웹 애플리케이션 겨냥한 공격 시도 횟수 크게 증가...노이즈 늘어나
XSS 공격과 SQL 주입 공격 가장 많아...하지만 최종적인 목표는 돈
[보안뉴스 문가용 기자] 일반적인 조직들이 패치를 적용하는 데 어느 정도의 시간이 필요할까? 보안 업체 티셀(tCell)이 조사한 바에 의하면 한 달이 넘게 걸린다고 한다. 이러한 내용을 “2사분기 생산 중인 웹 애플리케이션에 대한 보안 보고서(Security Report for In-Production Web Applications)”에 담아 발표했다.
[이미지 = iclickart]
티셀의 연구원들은 이 보고서를 작성하기 위해 3억 1천 6백만 건의 보안 사고를 분석했다고 한다. 그리고 실제로 발생하는 공격들 중 가장 흔한 유형이 무엇인지를 파악했다. 특히 보고서 이름 그대로, AWS나 MS 애져 클라우드 환경에서 생산 중인 웹 앱에 관한 내용을 선별했다고 한다.
노이즈, 노이즈, 노이즈
티셀이 이 보고서를 발행한 건 작년에 이어 두 번째다. CEO인 마이클 파이어택(Michael Feiertag)은 “공격 대 침해 비율이 급증하고 있다는 걸 깨닫고는 본격적인 조사에 착수한 것”이라고 설명한다. 즉 침해에 성공하기까지 시도하는 공격 횟수가 크게 늘어났다는 건데, 파이어택에 의하면 현재 이 비율은 100,000:1이라고 한다. “이 말은 공격이 노이즈를 많이 발생시킨다는 겁니다. 웹 앱을 노리는 공격자들은 자동화 도구를 사용해 취약한 부분을 검색하기 때문에 노이즈를 많이 일으킵니다.”
티셀은 지난 사분기의 데이터를 수집 및 분석하며, 애플리케이션으로부터의 보안 데이터 접근 권한이 앱 보호에 얼마나 영향을 미치는지를 파악하려고 했다. 그 결과 “앱을 통해 보안 데이터를 취득할 수 있었던 보안 팀은 피해 복구나 완화, 심지어 예방에 유의미한 성과를 거둔 것을 알 수 있었다”고 한다. “앱을 통한 보안 데이터를 확보해 개발자와 운영자 사이의 협업을 이끌어낼 수 있었고, 업무의 우선순위를 정해 과부하를 막을 수 있었기 때문입니다.”
공격의 유형
또한 이 조사를 통해 웹 앱을 겨냥한 공격의 유형이 크게 두 가지로 분류됨을 알 수 있었다. “단연 눈에 띄는 건 XSS 공격 시도였습니다. 애플리케이션 사용자들을 겨냥한 것인데요, 웹 앱 생태계에서는 가장 많은 공격 유형이었습니다. 그러나 성공률이 높지는 않았습니다. 1200번을 시도하면 한 번 성공하는 비율이었습니다. 따라서 노이즈 발생률도 상당히 높은 공격이었습니다.”
그 다음으로 빈번한 공격은 SQL 주입이었다. 공격자들이 주로 민감한 데이터에 접근하거나 OS 명령을 실행해 더 높은 권한을 얻기 위해 실시하는 공격이었다. 그 다음은 자동화된 공격, 파일 경로 조작 공격, 명령 주입 공격이 차지했다. “여기서 중요한 게 하나 있습니다. 공격의 분기점이 보이기 시작했다는 것입니다. 순수 볼륨으로만 따졌을 때 현재 가장 크게 유행하는 건 ‘스캐닝 공격’입니다. 쉬운 공격 경로를 찾기 위해 이리 저리 둘러보는 행위를 말하는 것이죠. 그 다음으로 많은 건 표적형 공격이었습니다. 이건 가치가 높은 데이터를 노리고 실시하는 공격입니다.”
즉 현대의 웹 앱을 노리는 공격은, 쉬운 표적을 찾는 스캐닝 공격과, 표적을 알고 실시하는 표적형 공격으로 나뉜다는 것인데, “둘의 접근법이 상이하긴 하지만 목표는 비슷”하다고 한다. “공격을 넓게 펴느냐 아니면 깊게 뚫느냐의 차이이지만, 둘 다 결국엔 돈을 노리는 것이 거의 대부분입니다.”
취약점 패치
티셀의 보고서에 의하면 활용되고 있는 애플리케이션들의 90%가 CVE에 등록된 취약점을 하나 이상 내포하고 있다. 이중 ‘치명적인’ 위험도를 가지고 있는 것이 30%였다. “많은 웹 들에서 사용되지 않는 경로나 외부로 노출된 API가 수두룩하게 나왔습니다. 한 애플리케이션 당 평균 2900개가 나왔을 정도인데요, 이는 공격 표면을 크게 넓혀주는 것들입니다. 보안의 사각지대라고 볼 수 있습니다.”
또한 발견된 취약점에 대한 패치가 적용되는 데까지 평균 38일이 걸리는 것으로 나타났다. 기업에 있어 가장 위험한 취약점을 패치하는 데에는 34일이 소요됐다. “단체 및 조직의 규모에 따라 패치에 필요한 날짜가 길어지거나 짧아질 수도 있습니다만, 패치에 한 달 이상 걸리는 게 현대 기업들의 현실입니다.”
게다가 위험도가 낮아질수록 패치에 걸리는 시간은 길어지기도 했다. 중간 정도의 위험도를 가진 취약점이 패치되기까지는 평균 39일이 걸렸고, 낮은 위험도를 가진 취약점의 경우는 54일이 걸렸다. 가장 늦게 패치가 된 사례는 무려 340일을 기록하기도 했다. 파이어택은 “그래도 이게 많이 나아진 것”이라고 말한다. “몇 년 전에 비하면 이 일자들은 크게 줄어든 것이라고 볼 수 있습니다.”
3줄 요약
1. 돈을 노린 웹 앱 공격의 트렌드 : 넓고 얕게 가느냐, 좁고 깊게 가느냐로 갈림.
2. 공격 기술로 분류했을 때는 XSS와 SQL 주입 공격이 양대산맥.
3. 패치 적용에 걸리는 시간은 평균 38일. 그나마도 나아진 것.
[국제부 문가용 기자(globoan@boannews.com)]
XSS 공격과 SQL 주입 공격 가장 많아...하지만 최종적인 목표는 돈
[보안뉴스 문가용 기자] 일반적인 조직들이 패치를 적용하는 데 어느 정도의 시간이 필요할까? 보안 업체 티셀(tCell)이 조사한 바에 의하면 한 달이 넘게 걸린다고 한다. 이러한 내용을 “2사분기 생산 중인 웹 애플리케이션에 대한 보안 보고서(Security Report for In-Production Web Applications)”에 담아 발표했다.
[이미지 = iclickart]
티셀의 연구원들은 이 보고서를 작성하기 위해 3억 1천 6백만 건의 보안 사고를 분석했다고 한다. 그리고 실제로 발생하는 공격들 중 가장 흔한 유형이 무엇인지를 파악했다. 특히 보고서 이름 그대로, AWS나 MS 애져 클라우드 환경에서 생산 중인 웹 앱에 관한 내용을 선별했다고 한다.
노이즈, 노이즈, 노이즈
티셀이 이 보고서를 발행한 건 작년에 이어 두 번째다. CEO인 마이클 파이어택(Michael Feiertag)은 “공격 대 침해 비율이 급증하고 있다는 걸 깨닫고는 본격적인 조사에 착수한 것”이라고 설명한다. 즉 침해에 성공하기까지 시도하는 공격 횟수가 크게 늘어났다는 건데, 파이어택에 의하면 현재 이 비율은 100,000:1이라고 한다. “이 말은 공격이 노이즈를 많이 발생시킨다는 겁니다. 웹 앱을 노리는 공격자들은 자동화 도구를 사용해 취약한 부분을 검색하기 때문에 노이즈를 많이 일으킵니다.”
티셀은 지난 사분기의 데이터를 수집 및 분석하며, 애플리케이션으로부터의 보안 데이터 접근 권한이 앱 보호에 얼마나 영향을 미치는지를 파악하려고 했다. 그 결과 “앱을 통해 보안 데이터를 취득할 수 있었던 보안 팀은 피해 복구나 완화, 심지어 예방에 유의미한 성과를 거둔 것을 알 수 있었다”고 한다. “앱을 통한 보안 데이터를 확보해 개발자와 운영자 사이의 협업을 이끌어낼 수 있었고, 업무의 우선순위를 정해 과부하를 막을 수 있었기 때문입니다.”
공격의 유형
또한 이 조사를 통해 웹 앱을 겨냥한 공격의 유형이 크게 두 가지로 분류됨을 알 수 있었다. “단연 눈에 띄는 건 XSS 공격 시도였습니다. 애플리케이션 사용자들을 겨냥한 것인데요, 웹 앱 생태계에서는 가장 많은 공격 유형이었습니다. 그러나 성공률이 높지는 않았습니다. 1200번을 시도하면 한 번 성공하는 비율이었습니다. 따라서 노이즈 발생률도 상당히 높은 공격이었습니다.”
그 다음으로 빈번한 공격은 SQL 주입이었다. 공격자들이 주로 민감한 데이터에 접근하거나 OS 명령을 실행해 더 높은 권한을 얻기 위해 실시하는 공격이었다. 그 다음은 자동화된 공격, 파일 경로 조작 공격, 명령 주입 공격이 차지했다. “여기서 중요한 게 하나 있습니다. 공격의 분기점이 보이기 시작했다는 것입니다. 순수 볼륨으로만 따졌을 때 현재 가장 크게 유행하는 건 ‘스캐닝 공격’입니다. 쉬운 공격 경로를 찾기 위해 이리 저리 둘러보는 행위를 말하는 것이죠. 그 다음으로 많은 건 표적형 공격이었습니다. 이건 가치가 높은 데이터를 노리고 실시하는 공격입니다.”
즉 현대의 웹 앱을 노리는 공격은, 쉬운 표적을 찾는 스캐닝 공격과, 표적을 알고 실시하는 표적형 공격으로 나뉜다는 것인데, “둘의 접근법이 상이하긴 하지만 목표는 비슷”하다고 한다. “공격을 넓게 펴느냐 아니면 깊게 뚫느냐의 차이이지만, 둘 다 결국엔 돈을 노리는 것이 거의 대부분입니다.”
취약점 패치
티셀의 보고서에 의하면 활용되고 있는 애플리케이션들의 90%가 CVE에 등록된 취약점을 하나 이상 내포하고 있다. 이중 ‘치명적인’ 위험도를 가지고 있는 것이 30%였다. “많은 웹 들에서 사용되지 않는 경로나 외부로 노출된 API가 수두룩하게 나왔습니다. 한 애플리케이션 당 평균 2900개가 나왔을 정도인데요, 이는 공격 표면을 크게 넓혀주는 것들입니다. 보안의 사각지대라고 볼 수 있습니다.”
또한 발견된 취약점에 대한 패치가 적용되는 데까지 평균 38일이 걸리는 것으로 나타났다. 기업에 있어 가장 위험한 취약점을 패치하는 데에는 34일이 소요됐다. “단체 및 조직의 규모에 따라 패치에 필요한 날짜가 길어지거나 짧아질 수도 있습니다만, 패치에 한 달 이상 걸리는 게 현대 기업들의 현실입니다.”
게다가 위험도가 낮아질수록 패치에 걸리는 시간은 길어지기도 했다. 중간 정도의 위험도를 가진 취약점이 패치되기까지는 평균 39일이 걸렸고, 낮은 위험도를 가진 취약점의 경우는 54일이 걸렸다. 가장 늦게 패치가 된 사례는 무려 340일을 기록하기도 했다. 파이어택은 “그래도 이게 많이 나아진 것”이라고 말한다. “몇 년 전에 비하면 이 일자들은 크게 줄어든 것이라고 볼 수 있습니다.”
3줄 요약
1. 돈을 노린 웹 앱 공격의 트렌드 : 넓고 얕게 가느냐, 좁고 깊게 가느냐로 갈림.
2. 공격 기술로 분류했을 때는 XSS와 SQL 주입 공격이 양대산맥.
3. 패치 적용에 걸리는 시간은 평균 38일. 그나마도 나아진 것.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg)
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)