lascom

모의해킹·취약점진단 가이드

최근 3년간 해킹에 의해 발생한 보안 취약점 TOP 10

2021-07-01

라스컴

"모의해킹 · 보안취약점진 · 정보보호컨설팅" 전문기업 『라스컴 시큐리티  secu.lascom.co.kr  T:1522-3863  secu@lascom.co.kr    


1. 소프트웨어 개발 단계의 시큐어 코딩 현실

대부분의 해킹 침해 사고는 소프트웨어 또는 어플리케이션에 존재하는 보안 취약점(또는 보안 약점)을 악용하여 발생한다. 이러한 보안 취약점을 근본적으로 해결하기 위해서는 소프트웨어 개발 단계에서부터 시큐어코딩을 고려하는 것이 중요하다. 그럼에도 불구하고 대부분의 소프트웨어 개발 기업은 부족한 예산과 인력, 촉박한 개발 기간, 보안 인식 부재 등으로 소프트웨어 개발 단계에서부터 보안을 고려하지 못하고 있다. 


특히 개발 기간이 부족하여 프로젝트 납기에 어려움을 겪는 SI 개발자들은 개발 단계에서 보안취약점을 제거하지 못하고 시스템을 오픈하기에 급급하다. 보안 의식이 있는 발주처나 수행사들은 최종 납기에 어려움을 겪지만 그래도 최종 납품 단계에서 보안컨설팅 전문기업에 의뢰하여 모의해킹과 보안취약점 진단을 통해서 보안성을 강화하고 있는 실정이다. 또한 개발 단계에서부터 보안을 적용하더라도 모든 보안 취약점이 완벽하게 제거되는 것이 아니므로 소프트웨어 배포 이후 단계에서도 소프트웨어 안정성을 검증하는 과정이 필요하다.


2. 최근 3년간 발생 보안 취약점 유형 통계

한국인터넷진흥원(KISA)은 보안 취약점을 제거하기 위해 집단 지성을 활용하는 '보안 취약점 신고 포상제'를 운영하고 있다. 이와 관련하여 KISA는 최근 3년간 신고 포상제를 통해 분석된 취약점 유형을 구분하고 공격 사례를 통해 개발자가 놓치기 쉬운 대응 방안을 제시한 문서를 발표했다. 여기서는 최근 3년간 가장 빈번하게 발생한 공격 유형 10가지를 살펴보자.


61a764ea67248eb60c769eafca2fc7cc_1625108024_985.jpg 

  * 최근 3년간 해킹 공격 유형별 통계 [자료: KISA] 


최근 3년간 신고 포상제를 통해 분석된 보안 취약점 유형 중 가장 빈번하게 발생한 취약점은 크로스 사이트 스크립트로 총 458건이었다. 오버플로우가 332건, 명령어 삽입(Command Injection)이 175건으로 2, 3위를 차지했다. 그 다음으로 부적절한 권한 검증(105건), 파일 다운로드 및 실행(94건), SQL Injection(90건), 파일 다운로드(76건), 취약한 인증 및 세션 관리(72건), 임의 파일 실행(38건), 파일 업로드(33건) 순으로 집계되었다.


위 보안 취약점들을 살펴보면 새로운 방식의 공격 유형이 아닌 이미 많이 알려지고 연구된 취약점인 것을 알 수 있다. 이는 아직도 국내의 많은 소프트웨어들이 보안취약점을 제거하기 위한 시큐어코딩을 반영하지 못하고 있다는 것을 시사한다. 이에 소프트웨어 개발 기업은 개발 단계 뿐만 아니라 배포 이후에도 보안 취약점 진단을 통해 소프트웨어에 존재하는 잠재적인 위협을 줄이고 보안성 향상을 위해 노력해야 할 것이다. 


3. 기업의 해킹 사고 사례 및 보안취약점 진단의 중요성

기업의 보안을 강화하기 위한 모의해킹 및 보안 취약점 진단의 중요성은 아무리 강조해도 지나치지 않는다. 기업이나 제품의 브랜드가 중요하거나 글로벌 기업일수록 더욱 중요하다. 이미 언론에 여러 번 보도 되었고 알려진 한수원 해킹 사건만 봐도 보안취약성 강화가 얼마나 중요한지 알 수 있다. 


필자가 경험했던 글로벌 기업의 한 가지 사례를 살펴 보자. 유명한 글로벌 기업이 해외에서 발생했던 사건이다. 외부의 악의적인 해커가 글로벌 기업의 브랜드 사이트를 해킹하여 웹페이지를 위변조했고 소비자는 해당 웹페이지를 클릭할 때 마다 악성코드가 심어져 있는 다른 웹사이트로 유도하여 소비자의 PC에 악성코드가 다운로드되는 문제가 발생했다. 브랜드 가치가 매우 높은 이 기업의 사건이 만일 외부의 언론에 보도가 된다면 기업이 입는 피해는 상상할 수 없이 매우 심각해진다. 


4. 국내 기업의 보안 취약성 현황

모의해킹 및 보안취약점 진단 전문기업인 라스컴에서 국내 기업들과 정부기관들에 기술 보안 측면의 진단 컨설팅을 수행하면서 느낀 점은 진단 의뢰하는 발주처 별로 보안취약성이 매우 크게 차이가 나고 있음을 알 수 있었다. 국내의 글로벌 대기업의 경우 보안에 투자하는 예산도 클 뿐 아니라 보안관리에도 많은 노력을 기울인다. 그 결과 모의해킹 및 보안취약점 진단을 수행하면 취약점을 탐지하기가 쉬지 않다. 반면에 보안에 투자하는 예산 규모도 작고 보안에 대한 의식이 결여되어 있는 기업들의 경우에는 보안 진단 컨설팅을 수행하면 중요도가 높고 많은 보안 취약점들이 쏟아 진다. 


5. 기업의 보안 취약성 강화 대책

이러한 보안 취약점들은 특수하거나 최첨단의 취약점이라기 보다는 대부분은 일반적으로 잘 알려진 보안취약점들이다. 또한 보안 예산과 의식을 갖춘 국내의 글로벌 대기업들은 웹 어플리케이션 진단, 소스코드 진단, 모바일 앱 진단, 시스템(인프라) 진단 등 종합적이며 입체적인 보안 대책을 수립하고 강화하고 있음을 알 수 있다. 


또한 보안 의식이 강한 기업들은 어플리케이션 또는 시스템이 신규 구축할 경우 뿐 아니라 변경이 될 때 변경관리 측면에서도 보안취약점진단 등의 보안성 심의를 철저하게 실시한다. 아울러 사용 중에 있는 운영 중인 어플리케이션과 시스템에 대해서도 정기적으로 보안 취약점 진단을 통해서 보안성을 강화하고 있기 때문에 상대적으로 보안 수준이 매우 높다고 할 수 있다.


따라서 기업이나 정부기관에서 자체 보안 취약점 진단 전문인력이 부재한 경우에는 외부의 보안 진단 전문기업의 보안 진단 컨설팅을 통해서 시스템의 변경 시 그리고 정기적으로 보안 취약점진단을 실시하여 보안성을 강화할 필요가 있다. - 끝 -


모의해킹 · 취약점진단 · 정보보호컨설팅

정보보호 전문기업  -   라스컴 시큐리티
secu.lascom.co.kr         www.lascom.co.kr
고객센터 1522-3863  secu@lascom.co.kr 
      목록