마이크로소프트, 시만텍, 미(美) 국가안보국 등 30개 이상의 단체가 함께 가장 위험한 프로그래밍 에러 탑 25를 선정했다.

전 세계 사이버 보안 단체의 전문가들이 공동으로 이른바 ‘가장 위험한 프로그래밍 에러’ 리스트를 발표했다. 미(美) 국토안보부 국가 사이버 보안부가 지원한 취약점 리포트에 따르면 중간시장 업체들은 여전히 해커들로부터 IT 인프라스트럭처를 보호하기 위해 충분한 주의를 기울이지 않고 있는 것으로 나타났다.

외신 보도에 따르면 SANS와 미트리(MITRE Corp.)가 주관한 프로젝트 ‘에러 탑 25(The Top 25 Errors)’는 보안 버그로 이어지며 사이버 스파이 행위 및 사이버 범죄를 가능케 하는 프로그래밍 에러를 선정해 벤더들이 소프트웨어가 판매되거나 설치되기 전에 에러를 제거하고자 하는 목적으로 진행됐다.

이 보고서는 프로그래밍 에러를 크게 세 부분으로 나눠 ‘구성의 불안전한 상호작용’, ‘위험한 리소스 관리’와 관련한 각각 9개의 에러들과 사용자 보안 확인과 인증 절차에서의 취약점에 대한 솔루션을 제시하는 ‘포러스 디펜스(Porous Defenses)’에 관한 7개의 에러를 꼽고 있다.

이번 조사의 공동 주관 단체인 SANS는 이 보고서가 취약점을 생성하는 개발자들에 의한 실제 프로그래밍 에러에 초점을 맞췄다며 실질적인 도움을 제공할 수 있을 것으로 자신했다. SANS 소장 메이슨 브라운(Mason Brown)은 “이제 (프로그래밍 에러들을) 수정할 때가 왔다”며 “우선, 모든 프로그래머들이 에러 탑 25에서 벗어난 코드를 작성하는 법을 알아야만 하며, 모든 프로그래밍 팀은 문제를 발견하고 수정, 또는 피할 수 있는 프로세스를 갖추고 이러한 에러들로부터 벗어난 그들의 코드를 인증하기 위한 툴을 갖춰야만 한다”고 밝혔다.

보다 자세한 내용은 SANS 홈페이지 http://www.sans.org/top25errors/에서 확인할 수 있다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>