베라코드 조사 결과 : 의료건강 업계와 정부기관 최하점

다행히 애플리케이션 보안에 대한 인식 자체는 늘어나

[보안뉴스 문가용] 의료업계 조직과 정부 기관이 계속해서 애플리케이션 보안에 실패하고 있다는 의견이 제기됐다. 경우에 따라 공개된 취약점의 73%가 어떠한 조치도 없이 그대로 방치되고 있다는 것. 그래도 희망이 있다면 그 외 다른 산업에서 소프트웨어에 있는 취약점을 줄이려는 노력이 점점 가속화되고 있기 때문이다. 전부 베라코드(Veracode)가 발간한 ‘소프트웨어 보안의 상태에 대한 보고서’에 있는 내용이다.

“타깃, 소니, 인사관리처, 우체국 등 굵직한 유출사고가 연이어 발생하고 있기 때문에 정보 보안이란 것을 아예 포기하고 싶기도 하고, 실제로 어떤 산업에서 나타난 수치를 보자면 정말로 포기한 건 아닐까 하는 생각이 들기도 합니다.” 베라코드의 CTO이자 CISO인 크리스 와이소팔(Chris Wysopal)의 설명이다. “그러나 보고서 결과에 반영되었듯 아직 포기할 때는 아닙니다. 실제로 취약점을 고치고자 노력했을 때 엄청난 성과가 있었거든요. 하면 할 수 있다는 게 통계적으로 증명됐습니다.”

연이은 정부기관 해킹 사건으로, 이미 그 어떤 산업보다 정부조직의 보안성이 가장 떨어진다는 건 이미 널리 알려졌고, 이번 조사결과 역시 그것을 그대로 반영한다. 예를 들어 OWASP의 컴플라이언스 실험을 한 번에 통과하는 정부용 애플리케이션은 24%에 불과한 것으로 나타났는데, 이는 금융업계의 절반 수준이다. 또한 첫 번째 단계의 평가에서 발견된 취약점을 두 번째 단계 전까지 수정하는 경우가 정부 애플리케이션은 27%, 생산업계가 81%, 금융업계가 67%였다.

성적이 초라하기는 의료건강 산업도 마찬가지였다. 알려진 취약점을 해결하는 업체나 기관은 전체 의료건강 산업에서 43%에 불과했다. 하지만 최악의 성적을 낸 분야는 암호화 및 알고리즘과 관련된 쪽이었다. 의료건강 산업에서 사용하는 애플리케이션 중 무려 80%가 해당 분야에서 심각한 문제가 있는 것으로 조사된 것.

전 산업 공통으로 드러난 문제도 있었다. 소프트웨어 공급망이 취약하다는 것이었다. 외주업체가 제작하는 소프트웨어 중 75%가 OWASP이 제시하는 최고순위 10개의 컴플라이언스를 첫 단계에서 통과하지 못했다. 이는 지난 주 소나타입(Sonatype)이 조사해 발표한 연구결과와  일맥상통한다. 1만개가 넘는 조직에서 사용하는 외주업체 애플리케이션 및 오픈소스 요소들을 분석한 결과 취약점이 어마어마하다는 내용이었는데, 그중 59%는 아예 픽스 시도조차 되지 않고 있다고 했었다.

그나마 다행인 건 애플리케이션 보안 문제가 인지되기 시작했다는 것이고, 아직 속도가 느리긴 하지만 이에 대한 조치를 취하는 경우가 점점 늘어나고 있다는 것이라고 베라코드는 밝혔다. “발견된 취약점이 실제로 수정되는 비율이 2006년의 60%에 비해 10% 포인트나 늘어난 70%였습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>