• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전반기에만 10644개...갈수록 늘어나는 소프트웨어 취약점 2018.08.14

취약점 개수, 해마다 신기록 갈아치우는 추세...패치 갈수록 중요
너무 많아 한 조직이나 기관이 전담할 수 없어...CVE에 없는 것 많아

[보안뉴스 문가용 기자] 패치에 대해 너그러워질 수 없는 시대가 빠르게 다가오고 있다. 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)가 최근 발표한 보고서에 의하면 소프트웨어 제품들에서 취약점이 발견되는 기세가 누그러질 기미가 전혀 보이지 않는다고 하기 때문이다.

[이미지 = iclickart]


올해 1월 1일부터 6월 30일까지 발견되고 공식적으로 발표된 취약점은 총 10644개다. 작년 같은 기간 동안 발표된 취약점은 9690개였다. 이 추세로 가다보면 올해 발견될 총 취약점은 21288개로, 작년의 20832개를 가뿐하게 뛰어넘을 것으로 보인다. 20832개도 2016년에 비해 31%나 증가한 수치였는데 말이다.

올해 발표된 오류들의 17% 정도는 ‘치명적’인 위험도를 가진 것으로 분석되고 있다. 이는 CVSS 점수 시스템에서 9~10점 사이를 기록했다는 것이다. 그나마 다행인 건 작년에 발견된 취약점들 중 ‘치명적’인 것으로 분류된 것이 21.1%였다는 것으로, 이 부분에서 드물게 감소 추세가 나타났다.

2018년, 여태까지 발견된 취약점들 중 46.3%는 웹과 관련이 있는 오류들이었다. 취약점의 절반은 원격에서 익스플로잇이 가능한 것들이기도 했다. 또한 1/3에 가까운 취약점들은 이미 익스플로잇 툴이 공개되어 있기도 했는데, 공식적인 해결법이 나온 것은 73개에 불과하다.

취약점들의 대부분은 사용자나 공격자가 공급하는 입력값을 통해 발동되는 것이며, 소프트웨어 개발사들이 이러한 ‘입력값’에 대한 조정을 처음부터 하지 않았기 때문에 발생하는 것으로 나타났다. 리스크 베이스드 시큐리티(Risk Based Security)의 부회장인 브라이언 마틴(Brian Martin)은 “이를 내부적으로 ‘입력 조작 문제’로 분류하고 있다”며 “소프트웨어의 무결성에 손상을 주는 것”이라고 설명한다.

또 하나 주목해야 할 건 리스크 베이스드 시큐리티가 단순히 CVE 데이터베이스를 셈해서 통계자료를 집계한 것이 아니라는 것이다. 리스크 베이스드 시큐리티는 독자적으로 취약점 데이터베이스를 운영하고 있는데, 미국의 NVD가 보유한 취약점보다(CVE) 3275개나 더 많은 취약점 정보가 있다(올 전반기 기준). 이 3275개 중 23%가 ‘치명적’인 위험을 가진 것으로 나타나기도 했다.

무슨 말일까? 취약점 관리를 위해 CVE 시스템에만 의존하면 놓치는 게 생길 수 있다는 것이다. 그냥 한두 개 어쩌다 잃어버리는 게 아니라, 750개나 되는 ‘치명적’인 취약점들이 존재한다는 것조차 모르고 넘어간다는 것이다. 마틴 역시 이 점을 지적하며 “취약점들이 점점 더 많아지는데, 한 기관이나 조직이 이를 다 집계하기 힘들어지는 게 당연지사”라고 말한다.

리스크 베이스드 시큐리티는 2000개가 넘는 출처로부터 취약점 데이터를 수집한다고 한다. 버그트랙(Bugtraq), 풀 디스클로져(Full Disclosure), 익스플로잇DB(ExploitDB), 패킷스톰(Packetstorm) 등이 여기에 포함되며, 각종 보안 업체들이 고객 포럼 등에 따로 공개하는 취약점들까지도 전부 수집한다. 기사나 칼럼, 주요 학술 자료나 개발자 포름 등에서도 취약점 소식이 나올 때가 많다고 마틴은 설명한다.

또한 리스크 베이스드 시큐리티의 발표 내용을 보면 마치 소프트웨어가 점점 더 버그투성이로 변질되어 가는 것처럼 느껴지기도 하는데, 마틴은 “꼭 그런 건 아니”라고 말한다. “오류가 더 많이 발견되는 것에는 여러 가지 이유가 있을 수 있습니다. 그 중 하나는 오류를 찾아내는 보안 전문가가 더 늘어났거나, 보안 전문가들이 버그바운티 활성화로 그러한 활동에 더 매진하고 있는 것입니다. 그러면서 버그를 찾아내는 툴들도 발전했고요.”

리스크 베이스드 시큐리티는 “취약점 정보를 수집해서 데이터베이스화 하는 곳도 많아지고 있으며, 그들의 방법론도 향상되고 있다”며 “전체적으로 취약점에 대한 인식이 높아지면서, 지금은 오히려 버그를 해결하는 쪽보다 찾아내는 쪽으로 많이들 집중한다고 볼 수 있다”고 분석한다.

3줄 요약
1. 취약점 개수, 해마다 신기록 세우고 있을 정도로 많아지고 있음.
2. 소프트웨어가 점점 이상해지는 게 아니라, 버그 찾는 사람들 많아지고 있기 때문.
3. 취약점 너무 많아서, 한 회사나 국가 기관이 전담하기 힘들고, 그래서 공유가 더 활발해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>