Home > Security

보안 취약점 신고포상건수로 집계한 최근 3년간 해킹 공격 유형 TOP 10

  |  입력 : 2021-02-22 01:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
KISA가 운영하는 보안 취약점 신고포상건수로 살펴본 공격 유형 1위 XSS, 2위는 오버플로우
대상별로는 2020년 IoT 취약점 감소, Application과 Service 취약점이 높은 비율 차지


[보안뉴스 권 준 기자] 4차 산업혁명 시대를 맞이하면서 소프트웨어는 PC 뿐만 아니라 스마트폰, IoT 기기, 스마트카 등 다양한 분야에서 활용되고 있다. 이렇듯 소프트웨어 사용이 증가하면서 대부분의 사이버보안 및 해킹 사고는 소프트웨어에 존재하는 보안 취약점을 악용해 발생되고 있다.

[이미지=utoimage]


이러한 보안 사고를 예방하기 위해서는 무엇보다 보안 취약점을 사전에 인식하고 조치하는 것이 중요하다. 이에 한국인터넷진흥원(KISA)은 보안 취약점을 제거하기 위해 집단 지성을 활용하는 ‘보안 취약점 신고포상제’를 2012년부터 운영해오고 있으며, 법적 제한으로 인해 취약점 분석에 한계가 있는 서비스에 대해서는 2018년부터 ‘핵더챌린지’를 신고포상제의 일환으로 개최해오고 있다.

이와 관련 KISA는 최근 3년간 ‘핵더챌린지’를 포함한 신고포상제를 통해 분석된 취약점 유형을 구분하고 공격 사례를 통해 개발자가 보안 패치 시 놓치기 쉬운 대응방안을 제시한 기술문서를 발표했다. 여기서는 보안 취약점 신고 포상건수로 집계한 최근 3년간 가장 빈번했던 해킹 공격 유형 10가지를 중심으로 살펴본다.

▲보안 취약점 신고포상건수로 집계한 최근 3년간 공격 유형별 통계[자료=KISA]


최근 3년간 신고된 취약점 가운데 신규로 검증되어 포상된 건수를 기준으로 통계를 산출한 결과, 가장 많았던 공격 유형은 크로스 사이트 스크립팅(XSS)으로 총 458건이었던 것으로 집계됐다. 이어 오버플로우가 332건, 명령어 삽입(Command Injection)이 175건으로, 각각 2, 3위를 차지했다. 그 다음으로는 부적절한 권한 검증(105건), 파일 다운로드 및 실행(94건), SQL Injection(90건), 파일 다운로드(76건), 취약한 인증 및 세션 관리(72건), 임의 파일 실행(38건), 파일 업로드(33건) 순이었다.

해당 결과에 대해 KISA 측은 크로스 사이트 스크립팅, 부적절한 권한 검증으로 인한 파라미터 변조 공격, SQL Injection 등과 같이 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다고 밝혔다. 그 다음으로는 입력 값 검증 미흡으로 인한 오버플로우 취약점, 명령어 삽입(Command Injection) 취약점이 높은 비율을 차지하고 있다는 설명이다.

▲최근 3년간 취약점 대상별 포상건수[자료=KISA]


또한, KISA는 대상별로 취약점을 분류한 결과 크게 Application, Service로 나눌 수 있으며 Application과 Service 경계선상에 있으나 고유 특징을 가지고 있는 모바일 및 IoT(PC를 제외한 하드웨어 친화적 IoT기기), ActiveX(브라우저 플러그인), CMS(웹빌더 소프트웨어)를 포함해 분류했다고 밝혔다.

조사결과, 2018년과 2019년도에는 모바일 및 IoT 취약점 비율이 높았던 반면, 2020년은 IoT 취약점이 감소했고 Application과 Service 취약점이 높은 비율을 차지했다. 2020년 Application 내에서는 전년 대비 파일 전송·원격 협업 솔루션 대상이 증가했다. 이를 통해 IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소추세에 있으며, 비대면 업무방식이 늘어남에 따라 파일전송/업로드 보안 및 원격 협업 솔루션이 증가했다는 걸 알 수 있다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비