2018년, 해커들이 가장 많이 사용했던 취약점은 무엇일까?

애플리케이션 취약점들이 발생하는 이유 두 개 : 오픈소스와 ‘빨리빨리’
새로운 취약점들도 많지만, 오래된 취약점들도 있어...패치의 중요성

[보안뉴스 문가용 기자] 2019년이 시작된 지 스무날이 지났지만, 아직도 2018년을 점검하기에는 늦지 않았다. 그런 의미에서 최근 보안 회사 화이트햇 시큐리티(WhiteHat Security)가 2018년 최악의 애플리케이션 보안 취약점들에 대해 조사해 발표했다.

[이미지 = iclickart]

화이트햇 측은 2018년 악성 해커들이 가장 흔하게 사용했던 웹 익스플로잇들을 먼저 정리했다. 여기에는 새로운 취약점들과 오래된 취약점들이 고루 들어 있었다. 오래된 취약점들 중에는 보안 업계의 전문가들이 ‘고전’이라고 부를 정도로 너릴 알려진 것들도 있었다.

화이트햇의 기업 전략 부문 부회장인 세투 쿨카니(Setu Kulkarni)는 “2018년 최고의 애플리케이션 취약점들은 크게 두 개의 진원지를 가지고 있다”고 정리한다. “둘 다 소프트웨어 개발 과정에 있습니다.”

하나는 오픈소스로, 점점 툴과 기능, 애플리케이션을 오픈소스로 공유하는 행위가 늘어나고 있다는 건 개발자라면 잘 알고 있는 부분이다. 공공 API를 사용하면 기능을 빠르게 빌려오는 게 가능하기 때문에 개발자들 사이에서 이러한 움직임은 앞으로 당분간 지속될 전망이다. 쿨카니는 “그런데 오픈소스를 통해서 취약한 부분들도 빠르게 공유되고 있다”고 지적한다.

또 다른 진원지는 데브옵스를 통해 유행이 되기 시작한 ‘빠른 개발/생산/출시 주기’라고 쿨카니는 주장한다. “데브옵스, 마이크로서비스, 오픈소스라는 요소들은 전부 새로운 유형의 취약점들을 애플리케이션 생태계에 들여놓고 있습니다. 코드를 제품이나 서비스로 전환시킬 수 있는 개발자들의 권한이 늘어나면서 생태계 전체가 취약해졌다고 봐도 될 정도입니다.”

그래서 뽑힌 최고의 취약점 10개에는 제이쿼리 파일 업로드(jQuery File Upload) 취약점(CVE-2018-9206)이나 워드프레스 도스 공격 취약점(CVE-2018-6989)와 같은 새로운 취약점부터 드루팔게돈(Drupalgeddon)이나 메이지카트(Magecart)와 같은 오래된 취약점까지 다양하게 섞여 있었다. XSS와 같은 ‘고전적인’ 취약점들 역시 수년 째 연속으로 순위에 오르는 데 성공했다.

화이트햇의 수석 연구원인 마크 로간(Mark Rogan)은 “XSS와 같이 오래된 취약점이 2018년 목록에 오른 이유는, 학교나 훈련 프로그램, 기업들에서 아직도 보안보다 개발 속도를 중시하기 때문”이라고 설명한다. “정말 부끄러운 일입니다. XSS는 방비하는 게 매우 쉬운 취약점이거든요. 속도에 미쳐서 이런 간단한 일조차 하지 않는다는 건 보안 전문가가 아니더라도 창피한 일이죠. 인풋을 확인하는 절차만 넣으면 되는데 말입니다.”

쿨카니는 “그렇다고 데브옵스라는 것 자체가 지양되어야 할 개발 방법론이라는 건 아니”라고 강조한다. “오히려 데브옵스로 가는 건 올바른 방향입니다. 다만 데브옵스라는 것 자체에 사람들이 익숙하지 않은 모습입니다. 앞으로 데브옵스를 가르치고 훈련시킬 때 시큐어 코딩을 습관화시켜야 합니다. 또한 개발 과정 전체에 주기적이고 지속적인 보안 점검 장치를 마련하는 것도 정착시켜야 할 문화이고요.”

그러면서 그는 “보안을 평가하고, 피드백을 개발자들에게 되돌려주는 것, 그리고 개발자들이 그 피드백을 그때 그때 개발 과정 중에 반영하는 것이 중요하다”고 말한다. “그런 시스템이 정확히만 갖춰진다면 데브옵스는 앞으로 오히려 애플리케이션 보안 문제를 줄이는 데 도움을 줄 것으로 보입니다.”

화이트햇이 뽑은 2018년 가장 흔한 취약점은 다음과 같다.
1. jQuery File Upload RCE – CVE-2018-9206
2. Magecart
3. WordPress DoS – CVE-2018-6989
4. Drupalgeddon 2 – CVE-2018-7600
5. Drupalgeddon 3 – CVE-2018-7602
6. Telerik’s RadAsyncUpload
7. Spring Data Commons – CVE-2018-1273
8. Cross Site Scripting – CVE-2018-1999024
9. Flash Player Hack – CVE-2018-4878
10. Spring OAuth Approval – CVE-2018-1260

3줄 요약
1. 2018년 해커들이 가장 많이 사용한 취약점 10개가 뽑히다.
2. 여기에는 오래된 것들과 새로운 것들이 혼재되어 있었다.
3. 취약점의 근간은 두 가지 : 오픈소스 활성화와 데브옵스.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)