|
이번 보고서에서 일렉트론의 기초이론과 취약점 분석, 버그바운티 사례 등을 상세히 소개했다. 올해 SK쉴더스 EQST에서는 10여 건의 제로데이(zero-day) 취약점을 제보한 바 있다.
일렉트론은 비교적 진입장벽이 낮은 웹 개발 프로그래밍 언어를 기반으로 윈도, 맥 등 운영체제(OS)에서 사용할 수 있는 데스크톱 애플리케이션 개발 시 사용된다. 스카이프나 노션, 워드프레스, 슬랙, 디스코드 등의 애플리케이션도 일렉트론으로 제작됐다.
일렉트론 애플리케이션은 기본적인 웹 해킹 공격에 비해 단순 취약점이 원격명령실행(RCE)까지 연결될 가능성이 크다. 특히 취약한 버전의 일렉트론을 사용하는 소프트웨어가 배포, 사용되고 있어 보안 위협에 노출돼 있는 상황이다.
이에 EQST는 보안 설정 미흡과 크롬 원격 디버깅(오류 수정 작업) 악용 등 총 5가지의 주요 일렉트론 애플리케이션 공격 기법을 소개하며 주의를 당부했다. 기존 일렉트론 애플리케이션에서 발견된 실제 취약점도 예시로 들어 익스플로잇 기법을 단계별로 설명했다.
SK쉴더스는 빠르게 변화하는 정보기술(IT)에 대응해 클라우드, 사물인터넷(IoT) 등 분야의 정보보안 가이드를 외부에 무료로 제공하고 있다. 일렉트론 애플리케이션 취약점 연구 보고서 외에도 인공지능(AI) 거대언어모델(LLM) 가이드를 연내 추가로 공개할 예정이다.
김병무 SK쉴더스 정보보안사업부장(부사장)은 “지속적으로 전문 보고서 발간을 통해 정보보안 지식 공유와 취약점 개선에 앞장서는 환경·사회·투명경영(ESG) 활동을 강화해 나갈 것”이라며 “보안에 취약한 중소기업은 물론 사회 전반에 안전한 디지털 환경을 구축하기 위한 다양한 방안을 모색하겠다 ”고 말했다.
