SK쉴더스는 자사 화이트해커그룹 'EQST'가 '일렉트론 애플리케이션' 취약점 연구 보고서를 발간했다고 21일 밝혔다.

EQST는 SK쉴더스 화이트해커그룹으로 올해 10건의 제로데이(보안 취약점 발견 후 보안 패치가 이뤄지기 전에 악용하는 공격 기법) 취약점을 제보한 바 있다.

일렉트론은 개발자들 사이에서 널리 활용되고 있는 소프트웨어다. 진입장벽이 낮은 웹 개발 프로그래밍 언어를 기반으로 데스크톱 애플리케이션 개발에 사용된다. 스카이프, 노션, 워드프레스, 슬랙, 디스코드 등이 일렉트론으로 제작됐다.

SK쉴더스는 보고서에 보안 설정 미흡과 Chrome 원격 디버깅 악용 등 5가지의 주요 공격 기법을 소개했다. 특히 기존 일렉트론 애플리케이션에서 발견된 실제 취약점을 예시로 들며 익스플로잇(취약점을 악용해 비정상적인 동작을 유발하거나 권한을 획득하는 행위) 기법을 단계별로 설명했다.

또한 대상 선정 및 정보 수집-보안 옵션 확인-버전 업데이트 여부 확인-익스플로잇의 흐름으로 진행되는 버그바운티를 소개했다. SK쉴더스에서 발견한 일렉트론 애플리케이션 CVE취약점과 버그바운티 사례도 담았다.

김병무 SK쉴더스 정보보안사업부장은 "SK쉴더스는 지속적으로 전문 보고서 발간을 통해 정보보안 지식을 공유하고 취약점 개선에 앞장서는 ESG 활동을 강화할 것"이라며 "사회 전반에 안전한 디지털 환경을 구축하기 위한 다양한 방안을 모색하겠다"고 말했다.

[신아일보] 임종성 기자

임종성 기자 다른기사 보기