AI 보안 연합 '프로젝트 캐노피', 전자정부 표준 프레임워크 전수 분석 결과 발표
'로그인·권한 탈취' 등 취약점 990건 무더기 발견…94건은 '심각·높음' 등급
원본 고쳐도 이미 깔린 시스템은 그대로 방치…운영기관별 긴급 패치 시급
![[서울=뉴시스]](https://img1.newsis.com/2025/12/10/NISI20251210_0002014923_web.jpg?rnd=20251210142731)
[서울=뉴시스]
[서울=뉴시스]윤정민 기자 = 국내 공공기관 홈페이지와 행정시스템을 만들 때 공통적으로 사용하는 '전자정부 표준프레임워크(eGovFrame)'에서 보안 취약점이 무더기로 발견됐다. 다른 사람의 계정으로 몰래 로그인하거나 아예 관리자 권한을 통째로 빼앗을 수 있는 결함들이다.
이 소프트웨어는 원본을 고치더라도 이미 만들어진 개별 기관 시스템에는 자동으로 반영되지 않아 전국 공공기관의 긴급 점검과 개별 보안 패치가 시급하다는 지적이 나온다.
인공지능(AI) 보안 협력체 '프로젝트 캐노피'는 전자정부 표준프레임워크가 제공하는 공통 기능을 전수 분석해 보안 취약점 990건을 발견했다고 14일 밝혔다. 이 가운데 위험도가 '심각' 또는 '높음'으로 분류된 취약점은 94건에 달했다.
전자정부 표준프레임워크는 정부와 공공기관이 정보시스템을 개발할 때 반복적으로 필요한 기술과 기능을 모아 놓은 공통 개발 기반이다. 로그인과 회원 관리, 게시판, 파일 첨부, 권한 관리 같은 기능을 매번 새로 만들지 않고 이미 마련된 소스코드를 가져다 쓰는 일종의 '공공 소프트웨어 조립 세트'다.
캐노피는 AI 기반 자동 분석 도구로 게시판·회원 관리·파일 첨부처럼 시스템에 바로 가져다 쓰는 공통 기능 묶음(컴포넌트)과 여러 서비스를 잘게 나눠 운영하는 시스템용 공통 기능을 조사했다. 처음 찾아낸 약 1300건의 의심 항목 가운데 중복되거나 실제 공격으로 이어지기 어려운 항목을 걸러 990건을 최종 취약점 후보로 정리했다.
캐노피 측은 990건 모두가 실제 운영 중인 시스템에서 곧바로 악용된다는 뜻은 아니라고 설명했다. 시스템별 설정과 코드 수정 여부에 따라 공격 가능성이 달라질 수 있고 이미 인지하거나 조치한 항목도 일부 포함됐을 수 있다.
링크 한 번 잘못 눌러도 관리자 계정 뺏길 수 있어
![[서울=뉴시스] 인공지능(AI) 보안 협력체 '프로젝트 캐노피'는 전자정부 표준프레임워크가 제공하는 공통 기능을 전수 분석해 보안 취약점 990건을 발견했다고 14일 밝혔다. 사진은 취약점별 분석 표. 2026.07.14. (사진=프로젝트 캐노피 홈페이지) *재판매 및 DB 금지](https://img1.newsis.com/2026/07/14/NISI20260714_0002186428_web.jpg?rnd=20260714143814)
[서울=뉴시스] 인공지능(AI) 보안 협력체 '프로젝트 캐노피'는 전자정부 표준프레임워크가 제공하는 공통 기능을 전수 분석해 보안 취약점 990건을 발견했다고 14일 밝혔다. 사진은 취약점별 분석 표. 2026.07.14. (사진=프로젝트 캐노피 홈페이지) *재판매 및 DB 금지
가장 많이 발견된 유형은 이용자를 속여 권한을 가로채는 '사이트 간 요청 위조(CSRF)' 취약점. 총 512건에 달했다. 시스템 관리자가 로그인한 상태에서 해커가 보낸 악성 링크를 누르면, 인터넷 브라우저에 남아 있는 로그인 정보를 악용해 관리자도 모르게 계정을 새로 만들거나 정보를 바꾸는 수법이다. 캐노피는 관련 취약점의 85%가 단순한 링크 클릭만으로도 뚫릴 수 있다고 경고했다.
인터넷 주소창에 적힌 이용자 번호나 파일 번호의 숫자 몇 개만 바꾸면 다른 사람의 직원 정보와 첨부파일을 마음대로 열람하고 지울 수 있는 권한 관리 취약점도 218건이나 발견됐다. 심지어 일반 이용자가 자신의 등급을 관리자로 셀프 승격시킬 수 있는 황당한 취약점도 있었다고 캐노트 측은 밝혔다.
대표적인 고위험 사례로는 비밀번호 없이 다른 사람 계정으로 접속할 수 있는 인증 우회 취약점이 제시됐다. 로그인 과정에서 서버가 비밀번호를 정상적으로 확인하지 않고 이용자가 보낸 요청값만으로 로그인 상태를 만들어주는 문제로 관리자 계정이 탈취되면 개인정보 열람·수정은 물론 시스템 통제권까지 빼앗길 수 있다. 캐노피가 이를 유지보수팀에 알린 뒤 해당 기능은 삭제됐다.
더 큰 문제는 취약점이 발견된 이후의 대책이다. 전자정부 표준프레임워크의 부품들은 개발 당시 소스코드를 복사해 각 기관 시스템에 그대로 붙여넣는 방식으로 쓰인다. 이 때문에 원본 코드가 수정돼도 이미 구축된 기관 시스템은 자동으로 바뀌지 않는다.
취약점 제보 30건 중 23건 수정…960건 추가 전달
![[서울=뉴시스] 프로젝트 캐노피 CI. 2026.06.17. (사진=티오리 제공) *재판매 및 DB 금지](https://img1.newsis.com/2026/06/17/NISI20260617_0002162696_web.jpg?rnd=20260617090106)
[서울=뉴시스] 프로젝트 캐노피 CI. 2026.06.17. (사진=티오리 제공) *재판매 및 DB 금지
캐노피는 전자정부 표준프레임워크 유지보수팀에 취약점을 전달하고 수정 작업도 지원했다. 우선 제보한 30건 가운데 23건이 최신 개발 버전에서 고쳐졌다.
캐노피는 1차 분석 이후 자동 검증 체계를 보강해 960건의 취약점 후보도 추가 전달했다. AI가 짧은 시간에 대량의 취약점을 찾아낼 수 있게 됐지만 실제 공격 가능성을 확인하고 수정 우선순위를 정한 뒤 현장 시스템까지 패치를 전달하려면 사람과 기관 간 협력이 필요하다는 설명이다.
박세준 캐노피 위원장은 "현재 해당 프레임워크를 기반으로 시스템을 운영 중인 기업과 기관이라면 이번 분석 결과를 반드시 참고하고 보안 조치를 취해야 한다"며 "취약점을 탐지하는 기술은 AI 도입으로 인간의 한계를 넘어섰지만 이를 실질적으로 검증하고 패치를 전파해 안전한 생태계를 만드는 것은 결국 유기적인 협업 플랫폼의 몫"이라고 말했다.
![[서울=뉴시스] 사단법인 프로젝트 플라즈마는 인공지능(AI) 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 '프로젝트 캐노피'를 17일 출범했다. 2026.06.18. (사진=티오리 제공) *재판매 및 DB 금지](https://img1.newsis.com/2026/06/17/NISI20260617_0002163682_web.jpg?rnd=20260617235225)
[서울=뉴시스] 사단법인 프로젝트 플라즈마는 인공지능(AI) 기반 취약점 방어를 사회 전반으로 확산하기 위한 공익 이니셔티브 '프로젝트 캐노피'를 17일 출범했다. 2026.06.18. (사진=티오리 제공) *재판매 및 DB 금지
한편 캐노피는 사단법인 '프로젝트 플라즈마'가 출범한 AI 기반 취약점 방어 공익 이니셔티브다. 고성능 AI 모델과 보안 도구로 오픈소스, 공공 소프트웨어, 학교·병원 등 공익성이 높은 인프라의 취약점을 점검하고 발견된 취약점을 실제 패치와 적용까지 이어지도록 지원한다.
현재 두나무, LG유플러스, 포스코DX, 티오리한국, 한화손해보험 등 5개사가 핵심 운영 주체인 '스튜어드'로 참여하고 있다. 광운대, 금융결제원, 롯데카드, 롯데이노베이트, 무신사, 삼성화재, SK AX, LG전자, NHN, 우아한형제들, 정보통신기획평가원(IITP), 현대자동차그룹, 현대카드 등도 파트너로 이름을 올렸다. 출범 당시 27곳이던 참여 기업·기관은 현재 36곳으로 늘었다.
◎공감언론 뉴시스 [email protected]
