※본 글은 2021년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
KISA가 운영하는 보안 취약점 신고포상건수로 살펴본 공격 유형 1위 XSS, 2위는 오버플로우
대상별로는 2020년 IoT 취약점 감소, Application과 Service 취약점이 높은 비율 차지
4차 산업혁명 시대를 맞이하면서 소프트웨어는 PC 뿐만 아니라 스마트폰, IoT 기기, 스마트카 등 다양한 분야에서 활용되고 있습니다. 이렇듯 소프트웨어 사용이 증가하면서 대부분의 사이버보안 및 해킹 사고는 소프트웨어에 존재하는 보안 취약점을 악용해 발생되고 있습니다.
이러한 보안 사고를 예방하기 위해서는 무엇보다 보안 취약점을 사전에 인식하고 조치하는 것이 중요합니다. 이에 한국인터넷진흥원(KISA)은 보안 취약점을 제거하기 위해 집단 지성을 활용하는 ‘보안 취약점 신고포상제’를 2012년부터 운영해오고 있으며, 법적 제한으로 인해 취약점 분석에 한계가 있는 서비스에 대해서는 2018년부터 ‘핵더챌린지’를 신고포상제의 일환으로 개최해오고 있습니다.
이와 관련 KISA는 최근 3년간 ‘핵더챌린지’를 포함한 신고포상제를 통해 분석된 취약점 유형을 구분하고 공격 사례를 통해 개발자가 보안 패치 시 놓치기 쉬운 대응방안을 제시한 기술문서를 발표했습니다. 여기서는 보안 취약점 신고 포상건수로 집계한 최근 3년간 가장 빈번했던 해킹 공격 유형 10가지를 중심으로 살펴보겠습니다.
▲보안 취약점 신고포상건수로 집계한 최근 3년간 공격 유형별 통계[자료=KISA]
최근 3년간 신고된 취약점 가운데 신규로 검증되어 포상된 건수를 기준으로 통계를 산출한 결과, 가장 많았던 공격 유형은 크로스 사이트 스크립팅(XSS)으로 총 458건이었던 것으로 집계됐습니다. 이어 오버플로우가 332건, 명령어 삽입(Command Injection)이 175건으로, 각각 2, 3위를 차지했다. 그 다음으로는 부적절한 권한 검증(105건), 파일 다운로드 및 실행(94건), SQL Injection(90건), 파일 다운로드(76건), 취약한 인증 및 세션 관리(72건), 임의 파일 실행(38건), 파일 업로드(33건) 순이었습니다.
해당 결과에 대해 KISA 측은 크로스 사이트 스크립팅, 부적절한 권한 검증으로 인한 파라미터 변조 공격, SQL Injection 등과 같이 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다고 밝혔습니다. 그 다음으로는 입력 값 검증 미흡으로 인한 오버플로우 취약점, 명령어 삽입(Command Injection) 취약점이 높은 비율을 차지하고 있다는 설명입니다.
▲최근 3년간 취약점 대상별 포상건수[자료=KISA]
또한, KISA는 대상별로 취약점을 분류한 결과 크게 Application, Service로 나눌 수 있으며 Application과 Service 경계선상에 있으나 고유 특징을 가지고 있는 모바일 및 IoT(PC를 제외한 하드웨어 친화적 IoT기기), ActiveX(브라우저 플러그인), CMS(웹빌더 소프트웨어)를 포함해 분류했다고 밝혔습니다.
조사결과, 2018년과 2019년도에는 모바일 및 IoT 취약점 비율이 높았던 반면, 2020년은 IoT 취약점이 감소했고 Application과 Service 취약점이 높은 비율을 차지했습니다. 2020년 Application 내에서는 전년 대비 파일 전송·원격 협업 솔루션 대상이 증가했습니다. 이를 통해 IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소추세에 있으며, 비대면 업무방식이 늘어남에 따라 파일전송/업로드 보안 및 원격 협업 솔루션이 증가했다는 걸 알 수 있습니다.
출처 : 보안뉴스