국내 소프트웨어(SW)에서 발견되는 취약점 중 대부분이 이미 흔히 알려진 유형의 취약점인 것으로 나타났다.
한국인터넷진흥원(KISA)은 이같은 내용을 담은 '보안 취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안' 보고서를 지난 16일 공개했다.
KISA는 지난 2012년부터 보안 취약점 신고 포상제를 운영하고 있다. 2019년부터는 웹사이트 취약점 발굴을 위한 모의 해킹 대회 '핵 더 챌린지'도 개최하고 있다. 이같은 포상 제도를 통해 포상이 지급된 취약점 건수는 작년까지 총 3천173건이다. 2019년까지 매해 신고 건수가 늘다 작년에는 수치가 다소 감소했다.
해당 보고서에서는 최근 3년간 신고된 취약점들을 분석했다. 2018년과 2019년의 경우 모바일 및 사물인터넷(IoT) 취약점 비율이 높았던 반면, 작년은 IoT 취약점이 감소했고 애플리케이션과 서비스 취약점이 높은 비율을 차지했다. 애플리케이션 취약점 중에선 전년 대비 파일 전송·원격 협업 솔루션 관련 취약점 비중이 늘었다.
이같은 결과에 대해 KISA는 "IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소 추세에 있다"며 "비대면 업무방식이 늘어남에 따라 파일전송, 업로드 보안 및 원격 협업 솔루션 사례는 증가했다"고 분석했다.
포상이 지급된 취약점 유형을 살펴보면 '크로스 사이트 스크립팅(xss)'이 458건으로 가장 많은 비중을 차지했다. 이를 비롯해 부적절한 권한 검증으로 인한 파라미터 변조 공격, 데이터베이스명령어인 SQL를 이용해 DB를 조작하는 SQL인젝션 등 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다.
그 다음으로는 프로그램에 메모리 오류를 유발하는 오버플로 취약점, 적절한 검증 절차를 거치지 않은 사용자가 악성 명령을 내릴 수 있는 명령어 삽입 취약점이 높은 비율을 차지했다.
KISA는 최근 신고포상제에 접수된 취약점들이 대부분 많이 알려져 있고 연구되는 유형이라고 설명했다. 이는 국내 SW가 개발되는 과정에서 보안에 대한 고려가 충분히 이뤄지지 못하고 있다는 점을 시사한다고 봤다. 프로그램의 소스코드를 작성하는 과정에서부터 취약점을 제거하는 SW 개발보안(시큐어코딩) 활용이 미진하다는 것이다.
관련기사
- 해킹 치밀해지는데…'보안 취약점 포상제' 활성화 언제?2020.12.31
- 구글, 작년 '보안 취약점' 포상금에 75억원 썼다2021.02.05
- 네이버, 보안취약점 제보 포상제 독립 운영2019.09.03
- "소스코드 취약점 찾는 것이 시큐어코딩 아니다"2021.01.31
실제로 공공 시장의 경우 전자정부법 상 SW 개발 보안 의무 적용 대상이 규정돼 있는 등 SW 개발보안 활용이 확대돼온 반면, 민간 시장의 경우 상대적으로 SW 개발보안이 활성화되지 못한 상태다.
보고서에서 KISA는 "개발자들은 프로그램의 정상적인 의도에 초점을 맞춰 개발하지만, 공격자들은 정상적인 의도 외에 허용되는 모든 경우의 수에 집중하기 때문에 취약점이 없는 완벽한 프로그램을 만들기는 사실상 불가능할 수 있다"면서도 "보안 위협을 최소화하기 위해 SW 개발사들은 프로그램 개발 초기 단계부터 공격자에게 허용되는 위협을 최소화해야 한다"고 강조했다.
