올 한 해 발굴된 취약점은 17,447개…4년 연속 기록 갱신

작년에 비해 약 150개 늘어…위험도로 분류했을 때 비율은 거의 비슷
서두르는 개발 문화와 취약점 발굴 능력 향상…둘 다 취약점 증가에 영향

[보안뉴스 문가용 기자] 미국의 침해대응센터(US-CERT)가 올해 등록된 취약점의 수가 17,447개라고 발표했다. 4년 연속 기록이 갱신되고 있다. 작년의 취약점 수는 17,306개였다. 올해의 경우 고위험군 4,168개, 중간급 10,710개, 저위험군 2,569개인 것으로 집계됐다. 작년의 비율도 비슷하다.

[이미지 = utoimage]

취약점이 꾸준히 증가하기만 하는 건 왜일까? 개발자들의 엉성함이 도저히 고쳐지지 않는 것일까? 화이트햇 해커들의 취약점 발굴 능력이 점점 더 벼려지는 것일까? 전문가들은 이 두 가지 요소 모두가 고르게 작동하고 있다고 말한다.

버그바운티 플랫폼인 버그크라우드(Bugcrowd)의 보고서에 의하면 지난 12개월 동안 제출된 취약점 보고서가 전년 대비 50% 증가했다고 한다. 그 중 치명적인 위험도를 가진 취약점은 65% 증가했고, 상금 수상 대상이 될 수 있는 보고서는 4% 증가한 것으로 집계됐다. CTO인 케이시 엘리스(Casey Ellis)는 “보다 더 위험한 취약점을 찾는 보안 전문가들의 능력과, 보고서 작성 능력이 이전에 비해 훨씬 나아졌다는 뜻”이라고 설명한다.

취약점들 중 대다수는 웹 애플리케이션들에서 나왔다. 다만 다른 부분에서 발견되는 취약점들도 빠르게 늘어나고 있다. 웹 앱 외 다른 분야에 전문성을 가진 해커들의 취약점 발굴 작업이 이어지고 있어, 비율이 곧 뒤바뀔지도 모른다는 예측이 나오고 있기도 하다. 특히 API 취약점들이 크게 늘어나 작년에 비해 2배의 수치를 보여주고 있다. 안드로이드의 경우 지난 해 보다 취약점의 수가 3배 가까이 늘어났다.

코로나로 인해 올해 보안 전문가들은 대단히 바빴다. 초반에는 재택 근무를 지원하기 위해 움직였다. 임직원들이 집에서 일하면서도 안전하도록, 사업은 평상시처럼 유지되도록, 회사 네트워크로 통하는 온갖 공격 경로를 날카롭게 지켜보느라 몸이 두 개여도 모자랄 지경이었다. 하지만 이런 상황이 이어지고 원격 근무 체제에 어느 정도 익숙해지자 시간이 남았다. 집에서 시간이 남으니 버그바운티로 눈을 돌렸다. ‘투잡’, ‘쓰리잡’을 시작한 것이다.

그래서 그런지 버그크라우드만이 아니라 해커원(HackerOne)도 보고서를 통해 버그바운티에 참여하는 보안 전문가들의 수가 크게 늘어났다고 발표했다. 해커원이 현재까지 발굴해 낸 모든 취약점의 1/3이 올 한 해에만 나온 것이라고 한다. 해커원에 등록한 보안 전문가의 수도 한 해 만에 59% 증가했고 제출된 버그 리포트는 28% 증가했다.

사용자 기업들 혹은 버그바운티 상금을 내는 편에 있는 기업들 사이에서 ‘취약점’에 대한 개념도 올 한 해 바뀔 수밖에 없었다. 보통 이런 조직들은 ‘고객이 직접 사용하는’ 혹은 ‘고객과 직접 접촉하는’ 자원에서 나오는 취약점들만 고쳐왔다. 하지만 코로나로 인해 네트워크의 형태가 완전히 바뀌면서 ‘서드파티 요소들’에서 나오는 취약점들에도 신경을 쓰기 시작했다. 특히 집에 간 직원들이 마음대로 설치하는 프로그램들이나 화상 회의에 필요한 솔루션들, VPN들에서 나오는 취약점 소식에도 애간장이 타기 시작했다는 것이다.

해커원의 CTO인 알렉스 라이스(Alex Rice)는 “정상을 크게 벗어난 근무 형태가 이어지다가, 그 비정상 근무 형태가 굳어져 정상이 되었다”고 말하며 “이 때문에 모든 기업들이 보안에 대해 달리 생각할 수밖에 없었을 것”이라고 설명한다. “기존의 보안 방책들이 빠른 속도로 깨져나가는 것을 보고 태평할 수 있는 조직 임원이나 보안 담당자들은 어디에도 없었을 겁니다.”

이런 모든 요소들이 취약점의 증가에 영향을 미쳤을 것은 분명하다. 하지만 코로나가 소프트웨어 개발 문화를 변화시켰다는 것도 기억해야 한다. 많은 조직들이 반 강제적으로 개발자들을 각자의 집으로 흩어야했고, 그러면서 조급해졌다. 생산을 서두르면서 품질 보장 단계를 건너 뛰기 시작했다. 서드파티 및 오픈소스에 대한 의존도가 높아졌다. 보안 업체 K2 사이버 시큐리티(K2 Cyber Security)의 CEO인 프라빈 마다니(Pravin Madhani)는 “개발자 한 사람 한 사람의 문제라기보다 개발 프로세스 자체가 취약점이 많이 있을 수밖에 없는 쪽으로 흘러가고 있다”고 지적한다.

3줄 요약
1. 4년 연속 취약점 수 기록이 갱신되고 있음.
2. 취약점이 자꾸만 늘어나는 건 개발 문화가 허술해지고 취약점 발굴 능력이 발달해서.
3. 코로나로 얼룩진 올 한 해, 여러 가지로 취약점 관련 상황이 악화됨.
[국제부 문가용 기자(globoan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)