기업 내 사용되는 애플리케이션의 96%가 취약점 내포하고 있다

지난 1년 동안 애플리케이션 정보 수집해 분석한 결과 거의 모두가 취약
실제 취약점 스캐닝 하는 공격자 트래픽은 꾸준히 증가...현재 정확도가 조금 떨어져

[보안뉴스 문가용 기자] 기업 내에세 활용되고 있는 애플리케이션에 취약점이 최소 하나라도 있을 확률은 대단히 높다. 보안 업체 콘트라스트 시큐리티(Contrast Security)가 2019년 6월부터 2020년 5월까지 자료를 수집해 분석한 결과를 보자면, 무려 96%의 애플리케이션들에서 최소 하나의 보안 취약점이 나왔으니 말이다. 게다가 이 취약점의 1/4 이상이 ‘심각한’ 위험도를 가지고 있는 것으로 나타났다. 11%의 애플리케이션에서는 취약점이 6개 이상 나왔다.

[이미지 = utoimage]

유형별로 꼽았을 때 가장 많이 나온 취약점은 교차 사이트 스크립팅(XSS), 접근 제어 관련 오류, SQL 주입이었다. 콘트라스트 시큐리티가 조사한 애플리케이션들 중 72%에서 설정 관련 취약점이 등장했고, 64%에서는 민감한 데이터가 노출되는 현상이 나타났다. 공격자들도 이를 잘 알고 적극 공략 중에 있는 것으로 나타났다. 이번 조사를 통해 한 달 평균 1만 3천 번이 넘는 공격이 애플리케이션을 겨냥하여 일어나고 있다는 것이 밝혀졌는데, 그 중 98%가 ‘스캐닝’과 관련된 것이었다. 즉 실제 공격을 위한 준비 단계의 행위들이 많이 적발된 것이다.

공격자들이 특히 많이 겨냥하고 있는 건 명령 주입을 유발하는 취약점으로, 이런 유형의 공격은 지난 1년 동안 179% 증가했다고 한다. 콘트라스트 시큐리티의 CTO인 제프 윌리엄즈(Jeff Williams)는 “이런 유형의 취약점은 그리 흔치 않은 게 사실이지만, 스캔을 통해 잘 발견되고, 익스플로잇 될 경우 공격자들이 애플리케이션 서버에 대한 완전 장악도 가능하게 해줘서 꽤나 위험하다”고 설명한다.

“기업들이 기억해야 할 것은 딱 두 가지입니다. 애플리케이션이 상당히 위험한 상태라는 것과 실제로 공격을 당하고 있다는 것입니다. 공격자들은 스마트하며 끈질기기도 합니다. 가장 영향력이 높은 취약점들이 무엇인지 알고 있고, 어떻게 찾아야 하는지도 이해하고 있으며, 주로 어떤 곳에서 발견되고, 어떻게 공격해야 최대의 효과를 거두는지에 대한 지식도 해박합니다.”

다행이라면 공격자들 사이에서 자동화 도구가 자주 사용되고 있으며, 아직 이 도구들이 표적을 정확히 맞추지는 못한다는 것이다. “마치 빌딩을 향해 돌을 한 움큼씩 던지지만, 창문을 제대로 맞추는 건 없는 것과 비슷합니다. 물론 이 현상도 일시적이겠죠. 던지는 사람이 익숙해지면 곧 창문이 깨지기 시작할 겁니다.”

한편 사용자 기업 혹은 조직들은 여전히 취약점 완화에 까다로움을 많이 느끼고 있다는 사실이 이번 조사를 통해 드러났다. 취약점 하나를 해결하는 데 걸리는 시간은 평균 67일이었다. 심각한 취약점의 경우는 36일이 기록됐다. 취약점이 30일 안에 해결되지 않을 경우, 대부분 90일 이상 그대로 남아 있다는 것도 발견됐다. 심각한 취약점이라고 하더라도 발견되고서 한 달 안에 해결되지 않을 경우 65%가 90일 이상 그대로 방치되고 있었다. “즉 취약점이 30일만 무사히 넘긴다면, 수명이 길어지는 경우가 많았다는 겁니다.”

물론 모든 취약점을 발견 즉시 해결할 수는 없다. 예를 들어 다른 취약점을 해결하고 있는 중이라면, 며칠 뒤로 패치가 미뤄질 수도 있다. “하지만 피치 못한 사정으로 패치가 되지 않는 경우는 드뭅니다. 무시하고 있다가, 혹은 뒤로 자꾸만 미루다가 잊어버리는 게 대부분입니다.” 윌리엄의 설명이다.

보안 업체 화이트햇 시큐리티(WhiteHat Security)의 CSO인 조셉 파이만(Joseph Feiman)은 “애플리케이션 패치 때문에 다른 오류가 발생하는 경우가 너무 많아서 패치가 미뤄지는 경우도 많다”고 말한다. “잘 사용하고 있던 앱이 패치 이후 문제만 일으킨다면, 다음 패치를 선뜻 적용하기 힘들죠. 그렇기 때문에 패치 전략을 짜기가 힘들기도 하고요. 심지어 취약점의 ‘심각성’이라는 것도 절대적 지표가 아닙니다. 조직의 특성과 상황에 따라 다르게 평가해야 합니다. 이 때문에 실제 현장에서 패치를 즉각 한다는 게 쉬운 일만은 아닙니다.”

하지만 보안 업체 크립시스그룹(Crypsis Group)의 CISO인 데이비드 파라원(David Faraone)은 “그런 현장에서의 어려움이 패치를 하지 않아도 된다는 ‘면허’가 되어서는 안 된다”고 강조한다. “변수가 많으니 오히려 더 현명하게 전략을 짜는 곳들도 있습니다. 예를 들어 어떤 회사는 CVSS 점수가 9.0을 넘으면 24시간 안에 패치하자는 단순한 전략을 운영하기도 하는데, 이 때문에 꽤나 단단한 상태를 유지하고 있습니다. 또 어떤 회사는 ‘서버에서 발견된 취약점은 다 패치한다’는 전략을 가지고 있기도 하고요.”

결국 “보안 취약점도 전략적으로 접근해야 한다는 게 핵심”이라고 파라원은 정리한다. “기조를 세우는 게 중요합니다. 취약점 하나하나에 골치 아플 필요가 없습니다. 섬세하게 하나하나 살필 수 있다면 좋겠지만, 보통은 그럴 여유가 없으니까요. 단순하더라도 기준 하나를 정해서 취약점을 다뤄간다면 있는 자원으로 최대한의 효과를 발휘할 수 있을 겁니다.”

3줄 요약
1. 기업 내 애플리케이션, 거의 모두가 최소 1개 이상 취약점 가지고 있음.
2. 게다가 이 취약점들 대부분이 실제 공격에 당하고 있는 것이 현실.
3. 취약점 관리, 현장에서 애로 사항 있을 수 있지만, 그 애로 사항이 취약점 관리 실패의 면책 사유가 되지는 않음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)