오픈뉴스백과
세계의 오늘한국의 오늘라이브둘러보기뉴스ONP 브리핑
뉴스로 배우기커뮤니티회사학술과학정부용어사전피드 제보내 편향
...

오픈뉴스백과

집단지성 기반 뉴스 검증 플랫폼. 다양한 시각으로 뉴스를 이해합니다.

서비스

세계의 오늘한국의 오늘라이브뉴스정부과학학술용어사전소개

법적 고지

개인정보처리방침이용약관콘텐츠 이용 안내

문의

문의하기

본 플랫폼에서 제공하는 뉴스 콘텐츠의 저작권은 각 언론사에 있으며, 무단 복제 및 배포를 금지합니다.

RSS 피드를 통해 수집된 콘텐츠는 각 원저작자의 라이선스 조건을 따릅니다. 오픈 라이선스(CC-BY 등) 콘텐츠는 해당 라이선스에 따라 출처를 표기합니다.

오픈뉴스백과는 뉴스 집계 및 검증 플랫폼으로, 개별 기사의 내용에 대한 책임은 해당 언론사에 있습니다.

이용자가 작성한 피드백, 팩트체크, 독자 제보 등의 콘텐츠에 대한 책임은 해당 작성자에게 있습니다.

콘텐츠 제거·정정이 필요하시면 문의하기에 남겨 주세요.

© 2026 오픈뉴스백과 (OpenNewsPedia). All rights reserved.

뉴스 목록
미디어 커버리지1건1개 미디어
ZDNet Korea
IT/기술
중도 성향

캐노피 "전자정부 표준프레임워크서 치명적 취약점 990건 발견"

ZDNet Korea
캐노피 "전자정부 표준프레임워크서 치명적 취약점 990건 발견"

[지디넷코리아]‘프로젝트 캐노피(Project Canopy)’의 첫 번째 분석 결과물이 공개됐다.

‘전자정부 표준프레임워크(eGovFRAME)’를 분석한 결과, 시스템에 치명적인 오류나 권한 상승 등을 유발할 수 있는 구조적 결함 및 보안 취약점 990건을 최종 식별했다고 밝혔다.'캐노피'는 사단법인 프로젝트 플라즈마가 안전하고 지속 가능한 글로벌 오픈소스 소프트웨어 생태계를 구축하기 위해 출범한 공익 AI 보안 이니셔티브다.14일 '캐노피'는 첫 번째 프로젝트 대상으로 대한민국 정부 및 수많은 공공·민간 시스템 통합(SI) 프로젝트에서 표준 베이스라인으로 활용 중인 ‘전자정부 표준프레임워크(eGovFRAME)’를 선정, 분석했다.

프레임워크가 배포하는 공통 컴포넌트(기존 모놀리식 및 신규 MSA용 공통 컴포넌트 전체)를 대상으로 AI기반 자동화 취약점 분석 엔진을 가동했다.1차 탐지한 1300여 건의 취약점 후보군 중 고도화된 정제 시스템을 거쳐 중복 및 오탐을 엄격하게 필터링한 결과, 시스템에 치명적인 오류나 권한 상승 등을 유발할 수 있는 구조적 결함 및 보안 취약점 990건을 최종 식별했다.특히 최종 식별된 취약점 중 10%가 ‘심각(Critical)’ 또는 ‘높음(High)’ 등급에 해당해 사용자들의 각별한 주의가 요구된다고 밝혔다.주요 사례는 비밀번호 없이 임의의 계정으로 접속할 수 있는 ‘인증 우회’, 일반 사용자가 서버 권한으로 데이터베이스를 조작할 수 있는 ‘임의 SQL 실행’, 고정 암호키 노출에 따른 ‘임의 파일 탈취’, 권한 상승 공격이 가능한 ‘안전하지 않은 직접 객체 참조(IDOR/BOLA)’ 등이 포함됐다.전자정부 표준프레임워크는 외부 라이브러리처럼 한 줄 선언으로 업데이트가 불가능하고, 소스 코드를 복사해 사용하는 ‘템플릿 형태’의 구조적 특성을 지녔다.

이로 인해 공급망 파이프라인이 단절돼 일선 시스템에는 취약점이 패치되지 않은 채 장기간 방치되는 ‘패치 고립’ 현상이 발생하기 쉽다.

프레임워크의 복제된 코드가 수많은 다운스트림 시스템에 넓게 퍼져 있는 만큼, 내부 취약점 하나가 단일 사이트 문제를 넘어 국가 공공·민간 서비스 전반의 잠재적 위협으로 직결될 수 있다고 '캐노피'는 지적했다.특히 '캐노피'는 이번에 집계한 수치가 일반적인 거대언어모델(LLM)이 생성한 가공되지 않은 날 것 그대로의 결과물이 아니라는 점을 강조했다.

고도화된 자체 시스템 분석 엔진을 거쳐 오탐(False Positive) 가능성이 높은 항목을 시스템 차원에서 선제적으로 걸러낸 ‘정제 데이터’라는 설명이다.사람이 수개월을 매달려도 다 보지 못할 방대한 코드에서, 오직 시스템분석 만으로 악용 가능한 수많은 보안 취약점 후보를 찾아낸 것이다.

최소한 취약점을 탐지하는 단계만큼은 AI 분석 기술이 인간에 비해 압도적인 우위를 점하는 시대가 왔음을 증명했다.캐노피는 “탐지 자동화는 성공했으나 이제 진짜 과제는 다음 단계에 있다”며 “이 방대한 취약점 후보군을 누가 꼼꼼히 선별(Triage)하고, 또 어떻게 고칠 것인가에 대한 답을 찾는 것이 프로젝트 캐노피의 궁극적인 목적”이라고 덧붙였다.

AI 기반 자동화 엔진이 쏟아낸 방대한 탐지 물량을 인적 자원이 검증하는 '대기열 병목 현상' 속에서도, 관련 기관들은 공식 제보된 취약점을 적극 패치하며 최신 브랜치에 반영하고 있다.박세준 프로젝트 캐노피 위원장은 “현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업 및 기관이라면 이번 분석 결과를 반드시 참고하고 보안 조치를 취해야 한다”며 “현재 조치 대기 중인 잔여 취약점 정보와 기적용된 구체적인 패치 정보는 ‘프로젝트 캐노피 파트너’ 회원사에는 선제 제공된다”고 밝혔다.캐노피 파트너십에 가입한 기업·기관은 자사 시스템 공급망의 위협을 선제적으로 인지하고 방어할 수 있는 특전을 얻는다.

아울러 '캐노피'는 전자정부 표준프레임워크 외에 글로벌 시장 및 국내외 환경에서 널리 쓰이는 또 다른 오픈소스 소프트웨어 분석을 정기적으로 이어갈 방침이다.박위원장은 “보안 취약점을 탐지하는 기술은 이미 AI의 도입으로 인간의 한계를 넘어섰지만, 이를 실질적으로 검증하고 패치를 전파해 안전한 생태계를 만드는 것은 결국 유기적인 협업 플랫폼의 몫”이라며 “취약점 탐지를 넘어 공공 소프트웨어 공급망의 안전지대를 구축하는 프로젝트 캐노피의 여정에 많은 기업과 연구자 여러분의 적극적인 관심과 파트너십 참여를 기대한다”고 전했다.'캐노피'의 첫 번째 분석 결과와 파트너 가입 및 스튜어드 신청에 대한 자세한 내용은 프로젝트 캐노피 공식 웹사이트(https://project-canopy.com/)에서 확인할 수 있다.한편 프로젝트 캐노피(Project Canopy)는 AI 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브로 지난 6월 17일 공식 출범했다.

AI 기반 취약점 탐지 분석 엔진을 활용해 주요 오픈소스, 프레임워크, 그리고 공익 목적의 민생 인프라 등을 전수 조사하고, 숨겨진 잠재적 보안 취약점을 선제적으로 탐지한다.단순히 결함을 발견하는 기술적 성과를 넘어, 탐지된 방대한 취약점 후보군을 정밀 검증(Triage)하고 패치를 일선 운영 시스템까지 안전하게 전파할 수 있는 지속 가능한 생태계를 구축하는 것을 목표로 한다.

특히 보안 여력이 부족한 병원, 학교, 공공 유틸리티 등 민생 인프라 전반의 확산을 지향한다.

현재 36개 기업, 기관들이 파트너로 참여해 활동하고 있다. ...

전문 보기

이 뉴스, 어떠셨어요?

탭 한 번으로 반응 · 로그인 불필요

관련 뉴스

관련 뉴스 제보는 로그인 후 가능합니다.

'tech' 카테고리 뉴스

LGD, 이달 말 6세대 TFT 설비 투자 심의…신기술 생산라인 확보 차원

전자신문

재경부 "디지털자산기본법 하반기 추진"…원구성 '변수'

ZDNet Korea

‘몰카안경‘ 논란 메타 AI 글래스, 이통3사도 판다는데

ZDNet Korea

ZDNet Korea의 다른 기사

현대차·폭스바겐·GM '노조 리스크' 확산…완성차 생존 변수로

ZDNet Korea

고법, 김범석 쿠팡 총수 지정 효력 일시정지…"회복 어려운 손해날 수도"

ZDNet Korea

라면 다음 주자는…K푸드 수출 다변화 ‘숙제’

ZDNet Korea

피드백

피드백을 남기려면 로그인해 주세요.