SK쉴더스, '일렉트론' 애플리케이션 취약점 연구 보고서 공개

SK쉴더스의 EQST(Experts, Qualified Security Team, 이큐스트)는 랜섬웨어를 비롯해 모의해킹, 웹모바일 보안 취약점, 공격패턴 등 침해 위협을 분석, 연구하며 지능형 보안 위협에 선제적으로 대응하고 있는 국내 최대 규모의 화이트해커그룹이다. 이번 보고서에서는 일렉트론의 기초이론과 취약점 분석, 버그바운티 사례 등을 소개했다. 올해 SK쉴더스 EQST에서는 10여 건의 제로데이(zero-day) 취약점을 제보한 바 있다.

일렉트론은 개발자들 사이에서 널리 활용되고 있는 소프트웨어 도구다. 비교적 진입장벽이 낮은 웹 개발 프로그래밍 언어를 기반으로 윈도우, 맥 등 다양한 운영체제에서 사용할 수 있는 데스크톱 애플리케이션 개발 시 사용된다. 스카이프(Skype), 노션(Notion), 워드프레스(WordPress), 슬랙(Slack), 디스코드(Discord) 등 잘 알려진 다수의 애플리케이션도 일렉트론으로 제작됐다.

일렉트론 애플리케이션은 기본적인 웹 해킹 공격에 비해 단순 취약점이 RCE(원격명령실행)까지 연결될 가능성이 커 위험성이 높다. 특히, 취약한 버전의 일렉트론을 사용하는 소프트웨어가 배포, 사용되고 있어 보안 위협에 노출돼 있는 상황이다.