2018년, 해커들이 가장 많이 사용했던 취약점은 무엇일까?

2019-01-21 20:22
  • 카카오톡
  • 네이버 블로그
  • url
애플리케이션 취약점들이 발생하는 이유 두 개 : 오픈소스와 ‘빨리빨리’
새로운 취약점들도 많지만, 오래된 취약점들도 있어...패치의 중요성


[보안뉴스 문가용 기자] 2019년이 시작된 지 스무날이 지났지만, 아직도 2018년을 점검하기에는 늦지 않았다. 그런 의미에서 최근 보안 회사 화이트햇 시큐리티(WhiteHat Security)가 2018년 최악의 애플리케이션 보안 취약점들에 대해 조사해 발표했다.


[이미지 = iclickart]

화이트햇 측은 2018년 악성 해커들이 가장 흔하게 사용했던 웹 익스플로잇들을 먼저 정리했다. 여기에는 새로운 취약점들과 오래된 취약점들이 고루 들어 있었다. 오래된 취약점들 중에는 보안 업계의 전문가들이 ‘고전’이라고 부를 정도로 너릴 알려진 것들도 있었다.

화이트햇의 기업 전략 부문 부회장인 세투 쿨카니(Setu Kulkarni)는 “2018년 최고의 애플리케이션 취약점들은 크게 두 개의 진원지를 가지고 있다”고 정리한다. “둘 다 소프트웨어 개발 과정에 있습니다.”

하나는 오픈소스로, 점점 툴과 기능, 애플리케이션을 오픈소스로 공유하는 행위가 늘어나고 있다는 건 개발자라면 잘 알고 있는 부분이다. 공공 API를 사용하면 기능을 빠르게 빌려오는 게 가능하기 때문에 개발자들 사이에서 이러한 움직임은 앞으로 당분간 지속될 전망이다. 쿨카니는 “그런데 오픈소스를 통해서 취약한 부분들도 빠르게 공유되고 있다”고 지적한다.

또 다른 진원지는 데브옵스를 통해 유행이 되기 시작한 ‘빠른 개발/생산/출시 주기’라고 쿨카니는 주장한다. “데브옵스, 마이크로서비스, 오픈소스라는 요소들은 전부 새로운 유형의 취약점들을 애플리케이션 생태계에 들여놓고 있습니다. 코드를 제품이나 서비스로 전환시킬 수 있는 개발자들의 권한이 늘어나면서 생태계 전체가 취약해졌다고 봐도 될 정도입니다.”

그래서 뽑힌 최고의 취약점 10개에는 제이쿼리 파일 업로드(jQuery File Upload) 취약점(CVE-2018-9206)이나 워드프레스 도스 공격 취약점(CVE-2018-6989)와 같은 새로운 취약점부터 드루팔게돈(Drupalgeddon)이나 메이지카트(Magecart)와 같은 오래된 취약점까지 다양하게 섞여 있었다. XSS와 같은 ‘고전적인’ 취약점들 역시 수년 째 연속으로 순위에 오르는 데 성공했다.

화이트햇의 수석 연구원인 마크 로간(Mark Rogan)은 “XSS와 같이 오래된 취약점이 2018년 목록에 오른 이유는, 학교나 훈련 프로그램, 기업들에서 아직도 보안보다 개발 속도를 중시하기 때문”이라고 설명한다. “정말 부끄러운 일입니다. XSS는 방비하는 게 매우 쉬운 취약점이거든요. 속도에 미쳐서 이런 간단한 일조차 하지 않는다는 건 보안 전문가가 아니더라도 창피한 일이죠. 인풋을 확인하는 절차만 넣으면 되는데 말입니다.”

쿨카니는 “그렇다고 데브옵스라는 것 자체가 지양되어야 할 개발 방법론이라는 건 아니”라고 강조한다. “오히려 데브옵스로 가는 건 올바른 방향입니다. 다만 데브옵스라는 것 자체에 사람들이 익숙하지 않은 모습입니다. 앞으로 데브옵스를 가르치고 훈련시킬 때 시큐어 코딩을 습관화시켜야 합니다. 또한 개발 과정 전체에 주기적이고 지속적인 보안 점검 장치를 마련하는 것도 정착시켜야 할 문화이고요.”

그러면서 그는 “보안을 평가하고, 피드백을 개발자들에게 되돌려주는 것, 그리고 개발자들이 그 피드백을 그때 그때 개발 과정 중에 반영하는 것이 중요하다”고 말한다. “그런 시스템이 정확히만 갖춰진다면 데브옵스는 앞으로 오히려 애플리케이션 보안 문제를 줄이는 데 도움을 줄 것으로 보입니다.”

화이트햇이 뽑은 2018년 가장 흔한 취약점은 다음과 같다.
1. jQuery File Upload RCE – CVE-2018-9206
2. Magecart
3. WordPress DoS – CVE-2018-6989
4. Drupalgeddon 2 – CVE-2018-7600
5. Drupalgeddon 3 – CVE-2018-7602
6. Telerik’s RadAsyncUpload
7. Spring Data Commons – CVE-2018-1273
8. Cross Site Scripting – CVE-2018-1999024
9. Flash Player Hack – CVE-2018-4878
10. Spring OAuth Approval – CVE-2018-1260

3줄 요약
1. 2018년 해커들이 가장 많이 사용한 취약점 10개가 뽑히다.
2. 여기에는 오래된 것들과 새로운 것들이 혼재되어 있었다.
3. 취약점의 근간은 두 가지 : 오픈소스 활성화와 데브옵스.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기