Home > 전체기사
마이터 코퍼레이션, 가장 위험한 취약점 25개 선정
  |  입력 : 2019-09-18 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 NVD 데이터베이스와 CVSS 점수 등 객관적 지표 활용해 집계
상위권 취약점은 계속 비슷...버퍼 오버플로우, XSS 등이 주류


[보안뉴스 문가용 기자] 마이터 코퍼레이션(MITRE Corporation)이 ‘가장 위험한 소프트웨어 오류 25개’를 발표했다. 심각한 소프트웨어 공격으로 이어질 수 있는, 가장 위험하면서도 보편적으로 퍼져 있는 취약점을 집계한 것이다.

[이미지 = iclickart]


미국 국토안보부 산하 사이버 보안 전문 기관인 CISA는 이번 취약점 목록에 대한 권고문을 함께 발표하며 “공격자들의 익스플로잇이 성공할 경우 민감한 정보의 탈취, 서비스 마비, 시스템 장악 등의 공격을 할 수 있게 된다”고 설명했다. 따라서 “관리자와 사용자들은 이 목록을 참고해 패치를 진행할 것이 권장된다”고도 덧붙였다.

실제 마이터가 비정기적으로 발표하는 이 취약점 목록은 소프트웨어 개발자, 소프트웨어 실험 전문가, 구매자, 프로젝트 관리자, 보안 전문가, 교육가 사이에서 널리 활용되고 있다. 마이터는 미국 취약점 데이터베이스(NVD)로부터 CVE와 관련된 데이터를 수집하고, 모든 취약점의 CVSS 점수와 실제 공격에 나타나는 빈도수를 총합하여 이 목록을 산출했다.

원래는 다양한 조직들과 수많은 보안 전문가들의 의견을 수렴해 점수에 반영했었다. 보통 설문을 통해서 의견을 받았는데, 각 전문가에게 가장 중요하거나 가장 넓게 확산돼 있다고 생각하는 취약점을 꼽아달라고 하고, 설문에서 나온 취약점들의 CVSS 점수를 참조하여 위험도 순위를 결정하는 것이었다.

“기존 방식은 그 나름의 장점을 가지고 있었습니다. 그러나 투자되는 노동력이 엄청났죠. 게다가 사람들의 의견을 묻는 것이라 객관성에 대한 의구심이 일기도 했었습니다.” 마이터의 설명이다. “그래서 올해의 목록을 작성할 때는 보다 객관적이고 통계학적인 접근법을 사용했습니다. 공식적으로 보고가 된 취약점들을, 보다 객관적인 점수 체계로 평가했습니다.”

그렇게 정리된 올해의 취약점 순위는 여기(https://cwe.mitre.org/top25/archive/2019/2019_cwe_top25.html)서 열람이 가능하다.

마이터의 소프트웨어 보장 부문 수석인 드류 버트너(Drew Buttner)는 “실제 현장에서 벌어지는 일들을 최대한 있는 그대로 반영한 목록을 만들고 싶었다”고 설명한다. 그렇기에 이번 취약점 목록은 2019년도에 발표되는 것이지만 2017년도와 2018년도의 취약점들도 포함하고 있다. “또한 가능하다면 매년 목록을 갱신해 발표하는 것이 마이터 내부의 목표입니다.”

올해의 최고 취약점들
버트너는 물론 이번 취약점 프로젝트를 담당했던 크리스 레벤디스(Chris Levendis)는 “올해 최고의 취약점 25개에는 깜짝 놀랄 만한 요소가 거의 없다”고 결론부터 말한다. “예전부터 우리를 괴롭혀왔던 주요 취약점들이 아직 고스란히 목록에 남아있거든요. 10년 전이나 지금이나 거의 다를 게 없습니다. 특히 상위권의 취약점들에서는 변동이 거의 없습니다. 하위권에서는 새로운 취약점들이 나타나긴 했지만요.”

1위를 차지한 취약점은 CWE-119로, 총점 75.56점을 받은 버퍼 오버플로우(buffer overflow) 취약점이다. 메모리 버퍼의 한계 내에서 이뤄지는 운영에 제대로 된 제한을 걸지 못해서 생기는 오류라고 한다. 이 오류를 활성화시킬 경우 메모리를 읽거나 쓰는 여러 행위들이 데이터 구조나 내부 프로그램 데이터와 연결된 메모리 영역에서 의도치 않게 발생하게 된다. 공격자가 이를 활용해 악성 코드를 실행하거나, 제어 흐름을 변경하고, 민감한 데이터를 열람할 수 있게 된다.

버트너와 레벤디스는 “프로젝트를 시작하기 전부터 버퍼 오버플로우 계열의 오류가 상위권을 차지할 것이라고 예상했다”고 한다. 2019년 목록을 제외하고 가장 최신 버전인 2011년 마이터 취약점 목록에서도 버퍼 오버플로우가 상위권을 차지했었기 때문이다. 그리고 어느 보도나 보고서를 봐도 버퍼 오버플로우처럼 자주 등장하는 취약점이 존재하지 않는다.

그 다음으로 높은 점수를 확보한 취약점은 CWE-79로, 웹 페이지 생성 시 입렵값을 제대로 확인하지 못해서 생기는 오류라고 한다. 흔히 XSS 취약점으로 알려져 있다. 45.69점을 받았다. 이 역시 예상이 가능한 부분이었다고 두 전문가는 말한다. 그 다음은 CWE-20으로, 역시 입력값을 제대로 확인하지 않아서 생기는 문제다. 이 두 가지 취약점을 공격자가 악용할 경우, 임의 코드 실행 공격이나 제어 흐름 변경 공격을 실시할 수 있게 된다.

레벤디스는 “사용자나 사용자 기업들은 이 목록을 사용해 보안 점검을 실시하거나, 구매하려고 했던 소프트웨어를 다시 한 번 살펴볼 수 있다”고 강조한다. 그러면서 “내부 개발자들이 취약점 점검과 보안에 어느 정도 신경을 쓰고 있는지도 어느 정도 확인할 수 있다”고 설명하기도 했다. “반대로 개발자의 경우 보다 튼튼한 프로그램을 만들 수 있으며, 개발 단계에서 보안의 중요성을 경영진에게 설득하는 데 이 목록을 사용할 수 있습니다.”

3줄 요약
1. 마이터 코퍼레이션, 2011년을 끝으로 중단했던 최고 취약점 목록 발표.
2. 10여년 만에 이뤄진 발표지만, 상위권 차지한 취약점은 거의 변화 없음.
3. 목록 활용해 보안 점검하고, 더 단단한 소프트웨어 개발할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)