Home > Security
소프트웨어 취약점의 왕, SQL 주입, 1위 자리 내주다
  |  입력 : 2019-11-28 10:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
수년 동안 가장 위험하고 보편적인 소프트웨어 취약점이었던 SQL 주입
미국 국토안보부 기준으로 6위로 떨어져...하지만 절대적 평가 아냐


[보안뉴스 문가용 기자] 소프트웨어 취약점들 중 가장 심각하고 만연한 오류로서 1위 자리를 굳건히 지켜왔던 ‘SQL 주입 오류’가 드디어 왕좌에서 내려왔다. 이제 가장 위험한 소프트웨어 취약점은 ‘메모리 버퍼의 한계 내 작동에 대한 부적절한 제한(Improper Restriction of Operations within the Bounds of a Memory Buffer)’이다. 그 다음은 교차 사이트 스크립팅(XSS) 취약점이고, 3위부터 순서대로 ‘부적절한 입력값 확인’, ‘정보 노출’, ‘한계 초과 읽기 오류’, ‘SQL 주입’이 꼽혔다.

[이미지 = iclickart]


취약점의 위험도를 순서대로 발표한 건 미국 국토안보부 산하에 있으며 마이터 코퍼레이션(MITRE Corporation)이 운영하는 ‘시스템 엔지니어링 개발 기구(Systems Engineering and Development Institute, SEDI)’다. 위에서 언급된 취약점들만이 아니라 가장 위험한 소프트웨어 취약점 25개를 선정해 공개했다. 보편성과 심각성을 토대로 소프트웨어 취약점이 집계되어 발표된 건 8년 만에 처음이다.

SEDI는 CVE 형태로 수집된 취약점들 중 소프트웨어에서 발견된 것만 약 2만 5천여 개를 지난 2년 동안 점검했다고 한다. 그리고 최대한 많은 소프트웨어에서 공통적으로 나타나는 것들과 심각한 피해를 입힐 가능성이 높은 것들을 골라냈다. 심각하지만 많은 소프트웨어에서 나타나지 않거나, 많은 곳에서 보이지만 위험도가 낮은 취약점은 걸러졌다.

8년 전 위험하고 보편적인 취약점을 꼽을 때는 보안 전문가들을 인터뷰했었다. 즉 주관적인 느낌을 물었던 것으로, 객관적인 데이터로서의 가치에는 의구심이 들던 게 사실이었다. SEDI의 프로젝트 리더인 크리스 레벤디스(Chris Levendis)는 “보다 일관적이고 신뢰할 만한 결과를 얻기 위해 데이터 위주의 방법론을 취했다”고 설명한다. “앞으로도 계속해서 더 나은 방법론을 찾아낼 것입니다.”

SEDI가 이번에 발표한 취약점 목록은 목적성이라는 측면에 있어서 OWASP이 발표하는 소프트웨어 취약점 목록과 닮았다. “이 목록의 목표는 현장의 개발자들과 보안 전문가들이 흔히 저지르는 실수를 최대한 막는 것"이다. 우선 순위에서 밀리는 취약점에 시간을 할애함으로써 시간 활용을 제대로 하지 못하는 것을 막기 위해 알아야 할 것과 소프트웨어를 개발할 때 가장 먼저 고려해야 할 것들을 정리한 것이라고 볼 수 있다. 하지만 SEDI의 목록이나 OWASP의 목록이나 수년 동안 거의 변하지 않았다. 같은 실수가 개발자들 사이에서 반복된다는 뜻이다.

보안 업체 노비포(KnowBe4)의 보안 인식 제고 전도사인 자바드 말릭(Javvad Malik)은 “변화가 거의 없다는 건 결국 개발자들 사이에서 보안이 제대로 인지되지 않고 있다는 뜻밖에 되지 않는다”고 말한다. “솔직히 우리가 보안 취약점 익스플로잇이 어떻게 발생하고, 어떻게 방지하는지 몰라서 사고를 겪는 게 아닙니다. 예방책도 대부분 알고 있고, 대응법 매뉴얼도 충분히 마련할 수 있습니다. 문제는 귀찮음이죠. 생산성과 수익성에 온 힘을 쏟다보니 보안에 투자할 여력이 없는 겁니다.”

보안 업체 이뮤니웹(ImmuniWeb)의 CEO인 일리야 콜로첸코(Illia Kolochenko)는 “이번에 발표된 취약점 목록에 보안 업계가 모두 동의하지는 않을 것”으로 예상하고 있다. “예를 들어 XSS 취약점의 경우 매우 흔하게 나타나는 오류는 맞지만, 익스플로잇이 특별히 간편한 건 아닙니다. 거의 대부분 소셜 엔지니어링 등을 통한 피해자와의 직접적인 접촉이 있어야만 하죠. 따라서 매우 심각하다고 보기에는 애매한 구석이 있습니다.”

그 외에도 이번 목록에 등장한 여러 취약점들과 순위에 대해 반박이 있을 수 있다. 콜로첸코는 “그 누가 어떤 방법으로 목록을 만든다 한들, 보안 업계 전체의 만장일치를 끌어내지는 못할 것”이라며, “그렇기 때문에 여러 가지 취약점 평가 기준을 적용해 보다 총체적인 이해도를 갖추는 게 중요하다”고 강조했다.

3줄 요약
1. 미국 국토안보부 산하 조직, 위험한 취약점 목록 발표.
2. 가장 보편적이면서 가장 위험한 취약점 25개 선정.
3. 만장일치를 이뤄내기는 힘들지만, 여러 평가 기준 가지는 것 나쁘지 않음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제