인터넷응급센터 “고위험급 취약점 4,146개...중위험급 5,993개”
‘애플리케이션 프로그램 취약점’ 60% 차지
업종별 취약점, 통신 5%·모바일 인터넷 9.1%·공업제어시스템 1.5%·전자정무 3.1%

[보안뉴스 온기홍=중국 베이징] 중국 당국이 지난해 공식 확인해 등록한 정보보안 취약점은 전년에 비해 34% 증가해 1만 822개에 달한 것으로 확인됐다. 전체 보안취약점 10개 가운데 약 4개는 고위험급인 것으로 드러났다. 정보보안 취약점의 영향 대상에 따른 유형 중에서는 애플리케이션 프로그램 취약점이 60%의 점유율로 가장 많았다.

인터넷응급센터 “지난해 S/W·H/W 보안취약점 1만 822개...34% 증가”
중국 ‘국가컴퓨터네트워크 응급기술처리 협조센터(CNCERT, 이하 인터넷응급센터)는 최근 발표한 보고서 지난해 국가정보보안취약점공유플랫폼(이하 CNVD)에 정식 확인·등록된 국내 통용 소프트웨어(S/W)·하드웨어(H/W) 취약점은 총 1만 822개라고 밝혔다. 이는 전년의 8,080개에 비해 34% 늘어난 규모다.

이 가운데 고위험급으로 평가된 보안 취약점은 4,146개로 전체의 38.3%를 차지했다고 센터는 덧붙였다. 보안취약점 10개 중 약 4개는 고위험급인 셈이다. 중위험급 취약점은 5,993개로 전체의 절반이 넘는 55.4%의 점유율을 보였다. 저위험급 취약점은 683개(6.3%)로 집계됐다.


지난해 고위험급 보안 취약점의 월별 수량을 보면, 10월에 711개로 연중 최고치를 기록했고 12월이 631개로 뒤를 이었다. 전체적으로 제4분기에 고위험 취약점 수량이 많았다. 3월(314개), 4월(369개), 2월(372개)에는 고위험 취약점이 적었다.

인터넷응급센터가 지난해 CNVD를 통해 중국 내 보안전문가, 취약점보고 플랫폼(웹사이트), 정보보안업체들로부터 접수한 통용 S/W·H/W 취약점 보고 수량은 전체 취약점의 17.8%에 달했다. 이는 지난해 보안 취약점 수량이 전년에 비해 증가한 중요한 원인이라고 센터는 설명했다.

지난해 CNVD에 등록된 전체 취약점 가운데 제로데이(0day) 관련 취약점은 2,203개였다. 해커 등의 원격 온라인 공격에 이용될 수 있는 취약점은 9,503개, 로컬 공격 실시에 쓰일 수 있는 취약점은 1,319개로 확인됐다.

인터넷응급센터가 지난 2012년부터 2016년까지 CNVD에 정식 등록한 정보보안 취약점은 총 4만 2,743개에 달했다. 지난 2012년 6,824개를 기록한 뒤 2013년 7,854개, 2014년 9,163개로 계속 증가하다가 2015년(8,080개)로 감소했고, 지난해 반등해 1만개를 초과했다. 이 가운데 고위험급 취약점은 지난 5년 동안 1만 4,495개에 달했다. 고위험급 취약점 수량도 2015년(2,908개) 증가세가 주춤한 것을 빼고는 지난 5년 동안 상승 흐름을 이어갔다.


지난해 CNVD에 등록된 보안 취약점 중에서 Google, Oracle(점유율 6%), Adobe(5%), Microsoft(5%), IBM(5%), Apple(4%), Huawei(3%), Cisco(3%), Wordpress(2%), Linux(2%), Mozilla(2%) 등 업체들의 제품 관련 취약점 순으로 많은 비중을 차지했다고 센터는 밝혔다. 센터는 구글의 OS, 스마트폰 기기와 애플리케이션 관련 취약점이 819개로 전체의 7%를 차지하면서 가장 많았다고 덧붙였다.

정보보안 취약점의 영향 대상에 따른 유형으로 살펴보면, 애플리케이션 프로그램 취약점, 웹 애플리케이션 취약점, 운영체제 취약점, 네트워크 장비(라우터, 교환기 등) 취약점, 데이터베이스 취약점, 보안제품(방화벽, 침입 검사 시스템 등) 취약점 등이 탐지됐다.

이 가운데 애플리케이션 프로그램 취약점이 전체의 60%를 차지해 압도적으로 많았다. 이어 웹 애플리케이션 프로그램이 17%, 운영체제 취약점이 13%로 각각 점유율 2위, 3위를 기록했다. 이밖에 네트워크 장비 취약점(6.0%), 데이터베이스 취약점(2.0%), 보안제품 취약점(2.0%)이 뒤를 이었다.


中 인터넷응급센터 “지난해 CNVD 등록된 보안취약점 패치 8,619개”
센터는 지난해 CNVD에 등록한 보안취약점 패치는 모두 8,619개라고 밝혔다. 센터는 “대부분의 보안 취약점에 대해 이용자들에게 참고할 수 있는 솔루션을 제공해 시스템 보안을 강화하도록 유도했다”고 밝혔다.

지난해 CNVD에 등록된 보안취약점 패치 수량을 월별로 보면, 9월에 990건으로 가장 많았고, 7월(919건), 12월(857건), 5월(915건), 11월(786건), 8월(753건), 9월(726건), 1월(629건), 4월(579건), 6월(561건), 3월(509건), 2월(495건) 순으로 뒤를 이었다.


업종별 취약점, 통신 5%·모바일 인터넷 9.1%·공업제어시스템 1.5%·전자정무 3.1%
지난해 CNVD에 등록된 정보보안 취약점을 주요 업종 별로 살펴보면, 통신(telecom.cnvd.org.cn) 분야 취약점은 640개(전체의 5.9%)에 달했다. 모바일 인터넷(mi.cnvd.org.cn) 분야 985개(9.1%), 공업제어시스템(ics.cnvd.org.cn) 분야 172개(1.5%), 전자정무 분야 취약점은 344개(3.1%)였다.

이 가운데 통신 분야 고위험급 취약점 206개가 탐지된 제품과 관련된 업체들에는 Oracle(점유율 33%), Cisco(17%), IBM(5%), Huawei(4%), D-Link(4%), Moxa(3%), ZyXEL(2%), NETGEAR(2%), Apache(2%), Legba Incorporated92%), 기타(26%) 등 차례로 포함됐다고 센터는 밝혔다.

모바일 인터넷 분야 고위험 취약점 520개에는 Google(점유율 61%), Apple(27%), Adobe(3%), Samsung(1%), weiphp91%), 기타(7%) 등 업체의 제품 취약점들이 들어 있다고 센터는 덧붙였다.

전자정무 분야 고위험 취약점 128개의 경우, Oracle(16%), Samsung(13%), 산동 랑차오치루S/W 주식산업유한회사(11%), phpMyAdmin(8%), phpcms(5%), 베이징 즈신바오통 과기발전유한회사(5%), 기타(42%) 등 업체의 제품들에서 탐지됐다.

공업제어시스템 분야 고위험 취약점 85개는 Siemens(14%), Advantech(10%), Schneider Electric(9%), Rockwell Automation(7%), HP(5%), 기타(55%) 등 업체 제품과 관련이 있다고 센터는 설명했다.

지난 2013년에서 2016년 까지 CNVD에 등록된 통신 분야 보안취약점은 총 2,823개였고, 모바일 인터넷 분야 3,409개, 공업제어시스템 분야 559개, 전자정무 취약점은 931개에 달했다.


또한 통신 분야 전체 취약점과 가장 많이 관련된 업체 또는 제품들은 Cisco(점유율 32%), Oracle(23%), IBM(18%), D-Link(5%), Huawei(4%), NETGEAR(2%), Juniper Networks(2%), Apache(2%), ASUS(2%), TP-LINK(1%), 기타(9%) 등 순이라고 센터는 밝혔다.

모바일 인터넷 분야 취약점은 Apple(22%), Google(21%), Adobe(2%), Samsung(1%), Blackberry(1%), Microsoft91%), Magzter Inc.(1%), Mozilla(1%), Linux(1%), PlayScape(1%), 기타(48%) 등 업체의 제품에서 많이 탐지됐다고 센터는 덧붙였다.

전자정무 분야 취약점과 관련성이 많은 제품을 가진 업체들은 Oracle(40%), PhpMyAdmin(12%), Samsung(9%), DELL(3%), Cisco(3%), IBM(3%), Apache(3%), HP(2%), Phpcms(2%), 산동 랑차오치루S/W 주식산업유한회사(2%), 기타(21%) 등으로 나타났다.

공업제어 분야 취약점들은 SIEMENS(17%), Schneider Electric(9%), Advantech(9%), Rockwell Automation(6%), ABB(4%), Ecava(3%), Cogent Real-Time Systems(2%), General Electric(2%), Invensys(2%), Infinite Automation Systems, Inc.(1%) 기타(45%) 등 업체 또는 제품에서 많이 나타났다고 센터는 밝혔다.

한편, 인터넷응급센터는 지난 한 해 중국 정부 기관 및 은행, 증권, 보험, 교통, 에너지 등 중요한 정보시스템 부문, 통신운영 업체, 교육 부문 등과 관련된 보안취약점 사건 3만1,335건을 처리했다고 밝혔다.

이런 가운데 지난해 CNVD에서는 자체적으로 2,476회에 걸쳐 보안취약점을 처리했다. 이들 보안취약점과 관련된 국내외 S/W 업체들은 1,713개사에 달했다.

인터넷응급센터가 S/W·H/W 제품 보안취약점을 협력해 처리한 횟수가 많은 업체(자체 보안대응센터 포함)에는 (쓰촨성) 청두 펑보어스 통신미디어그룹(Dr.peng group, 취약점 29개), 텅쉰(Tencent) 보안긴급응답센터(취약점 24개), 바이두 보안긴급응답센터(20개), 중국철도건설(20개), 청두 싱루이란하이 네트워크과기(17개), 베이징 왕위싱윈 정보기술(16개), 용요우 네트워크과기(12개), 베이징 퉈얼스정보기술(11개), 톈롱신 공방기술연구센터(11개) 등이 꼽혔다.

센터는 지난해 CNVD를 통해 중국 내 보안전문가(취약점 보고 수량 5,128개), 우윈(7월 19일까지 취약점 보고 수량 1만 2,069개) 등 민간 정보보안 조직(자체 취약점 보고 웹사이트)과 전문가들의 협조를 받아 당·정부 기관과 중요 업종 회사·기관의 보안취약점 관련 사건을 접수해 처리했다고 밝혔다.
[중국 베이징/온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>