Home > 전체기사
마이터 코퍼레이션, 가장 위험한 취약점 25개 선정
  |  입력 : 2019-09-18 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 NVD 데이터베이스와 CVSS 점수 등 객관적 지표 활용해 집계
상위권 취약점은 계속 비슷...버퍼 오버플로우, XSS 등이 주류


[보안뉴스 문가용 기자] 마이터 코퍼레이션(MITRE Corporation)이 ‘가장 위험한 소프트웨어 오류 25개’를 발표했다. 심각한 소프트웨어 공격으로 이어질 수 있는, 가장 위험하면서도 보편적으로 퍼져 있는 취약점을 집계한 것이다.

[이미지 = iclickart]


미국 국토안보부 산하 사이버 보안 전문 기관인 CISA는 이번 취약점 목록에 대한 권고문을 함께 발표하며 “공격자들의 익스플로잇이 성공할 경우 민감한 정보의 탈취, 서비스 마비, 시스템 장악 등의 공격을 할 수 있게 된다”고 설명했다. 따라서 “관리자와 사용자들은 이 목록을 참고해 패치를 진행할 것이 권장된다”고도 덧붙였다.

실제 마이터가 비정기적으로 발표하는 이 취약점 목록은 소프트웨어 개발자, 소프트웨어 실험 전문가, 구매자, 프로젝트 관리자, 보안 전문가, 교육가 사이에서 널리 활용되고 있다. 마이터는 미국 취약점 데이터베이스(NVD)로부터 CVE와 관련된 데이터를 수집하고, 모든 취약점의 CVSS 점수와 실제 공격에 나타나는 빈도수를 총합하여 이 목록을 산출했다.

원래는 다양한 조직들과 수많은 보안 전문가들의 의견을 수렴해 점수에 반영했었다. 보통 설문을 통해서 의견을 받았는데, 각 전문가에게 가장 중요하거나 가장 넓게 확산돼 있다고 생각하는 취약점을 꼽아달라고 하고, 설문에서 나온 취약점들의 CVSS 점수를 참조하여 위험도 순위를 결정하는 것이었다.

“기존 방식은 그 나름의 장점을 가지고 있었습니다. 그러나 투자되는 노동력이 엄청났죠. 게다가 사람들의 의견을 묻는 것이라 객관성에 대한 의구심이 일기도 했었습니다.” 마이터의 설명이다. “그래서 올해의 목록을 작성할 때는 보다 객관적이고 통계학적인 접근법을 사용했습니다. 공식적으로 보고가 된 취약점들을, 보다 객관적인 점수 체계로 평가했습니다.”

그렇게 정리된 올해의 취약점 순위는 여기(https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html)서 열람이 가능하다.

마이터의 소프트웨어 보장 부문 수석인 드류 버트너(Drew Buttner)는 “실제 현장에서 벌어지는 일들을 최대한 있는 그대로 반영한 목록을 만들고 싶었다”고 설명한다. 그렇기에 이번 취약점 목록은 2019년도에 발표되는 것이지만 2017년도와 2018년도의 취약점들도 포함하고 있다. “또한 가능하다면 매년 목록을 갱신해 발표하는 것이 마이터 내부의 목표입니다.”

올해의 최고 취약점들
버트너는 물론 이번 취약점 프로젝트를 담당했던 크리스 레벤디스(Chris Levendis)는 “올해 최고의 취약점 25개에는 깜짝 놀랄 만한 요소가 거의 없다”고 결론부터 말한다. “예전부터 우리를 괴롭혀왔던 주요 취약점들이 아직 고스란히 목록에 남아있거든요. 10년 전이나 지금이나 거의 다를 게 없습니다. 특히 상위권의 취약점들에서는 변동이 거의 없습니다. 하위권에서는 새로운 취약점들이 나타나긴 했지만요.”

1위를 차지한 취약점은 CWE-119로, 총점 75.56점을 받은 버퍼 오버플로우(buffer overflow) 취약점이다. 메모리 버퍼의 한계 내에서 이뤄지는 운영에 제대로 된 제한을 걸지 못해서 생기는 오류라고 한다. 이 오류를 활성화시킬 경우 메모리를 읽거나 쓰는 여러 행위들이 데이터 구조나 내부 프로그램 데이터와 연결된 메모리 영역에서 의도치 않게 발생하게 된다. 공격자가 이를 활용해 악성 코드를 실행하거나, 제어 흐름을 변경하고, 민감한 데이터를 열람할 수 있게 된다.

버트너와 레벤디스는 “프로젝트를 시작하기 전부터 버퍼 오버플로우 계열의 오류가 상위권을 차지할 것이라고 예상했다”고 한다. 2019년 목록을 제외하고 가장 최신 버전인 2011년 마이터 취약점 목록에서도 버퍼 오버플로우가 상위권을 차지했었기 때문이다. 그리고 어느 보도나 보고서를 봐도 버퍼 오버플로우처럼 자주 등장하는 취약점이 존재하지 않는다.

그 다음으로 높은 점수를 확보한 취약점은 CWE-79로, 웹 페이지 생성 시 입렵값을 제대로 확인하지 못해서 생기는 오류라고 한다. 흔히 XSS 취약점으로 알려져 있다. 45.69점을 받았다. 이 역시 예상이 가능한 부분이었다고 두 전문가는 말한다. 그 다음은 CWE-20으로, 역시 입력값을 제대로 확인하지 않아서 생기는 문제다. 이 두 가지 취약점을 공격자가 악용할 경우, 임의 코드 실행 공격이나 제어 흐름 변경 공격을 실시할 수 있게 된다.

레벤디스는 “사용자나 사용자 기업들은 이 목록을 사용해 보안 점검을 실시하거나, 구매하려고 했던 소프트웨어를 다시 한 번 살펴볼 수 있다”고 강조한다. 그러면서 “내부 개발자들이 취약점 점검과 보안에 어느 정도 신경을 쓰고 있는지도 어느 정도 확인할 수 있다”고 설명하기도 했다. “반대로 개발자의 경우 보다 튼튼한 프로그램을 만들 수 있으며, 개발 단계에서 보안의 중요성을 경영진에게 설득하는 데 이 목록을 사용할 수 있습니다.”

3줄 요약
1. 마이터 코퍼레이션, 2011년을 끝으로 중단했던 최고 취약점 목록 발표.
2. 10여년 만에 이뤄진 발표지만, 상위권 차지한 취약점은 거의 변화 없음.
3. 목록 활용해 보안 점검하고, 더 단단한 소프트웨어 개발할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제