[보안뉴스 김정완] SANS 한국 파트너인 아이티엘(대표 진수희)은 지난 2011년 6월 29일에 미국 MITRE 및 SANS 연구소에서 발표한 ‘2011 CWE/SANS Top 25 가장 위험한 소프트웨어 에러’를 번역하고 한글판을 출시했다.

2011년판 상위 25대 항목은 2010년 판을 업데이트 하면서 전 세계 20개가 넘는 다양한 조직에서 각 취약점에 대해 취약점 확산정도, 중요도 및 악용 가능성을 기준으로 평가한 의견을 토대로 CWSS(Common Weakness Scoring System)을 이용해 우선순위가 정해졌다.

각 25개 취약점에는 취약점 확산 정도, 해킹 시 입게 될 피해 결과, 취약점 수정 비용, 탐지 용이성, 공격 빈도 및 취약점을 악용할 수 있는 공격자의 지식수준까지 망라하고 있어 소프트웨어 개발자들 및 회사에서 손쉽게 이용할 수 있도록 구성하고 있다. 그리고 각 취약점 별로 설계 및 구현단계에서 취약점 제거할 수 있는 상세한 설명까지 포함되었다.

이번 2011년 판에서도 OWASP 탑 10 목록과 유사하게 SQL 인젝션과 운영체제 명령어 인젝션이 각각 93.8 및 83.3으로 제일 취약성이 높으며, 이 취약점은 발견된 지 10년이 넘었지만, 여전히 가장 많이 공격에 활용되고 위험도가 높은 것으로 나타났다.

그리고 2011년 판에서 아래 4개의 취약점이 새롭게 포함되었다.

[11] 73.1 CWE-250 불필요한 권한으로 실행하는 것

[18] 64.6 CWE-676 잠재적으로 위험한 함수를 사용하는 것

[23] 61.0 CWE-134 형식 문자열(Format String)을 통제하지 않는 것

[25] 59.9 CWE-759 솔트(salt) 없이 일방향 해쉬를 사용하는 것

SANS 코리아는 본 문서를 프로그래머, 기업 CIO, 소프트웨어 시험자 등 다양한 전문가들이 활용할 수 있도록 구성이 되어 있으므로, 국내 소프트웨어 개발 및 발주 시 활용할 수 있다고 밝혔다.

또한 오는 11월 7일부터 12일까지 6일간 서울 코엑스에서 SANS의 최신 해킹기법(SEC504) 및 웹 응용 침투시험(SEC542) 과정을 미국 최고의 강사진과 함께 진행한다. 자세한 사항은 홈페이지(http://www.sans.or.kr/)에서 확인 할 수 있다.

한편 ‘2011 CWE/SANS Top 25 가장 위험한 소프트웨어 에러’ 한글판은 SANS 코리아 홈페이지(www.sans.or.kr) 및 보안뉴스 컨텐츠 자료실(http://www.boannews.com/security_contents/info/view.asp?idx=543&page=1&code=01012&view=&search=&searchstring=)에서 다운로드 받을 수 있다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>