최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

국내 SW, 잘 알려진 보안 취약점도 대응 못해

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

국내 소프트웨어(SW)에서 발견되는 취약점 중 대부분이 이미 흔히 알려진 유형의 취약점인 것으로 나타났다.

 

한국인터넷진흥원(KISA)은 이같은 내용을 담은 '보안 취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안' 보고서를 지난 16일 공개했다.

 

KISA는 지난 2012년부터 보안 취약점 신고 포상제를 운영하고 있다. 2019년부터는 웹사이트 취약점 발굴을 위한 모의 해킹 대회 '핵 더 챌린지'도 개최하고 있다. 이같은 포상 제도를 통해 포상이 지급된 취약점 건수는 작년까지 총 3천173건이다. 2019년까지 매해 신고 건수가 늘다 작년에는 수치가 다소 감소했다.

 

해당 보고서에서는 최근 3년간 신고된 취약점들을 분석했다. 2018년과 2019년의 경우 모바일 및 사물인터넷(IoT) 취약점 비율이 높았던 반면, 작년은 IoT 취약점이 감소했고 애플리케이션과 서비스 취약점이 높은 비율을 차지했다. 애플리케이션 취약점 중에선 전년 대비 파일 전송·원격 협업 솔루션 관련 취약점 비중이 늘었다.

 

이같은 결과에 대해 KISA는 "IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소 추세에 있다"며 "비대면 업무방식이 늘어남에 따라 파일전송, 업로드 보안 및 원격 협업 솔루션 사례는 증가했다"고 분석했다.

 

 


 

 

포상이 지급된 취약점 유형을 살펴보면 '크로스 사이트 스크립팅(xss)'이 458건으로 가장 많은 비중을 차지했다. 이를 비롯해 부적절한 권한 검증으로 인한 파라미터 변조 공격, 데이터베이스명령어인 SQL를 이용해 DB를 조작하는 SQL인젝션 등 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다. 

 

그 다음으로는 프로그램에 메모리 오류를 유발하는 오버플로 취약점, 적절한 검증 절차를 거치지 않은 사용자가 악성 명령을 내릴 수 있는 명령어 삽입 취약점이 높은 비율을 차지했다.

 

 


 

 

KISA는 최근 신고포상제에 접수된 취약점들이 대부분 많이 알려져 있고 연구되는 유형이라고 설명했다. 이는 국내 SW가 개발되는 과정에서 보안에 대한 고려가 충분히 이뤄지지 못하고 있다는 점을 시사한다고 봤다. 프로그램의 소스코드를 작성하는 과정에서부터 취약점을 제거하는 SW 개발보안(시큐어코딩) 활용이 미진하다는 것이다. 

 

 

  • ZDNet Korea 로고
  • 김윤희 기자
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.