2020-04-03 18:15 (금)
[단독] 국내외 보안취약점 및 제로데이 판매기업 총정리
상태바
[단독] 국내외 보안취약점 및 제로데이 판매기업 총정리
  • 길민권
  • 승인 2014.02.21 05:48
이 기사를 공유합니다

HNS, 2013 보안취약점과 제로데이 및 버그 바운티 기업 정리
지난해 보안취약점은 총 몇 건이나 발표됐을까. exploit-db.com 자료를 기준으로 지난해 1월부터 11월까지 총 910개의 취약점이 발표됐다. 보안 전문기업 HNS(www.hacknsecurity.com)는 최근 ‘2013년 사이버보안 백서’에 지난해 보안취약점에 대한 상세한 리포트를 자사 블로그에 공개해 큰 관심을 끌고 있다.
 
HNS 백서에 따르면, exploit-db.com에서 발표한 총 보안취약점은 910개였으며 이중 웹 취약점은 463개, 원격 취약점은 226개, DoS 취약점은 124개, 로컬 취약점은 97개였다.

 
역시 웹 보안취약점이 가장 많은 수치다. 플랫폼 별로 보면 PHP, 윈도우, 하드웨어, 리눅스 등의 순이다.
 
PHP 취약점이 다수를 차지하는 것은 웹 애플리케이션 취약점이 그만큼 많이 발견됐다는 것이며 웹 취약점은 발견하기 쉽다는 것을 입증하는 것이기도 하다. PHP 취약점들 중 294개가 웹 애플리케이션 취약점이고 PHP에 대한 직접적인 공격이 가능한 취약점은 31개였다.
 
2013년에 공개된 웹 취약점 중 SQL인젝션 취약점이 148개로 가장 많았고 XSS 취약점이 122개였다. 웹 취약점이 악성코드 유포에 악용될 수 있다는 것을 고려하면 웹 애플리케이션 취약점은 심각한 수준임을 알 수 있다.
 
특히 눈길을 끄는 부분은 윈도우 취약점 다음으로 하드웨어 취약점이 많다는 점이다. 보안취약점을 가지고 있는 하드웨어에 네트워크가 연결되었을 때 문제가 발생한다. 대표적으로 라우터, 프린터기, 스마트TV, SCADA시스템, VoIP 케이블 모뎀 등이다. 하드웨어 취약점들 중 권한을 획득할 수 있는 취약점도 다수 포함돼 있었다. 이는 산업시설 파괴 등으로 이어질 수 있어 심각하다고 할 수 있다.
 
또한 보안회사 제품 관련 취약점도 다수 공개됐다. 소포스, 맥아피, 시만텍 등의 제품들도 보안취약점이 다수 발견됐다. 이에 HNS는 “보안 제품 역시 취약점을 가지고 있을 수 있어 맹신은 금물이다. 또 보안회사는 취약점 정보를 은폐할 것이 아니라 신속하게 공개해 더 큰 피해를 막는 것이 신뢰를 형성하는데 도움이 될 것”이라고 밝혔다.
 
더불어 “벤더들의 시큐리티 블레틴에 포함되지 않은 취약점이 exploit-db.com에는 포함되어 있는 경우도 있다. 이는 모든 보안취약점에 대해 벤더들이 파악하지 못하고 있다는 것을 의미한다”며 “공개되지 않은 제로데이 취약점들도 다수 있어 벤더와 exploit-db.com에 공개된 취약점이 전부가 아니란 것을 인식해야 한다”고 말했다.
 
한편 국내 보안취약점에 대해서도 언급하고 있다. 이 부분은 KISA, 데일리시큐, exploit-db, 시큐니아 등을 참고로 작성됐다. 외국에 많이 알려진 국내 애플리케이션은 곰플레이어, 한컴 오피스, 삼성 스마트 TV 등이다. 특히 한컴 오피스 취약점은 최근 우리나라를 타깃으로 하는 APT 공격에도 자주 사용되고 있는 현실이다.
 
애플리케이션 이외에도 국내에서 생산되는 하드웨어와 이를 관리하는 프로그램들의 취약점도 많았다. 국내 웹 사이트의 취약점을 이용한 공격도 많았고 웹 애플리케이션에 많은 취약점이 존재하고 있다. 백서에는 지난해 국내 보안취약점에 대해 상세히 설명하고 있다.
 
HNS 관계자는 “국내 관련 보안취약점들은 공개된 것보다 공개되지 않은 것들이 더 많을 수 있다. 국내 관련 보안취약점들에 대한 연구가 더욱 활발히 진행되어야 할 것”이라며 “특히 한컴 오피스의 경우 국내 공공기관들이 공식적으로 사용하는 워드프로세스 프로그램이기 때문에 종합적인 보안취약점 연구가 진행되어야 할 것”이라고 강조했다.
 
◇제로데이 거래업체와 Bug Bounty 프로그램
전세계 제로데이 거래업체에 대한 상세 정보도 잘 정리됐다. 제로데이 확보는 이제 각국 사이버 전략의 핵심이다. 제로데이 확보는 강력한 사이버 무기를 확보하는 것이며 이는 한 국가의 사이버전 능력과 직결된다. 따라서 제로데이에 대한 다양한 수요가 발생하고 있고 이 수요를 적절히 처리할 수 있는 조직이나 회사들이 등장하고 있다. 백서에는 공개적으로 제로데이를 구매하는 업체들 목록과 소개가 포함돼 있어 눈길을 끈다.
 
제로데이 거래업체로 Beyond Security SecuriTeam Secure Disclosure, COSEINC, iDefense Vulnerability Management Services, iSight Partners GVP Program, Netragard Exploit Acquisition Program, Packet Storm Bug Bounty, Secunia Vulnerability Coordination Reward Program, White Fir Design WordPress Security Bug Bounty Program, Zero Day Initiative(ZDI), Injector, Exploit Hub 등이 소개되고 있다.
 
또한 ‘Bug Bounty’ 프로그램은 최근 들어 기업들이 많이 도입하고 있다. 보안취약점들이 높은 가격으로 언더그라운드 시장을 비롯해 폐쇄적인 구조에서 거래가 되고 있어 적절한 대책을 세우기가 어렵다고 판단했기 때문이다.
 
즉 폐쇄적 구조에서 제로데이 취약점들이 거래되는 것을 막고 취약점에 대한 신속한 처리를 통해 자사 제품의 신뢰성을 유지해 보안취약점으로 인한 수익구조의 악화를 막기 위한 방편이 바로 버그 바운티 프로그램인 것이다.
 
백서에는 취약점 제보 시 금전적인 보상(Rewards), Hall of Fame 등재(Acknowledgement), 기념품 제공 등의 보상을 하는 주요 기업의 취약점 보상 프로그램들도 소개하고 있다. 주요 기업들로는 어도비, 애플, 블랙베리, 시스코, 드랍박스, 이베이, 에버노트, 구글, 패이스북, 구글, 트위터, 마이크로소프트, 모질라 등이 버그 바운티를 제공하는 업체들이다. 대부분 글로벌 기업들이며 한국기업으로는 ‘삼성’만 이름을 올려놓고 있다. 한국에서도 보다 적극적으로 참여할 수 있는 기업이 늘어나길 기대해 본다.
 
이번 백서는 아래 링크를 통해서 다운로드 가능하며 데일리시큐 자료실에서도 다운로드 할 수 있다.
 
-HNS 보안취약점 관련 백서 다운로드
blog.hacknsecurity.com/attachment/cfile4.uf@262EC93F52FB455B24A0E0.pdf
 
데일리시큐 길민권 기자 mkgil@dailysecu.com