웹 앱과 소프트웨어에서 발견된 취약점, 현재까지 22,022개로 집계돼
CVE 데이터베이스만 참고해서는 완전할 수 없어...픽스 없는 것도 많아

[보안뉴스 문가용 기자] 웹 애플리케이션과 다른 소프트웨어에서 발견된 보안 취약점들의 수가 전혀 줄어들 기미를 보이지 않고 있다. 소프트웨어나 웹 앱을 사용하는 모든 조직들의 강력한 경계 태세가 요구된다.


최근 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)가 발표한 보고서에 의하면 2018년 동안 발견된 취약점의 수는 총 22,022개라고 한다. 하지만 이마저도 전부가 아니다. 아직도 패치 개발 등의 이유로 공개되지 않은 취약점들이 존재하고, 이런 취약점들까지 다 더해지면 상당히 다른 숫자가 될 것이기 때문이다.

2018년 이맘때쯤 리스크 베이스드 시큐리티가 발표한 보고서에는 2017년의 취약점이 총 20,832개였다고 나온다. 하지만 미공개 된 취약점들이 뒤늦게 공개되면서 이는 22,230개로 늘어났다. 2018년의 22,022개 취약점도 꽤나 적게 잡은 숫자일 것이 거의 분명하다고 리스크 베이스드 시큐리티(RBS)는 보고 있다.

RSB의 부회장인 브라이언 마틴(Brian Martin)은 “취약점의 수 자체가 이렇게 높은 이상, 조직들은 항상 경계 태세를 유지해야 한다는 게 이번 조사의 결론”이라고 설명한다. “소프트웨어나 웹 앱에서 발견되는 취약점들이 많아도 너무 많습니다. 사실상 현존하는 모든 소프트웨어가 최소한 한 개 이상의 보안 구멍을 가지고 있다는 소리입니다. 소프트웨어 하나 설치할 때마다 해커들이 들어올 수 있는 통로가 최소 하나 마련된다는 건데요, 이를 인지하는 것과 전혀 모르는 것은 다를 수밖에 없습니다.”

보고서에 따르면 웹과 관련이 있는 취약점들이 그 많은 취약점들의 절반 가까이를 차지했다(47.9%). 1/4이 조금 넘는(27.5%) 취약점들은 접근 인증 및 접근 통제와 관련이 있는 것이었고, 3.5%는 SCADA 환경에서 나온 취약점이었다. 3.5%라고는 하지만, 2017년에 비해 2배나 뛰어오른 것이다.

취약점의 유형을 따라 분류했을 때 가장 높은 비율을 차지한 건 입력 인증과 관련된 것이었다. 즉 SQL 주입, XSS, 버퍼 오버플로우, 명령 주입 등의 공격을 가능케 해주는 취약점들이 2018년 가장 많았던 것이다(67.7%). 사용자들이 입력하는 값을 자체적으로 확인하고 거르는 기능을 탑재하는 게, 아직은 개발자들에게 익숙하지 않은 것으로 보인다.

재미있는 건 버그바운티로 찾아낸 취약점들이 8% 정도 됐다는 것이다. 2017년에는 5.8%였다.

취약점의 위험도를 기준으로 분류했을 때 33%가 CVSS 점수를 기준으로 7점 이상을 받았다. 이는 고위험군과 치명적 위험군에 속하는 취약점들이다. 또 33%의 취약점들은 이미 익스플로잇이 공개되기도 했고, 절반이 약간 넘는 취약점들은 원격에서 익스플로잇이 가능한 것들이었다. 그나마 희망적인 소식은 9~10점 사이에 있는 가장 위험한(치명적) 취약점들이 13.6%로 3년 연속 감소세를 보였다는 것이다.

마틴은 치명적인 취약점들이 줄어들고 있는 이유는 여러 가지가 있을 수 있다고 설명한다. “취약점 연구를 주력으로 하는 보안 전문가들이 리스크가 낮은 취약점들을 더 많이, 빠르게 찾아내고 있는 걸 수도 있습니다. XSS 취약점이나 CSRF 취약점, 경로 유출 취약점 등은 꽤나 자주 발견되는 유형들인데, 사실 9.0 이상의 점수를 받기 힘든 것들입니다. 위험도가 낮은 취약점은 대체적으로 발견하기가 쉽습니다. 그래서 취약점의 전체 양이 늘어나기도 하는 것이고요.”

위험한 취약점들은 공개하지 않는 경우도 있다고 마틴은 다른 요인을 짚는다. “특수한 경우이긴 하지만, 짧은 시간 안의 픽스가 어려울 때, 그러나 취약점 자체가 대단히 위험할 때, 취약점을 공개하지 않죠. 물론 이런 취약점이 많다고 할 수 없습니다만, 정부 기관들은 9.3~10점 사이에 있는 제로데이 취약점의 경우 먼저 공개하지 않는 것으로 알고 있습니다. 정부가 얼마나 많은 취약점 정보를 따로 가지고 있는지 알 수 없지만, 치명적인 취약점 수가 줄어드는 요인 중 하나가 될 수는 있을 겁니다.”

RBS는 “CVE 데이터베이스에만 의존해서 취약점을 관리하면 꽤나 많은 취약점을 인지하지 못하게 된다”고 지적한다. RBS만 해도 CVE 데이터베이스에 있는 취약점들보다 6780개 정도 더 많은 취약점 DB를 보유하고 있다고 한다(2018년 기준). 게다가 이 6780개 취약점의 46%가 7점 이상의 위험한 것들이다. “취약점을 독자적으로 연구하고 데이터를 쌓는 조직들은 많이 있습니다. CVE 데이터와 같이 열람해야 할 정보입니다.”

또 하나 심각한 문제는 27.1%나 되는 취약점들이 아직도 픽스 없이 존재하고 있다는 것이다. “취약점 10개 중 3개 가까이가 그냥 해결책 없는 구멍인 상태로 남겨져 있습니다. 그렇기 때문에 ‘종심 방어(defense in depth)’ 모델을 사이버 보안에 적용해야 합니다. 패치만 기다리는 건 훌륭한 방어 전략이 아닙니다.”

3줄 요약
1. 2018년 한 해 동안 발견된 취약점, 현재까지 집계한 결과 22000개 넘음.
2. 해마다 늘어나고 있고, 27% 정도는 픽스도 존재하지 않은 상태.
3. 각 조직들은 보다 층층이 쌓인 방어 전략을 도입해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>