July 15, 2026
AI가 전자정부 표준 SW 결함 990건 찾았다…숫자보다 중요한 것
정부와 공공기관의 정보시스템 개발에 널리 사용되는 전자정부 표준프레임워크(eGovFrame)에서 990건의 보안 결함이 발견됐다는 분석 결과가 나왔다.

By MinSoon Park
3 min read
공익 보안 이니셔티브 '프로젝트 캐노피'가 AI(Artificial Intelligence, 인공지능) 기반 자동 분석 엔진으로 전자정부 표준프레임워크의 공통 컴포넌트를 검사한 결과다.
1,300여 건 탐지 후 990건으로 정제
캐노피 측 설명에 따르면 분석 엔진은 처음에 1,300여 건을 탐지했다. 이후 중복 항목과 잘못 탐지한 결과를 걸러내 990건을 실제 보안 결함으로 분류했다.
이 가운데 약 10%는 '심각(Critical)' 또는 '높음(High)' 등급으로 평가됐다. 주요 유형은 다음과 같다.
- 인증 절차를 건너뛰는 인증 우회
- 서버 권한으로 명령을 수행하는 임의 SQL 실행
- 암호키 노출을 통한 파일 접근
- 일반 사용자의 관리자 권한 획득
- 접근 권한 체계의 무단 변경
현재까지 약 300건은 수정됐으며, 나머지 항목도 사람이 직접 검증하고 패치에 반영하는 작업이 진행 중이라고 한다. 동아일보 기사
왜 파급력이 큰가
전자정부 표준프레임워크는 개발자가 재사용할 수 있는 공통 기능과 개발 기반을 제공한다. 공식 GitHub에는 253개의 재사용 가능 공통 기능을 제공하는 저장소도 공개돼 있다. eGovFrame 공식 GitHub
문제는 일부 공통 컴포넌트가 중앙에서 자동 업데이트되는 서비스가 아니라, 개발자가 소스코드를 복사해 시스템에 포함하는 형태로 사용된다는 점이다.
원본에서 취약점이 수정되더라도 이미 구축된 기관 시스템의 복사본에는 과거 코드가 그대로 남을 수 있다. 따라서 패치 발표만으로 모든 사용 시스템이 자동으로 안전해지는 것은 아니다.
'AI가 찾았다'보다 중요한 부분
이번 결과는 LLM(Large Language Model, 대규모 언어 모델)이 만들어낸 답변을 그대로 취약점으로 발표한 것이 아니다. 자동 분석으로 후보를 넓게 찾은 뒤 중복과 오탐을 제거하고 사람이 검증하는 구조다.
AI는 사람이 일일이 살피기 어려운 대규모 코드를 빠르게 좁혀주는 역할을 맡고, 최종 위험성·공격 가능성·패치 적합성은 보안 전문가가 확인하는 방식이다.
이는 AI 보안 분석의 현실적인 활용 모델인 **'대량 탐색은 AI, 최종 판단은 사람'**을 보여준다.
990건 모두가 모든 시스템에 존재하는 것은 아니다
'990건 발견'을 곧바로 '전자정부 시스템 990곳이 해킹 가능하다'는 의미로 해석하면 안 된다.
실제 영향은 각 기관이 사용한 컴포넌트와 버전, 수정 여부, 외부 노출 상태, 해당 코드의 실행 경로에 따라 달라진다. 또한 현재 공개 자료에서는 전체 결함 목록, 재현 코드, CVE(Common Vulnerabilities and Exposures, 공개 취약점 식별체계) 번호를 확인하기 어렵다.
따라서 990건은 현재로서는 프로젝트 캐노피가 검증했다고 발표한 보안 결함 수로 표현하는 것이 정확하다. 전자정부 표준프레임워크 공식 포털에도 전체 990건에 관한 별도 보안 공지는 아직 확인되지 않는다. eGovFrame 공식 포털
운영기관이 확인할 사항
- 사용 중인 공통 컴포넌트와 복사 시점, 버전을 목록화한다.
- 최신 원본 코드와 기관 내부 복사본의 차이를 비교한다.
- 인증 우회·SQL 실행·암호키 노출·권한 상승 항목을 우선 점검한다.
- 패치 후 SAST(Static Application Security Testing, 정적 애플리케이션 보안시험)와 DAST(Dynamic Application Security Testing, 동적 애플리케이션 보안시험)를 함께 수행한다.
- 패치가 실제 운영 시스템까지 배포됐는지 추적한다.
이번 발표의 핵심은 AI가 990이라는 숫자를 만들었다는 데 있지 않다. 널리 복제된 공통 코드를 누가 지속적으로 점검하고, 수정 사항을 실제 운영 시스템까지 어떻게 전달할 것인가가 더 중요한 문제다.
#전자정부 #eGovFrame #AI보안 #사이버보안 #취약점관리 #공공정보시스템 #SecureCoding