.gif)
中 보안업체, “검사 대상 웹사이트 46%에서 보안취약점 검출”
취약점 유형, ‘애플리케이션 프로그램 오류 정보·서버경로 유출·XSS 공격’ 많아
[보안뉴스 온기홍=중국 베이징] 중국 웹사이트 2개 중 1개는 정보보안 취약점이 존재하는 것으로 드러났다. 보안 취약점 4개 중 1개는 고위험 급으로 밝혀졌으며, 보안 취약점이 많이 탐지된 인터넷 사이트의 절반은 기업 웹사이트였다. 웹사이트의 보안취약점 유형으로는 ‘애플리케이션 프로그램의 오류 정보’, ‘웹페이지 이상으로 인한 서버 경로 유출’, ‘XSS(Cross-site Scripting) 공격’ 순으로 많았다.
中 지난해 1월~11월 보안취약점 존재 웹사이트, 약 92만개
중국 정보보안업체인 치후360의 360인터넷보안센터는 지난해 1월 1일부터 11월 15일까지 자체 웹사이트 보안검사플랫폼을 통해 중국 내 각종 유형(정부 기관, 군대, 비영리 기관, 사회단체, 기업, 개인, 기금회, 변호사 사무소 등)의 웹사이트 197만 9,000개를 검사한 결과, 정보보안 취약점이 존재한 것으로 드러난 웹사이트가 91만 7,000에 달했다고 최근 밝혔다.
이는 전체 검사 대상 웹사이트의 46.3%(취약점 없음 53.7%)에 이르는 것이다. 중국 웹사이트 2개 가운데 1개에 보안 취약점이 있는 셈이다. 고위험급 취약점이 존재한 것으로 검사된 웹사이트는 14만개로 전체의 7.1%에 달했다.
전년도(검사 대상 웹사이트 231만 2,000개 중 취약점 존재 43.9%, 고위험 취약점 웹사이트 13.3%)에 비해, 지난해 보안 취약점이 존재한 웹사이트의 비중은 2.4% 포인트 상승하고 고위험급 취약점은 6.2% 포인트 하락했다. 지난해 중국 내 전체적인 웹사이트 보안 상황은 호전됐다고 이 회사는 평가했다.
이번 전체 검사 대상 웹사이트 가운데 59만 4,000개는 주관 기관에 정식 등록된 웹사이트였다. 웹사이트 등록 유형을 보면, 기업이 전체의 52%를 차지해 가장 높은 비중을 보였고, 개인(245), 정부 기관(12%), 비영리 기관(8.5%), 사회단체(1.5%) 등이 뒤를 이었다.
도메인 유형의 경우, ‘.com’ 도메인이 65%의 비중으로 가장 많았고, ‘.net’이 5.9%, ‘.org’은 1.4%였다. 중국 본토 도메인 네임으로서 ‘.gov.cn’의 비중은 5.8%, ‘.edu.cn’은 1.7%, 기타 보통의 ‘,cn,’ 도메인(gov,와 edu 포함하지 않음)은 15.8%의 비율을 보였다.
中 지난해 웹사이트 취약점 위험등급, 고위험 26%·중위험 10%·저위험 63%
검출된 보안 취약점의 위험등급을 보면, 고위험 취약점 수량은 전체의 26.4%에 달했다. 중위험급 취약점은 10.4%, 저위험급은 63.2%로 가장 많았다고 이 회사는 밝혔다. 전년도에 견줘 고위험급 취약점은 4.8% 포인트 늘었고, 중위험급은 0.2% 포인트 증가했으나, 저위험급은 5% 포인트 줄었다.
지난해 월별로 ‘고위험급’ 취약점이 존재한 웹사이트의 수량을 살펴보면, 3월에 6만 6,000개로 가장 많았다. 이어 1월(4만 4,000개), 2월(3만 7,000개), 4월(3만 4,000개), 5월(3만 2,000개), 6월(2만 3,000개), 7월과 8월 각 1만 5,000개, 10월(1만 4,000개), 9월(1만 3,000개), 11월(9,000개) 순으로 고위험급 취약점 존재 웹사이트가 많았다. 12월에는 검사를 실시하지 않았다. 상반기 때가 하반기 때보다 많았다.
전년에는 5월에 고위험급 취약점이 14만 7,000개로 압도적으로 많았고, 8월(5만 7,000개), 4월(5만 5,000개), 3월(4만 9,000개), 9월(4만 8,000개), 10월(4만 7,000개), 1월(3만 8,000개), 2월(3만 5,000개), 7월(3만 6,000개), 11월(2만 7,000개), 6월(1만 6,000개) 순으로 고위험 취약점이 많이 검출됐다.
월별 고위험 취약점이 검출된 연 횟수를 보면, 3월이 연 103만 4,000회로 가장 많았다. 1월(연 67만 8,000회), 2월(연 61만 4,000회)도 연 60만회가 넘었다. 1분기에만 연 232만회에 걸쳐 고위험급 취약점이 탐지됐다. 이어 4월(연 58만 8,000회)부터 이후로 갈수록 고위험 검출 수량이 줄어 들었다. 5월(연 54만 6,000회), 6월(연 35만 5,000회), 7월(연 25만 7,000회), 8월(연 22만 5,000회), 10월(연 21만 7,000회), 9월(연 17만 3,000회), 11월(연 12만 2,000회) 순이었다. 전년에는 5월에 연 64만 6,000회로 압도적으로 많았다.
中 웹사이트 보안취약점 유형, ‘애플리케이션 프로그램 오류 정보’ 가장 많아
중국에서 지난해 가장 자주 드러난 보안 취약점 유형은 ‘애플리케이션 프로그램의 오류 정보’(저위험급) 취약점이었다. 이 회사가 검출한 횟수는 각각 연 445만 6,000회였다. 전체 취약점 4개 중 1개꼴이었다. 이어 ‘웹페이지 이상으로 인한 서버 경로 유출’(저위험급), ‘XSS 공격’(고위험급)은 검출 횟수 기준으로 각각 2위(연 361만1,000회), 3위(연 291만4,000회)를 기록했다.
이와 함께 △SQL 주입(고위험급, 연 143만 8,000회 검출) △디렉터리의 자동 디렉터리 리스트 기능 개시(저위험급, 연 54만 6,000회) △민감한 명칭의 디렉터리(저위험급, 연 51만 4,000회) △IIS(Internet Information Service) 짧은 파일명 유출(저위험급, 연 47만 4,000회) △웹(Web) 서버의 OPTIONS 방법 개시(저위험급, 연 42만 1,000회) △robots.txt 파일(저위험급, 연 41만 3,000회) △Mysql 원격 연결 가능(중위험급, 연 31만 3,000회) 등도 지난해 많이 발견된 보안 취약점 유형이었다.
.jpg)
▲ 2016년 중국 웹사이트에서 검출 수량이 많은 10대 보안 취약점(출처 : 중국 360인터넷보안센터)
각종 보안 취약점의 검출 횟수 비율을 보면, ‘애플리케이션 프로그램의 잘못된 정보’(점유율 24.4%), ‘웹페이지 이상으로 인한 서버 경로 유출’(19.8%), ‘XSS 공격’(16%) 등 세 가지 취약점 유형의 점유율 합계는 60%에 달했다. 이 중 ‘애플리케이션 프로그램의 잘못된 정보’ 취약점은 저위험급으로 평가돼, 지난 두 해 동안 고위험급 취약점이 1위를 차지해온 국면을 바꿨다고 센터는 밝혔다.
中, “지난해 화이트해커 등 수동 탐지한 취약점 3만7,199개”
360인터넷보안센터는 지난해 1월 1일부터 11월 15일까지 중국 내 ‘화이트해커’로부터 공개적으로 웹사이트 취약점 정보를 접수한 결과에 따르면, 공유의 보안응급대응센터(SRC)에 등록된 각종 웹사이트 보안 취약점은 3만 2,277개, 사유의 SRC에 등록된 취약점은 4,911개로, 모두 합해 3만 7,188개에 달했다고 밝혔다. 이는 전년도(3만 7,943개)와 비슷한 수준이다. 웹사이트를 기준으로 보면, 취약점이 존재한 웹사이트(도메인 네임에 따라 통계)는 모두 3만 329개였다. 전년도와 비교했을 때 3,959개 늘었다.
화이트해커들이 수동으로 검출한 웹사이트 내 취약점의 월별 수량을 놓고 봤을 때, 지난해 화이트해커의 활동이 활발했던 시기는 7월~10월인 것으로 나타났다. 상반기부터 점차적으로 늘어나다가 8월에 4,817개로 최고치를 기록했다. 이어 7월 4,212개, 9월 3,203개, 6월 3,142개, 4월 3,058개, 10월 2,848개, 3월 2,565개, 1월 2,403개, 2월 1,621개, 11월 1,540개 순이었다. 전년에는 1월(6,197개)을 포함해 상반기에 화이트해커들의 활동이 두드러졌었다.
이런 가운데 유관 기관에 정식 등록된 웹사이트의 취약점은 2만 3,982개로 전체의 74.3%를 차지했다. 등록되지 않았거나 등록 기한이 넘은 웹사이트의 취약점은 8,295개로 25.7%의 비중을 보였다. 웹사이트를 기준으로 보면, 등록 웹사이트는 2만2,929개로 전체의 75.6%를 차지했다.
수동 탐지한 취약점 중 ’고위험급’ 절반 차지...취약점 유형 ‘SQL 주입’ 44.9%
360인터넷보안센터는 지난해 화이트해커로부터 접수해 자체 취약점대응플랫폼에 등록한 웹사이트 취약점 가운데 ‘사건형’ 취약점의 비중이 93.9%에 달했다고 밝혔다. 반면 ‘통용형’ 취약점 비율은 6.1%로 전년(13.7%)보다 줄었다고 덧붙였다.
위험 등급을 기준으로 보면, ‘고위험급’ 취약점 비율은 50.6%로 절반을 넘었다. 중위험급 취약점의 비중은 35.4%, 저위험급은 14%를 기록했다. 이 중 유관 기관 등록 웹사이트의 경우, ‘통용형’ 취약점 비중은 단 0.2%로 매우 낮았고, 대다수 취약점(99.8%)은 ‘사건형’에 속했다. 반면, 등록되지 않은 웹사이트에 존재하는 취약점 중에서는 ‘통용형’ 비중이 19.7%였고 사건형은 80.3%를 차지했다.
센터는 “다수 통용형 취약점이 검측이 가능하고 이미 알려진 취약점이란 것에 비춰볼 때, 사건형 취약점에는 어느 정도 우발성과 예측불가성이 존재했다”며, “전체적으로 봐서 등록 웹사이트 쪽의 보안성과 보안 관리능력은 등록되지 않은 웹사이트 쪽보다 많이 강했다”고 평가했다. 하지만 센터는 “다른 각도에서 보면, 등록 웹사이트에는 여전히 대량의 사건형 취약점이 존재한다”며, “일반적으로 통용되는 보안 검사 수단은 웹사이트에 잠재한 보안 문제를 즉시 발견하는 게 부족하다”고 지적했다.
.jpg)
▲ 2016년 중국 360인터넷보안센터가 화이트해커로부터 모은 웹사이트 보안 취약점의 유형
센터가 지난해 화이트해커로부터 접수한 취약점의 유형을 보면, ‘SQL 주입’ 취약점이 전체의 44.9%를 차지해 가장 많았다. 명령 실행(14%)과 보안성이 낮은 암호(11.7%), 정보 유출(11.1%), 로직 취약점(3.3%) 순으로 뒤를 이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
취약점 유형, ‘애플리케이션 프로그램 오류 정보·서버경로 유출·XSS 공격’ 많아
[보안뉴스 온기홍=중국 베이징] 중국 웹사이트 2개 중 1개는 정보보안 취약점이 존재하는 것으로 드러났다. 보안 취약점 4개 중 1개는 고위험 급으로 밝혀졌으며, 보안 취약점이 많이 탐지된 인터넷 사이트의 절반은 기업 웹사이트였다. 웹사이트의 보안취약점 유형으로는 ‘애플리케이션 프로그램의 오류 정보’, ‘웹페이지 이상으로 인한 서버 경로 유출’, ‘XSS(Cross-site Scripting) 공격’ 순으로 많았다.
中 지난해 1월~11월 보안취약점 존재 웹사이트, 약 92만개
중국 정보보안업체인 치후360의 360인터넷보안센터는 지난해 1월 1일부터 11월 15일까지 자체 웹사이트 보안검사플랫폼을 통해 중국 내 각종 유형(정부 기관, 군대, 비영리 기관, 사회단체, 기업, 개인, 기금회, 변호사 사무소 등)의 웹사이트 197만 9,000개를 검사한 결과, 정보보안 취약점이 존재한 것으로 드러난 웹사이트가 91만 7,000에 달했다고 최근 밝혔다.
이는 전체 검사 대상 웹사이트의 46.3%(취약점 없음 53.7%)에 이르는 것이다. 중국 웹사이트 2개 가운데 1개에 보안 취약점이 있는 셈이다. 고위험급 취약점이 존재한 것으로 검사된 웹사이트는 14만개로 전체의 7.1%에 달했다.
전년도(검사 대상 웹사이트 231만 2,000개 중 취약점 존재 43.9%, 고위험 취약점 웹사이트 13.3%)에 비해, 지난해 보안 취약점이 존재한 웹사이트의 비중은 2.4% 포인트 상승하고 고위험급 취약점은 6.2% 포인트 하락했다. 지난해 중국 내 전체적인 웹사이트 보안 상황은 호전됐다고 이 회사는 평가했다.
이번 전체 검사 대상 웹사이트 가운데 59만 4,000개는 주관 기관에 정식 등록된 웹사이트였다. 웹사이트 등록 유형을 보면, 기업이 전체의 52%를 차지해 가장 높은 비중을 보였고, 개인(245), 정부 기관(12%), 비영리 기관(8.5%), 사회단체(1.5%) 등이 뒤를 이었다.
도메인 유형의 경우, ‘.com’ 도메인이 65%의 비중으로 가장 많았고, ‘.net’이 5.9%, ‘.org’은 1.4%였다. 중국 본토 도메인 네임으로서 ‘.gov.cn’의 비중은 5.8%, ‘.edu.cn’은 1.7%, 기타 보통의 ‘,cn,’ 도메인(gov,와 edu 포함하지 않음)은 15.8%의 비율을 보였다.
中 지난해 웹사이트 취약점 위험등급, 고위험 26%·중위험 10%·저위험 63%
검출된 보안 취약점의 위험등급을 보면, 고위험 취약점 수량은 전체의 26.4%에 달했다. 중위험급 취약점은 10.4%, 저위험급은 63.2%로 가장 많았다고 이 회사는 밝혔다. 전년도에 견줘 고위험급 취약점은 4.8% 포인트 늘었고, 중위험급은 0.2% 포인트 증가했으나, 저위험급은 5% 포인트 줄었다.
지난해 월별로 ‘고위험급’ 취약점이 존재한 웹사이트의 수량을 살펴보면, 3월에 6만 6,000개로 가장 많았다. 이어 1월(4만 4,000개), 2월(3만 7,000개), 4월(3만 4,000개), 5월(3만 2,000개), 6월(2만 3,000개), 7월과 8월 각 1만 5,000개, 10월(1만 4,000개), 9월(1만 3,000개), 11월(9,000개) 순으로 고위험급 취약점 존재 웹사이트가 많았다. 12월에는 검사를 실시하지 않았다. 상반기 때가 하반기 때보다 많았다.
전년에는 5월에 고위험급 취약점이 14만 7,000개로 압도적으로 많았고, 8월(5만 7,000개), 4월(5만 5,000개), 3월(4만 9,000개), 9월(4만 8,000개), 10월(4만 7,000개), 1월(3만 8,000개), 2월(3만 5,000개), 7월(3만 6,000개), 11월(2만 7,000개), 6월(1만 6,000개) 순으로 고위험 취약점이 많이 검출됐다.
월별 고위험 취약점이 검출된 연 횟수를 보면, 3월이 연 103만 4,000회로 가장 많았다. 1월(연 67만 8,000회), 2월(연 61만 4,000회)도 연 60만회가 넘었다. 1분기에만 연 232만회에 걸쳐 고위험급 취약점이 탐지됐다. 이어 4월(연 58만 8,000회)부터 이후로 갈수록 고위험 검출 수량이 줄어 들었다. 5월(연 54만 6,000회), 6월(연 35만 5,000회), 7월(연 25만 7,000회), 8월(연 22만 5,000회), 10월(연 21만 7,000회), 9월(연 17만 3,000회), 11월(연 12만 2,000회) 순이었다. 전년에는 5월에 연 64만 6,000회로 압도적으로 많았다.
中 웹사이트 보안취약점 유형, ‘애플리케이션 프로그램 오류 정보’ 가장 많아
중국에서 지난해 가장 자주 드러난 보안 취약점 유형은 ‘애플리케이션 프로그램의 오류 정보’(저위험급) 취약점이었다. 이 회사가 검출한 횟수는 각각 연 445만 6,000회였다. 전체 취약점 4개 중 1개꼴이었다. 이어 ‘웹페이지 이상으로 인한 서버 경로 유출’(저위험급), ‘XSS 공격’(고위험급)은 검출 횟수 기준으로 각각 2위(연 361만1,000회), 3위(연 291만4,000회)를 기록했다.
이와 함께 △SQL 주입(고위험급, 연 143만 8,000회 검출) △디렉터리의 자동 디렉터리 리스트 기능 개시(저위험급, 연 54만 6,000회) △민감한 명칭의 디렉터리(저위험급, 연 51만 4,000회) △IIS(Internet Information Service) 짧은 파일명 유출(저위험급, 연 47만 4,000회) △웹(Web) 서버의 OPTIONS 방법 개시(저위험급, 연 42만 1,000회) △robots.txt 파일(저위험급, 연 41만 3,000회) △Mysql 원격 연결 가능(중위험급, 연 31만 3,000회) 등도 지난해 많이 발견된 보안 취약점 유형이었다.
▲ 2016년 중국 웹사이트에서 검출 수량이 많은 10대 보안 취약점(출처 : 중국 360인터넷보안센터)
각종 보안 취약점의 검출 횟수 비율을 보면, ‘애플리케이션 프로그램의 잘못된 정보’(점유율 24.4%), ‘웹페이지 이상으로 인한 서버 경로 유출’(19.8%), ‘XSS 공격’(16%) 등 세 가지 취약점 유형의 점유율 합계는 60%에 달했다. 이 중 ‘애플리케이션 프로그램의 잘못된 정보’ 취약점은 저위험급으로 평가돼, 지난 두 해 동안 고위험급 취약점이 1위를 차지해온 국면을 바꿨다고 센터는 밝혔다.
中, “지난해 화이트해커 등 수동 탐지한 취약점 3만7,199개”
360인터넷보안센터는 지난해 1월 1일부터 11월 15일까지 중국 내 ‘화이트해커’로부터 공개적으로 웹사이트 취약점 정보를 접수한 결과에 따르면, 공유의 보안응급대응센터(SRC)에 등록된 각종 웹사이트 보안 취약점은 3만 2,277개, 사유의 SRC에 등록된 취약점은 4,911개로, 모두 합해 3만 7,188개에 달했다고 밝혔다. 이는 전년도(3만 7,943개)와 비슷한 수준이다. 웹사이트를 기준으로 보면, 취약점이 존재한 웹사이트(도메인 네임에 따라 통계)는 모두 3만 329개였다. 전년도와 비교했을 때 3,959개 늘었다.
화이트해커들이 수동으로 검출한 웹사이트 내 취약점의 월별 수량을 놓고 봤을 때, 지난해 화이트해커의 활동이 활발했던 시기는 7월~10월인 것으로 나타났다. 상반기부터 점차적으로 늘어나다가 8월에 4,817개로 최고치를 기록했다. 이어 7월 4,212개, 9월 3,203개, 6월 3,142개, 4월 3,058개, 10월 2,848개, 3월 2,565개, 1월 2,403개, 2월 1,621개, 11월 1,540개 순이었다. 전년에는 1월(6,197개)을 포함해 상반기에 화이트해커들의 활동이 두드러졌었다.
이런 가운데 유관 기관에 정식 등록된 웹사이트의 취약점은 2만 3,982개로 전체의 74.3%를 차지했다. 등록되지 않았거나 등록 기한이 넘은 웹사이트의 취약점은 8,295개로 25.7%의 비중을 보였다. 웹사이트를 기준으로 보면, 등록 웹사이트는 2만2,929개로 전체의 75.6%를 차지했다.
수동 탐지한 취약점 중 ’고위험급’ 절반 차지...취약점 유형 ‘SQL 주입’ 44.9%
360인터넷보안센터는 지난해 화이트해커로부터 접수해 자체 취약점대응플랫폼에 등록한 웹사이트 취약점 가운데 ‘사건형’ 취약점의 비중이 93.9%에 달했다고 밝혔다. 반면 ‘통용형’ 취약점 비율은 6.1%로 전년(13.7%)보다 줄었다고 덧붙였다.
위험 등급을 기준으로 보면, ‘고위험급’ 취약점 비율은 50.6%로 절반을 넘었다. 중위험급 취약점의 비중은 35.4%, 저위험급은 14%를 기록했다. 이 중 유관 기관 등록 웹사이트의 경우, ‘통용형’ 취약점 비중은 단 0.2%로 매우 낮았고, 대다수 취약점(99.8%)은 ‘사건형’에 속했다. 반면, 등록되지 않은 웹사이트에 존재하는 취약점 중에서는 ‘통용형’ 비중이 19.7%였고 사건형은 80.3%를 차지했다.
센터는 “다수 통용형 취약점이 검측이 가능하고 이미 알려진 취약점이란 것에 비춰볼 때, 사건형 취약점에는 어느 정도 우발성과 예측불가성이 존재했다”며, “전체적으로 봐서 등록 웹사이트 쪽의 보안성과 보안 관리능력은 등록되지 않은 웹사이트 쪽보다 많이 강했다”고 평가했다. 하지만 센터는 “다른 각도에서 보면, 등록 웹사이트에는 여전히 대량의 사건형 취약점이 존재한다”며, “일반적으로 통용되는 보안 검사 수단은 웹사이트에 잠재한 보안 문제를 즉시 발견하는 게 부족하다”고 지적했다.
▲ 2016년 중국 360인터넷보안센터가 화이트해커로부터 모은 웹사이트 보안 취약점의 유형
센터가 지난해 화이트해커로부터 접수한 취약점의 유형을 보면, ‘SQL 주입’ 취약점이 전체의 44.9%를 차지해 가장 많았다. 명령 실행(14%)과 보안성이 낮은 암호(11.7%), 정보 유출(11.1%), 로직 취약점(3.3%) 순으로 뒤를 이었다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
