취약점이 익스플로잇으로 둔갑하기까지 길어야 두 달

취약점 소식이 있어도 패치를 전부 적용하기까지 빨라야 석 달

[보안뉴스 문가용] APT가 대두가 되면서 ‘표적 공격’이 집중을 받고 있고, 그 위험성에 대해 여러 가지 이야기들이 끊임없이 오가고 있지만, 이미 알려진 취약점을 노린 불특정 다수를 향한 자동 공격도 굉장히 위험하긴 마찬가지다. 오늘 보안업체인 케나(Kenna)에서 발표한 통계 자료에 의하면 불특정 다수를 향한 공격에 활용되는 취약점의 수가 갈수록 늘고 있고 이에 당하는 기업의 수가 비례하고 있는 실정이다.

“해커들이 특정 표적을 집요하게 노리는 방식에 대해서는 대중들도 영화 등을 통해 익히 잘 알고 있는 바입니다. 하지만 세상엔 그런 해커들만 있는 게 아닙니다. 자동 공격을 불특정 다수에게 그냥 막 뿌려대는 이들도 있죠. 그런데 이 공격에 당하는 기업들이 점점 늘고 있습니다.” 케나의 CEO인 카림 투바(Karim Toubba)의 설명이다.

케나는 이번 연구를 위해 2년 간 5만 개의 조직으로부터 취약점 및 익스플로잇 정보를 받아 분석했다. 2억 5천만 개의 취약점과 10억 건의 침해사고를 조사한 끝에 한 가지 결론에 도달했다고 하는데, “취약점을 해결하는 데에 너무 오랜 기간이 걸린다”는 것이었다. 한 조직 당 오류를 완전히 패치하는 데 걸리는 시간이 100~120일 정도라고. 그에 반해 취약점이 세상에 공개되고부터 실제 위협으로 작용하는 데에 걸리는 시간은 40~60일이었다.

그러니 2015년 한 해 동안 발견된 익스플로잇의 수가 폭발적으로 증가한 것이다. 케나에 의하면 ‘성공적인 익스플로잇’만 지난 해에 비해 네 배나 늘었다. 수로 따지면 12억에 달한다. 참고로 2013년과 2014년에 발견된 ‘성공적인 익스플로잇’들의 수는 합해서 2억 2천만이었다.

보통 기업 측에서 120일 넘게 취약점 관리 및 조치 작업을 하지 않고 그대로 방치한 경우 익스플로잇은 성공했다. “불특정 다수를 노린 공격에 당한 경우를 보면 대부분 굉장히 오래된 취약점에 당한 것이더군요. 심지어 유명하고 잘 알려진 것들이었어요. 사람들이 헤드라인만 잠깐 보고 관심을 끈 것이죠. 고칠 생각은 당연히 하지 않고요. 이런 경우가 지나치게 많았습니다.”

예를 들면 SQL 서버 2000에서 발견되었던 슬래머(Slammer)라는 취약점은 여전히 이런 식의 공격에 활발히 사용되고 있으며 2014년 한 해에만 15만 6천 번이나 성공을 거두었다. “사실 새로운 사실은 아니죠. 어제 오늘 일도 아니고요. 패치 빨리하라는 잔소리는 오래 전부터 있어왔죠. 누구나 중요하다는 걸 인정하고 있기도 하고요.”

그밖에 작년을 떠들썩하게 만들었고, 이미 기억에서 잊힌 하트블리드(Heartbleed) 취약점도 여전히 해커들 사이에서 애용되고 있었다. “이 추세면 다음 한 달 동안 하트블리드를 통한 공격이 적어도 5000번 이상 성공할 것으로 보입니다. 피해자는 누가 되도 이상하지 않습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>