작년에 발견된 소프트웨어 취약점의 개수는 2만 2316개

리스크 베이스드 시큐리티의 조사 결과...33%가 고위험군 혹은 그 이상으로 분류돼
‘패치 튜즈데이’에 공개되는 취약점이 가장 많아...지난 8월에만 총 300개 넘게 공개

[보안뉴스 문가용 기자] 2019년 한 해 동안 발굴된 취약점이 2만 2천 개 이상이며, 그 중 1/3 이상이 실제 공격이나 개념 증명을 위해 익스플로잇 되었다고 한다. 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)가 조사를 통해 내린 결론이다.

[이미지 = iclickart]

리스크 베이스드 시큐리티가 발표한 보고서에 따르면 2019년에 발견된 취약점의 개수는 22316개로 2018년의 23210개보다 조금 적고, 2017년과 거의 비슷한 수준이라고 한다. 이중 33%가 CVSS 점수를 기준으로 고위험군 이상으로 분류됐다.

취약점이 가장 많이 공개된 제조사는 오라클, IBM, 구글, 마이크로소프트, 델, 시스코인 것으로 나타났다. 일부 리눅스 버전과 오픈소스 소프트웨어에서도 적잖은 취약점이 발견되었다. 상위 10개 목록에 이름을 올린 오픈소스 및 리눅스 버전들이 있을 정도였다.

취약점이 가장 많이 공개되는 건 이른 바 ‘패치 튜즈데이(Patch Tuesday)’라고 하는 날로, 대형 소프트웨어 개발사들이 일제히 정기 패치를 실시하는 때다. 어도비, 마이크로소프트, 지멘스, SAP가 매달 둘째 주 화요일에 패치를 배포하는 것으로 유명하다.

2019년에는 8월의 ‘패치 튜즈데이’에 가장 많은 취약점이 공개됐다. 무려 327개의 취약점이 그 날 하루에 공개되고 패치됐는데, 이 중 62%가 마이크로소프트와 어도비의 제품에서 나왔다.

미국은 올해 있을 대선을 해킹 공격으로부터 보호하는 것에 큰 관심을 가지고 있는데, 리스크 베이스드 시큐리티의 보고서에 따르면 지난 해에만 전자 투표 기계(EVM)에서 302개의 취약점이 발견됐다고 한다. 게다가 289개가 아직 패치되지 않은 상태다.

“EVM 취약점들 중 해결책이 마련된 건 13개에 불과합니다. CVE 취약점 관리 번호가 부여된 건 딱 하나이고요.” 리스크 베이스드 시큐리티의 부회장인 브라이언 마틴(Brian Martin)의 설명이다. “취약한 EVM은 과거에도 해킹 공격에 활용됐습니다. 앞으로도 그럴 겁니다. 시급히 패치해야만 할 겁니다.”

그러면서 마틴은 “어떤 정당을 지지하고, 어떤 성향을 가지고 있든, 선거 시스템을 보호하는 것이 민주주의라는 거대한 사회 질서를 유지하기 위한 기본 중 기본”이라고 주장했다. 그러면서 “이 부분에서의 문제가 이처럼 해결되지도 않고 있고, 심지어 선거 시스템에 대한 각종 문제를 고발하는 곳도 드물다는 것이 지금 미국 사회가 직면한 가장 큰 문제”라고 덧붙였다.

리스크 베이스드 시큐리티는 이 보고서를 자사 웹사이트를 통해 공개하고 있다. 이 링크(https://pages.riskbasedsecurity.com/hubfs/Reports/2019/2019%20Year%20End%20Vulnerability%20QuickView%20Report.pdf)를 따라가면 PDF 버전을 다운로드 받을 수도 있다(영문).

3줄 요약
1. 작년에 발견된 취약점은 2만 2천여 개. 작년보다 조금 줄어듦.
2. 오라클, 마이크로소프트, 시스코, 리눅스, IBM, 델 등에서 가장 많은 취약점 나옴.
3. 미국에서는 선거 시스템에서 발견된 취약점이 해결 안 되는 게 가장 큰 문제.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)