보안 취약점 신고 받아보니..."대부분 알려진 취약점 반복"

최근 과기정통부와 KISA가 보안 취약점 신고 내용을 분석해 본 결과 상당수 취약점들이 이미 널리 알려진 것으로 확인됐다. [사진: 셔터스톡]

[디지털투데이 강진규 기자] 지난 수년간 접수된 보안 취약점 신고 내역을 분석한 결과 많이 알려진 취약점들이 반복적으로 신고된 것으로 나타났다. IT기업, 개발자들이 알려진 취약점들조차 제대로 조치하고 있지 않다는 지적이다.

18일 보안업계에 따르면 과학기술정보통신부와 한국인터넷진흥원(KISA)은 최근 '보안 취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안' 보고서를 발간했다.

KISA는 소프트웨어, 웹 등의 보안 취약점을 제거하기 위해 집단 지성을 활용하는 '보안 취약점 신고포상제'를 2012년부터 운영하고 있다. 2018년부터 핵더챌린지 대회를 통해 신고포상제를 확대했다. KISA는 보안 취약점 동향을 파악하기 위해 신고포상을 받은 취약점 사례들을 분석했다.

보고서에 따르면 2012년 14건에 불과했던 보안 취약점 포상건수는 2017년 411건으로 늘었다. 핵더챌린지 대회가 시작된 2018년에는 포상건수가 581건, 2019년에는 762건을 기록했고 지난해에는 542건으로 나타났다. 2012년부터 지난해까지 총 3173건의 보안 취약점에 대해 포상이 이뤄진 것이다.

KISA가 2018~2020년 1885건 포상사례를 면밀히 분석한 결과 그중 서비스 취약점이 663건(약 35%)으로 가장 많았다. 이어 모바일 및 사물인터넷(IoT) 취약점이 480건, 애플리케이션 취약점이 384건으로 나타났다. 또 웹 빌더 소프트웨어(CMS) 취약점은 194건, 액티브X 취약점은 164건으로 집계됐다.

KISA는 보고서에서 "신고포상제를 통해 입수되는 취약점들은 새로운 방식의 공격 방법이나 취약점들보다는 이미 많이 알려지고 연구되는 취약점 유형이 대부분이었다"며 "그럼에도 유사한 취약점이 지속해서 신고된다는 것은 아직 국내의 많은 소프트웨어들이 개발 시 보안에 대한 고려가 일부 미흡하다는 것을 시사한다"고 지적했다.

2012년부터 지난해까지 KISA에 신고된 보안 취약점 포상건수 [이미지: 한국인터넷진흥원(KISA)]

실제로 지난 3년간 오버플로우(Overflow) 취약점이 107건이나 신고됐다. 이 취약점은 연속된 메모리 공간을 사용하는 프로그램에서 할당된 메모리의 범위를 넘어선 위치에 자료를 읽거나 쓰려고 할 때 발생한다. 프로그램의 오동작을 유발시키거나 악의적인 코드를 실행시킴으로써 공격자가 프로그램을 통제할 수 있는 권한을 획득하게 한다.

오버플로우 취약점은 오래 전부터 널리 알려져 있었던 취약점이다. 그런데 여전히 IT기업, 개발자들이 오버플로우 취약점 고려하지 않고 소프트웨어(SW)를 개발하고 있는 것이다.

KISA는 또 부적절한 권한 검증 취약점도 3년 간 79건 신고됐다고 밝혔다. 부적절한 권한 검증 취약점은 웹 사이트에서 요청이 발생할 때 적절한 인증 과정이 없어서 중요 정보를 타인이 열람, 수정, 삭제 등을 할 수 있는 취약점이다. 기초적인 취약점 중 하나다.

고질적인 문제로 지적돼 온 액티브X 취약점도 3년간 164건이 신고됐다. KISA는 "행정안전부에서 '공공 웹사이트 플러그인 제거 가이드라인'을 배포하는 등 불필요한 액티브X를 제거하려는 노력이 추진되고 있다"며 "하지만 여전히 일부 웹 사이트에서는 액티브X 모듈을 사용 중이고 액티브X 취약점도 지속적으로 신고, 접수되고 있다"고 설명했다.

이렇게 널리 알려진 취약점들이 고쳐지지 않을 경우 해커들의 먹이가 될 수 있다는 지적이다. 해커들 입장에서는 새로운 취약점을 찾는 고생을 하지 않고 기존 것들을 활용하기 때문에 더 손쉽게 공격을 할 수 있다.

KISA는 보고서에서 "보안 위협을 최소화하기 위해 SW개발사들은 프로그램 개발 초기 단계부터 공격자에게 허용되는 위협을 최소화해야 한다"고 당부했다.

<저작권자 Copyright ⓒ 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지>