 전자정부 표준프레임워크에서 인증 우회·파일 탈취 등 보안 취약점 990건이 발견됐다.


국내 공익 인공지능(AI) 보안 이니셔티브 '프로젝트 캐노피'는 이 가운데 300여건의 패치를 완료했다고 14일 밝혔다.


사단법인 프로젝트 플라즈마는 이날 프로젝트 캐노피의 첫 번째 분석 결과를 공개했다.


정부와 다수의 공공·민간 시스템통합(SI) 프로젝트에서 표준 베이스라인으로 쓰이는 '전자정부 표준프레임워크(eGovFrame)'를 AI 기반 자동화 취약점 분석 엔진으로 들여다본 결과다.


분석 엔진이 1차로 추출한 1천300여건의 취약점 후보 가운데 중복·오탐 항목을 걸러낸 뒤 최종 990건의 구조적 결함 및 보안 취약점이 확인됐다.


이 중 10%는 '심각(Critical)' 또는 '높음(High)' 등급으로 분류됐다.


주요 사례로는 비밀번호 없이 임의 계정으로 접속하는 '인증 우회', 일반 사용자가 서버 권한으로 데이터베이스를 조작하는 '임의 SQL 실행', 고정 암호키 노출에 따른 '임의 파일 탈취', '안전하지 않은 직접 객체 참조(IDOR/BOLA)' 등이 포함됐다.


프로젝트 캐노피 측은 이번 수치가 대규모언어모델(LLM)이 생성한 원시 데이터가 아닌, 자체 시스템 분석 엔진을 통해 오탐 가능성이 높은 항목을 선제적으로 걸러낸 정제 데이터라고 강조했다.




프로젝트 캐노피 로고



전자정부 표준프레임워크는 소스 코드를 복사해 쓰는 템플릿 구조 탓에 외부 라이브러리와 달리 선언 한 줄로 업데이트가 불가능하다.


이로 인해 공급망 파이프라인이 끊겨 일선 시스템에서 취약점이 패치되지 않은 채 장기간 방치되는 '패치 고립' 현상이 발생하기 쉽다는 지적이 나온다.


박세준 프로젝트 캐노피 위원장은 "해당 프레임워크를 기반으로 시스템을 운영 중인 기업과 기관은 이번 분석 결과를 반드시 참고해 보안 조치를 취해야 한다"며 "조치 대기 중인 잔여 취약점 정보와 기적용된 패치 정보는 캐노피 파트너 회원사에 선제 제공된다"고 밝혔다.


프로젝트 캐노피는 향후 전자정부 표준프레임워크 외에 국내외에서 널리 쓰이는 다른 오픈소스 소프트웨어 분석도 정기적으로 이어갈 계획이다.


이 이니셔티브는 AI 기반 취약점 방어를 사회 전반으로 확산하자는 취지로 지난달 17일 공식 출범했으며, 현재 36개 기업·기관이 파트너로 참여하고 있다.


kwonhy@yna.co.kr



인기상품 확인하고 계속 읽어보세요!

5

원치 않을 경우 뒤로가기를 눌러주세요.

연합뉴스 콘텐츠 더보기

해당 콘텐츠 제공사로 이동합니다.

많이 본 최근 기사

관심 많은 기사