웹사이트 1백만 개 보안 성적표 공개... A+ 받은 곳은 1%도 안 돼

모질라 옵저버토리 툴 통해 웹사이트 1백만 개 보안 실태 점검
분석 결과 A+는 0.013%, F는 93.45%로 대부분이 낙제점 받아

[보안뉴스 오다인 기자] 웹사이트 1백만 개의 보안 성적표가 나왔다. ‘A+’를 받은 곳은 0.013%, ‘F’를 받은 곳은 93.45%로 나타나 대부분의 웹사이트가 보안 영역에서 낙제했다.

[이미지=iclickart]

비영리 재단 모질라(Mozilla)는 웹 분석 서비스 알렉사(Alexa)의 상위 1백만 개 웹사이트를 대상으로 보안 실태를 점검했다. XSS 취약점, 중간자 공격, 쿠키 탈취 등으로부터 웹사이트 방문자를 보호하는 데 사실상 거의 모든 웹사이트가 실패했다고 모질라는 분석했다.

모질라는 지난 6월 28일 자사 보안 블로그를 통해 이 같은 분석 결과를 발표했다. 모질라는 지난 해 웹 보안 점검 및 강화를 위해 옵저버토리 툴(Observatory tool)을 출시했는데 이후 이 툴의 총 13개 보안 기술에 대해 각 웹사이트의 적용 유무를 검사했다. 예컨대, 웹사이트가 HTTPS로 암호화하는지, XXSSP로 XSS 공격을 방어하는지 등을 기준으로 상위 1백만 개 웹사이트의 보안을 점검한 것이다. 현재 기준 전체 웹사이트 개수는 12억 개를 상회한다.

최상급인 ‘A+’를 받은 웹사이트는 2016년 4월 0.003%에서 2017년 6월 0.013%로 증가했다(+62%). ‘A’ 등급 웹사이트는 0.006%에서 0.029로(+142%), ‘B’ 등급 웹사이트는 0.202%에서 0.622%로(+79%) 증가했다. ‘C’ 등급은 0.321%에서 1.38%로(+90%), ‘D’ 등급은 1.87%에서 4.51%(+60%)로 증가했으며 ‘F’ 등급은 97.60%에서 93.45%로(-2.8%) 감소해 아직까지 미흡한 수준이나 웹사이트 보안은 지속적으로 강화되는 추세로 나타났다.

옵저버토리 툴의 보안 기술 적용 항목별로 보면, 단 한 항목을 제외한 대부분의 항목에서 긍정적인 변화가 나타났다. HPKP 프리로드 항목에서만 적용 비율이 감소한 것으로 나타났고 이를 제외한 다른 모든 영역에서 웹사이트 보안 기술 적용이 높아졌다. CSP는 125%, SRI는 117%까지 증가했다. 특히 모질라는 HTTPS를 지원하는 웹사이트가 36% 증가했고 이는 119,000개 웹사이트에 해당하는 수치라는 점에 주목했다.

모질라는 보안 기술이 적절하게 사용되면 해당 웹사이트나 사용자를 수많은 공격으로부터 보호할 수 있다고 강조했다. 모질라의 보안 엔지니어이자 옵저버토리 툴의 개발자인 에이프릴 킹(April King)은 보안 전문매체 쓰레트포스트(ThreatPost)와의 인터뷰에서 “다양한 보안 기준이 이곳저곳에 흩어져 있기 때문에 웹 사이트 보안을 위해 딱 필요한 한 가지를 꼽긴 어렵다”고 설명했다. 킹은 “브라우저 제작자가 최근 개발한 기술들을 모두 적용해서 웹사이트를 안전하게 만든다는 건 결코 쉽지 않은 일”이라고도 덧붙였다.

한편, 옵저버토리 툴은 웹사이트 보안과 관련해 최저 0점에서 최고 100점까지 점수를 내는 분석 도구이다. 옵저버토리 툴의 점수는 특정 기술의 적용 여부를 넘어 해당 기술이 적절하게 적용됐는지도 검토한 뒤 도출된다. 킹은 “점점 더 많은 신규 웹사이트가 옵저버토리 툴을 사용하고 있는데, 이는 인터넷 시민의 안전을 향상시키겠다는 모질라의 사명이 달성되고 있다는 증거인 셈”이라고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)