세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
작년, 웹 애플리케이션 취약점은 줄어들었다고?
  |  입력 : 2017-01-06 17:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
웹 애플리케이션 취약점 통계 내보니 줄어들어
웹 애플리케이션 취약점보다 사물인터넷 취약점에 더 집중한 까닭


[보안뉴스 문가용 기자] 해마다 이맘때면 지난 한 해 동안 발견된 취약점과 다양한 공격 시도들을 종합해 다가올 한 해를 대비한다. 그러나 지난 한 해라는 기간은 모두에게 똑같이 주어진 시간이었기 때문에 새로운 예측들이 그리 놀랍거나 획기적이진 않은 게 보통이다. 올해 나온 예측들도 다 고만고만했다. 하지만 딱 한 가지 놀라운 게 있었는데, 바로 웹 애플리케이션 취약점들이 2016년에 감소했다는 것이다.


이는 보안 전문업체인 임퍼바(Imperva)에서 주장하는 바로, 임퍼바의 연구원들은 지난 주 2016년을 기술적으로 되돌아본 것에 대한 보고서를 발간했다. 웹 애플리케이션 개발자들의 보안 지능이 드디어 향상되고 있다는 뜻일까? 하지만 임퍼바의 나다브 아비탈(Nadav Avital)과 미아 조스코빅츠(Mia Joskowicz)는 “그렇지 않다”고 딱 잘라 말한다. 이들의 설명은 간단하다. “보안 전문가들이 웹 앱에 신경을 못 쓰고 있다는 뜻일 뿐입니다. 다른 것에 더 집중하고 있다는 것이죠.”

두 전문가의 믿음은 확고하다. 취약점이 줄어드는 추세를 보일 리가 없다는 것이다. “지난 한 해 웹 앱 보안 취약점이 줄어들었다는 건, 보안의 측면에서 더 중요한 문제가 발생했다는 뜻이 됩니다. 즉 없어서 발견 못한 게 아니라 발견할 사람이 없어서 기록이 안 된 것 뿐이라는 뜻입니다. 아마 2016년 동안 보안 전문가들은 사물인터넷 기기 등에 더 신경을 쓰고 있지 않았을까 합니다.”

어떤 생명체라도 다 그렇듯, 사물인터넷도 유아기의 매우 취약하고 어리석은 단계를 지나고 있다. 취약점이 매우 많아, 보안 전문가들로서는 어렵지 않게 취약점을 찾아서 보고할 수 있다. 작년에 벌어진 데프콘(DEF CON) 행사 하나에서만 사물인터넷 취약점이 23개 샘플에서 47개나 발견되었다. 이게 무섭게 성장하는 사물인터넷 분야로 그대로 흘러가면 어떻게 될까? 상상하는 게 그리 어렵지 않은 질문이다.

지난 가을에 발표된 가트너의 보고서에 따르면, 2021년까지는 적어도 시간당 1백만 대의 사물인터넷 기기가 판매될 전망이고, 사물인터넷 애플리케이션에 투자 혹은 소비되는 금액은 분당 2백 5십만 달러에 달할 것이라고 한다. 공격 경로가 활짝 열린다는 뜻인데, 이런 전망을 앞두고 있는 전문가들이 웹 애플리케이션에만 매달리는 게 오히려 이상하게 보인다. 그리고 아무리 전문가들이지만 자기가 노력을 투자해 발견한 현상이 유독 시급해 보이는 법이다. 그러니 전망이 관심을 낳고, 관심이 노력으로 이어지고, 그 노력이 더 시급하고 위태로운 예견이 되고, 그 예견은 다시 전망이 되는 순환이 완성된다.

“1백만 대의 기기들이, 그것도 꾸준하게 보안 구멍 문제가 제기되고 있는 기기들이 시장에 등장한다면, 취약점 역시 넘쳐나게 될 것입니다. 그러면 사실 진짜로 웹 애플리케이션의 취약점은 아무 것도 아닌 것처럼 보일 정도로 어마어마한 사태가 벌어질 것입니다. 이전에 세상을 들썩이게 했던 Y2K나 하트블리드(Heartbleed)와는 비교도 안 될 정도로 파장이 클 것이 분명하고요.” 임퍼바의 설명이다.

단순히 사물인터넷 기기의 절대량이 늘어나기 때문에 위험하다는 게 아니다. 사물인터넷 기기에 있는 심각한 오류는 매우 기초적인 것이 대부분이라 발견 및 익스플로잇이 매우 쉽고, 공격을 받았을 때의 파장이 모바일에 랜섬웨어가 침투한 것과는 차원이 다르기 때문에 ‘사물인터넷 보안, 사물인터넷 보안’ 강조하는 것이다. 사물인터넷 기기들은 가장 물리적인 영역을 침투하고 있는 사이버 기기다.

물론 그렇다고 웹 애플리케이션에서는 잠시 손을 놔도 된다는 건 아니다. 웹 애플리케이션의 취약점도 우리에겐 분명한 위협이다. 다만 사물인터넷의 보안 문제가 워낙 급박하게 다가오고 있어서 자원의 지혜로운 배분이 필요한 것은 사실이다. 첩보도 분석해 우선순위를 정하듯, 시대적인 위협들도 우선순위를 정해 대처해야 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)