취약점 상위 25개 목록 공개...SQL 인젝션이 가장 위험

[보안뉴스 호애진] 미 국토안보부는 해킹을 사전에 막기 위해 소프트웨어에 존재하는 여러 취약점을 제거할 수 있도록 상세한 내용을 담은 지침을 27일(현지시각) 발표했다. 이는 사이버 보안을 위해 민·관 부문이 공동으로 협력해 이뤄진 성과다.

국토안보부 소속의 국가 사이버보안부(NCSD, National Cyber Security Division)는 애플이나 오라클과 같은 수많은 기업과 테크놀로지 분야 비영리 조직인 Mitre, 정보보호 전문 교육기관인 SANS와 함께 협력해 3년에 걸친 노력끝에 지침을 만들었다고 밝혔다.

이들은 소프트웨어 취약점 목록(CWE, Common Weakness Enumeration)을 작성했으며 취약점의 심각도를 평가하고 우선 순위를 매기는 평점 시스템과 위험 분석 프레임워크를 개발한 한편, 가장 위험한 취약점 상위 25개 목록을 공개했다.

CWE는 보안 관련 버그를 수록하는 표준적인 사전이라 할 수 있다. 현재 사용되고 있는 소프트웨어 취약점에 관한 용어는 테크놀러지 기업이나 보안 기업마다 다르기 때문에 이 목록이 표준어 역할을 하면서 용어 통일에 유용하게 쓰일 수 있다.

취약점 상위 25개 목록에는 취약점에 대한 상세한 분석과 이를 통해 발생할 수 있는 공격과 그 사례, 소프트웨어 개발 공정 단계별 공격 완화책이 담겨 있다. 이를 통해 소프트웨어 개발자들은 취약점을 각각 비교할 수 있으며 향후 보안 대책을 세우는데 우선순위를 정할 수 있다.

취약점 목록이 공개된 것이 처음은 아니다. 하지만 데이터를 총 집약, 취약점들을 상세히 분석해 그 이전 버전에 비해 유용성이 상당히 높아졌다는 평가를 받고 있다.

목록 중 수위를 차지한 것은 SQL 인젝션으로, 익스플로잇하는 것이 쉽고 이를 이용한 공격의 빈도가 높다는 점에서 가장 심각한 취약점이다. 또 다른 상위 취약점으로는 운영 시스템 커맨드 인젝션, 버퍼 오버플로우, 교차사이트 스크립팅(XSS) 취약점 등이 있다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>