Home > 전체기사

오래된 장비와 소프트웨어 많은 유틸리티와 공공 분야가 위험하다

  |  입력 : 2021-06-23 16:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기반 시설과 공공 행정 분야의 소프트웨어들 중 63%는 거의 늘상 취약한 상태로 유지되고 있다는 조사 결과가 나왔다. 패치가 되는 데 걸리는 평균 시간은 200일을 훌쩍 뛰어넘는다. 그래서 그런 걸까. 이 분야를 겨냥한 공격도 갈수록 늘어나고 있다.

[보안뉴스 문가용 기자] 사회 기반 시설과 공익 사업에 종사하는 ‘유틸리티 분야’에서 생성되는 애플리케이션들 중 2/3와 공공 행정 조직들이 만드는 앱의 63%에서 심각한 취약점들이 발견되었다. 즉 매일처럼 이뤄지는 사회 기능들이 심각한 위험에 노출되어 있다는 뜻이 된다. 이러한 현상을 보안 업체 화이트햇 시큐리티(WhiteHat Security)가 조사해 발표했다.

[이미지 = utoimage]


보고서에 의하면 11개 산업군에서 심각한 취약점을 가진 애플리케이션들이 매일 생산 및 사용되고 있다고 한다. 한두 개의 문제가 아니라 분야별로 사용되는 앱들 중 절반 이상에서 이러한 문제가 발견됐다. 가장 심각한 산업은 유틸리티와 공공 행정, 전문 서비스였다.이 3개 산업군에서 애플리케이션 취약점이 해결되는 데 걸리는 시간은 평균 288일인 것으로 기록됐다.

패치가 이렇게까지 시간이 걸리는 이유는 많은 경우 지나치게 오래된 장비와 소프트웨어가 연루되어 있기 때문이며, 이런 장비와 소프트웨어들은 꾸준한 업데이트와 관리를 받지 못하는 것이 보통이라고 화이트햇 시큐리티의 부회장 세투 쿨카니(Setu Kulkarni)는 설명한다. “취약점을 찾는 것도 문제지만, 취약점을 고치는 것은 더 큰 문제입니다. 취약점이 발견된 애플리케이션을 잘 아는 개발팀이 있어야 가능한 것이니까요. 하지만 오래된 소프트웨어의 개발팀은 흩어진 지 오래됐겠죠.”

여러 산업 분야에서 애플리케이션 취약점들이 대거 발견되는 이유는(그리고 점점 더 많이 발견되는 이유는) 애플리케이션 점검 기술이 좋아지고, 그러한 활동이 늘어났기 때문이기도 하다고 화이트햇은 설명한다. “주요 산업에서는 애플리케이션 점검 비율이 10% 늘어났습니다. 그 결과 사이트 당 평균 2개의 취약점들이 발견되고 있죠. 최근 랜섬웨어 공격이 증가함에 따라 조직들이 애플리케이션 실험 빈도를 높였습니다. 그러면서 취약점들이 우수수 쏟아지고 있는 상황인 것이죠.”

이 모든 상황을 정리하면 다음과 같다. “공격자들의 공격 경로가 엄청나게 많은 상황이라는 게 최근 점검 결과로 확인되고 있습니다. 취약점이 자꾸만 발굴된다는 것과, 그 취약점들이 해결되는 데에 많은 시간이 걸린다는 게 치명적으로 작용할 것으로 예상됩니다. 반대로 취약점 패치에 걸리는 시간을 줄이는 데 집중하는 것이 현 시점에서는 보안 강화의 지름길이라고도 볼 수 있습니다.”

유틸리티와 공공 행정 분야에서 가장 많은 취약점이 발견되고 패치 속도가 느리다는 건, 오래된 요소가 많아 패치하기 힘든 경우가 많다는 뜻이지 다른 어떤 분야보다 취약하거나 공격이 잦은 곳이라는 의미는 아니라고 쿨카니는 강조한다. “오히려 더 많은 애플리케이션 점검 활동이 있기 때문에 이러한 결과가 나오는 것일 수도 있습니다. 그렇다는 건 오히려 (이 분야가) 더 안전할 가능성도 있다는 뜻이 되겠죠.”

그러나 최근 콜로니얼 파이프라인(Colonial Pipeline) 사태와 올해 초 물 공급원 오염 테러 사건에서 볼 수 있듯이, 유틸리티에 대한 사이버 공격이 증가하는 것은 사실이다. 즉 ‘유틸리티 분야가 지금 더 위험하다’고 말할 순 없지만 ‘앞으로 더 위험해질 수는 있다’는 것을 시사한다. “애플리케이션 절반 이상에서 취약점이 나오는데, 그걸 패치하지 못하고 있다는 건 분명히 개선되어야 할 점입니다. 분야 전체가 이 부분에 대한 개선을 이뤄나가야 합니다.”

가장 많은 사이버 공격을 받는 분야로 알려진 금융과 보험 업계는 이번 조사에서 꽤나 양호한 성적을 거뒀다. 그러나 상대적으로 양호하다는 것이 절대적으로 안전하다는 뜻은 아니다. 아직도 금융 및 보안 분야 애플리케이션의 43%에서 취약점이 발견되고 있기 때문이다. 다만 취약점이 발견되었을 때 패치되는 데 걸리는 시간은 훨씬 짧은 30일이었다. 이는 다른 분야에 비해 월등히 좋은 수치다.

“많은 공격을 받아봤기 때문에 훈련이 된 것입니다. 금융 분야는 해커와의 싸움이 가장 격렬하게 일어나는 곳입니다. 그래서 패치 속도가 빨라질 수밖에 없게 됐죠. 유틸리티 분야가 스스로 패치 속도를 높이지 않는다면 비슷한 과정을 겪을 것이라고 봅니다.” 쿨카니의 설명이다.

3줄 요약
1. 유틸리티와 공공 행정 분야의 애플리케이션, 절반 이상이 항상 취약한 상태.
2. 취약점이 많이 발견되기도 하지만 패치되는 데 걸리는 시간도 상당히 들어감.
3. 금융 분야도 적잖은 앱 취약점 나오지만, 패치 속도가 월등이 빠름.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)