‘보안취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응방안’이라는 기술문서를 한국인터넷진흥원에서 16일 발표했다.
해당 보고서는 △취약점 현황 △취약점 대상별 주요 취약점 공격 유형과 조치 방안 등에 대해 상세히 설명하고 있다.
보고서에 따르면, 지속적으로 증가하는 소프트웨어 보안 취약점 문제를 근본적으로 해결하기 위해서는 소프트웨어 개발 단계에서부터 보안을 고려하는 것이 중요하다고 강조한다.
한편 소프트웨어개발보안 제도 도입과 의무화를 시행하는 등 소프트웨어 개발 보안을 위해 노력하고 있지만, 대부분 소프트웨어 개발 기업은 부족한 예산과 인력, 촉박한 개발 기간, 보안 인식 부재 등으로 인해 소프트웨어 개발 단계에서부터 보안 취약점을 고려하지 못하고 있다고 지적한다.
이에 KISA는 보안취약점을 제거하기 위해 집단 지성을 활용하는 ‘보안 취약점 신고포상제’를 2012년부터 운영해오고 있으며, 법적 제한으로 인해 취약점 분석에 한계가 있는 서비스에 대해서는 2018년부터 핵더챌린지를 신고포상제의 일환으로 개최해오고 있다.
이 문서에는 최근 3년간 핵더챌린지를 포함한 신고포상제를 통해 분석된 취약점 유형을 구분하고 공격 사례를 통해 개발자가 보안 패치 시 놓치기 쉬운 대응방안을 제시하고 있다.
또 최근 3년 동안의 신고포상제 운영 결과에 따른 취약점 포상 현황과 공격 유형 분석을 통해 최근 취약점 대상 및 공격유형 흐름을 분석한 내용을 공개했다.
그리고 취약점 대상별로 분류해 애플리케이션, 서버, IoT, CMS, 액티브X 등 각 분류별 주요 취약점 사례를 제시하고 해당 취약점이 어떻게 공격에 악용될 수 있는지 제시했다. 이를 통해 공격자가 우회할 수 있는 부분, 패치시 놓칠 수 있는 부분을 중심으로 대응방안을 제시하고 있다.
취약점 현황을 보면, 2018년과 2019년에는 모바일 및 IoT 취약점 비율이 높았던 반면, 2020년은 IoT 취약점이 감소했고 애플리케이션과 서버 취약점이 높은 비율을 차지했다. 2020년 애플리케이션 내에서는 전년 대비 파일 전송·원격 협업 솔루션 대상이 증가했다.
이를 통해 IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소추세에 있으며, 비대면 업무방식이 늘어남에 따라 파일전송/업로드 보안 및 원격 협업 솔루션이 증가했음을 알 수 있다.
또 포상된 취약점의 공격 유형별 통계는 크로스 사이트 스크립팅(XSS), 부적절한 권한 검증으로 인한 파라미터 변조 공격, SQL Injection 등과 같이 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다. 그 다음으로는 입력 값 검증 미흡으로 인한 오버플로우 취약점, 명령어 삽입(Command Injection) 취약점이 높은 비율을 차지하고 있는 것으로 나타났다.
보다 자세한 사항은 보고서를 참조하면 된다. 이번 보고서는 KISA 홈페이지에서 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 가능하다.
◈2021 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최
K-CTI 2021, 국내 최고 권위의 정보보안 인텔리전스 정보 공유의 장
-날짜: 2021년 3월 9일(화) / 온라인 개최
-참석대상: 공공·기업 보안실무자 및 보안 분야 관계자
-교육이수: 보안교육 7시간 이수 가능(CISO/CPO/CISSP 등도 가능)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
