334개 취약점 업데이트...오라클 정기 업데이트 사상 최고 수치
새로운 건 198개...나머지는 과거에 다뤄졌던 것들...오라클의 새로운 움직임?
[보안뉴스 문가용 기자] 지난 화요일 여섯 개의 소프트웨어 기업들이 다양한 픽스를 발표했다. 그 중에서 가장 많은 패치를 내놓은 건 오라클(Oracle)이었다. 무려 334개의 소프트웨어 취약점이 해결됐는데, 이는 오라클 정기 패치 역사상 최대 수치다.
[이미지 = iclickart]
하지만 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)의 부회장인 브라이언 마틴(Brian Martin)은 “334개 중 새롭게 공개된 취약점은 198개밖에 되지 않는다”고 말한다. “이번 업데이트에는 이전에 공개된 취약점들에 대한 패치들도 상당수 포함되어 있습니다. 위협에 대한 전반적인 첩보를 제공하겠다는 뜻으로 보입니다.”
198개의 취약점이라면, 기록적인 숫자는 아니다. 지난 7개 분기 동안 오라클이 발표한 취약점의 수는 122~206개 사이를 왔다 갔다 했다. 그리고 오라클은 이 취약점 개수를 점점 줄여나가려는 움직임을 보이기도 했다. 바로 직전의 정기 업데이트는 지난 4년 동안 발표된 것들 중 가장 적은 수의 취약점을 선보였었다. 즉, 이번 정기 업데이트는 오라클의 최근 움직임에 반대되는 것이라고 볼 수 있다.
마틴은 “그 동안 오라클이 취약점의 수가 계속해서 줄어드는 모습을 보였고, 직전 분기의 취약점은 여태까지 발표된 것들 중 가장 적은 122개를 기록했다”며 “오라클이 간단하고 사소한 취약점들을 전부 찾아서 제거하는 데 성공한 것이라고 업계는 분석했다”고 말한다. “그러다가 이번에 취약점 수가 갑자기 치솟은 건 조금 의외였습니다. 하지만 이것 하나만 보고 앞으로의 흐름을 예측할 수는 없습니다.”
그러나 1월 14일자 보안 권고문에 따르면 오라클은 “일부 공격자들이 소프트웨어 업데이트를 통해 배포된 패치들과, 그 취약점들을 이용해 시스템을 침해하고 있다”고 경고하고 있다. “오라클은 주기적으로 취약점 익스플로잇에 대한 보고를 받습니다. 특히 이미 패치를 배포한 취약점에 대한 내용도 많죠. 고객이 패치를 적용하지 않아서 공격이 성공한 경우도 있고, 패치가 뚫리는 경우도 있습니다. 이는 오라클 선에서 완전히 해결하기 힘든 문제이기도 합니다. 그래서 이번에 취약점을 줄여나가던 방향을 꺾어, 패치를 강조하는 쪽으로 전환한 것이 아닐까 생각합니다.”
보안 업체 오냅시스(Onapsis)의 연구 책임자인 세바스찬 보트닉(Sebastian Bortnik)은 “패치는 빨리 적용될 수록 좋다”고 강조한다. “물론 플랫폼과 환경에 따라 패치를 적용하는 게 간단치 않다는 걸 이해하고 있습니다. 그런 곳일수록 한 번 패치를 적용할 때, 그 동안 밀린 모든 패치를 적용하는 게 낫겠죠. 그런 의미에서 이번 오라클 업데이트에 과거 패치까지 포함된 건 현명한 것이라고 봅니다.”
그러면서도 보트닉은 “실험을 거친 후 패치를 진행하는 게 중요하다”고 강조한다. “사전 제작 시스템 등에서 먼저 적용해보는 걸 권합니다. 즉 주요 생산 및 핵심 업무 시스템에서부터 패치를 적용하지 말라는 겁니다. 조금은 덜 중요한 곳부터 패치를 진행해 아무 이상이 없는지 살피고, 그 다음 점진적으로 확산해가는 게 좋습니다.”
3줄 요약
1. 오라클, 정기 업데이트 역사상 가장 많은 취약점 패치 발표함.
2. 그 중 새로운 건 198개. 그렇다 해도 이전 패치에 비해 많음.
3. 취약점 수 줄여나가던 오라클, 왜 갑자기 방향 선회했나?
[국제부 문가용 기자(globoan@boannews.com)]
새로운 건 198개...나머지는 과거에 다뤄졌던 것들...오라클의 새로운 움직임?
[보안뉴스 문가용 기자] 지난 화요일 여섯 개의 소프트웨어 기업들이 다양한 픽스를 발표했다. 그 중에서 가장 많은 패치를 내놓은 건 오라클(Oracle)이었다. 무려 334개의 소프트웨어 취약점이 해결됐는데, 이는 오라클 정기 패치 역사상 최대 수치다.
[이미지 = iclickart]
하지만 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)의 부회장인 브라이언 마틴(Brian Martin)은 “334개 중 새롭게 공개된 취약점은 198개밖에 되지 않는다”고 말한다. “이번 업데이트에는 이전에 공개된 취약점들에 대한 패치들도 상당수 포함되어 있습니다. 위협에 대한 전반적인 첩보를 제공하겠다는 뜻으로 보입니다.”
198개의 취약점이라면, 기록적인 숫자는 아니다. 지난 7개 분기 동안 오라클이 발표한 취약점의 수는 122~206개 사이를 왔다 갔다 했다. 그리고 오라클은 이 취약점 개수를 점점 줄여나가려는 움직임을 보이기도 했다. 바로 직전의 정기 업데이트는 지난 4년 동안 발표된 것들 중 가장 적은 수의 취약점을 선보였었다. 즉, 이번 정기 업데이트는 오라클의 최근 움직임에 반대되는 것이라고 볼 수 있다.
마틴은 “그 동안 오라클이 취약점의 수가 계속해서 줄어드는 모습을 보였고, 직전 분기의 취약점은 여태까지 발표된 것들 중 가장 적은 122개를 기록했다”며 “오라클이 간단하고 사소한 취약점들을 전부 찾아서 제거하는 데 성공한 것이라고 업계는 분석했다”고 말한다. “그러다가 이번에 취약점 수가 갑자기 치솟은 건 조금 의외였습니다. 하지만 이것 하나만 보고 앞으로의 흐름을 예측할 수는 없습니다.”
그러나 1월 14일자 보안 권고문에 따르면 오라클은 “일부 공격자들이 소프트웨어 업데이트를 통해 배포된 패치들과, 그 취약점들을 이용해 시스템을 침해하고 있다”고 경고하고 있다. “오라클은 주기적으로 취약점 익스플로잇에 대한 보고를 받습니다. 특히 이미 패치를 배포한 취약점에 대한 내용도 많죠. 고객이 패치를 적용하지 않아서 공격이 성공한 경우도 있고, 패치가 뚫리는 경우도 있습니다. 이는 오라클 선에서 완전히 해결하기 힘든 문제이기도 합니다. 그래서 이번에 취약점을 줄여나가던 방향을 꺾어, 패치를 강조하는 쪽으로 전환한 것이 아닐까 생각합니다.”
보안 업체 오냅시스(Onapsis)의 연구 책임자인 세바스찬 보트닉(Sebastian Bortnik)은 “패치는 빨리 적용될 수록 좋다”고 강조한다. “물론 플랫폼과 환경에 따라 패치를 적용하는 게 간단치 않다는 걸 이해하고 있습니다. 그런 곳일수록 한 번 패치를 적용할 때, 그 동안 밀린 모든 패치를 적용하는 게 낫겠죠. 그런 의미에서 이번 오라클 업데이트에 과거 패치까지 포함된 건 현명한 것이라고 봅니다.”
그러면서도 보트닉은 “실험을 거친 후 패치를 진행하는 게 중요하다”고 강조한다. “사전 제작 시스템 등에서 먼저 적용해보는 걸 권합니다. 즉 주요 생산 및 핵심 업무 시스템에서부터 패치를 적용하지 말라는 겁니다. 조금은 덜 중요한 곳부터 패치를 진행해 아무 이상이 없는지 살피고, 그 다음 점진적으로 확산해가는 게 좋습니다.”
3줄 요약
1. 오라클, 정기 업데이트 역사상 가장 많은 취약점 패치 발표함.
2. 그 중 새로운 건 198개. 그렇다 해도 이전 패치에 비해 많음.
3. 취약점 수 줄여나가던 오라클, 왜 갑자기 방향 선회했나?
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
