베라코드에서 가장 많이 발견된 취약점은 정보노출!

미국 어플리케이션 보안업체 베라코드, 소프트웨어 보안 상태 발표

[보안뉴스 김경애 기자] 미국 어플리케이션 보안업체 베라코드(Veracode)가 소프트웨어 보안 상태를 31일 발표했다.

[이미지=한국인터넷진흥원]

이번에 발표된 베라코드 소프트웨어 보안 상태는 2016년 4월부터 2017년 3월까지 1,400 명의 고객을 대상으로 실시된 400,000건의 평가에 대해 약 2,500억줄의 소스코드를 분석한 결과다.

고객이 개발한 프로그램에 대해 최초로 취약점을 스캔했더니, 약 69.8%는 OWASP TOP 10 안에 포함된 취약점이며, 상당수의 해당 취약점들은 조치되지 않은 것으로 조사됐다.

OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트로 주로 웹에 관한 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표한다.(2004년, 2007년, 2010년, 2013년, 2017년)

[이미지=한국인터넷진흥원]

다만, 고객의 마지막 취약점 스캔 시에는 최초 스캔 대비 취약점이 일부(3.9%↑) 개선됐다. 또한, 최초 및 마지막 스캔 시 심각한 취약점이 발견된 비중은 각각 11.7%, 8.6%로 조사됐다.

[이미지=한국인터넷진흥원]

가장 많이 발견된 취약점은 정보노출 취약점이며, 취약점이 발견된 프로그램 중 약 72.1%를 차지했다. 이어서는 암호화결함(64.9%), 코드품질(61.7%) 순으로 집계 됐다.

[이미지=한국인터넷진흥원]

따라서 소프트웨어 개발 시 취약점은 항상 발생할 수 있으므로 개발 단계에서부터 취약점 스캔을 통한 프로그램 개선 작업이 필요하다.

좀더 자세한 내용은 한국인터넷진흥원을 통해 확인할 수 있다.
[김경애 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)