소프트웨어 취약점의 왕, SQL 주입, 1위 자리 내주다

수년 동안 가장 위험하고 보편적인 소프트웨어 취약점이었던 SQL 주입
미국 국토안보부 기준으로 6위로 떨어져...하지만 절대적 평가 아냐

[보안뉴스 문가용 기자] 소프트웨어 취약점들 중 가장 심각하고 만연한 오류로서 1위 자리를 굳건히 지켜왔던 ‘SQL 주입 오류’가 드디어 왕좌에서 내려왔다. 이제 가장 위험한 소프트웨어 취약점은 ‘메모리 버퍼의 한계 내 작동에 대한 부적절한 제한(Improper Restriction of Operations within the Bounds of a Memory Buffer)’이다. 그 다음은 교차 사이트 스크립팅(XSS) 취약점이고, 3위부터 순서대로 ‘부적절한 입력값 확인’, ‘정보 노출’, ‘한계 초과 읽기 오류’, ‘SQL 주입’이 꼽혔다.

[이미지 = iclickart]

취약점의 위험도를 순서대로 발표한 건 미국 국토안보부 산하에 있으며 마이터 코퍼레이션(MITRE Corporation)이 운영하는 ‘시스템 엔지니어링 개발 기구(Systems Engineering and Development Institute, SEDI)’다. 위에서 언급된 취약점들만이 아니라 가장 위험한 소프트웨어 취약점 25개를 선정해 공개했다. 보편성과 심각성을 토대로 소프트웨어 취약점이 집계되어 발표된 건 8년 만에 처음이다.

SEDI는 CVE 형태로 수집된 취약점들 중 소프트웨어에서 발견된 것만 약 2만 5천여 개를 지난 2년 동안 점검했다고 한다. 그리고 최대한 많은 소프트웨어에서 공통적으로 나타나는 것들과 심각한 피해를 입힐 가능성이 높은 것들을 골라냈다. 심각하지만 많은 소프트웨어에서 나타나지 않거나, 많은 곳에서 보이지만 위험도가 낮은 취약점은 걸러졌다.

8년 전 위험하고 보편적인 취약점을 꼽을 때는 보안 전문가들을 인터뷰했었다. 즉 주관적인 느낌을 물었던 것으로, 객관적인 데이터로서의 가치에는 의구심이 들던 게 사실이었다. SEDI의 프로젝트 리더인 크리스 레벤디스(Chris Levendis)는 “보다 일관적이고 신뢰할 만한 결과를 얻기 위해 데이터 위주의 방법론을 취했다”고 설명한다. “앞으로도 계속해서 더 나은 방법론을 찾아낼 것입니다.”

SEDI가 이번에 발표한 취약점 목록은 목적성이라는 측면에 있어서 OWASP이 발표하는 소프트웨어 취약점 목록과 닮았다. “이 목록의 목표는 현장의 개발자들과 보안 전문가들이 흔히 저지르는 실수를 최대한 막는 것"이다. 우선 순위에서 밀리는 취약점에 시간을 할애함으로써 시간 활용을 제대로 하지 못하는 것을 막기 위해 알아야 할 것과 소프트웨어를 개발할 때 가장 먼저 고려해야 할 것들을 정리한 것이라고 볼 수 있다. 하지만 SEDI의 목록이나 OWASP의 목록이나 수년 동안 거의 변하지 않았다. 같은 실수가 개발자들 사이에서 반복된다는 뜻이다.

보안 업체 노비포(KnowBe4)의 보안 인식 제고 전도사인 자바드 말릭(Javvad Malik)은 “변화가 거의 없다는 건 결국 개발자들 사이에서 보안이 제대로 인지되지 않고 있다는 뜻밖에 되지 않는다”고 말한다. “솔직히 우리가 보안 취약점 익스플로잇이 어떻게 발생하고, 어떻게 방지하는지 몰라서 사고를 겪는 게 아닙니다. 예방책도 대부분 알고 있고, 대응법 매뉴얼도 충분히 마련할 수 있습니다. 문제는 귀찮음이죠. 생산성과 수익성에 온 힘을 쏟다보니 보안에 투자할 여력이 없는 겁니다.”

보안 업체 이뮤니웹(ImmuniWeb)의 CEO인 일리야 콜로첸코(Illia Kolochenko)는 “이번에 발표된 취약점 목록에 보안 업계가 모두 동의하지는 않을 것”으로 예상하고 있다. “예를 들어 XSS 취약점의 경우 매우 흔하게 나타나는 오류는 맞지만, 익스플로잇이 특별히 간편한 건 아닙니다. 거의 대부분 소셜 엔지니어링 등을 통한 피해자와의 직접적인 접촉이 있어야만 하죠. 따라서 매우 심각하다고 보기에는 애매한 구석이 있습니다.”

그 외에도 이번 목록에 등장한 여러 취약점들과 순위에 대해 반박이 있을 수 있다. 콜로첸코는 “그 누가 어떤 방법으로 목록을 만든다 한들, 보안 업계 전체의 만장일치를 끌어내지는 못할 것”이라며, “그렇기 때문에 여러 가지 취약점 평가 기준을 적용해 보다 총체적인 이해도를 갖추는 게 중요하다”고 강조했다.

3줄 요약
1. 미국 국토안보부 산하 조직, 위험한 취약점 목록 발표.
2. 가장 보편적이면서 가장 위험한 취약점 25개 선정.
3. 만장일치를 이뤄내기는 힘들지만, 여러 평가 기준 가지는 것 나쁘지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)