PEOPLUS NEWS

피플러스 뉴스를 통해 업계소식과 피플러스가 주관하는 행사와 교육, 이벤트 등을 확인하실 수 있습니다.

현대 소프트웨어를 가장 많이 위협하는 건 ‘메모리 변형’ 취약점

피플러스 뉴스
작성자
피플러스
작성일
2021-10-14 15:59
조회
22

 


6167d1f35cba93929764.png


 


마이터가 가장 위험한 취약점 25개의 순위를 매겨 발표했습니다. 지난 2년간 수집되고 분석된 취약점들을 집계한 결과 메모리 변형이 가장 심각한 것으로 나타났으며, 그 외 클라우드 관련 취약점들의 상승세도 눈에 띕니다.

현대 소프트웨어에서 가장 많이 발견되고 가장 큰 위협이 되는 것이 메모리 변형 취약점이라는 연구 결과가 발표됐습니다. CVE 계통의 취약점 번호를 부여하고 관리하는 마이터 코퍼레이션(MITRE Corporation)이 최근 등록된 취약점들을 분석해 가장 위험한 취약점 25개를 선정해 발표했는데 메모리 변형이 1위에 오른 것입니다.


 


6167d5560d5027348197.jpg



마이터는 연구를 위해 지난 2년 동안 NIST의 취약점 데이터베이스에 등록된 취약점들을 전부 분석했다고 합니다. 이중 3033개가 메모리 변형 혹은 아웃 오브 바운드(out of bound) 유형이었다고 합니다. 이 취약점들의 평균 CVSS 점수는 8.22점이었습니다. 즉 대부분이 치명적 위험도를 가지고 있거나 고위험군에 속했다는 것입니다. 아웃 오브 바운드 취약점은 디도스, 코드 실행, 데이터 조작 등의 공격으로 이어질 수 있습니다.

2020년 같은 조사에서 1위를 차지했던 XSS 취약점의 경우 올해에는 2위를 차지했습니다. 공격자들은 이 유형의 취약점들을 통해 세션 및 쿠키 정보 탈취, 악성 요청 전송, 브라우저 취약점 익스플로잇 등의 공격을 실시할 수 있게 됩니다. XSS 취약점은 총 3564개로 메모리 변형 취약점보다 많았지만 CVSS 평균 점수가 5.80에 그쳐 2위로 결정됐다고 합니다.

아웃 오브 바운드 취약점은 라이트(write)와 리드(read)로 나뉘기도 하는데 위에 언급된 내용은 라이트로 분류되는 취약점들에 해당됩니다. 리드로 분류되는 취약점의 경우 민감한 정보 탈취로 이어집니다. 이 취약점도 이번 집계에서 5위 안에 들었습니다. 그 다음으로 입력값 미확인 취약점, OS 명령어 주입 취약점이 각각 4위와 5위를 기록했습니다.

마이터가 가장 위험한 취약점 25개를 발표한 건 소프트웨어 개발자와 사용자들이 현대 사이버 공간에서의 위험 요인에 대해 보다 올바르게 이해하는 데 도움을 주기 위해서입니다. 보다 전반적인 상황 파악을 위한 것으로 모든 조직들에 일관적으로 적용되기는 힘듭니다. 즉 모든 조직들이 메모리 변형 취약점에 가장 많이 노출되어 있다고 결론을 내릴 수는 없다는 것입니다. 다만 예를 들어 지난 해에는 10위에 머물렀던 OS 명령 주입 취약점이 5위로 올라가는 것과 같은 흐름을 파악한다면 보안 아키텍처 점검과 보완에 유효한 도움을 받을 수 있을 것이라고 합니다.

보안 전문 단체인 SANS의 요하네스 울리히(Johannes Ullrich)는 점점 더 많은 기업들이 클라우드로 옮겨가는 때라는 걸 생각했을 때 꽤나 심각하게 받아들여야 할 내용들이 이번 취약점 순위 보고서에 포함되어있다고 말합니다. “가장 상승세가 높았던 취약점 3개의 경우 모두 대형 온프레미스 애플리케이션들이 API와 마이크로서비스 기반으로 전환되면서 발생할 수 있는 것들입니다. 이런 취약점들이 가장 많이 발견된다는 건 클라우드의 빠른 도입이 이뤄지는 현 상황을 있는 그대로 반영합니다.”

그러면서 울리히는 “인증 시스템 부재 취약점의 경우 부적절하게 보호되어 있던 내부 기능이 API를 통해 노출되면서 나타난다”며 “클라우드 애플리케이션을 지원하는 과정에서 흔히 발생한다”고 설명합니다. “디폴트 권한이 잘못 되어 있는 취약점은 S3 버킷과 같은 클라우드 데이터베이스가 잘못 노출되었을 때를 말하죠. 클라우드 사용 미숙으로 인한 사고로 최근 자주 보도되고 있습니다. 마지막 하나는 불안전 비직렬화 취약점인데 분산 애플리케이션들이 통신 과정에서 객체를 활용할 때 나타납니다. 세 가지 전부 클라우드와 관련이 있음을 알 수 있습니다. 또한 효율성과 속도를 중시할 때 주로 나타나는 문제이기도 합니다.”

애플리케이션 게이트웨이나 각종 인증 서비스들이 출시되어 있어 클라우드 기반 애플리케이션들도 충분히 보호할 수 있지만 개발자들과 프로젝트 관리자들이 이런 기술들까지 고려하지 못하는 경우가 아직 많다는 게 울리히의 설명이다. “결국 자기가 만드는 것이 얼마나 위험할 수 있는지 충분히 이해하지 못한채 시장에 내놓는 것이죠.”

또 다른 보안 전문가인 개리 맥그로(Gary McGraw)의 경우 마이터의 취약점 순위가 유용한 건 분명하지만 개발자들이라면 각자의 환경에서 나타나는 위협들에 더 집중하는 편이 나을 것이라는 입장이다. “이 목록은 전반적인 인식 제고를 목적으로 하고 있습니다. 대 소프트웨어의 시대에 이미 인식 제고가 이뤄져 더 이상 나오지 않아야 될 목록인데 아직도 주기적으로 발표된다는 건 참 슬프고 우려되는 일입니다.”


 


6167d52d7179d2329336.png

전체 0