지난해 ‘고위험’ 보안취약점 17% 차지

[보안뉴스 온기홍=중국 베이징] 지난 한해 중국의 웹사이트 10개 가운데 약 4개에서 보안취약점이 존재한 것으로 나타났다. 이 가운데 ‘고위험’급 보안취약점은 17%을 차지했다. 지난해 중국에서 보안취약점과 고위험급 취약점이 탐지된 웹사이트 수는 한해 전에 비해 크게 줄어든 것으로 밝혀졌다. 중국 정보보안업체인 치후360의 360인터넷보안센터는 최근 내놓은 ‘2014 중국 웹사이트 보안 보고’에서 이 같이 밝혔다.

中 2014년 웹사이트 취약점 상황

치후360은 지난해(1월~11월 30일) 자체 ‘360 웹사이트 보안 검측 플랫폼’을 통해 2013년 91만 2,000개보다 80% 늘어난 164만 2,000여개의 각종 웹사이트를 조사했다. 그 결과, 보안취약점이 있는 것으로 확인된 웹사이트는 61만 7,000개로 전체의 37.6%에 달했다. 이중 ‘고위험’급 보안취약점이 존재한 웹사이트는 27만 9,000개로 17%를 차지했다.

지난해 월별 상황을 보면, 고위험 취약점이 존재한 웹사이트의 수량은 비교적 고른 편이었다. 월별로 적게는 5만 2,000개에서 최고 6만 6,000개에 달했다. 지난해 10월은 고위험의 취약점이 탐지된 웹사이트 수가 6만 6,000개로 가장 많았다. 가장 적은 달은 3만 6,000개를 기록한 11월이었다. 보안취약점을 가진 웹사이트가 6만개를 넘은 때는 3월, 6월, 10월이었다. 

치후360의 360인터넷보안센터는 탐지한 웹사이트 보안취약점을 고급 위험, 중급 위험, 저급 위험 등 3개 등급으로 나눴다. 등급별 보안취약점의 비중을 보면, 세 등급이 점유율을 비슷하게 나눠 가졌다. 지난해 고위험 취약점의 비율은 33.8%, 중위험은 32.6%, 저위험은 33.5%를 각각 기록했다.

360인터넷보안센터는 “고위험 취약점은 해커가 서버의 통제 권한을 손에 넣을 수 있고 웹사이트를 마구 바꿀 수 있는 단계이며, 중급 위험은 해커가 웹사이트에 침입해 변조할 수 있는 상황”이라고 설명했다. 저위험의 경우, 스캐닝 행위가 이어지고 웹사이트에 해를 끼칠 수 있는 수준이다.

지난해 중국 웹사이트에서 탐지된 보안취약점을 살펴보면, ‘웹사이트 스크립트 공격 취약점’이 취약점 3개 중 1개꼴로 가장 많았다. 고위험에 속하는 이 취약점은 지난해 1~11월 중 연 414만회에 걸쳐 탐지됐다.

이어 저위험에 속하는 ‘SQL 주입 취약점’이 연 178만여 회 발견돼 두 번째로 많은 비중(14.5%)를 차지했다. 이들 1, 2위의 점유율은 전체의 절반에 가까웠다. 3위는 중급 위험인 ‘웹페이지의 국소적 경로 이상 초래 취약점’으로 연 114만여 회 탐지됐고, 9.31%의 점유율을 보였다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]  

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>