• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

1사분기 분석해보니, 2017년은 최고로 위험한 해 될 듯 2017.05.25

1사분기 동안 유출된 데이터, 2016년 한 해 유출량에 비견
출처, 유형 등 고려했을 때 심각성 작년과 비슷한 수준

[보안뉴스 문가용 기자] 예산 확보를 위해 각 조직의 보안 책임자들에게 필요한 건 위험을 가시적으로 나타낼 수 있는 숫자다. 최근 리스크 베이스드 시큐리티(Risk Based Security)라는 보안 업체에서 발표한 두 가지 보고서에 이런 숫자들이 등장한다. 1사분기처럼만 가면 유출된 데이터의 양과 소프트웨어 취약점 양이 올해 안에 이전의 기록들을 깰 전망이라고 한다.

▲ 그깟 것, 쉽게 깨주지[사진=iclickart]


리스크 베이스드 시큐리티에 의하면 1사분기에 유출된 데이터는 전 세계적으로 34억 건이라고 한다. 이는 여러 보안 전문업체 및 기관들이 분석해 발표한 보고서들을 총 집계한 결과다. 이 34억 건의 기록 안에는 당연히 민감한 정보도 포함되어 있다.

그 중 두 번의 유출 사고만으로 25억 건이 넘는 데이터가 새나갔다. 하나는 리버시티미디어(River City Media)에서 발생한 사건으로 당시 13억 4천만 개의 이메일 주소가 유출됐고, 다른 하나는 중국의 인터넷 서비스 제공업체인 넷이즈(NetEase)에서 13억 개의 이메일 주소와 비밀번호가 도난당한 사건이다. 이 정보들은 얼마 지나지 않아 다크웹에서 판매되기도 했다.

취약점은 어떨까? 올해 1사분기 동안 리스크 베이스드 시큐리티 혼자서만 총 4837개의 취약점을 발표했다. 2016년 1사분기보다 29.2%나 높은 수치이며 유명한 NVD 취약점보다 2274개 많다. 이런 취약점들 중 35%가 이미 익스플로잇 되었거나 공격의 발단이 되었다고 리스크 베이스드 시큐리티는 설명한다. 또한 약 50%는 원격 공격을 가능케 하는 취약점이고, 18%는 10점 만점에 9점 받기에 충분할 만큼 위험한 취약점이기도 했다.

2017년이 아직 반도 지나지 않았는데 이런 숫자들이 벌써부터 등장한다는 건 공포스러운 일이다. 이 추세대로 시간이 흘러간다면 2017년은 역사상 최고로 위험한 해가 될 것이 뻔하다. 참고로 2016년 한 해 동안 유출된 데이터는 42억 건이다. 1사분기만으로 작년 한해 분량을 거의 따라잡은 셈이다.

리스크 베이스드 시큐리티의 부회장인 잉가 고딘(Inga Goddijn)은 “작년 야후에서 발생한 대형 유출 사고 이후 한 동안 그러한 규모의 유출 사고는 없을 거라고 다들 예상했었는데, 머쓱하게 되었다”며 “10억 건 이상의 유출 사고가 두 건이나 1사분기 내에 일어나리라고 예상한 전문가는 단언컨대 한 명도 없었을 것”이라고 한다. 정보 유출의 유행이 이미 오래 전에 끝난 것처럼 보였기 때문이다.

하지만 뒤집어보니 2016년 내내 세상을 괴롭혔던 피싱 공격과 BEC(사업 이메일 침해) 공격이 여전히 유효타를 기록 중인 것으로 나타났다. 또한 미국의 세금 시즌을 노린 각종 사이버 범죄와 사기도 적지 않은 역할을 한 것으로 보인다고 리스크 베이스드 시큐리티는 설명한다. “하지만 데이터 유출로 인한 심각성 자체는 전년도와 비교했을 때 크게 다르지 않습니다. 건수 자체는 높지만 유출된 데이터의 유형, 유출이 일어난 산업 등 여러 요소들을 고려했을 땐 말이죠.”

또 하나 고려해야 할 건 2017년 1사분기에 유출된 데이터의 18%가 ‘출처 불명’이라는 것이다. “데이터는 있는데 어디서 도난당한 것인지 밝혀지지 않은 것이죠. 훔치는 사람 따로, 그걸 사용하는 사람이 따로 있다는 겁니다. 훔치는 사람은 데이터의 주인이나 속성을 굳이 따지지 않고 누군가 그걸 구입해서 어떻게 사용하든 상관하지 않는다는 것이죠.”

한편, 소프트웨어 취약점에 대해 리스크 베이스드 시큐리티의 CISO인 제이크 쿤스(Jake Kouns)는 “소프트웨어 개발 단계에 보안이 아직도 접목되지 않고 있다는 뜻”이라고 해석한다. “2017년 1사분기에 발견된 취약점들 중 68.1%가 입력되는 데이터에 대한 충분한 확인 절차가 없어서 발생하는 것들입니다. XSS, SQL 인젝션, 쉘 명령 인젝션, 버퍼 오버플로우가 다 여기에 해당되죠. 아직도 입력 소스 확인하는 게 불안한 겁니다.”

웹과 관련된 오류들도 1사분기 동안 공개된 취약점의 60%나 차지했다. 이중 30%는 SQL 인젝션 오류였다. 또한 이른바 ‘메이저’에 꼽히는 소프트웨어 제조사들의 제품에서 발생한 취약점은 올해 1사분기에 발견된 취약점들 중 31%를 차지하기도 했다. “회사가 크다고 보안을 잘 하는 건 아니란 게 드러나죠.”

이 메이저급 회사들 중에서도 오라클이 총 369개의 취약점을 생성해 1위에 올랐고, 다른 회사의 취약점들을 곧잘 발견해내고 그에 대한 보고서도 자주 발간하는 구글이 302개로 2위를 차지했다. 마이크로소프트가 204개로 3위를 기록했다.

하지만 개수가 아니라 ‘심각성’의 측면에선 어도비가 단연 1위였다. 총 100가지 취약점을 세상에 내보낸 어도비의 ‘심각성 점수’는 10점 만점에 평균 8.84로, 오라클의 평균인 6.05를 크게 웃돌았다. 마이크로소프트의 점수는 6.62였고, 구글은 7.1점이었다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>