보안전문업체 하우리의 최상명 CERT실장이 집계한 3대 소프트웨어에 대한 지난 10년간의 ‘신규 취약점 등장 현황’을 살펴보면 몇 가지 주목할 만한 사실을 발견할 수 있다.

MS 오피스 신규 취약점, 2006년 이후 감소세
집계가 시작된 지난 2006년 MS 오피스는 플래시와 자바에 비해 신규 취약점이 많았던 것으로 집계됐으며, 2008년과 2010년 크게 증가한 이후부터는 신규 취약점이 점차 줄어든 것으로 나타났다. 다만, 2014년 이후부터는 소폭 증가하는 추세로 돌아선 것으로 드러났다.

자바, 2011년부터 2013년까지 급증세...이후 급감
그럼 자바는 어땠을까? 자바의 경우 2006년부터 꾸준하게 증가하다가 2011년부터 2013년까지 2년간 급증했다. 정점을 찍은 2013년의 경우는 한해 동안 발견된 신규 취약점이 180개에 달한 것으로 조사됐다. 다행스럽게도 2013년 이후에는 급격한 감소세를 나타내고 있지만, 아직까지 MS 오피스보다는 많은 신규취약점이 발견되고 있다.  
 
플래시, 지난해부터 올해 상반기까지 가파른 상승세 
마지막으로 플래시 플레이어 신규 취약점의 경우 최근 큰 골칫거리가 되고 있다. 2006년엔 3대 소프트웨어 취약점 가운데 가장 적은 수의 신규 취약점이 발견됐다. 그러나 2009년 크게 증가한 이후, 2013년도부터 2015년까지 가파른 상승세를 나타냈다. 특히, 플래시 신규 취약점은 이탈리아 해킹팀 이슈로 터진 이후,  급격히 증가했으며 신규 취약점을 악용한 공격사례도 잇따라 발견됐다.

한국인터넷진흥원에서 발표한 ‘월간 악성코드 은닉사이트 탐지 동향 보고서(7월)’에 따르면 플래시 플레이어 취약점을 악용한 유형이 37%로 가장 높게 나타났으며, 이어 자바 애플릿(Java Applet) 취약점, MS OLE(Object Linking and Embedding: MS사가 개발한 오브젝트 시스템 및 프로토콜) 취약점, MS 실버라이트(Silverlight) 취약점 순으로 집계됐다.

이와 관련 하우리 최상명 CERT 실장은 “자바는 2014년 보안강화 조치 이후 취약점이 급격히 줄었으며, MS 오피스도 보안 중심의 개발정책으로 취약점 감소세가 이어지고 있다”며 “그러나 플래시의 경우 2014년부터 취약점이 급증하고 있어 문제가 커지고 있다”고 말했다. 

게다가 최근에는 아마존과 애플 등 글로벌 IT 기업들이 플래시 퇴치 운동에 동참하는 등 기업에서도 플래시 사용을 점점 꺼려하는 분위기다. 이로 인해 어도비에서도 플래시의 신규 취약점 패치에 주력하는 등 보안 강화에 적극 나서고 있어 향후 플래시의 신규 취약점 증가 추세가 한풀 꺾일 수 있을지 주목되고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>