고위험 보안 취약점은 118일, 중위험 57일·저위험 58일

“中 웹사이트 보안취약점 보수 주기 길다”

[보안뉴스 온기홍=중국 베이징] 중국에서 웹사이트에 존재하는 보안 취약점 하나가 보수되는 데는 평균 78일이 걸리는 것으로 나타났다. 중국 정보보안업체인 치후360의 360인터넷보안센터는 최근 내놓은 ‘중국 웹사이트 보안 보고’에서 지난해 중국 웹사이트에서 새로 발견된 보안 취약점 1개가 보수되는 평균 주기는 78일로 드러났다고 밝혔다.

360인터넷보안센터의 ‘360웹사이트 보안검측’ 결과, 고위험 취약점 보수 주기는 118일로 가장 길었다. 중급과 저급 위험에 해당하는 보안 취약점에 대한 평균 보수 기간은 각각 57일, 58일로 차이가 크지 않았다.

이처럼 중국에서 고위험 취약점의 보수 주기가 중급·저급 취약점보다 훨씬 긴 이유를 보면, 먼저 대다수 중급·저급 취약점들은 방화벽을 설치하면 해결할 수 있는 정도이기 때문이라고 360인터넷보안센터는 설명했다.

고위험 보안취약점의 경우, 사람이 직접 취약점 패치를 만들어야만 보수가 가능한데다 일반적으로 단순하게 방화벽을 설치하는 것만으로는 취약점을 해결하기가 매우 어려운 점도 또 다른 이유라고 360인터넷보안센터는 덧붙였다.

“中 웹사이트 보안 취약점 보수 주기 긴 편”

360인터넷보안센터는 “조사 결과를 전체적으로 볼 때, 현재 중국내 웹사이트의 보안 취약점에 대한 보수 주기는 비교적 긴 편”이라고 평가했다. 360인터넷보안센터는 그 원인으로 먼저 ‘보안 패치(보안 업데이트) 발표를 숨기는 현상’을 꼽았다. 시스템 구축·공급업체가 보안취약점에 대한 패치를 내놓는 속도 자체가 매우 느리다는 지적이다.

보안 패치를 내놓은 이후에도 공급업체는 기업 명성과 이미지에 부정적인 영향을 받게 될 것을 우려해 패치 발표 관련 정보를 늘 숨긴다는 것. 이로 인해 보안 패치 관련 다운로드 링크는 깊이 숨겨져 있으며, 웹사이트 이용자는 관련 정보를 주목하고 찾는 게 매우 힘든 실정이라고 센터는 지적했다.

둘째, 통일된 보안 패치 배포·전파 매커니즘이 없는 점도 또 다른 원인으로 꼽혔다. 중국에 국내외 시스템 구축 서비스업체는 많지만, 현재까지 통일된 보안 패치 전파 기제를 갖추지 못했다는 지적이 나오고 있다. 이 때문에 시스템 업체의 보안 패치는 윈도우(Windows) 보안 패치처럼 간단하고 빠르게 사용자에게 보내질 수 없는 상황이다.

세 번째 원인으로는 기업 사용자에게만 보안 취약점 경고를 발표하는 점이 지목됐다. 일부 시스템 구축 공급업체들은 기업 사용자에게만 취약점 경고를 발표하고 시스템 보안 패치를 배포하고 있다고 360인터넷보안센터는 지적했다. 반면 무료 이용자들에게는 경고와 보안 패치를 배포하지 않는다는 것. 이 때문에 시스템을 대량 무료로 쓰는 이용자는 즉시 빠르게 보안 패치를 할 수 없게 된다고 센터는 설명했다.

넷째, 개발자의 주문제작이 시스템 업그레이드에 영향을 끼치는 점도 하나의 원인이라고 센터는 밝혔다. 센터는 “일부 개발자는 시스템 구축 기초 위에 매우 많은 주문 제작성 개발을 진행하는데, 이 같은 개발은 반드시 보안 패치 업그레이드와 서로 맞을 수 있는 것은 아니”라고 설명했다.

센터는 이어 “일부 주문제작 정보가 비교적 많은 웹사이트의 경우, 시스템 보안 업그레이드 이후 웹사이트가 마비되거나 열 수 없는 문제가 나타난다”며 “이런 상황은 보안 취약점에 대한 즉각적인 보수를 제약하고 있다”고 덧붙였다.

이와 함께 효율적인 소통 경로가 부족하다는 점도 원인으로 지목된다. 일부 웹사이트 관리자는 보안 취약점 보수의 중요성을 인식하고 있지만, 공급업체와 효과적이고 신속한 소통 채널이 부족하다는 지적이다. 이런 상황은 시스템 내 보안 취약점의 보수를 지연시키고 있다고 센터는 지적했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>