문제는 보고서의 내용 자체가 매우 충격적인 것으로, 이러한 사례는 이미 수년 전부터 보고되어 왔지만, 여전히 그대로라는 것이 가장 문제가 아닐 수 없습니다.
<그림 1. 통계에 사용된 회사, 웹사이트 등의 기초 자료>
통계를 위해 사용된 기초 정보는 약 350 이상의 기업으로 미 포춘의 기업을 주축으로 선정하였으며, 총 2천개 이상의 웹사이트와 32천개 이상의 웹 관련 취약점을 검토하였습니다. 또한, 이 정보는 2006년 1월부터 2010년 9월까지 꽤 오랜기간 모은 것으로 꽤 신뢰성이 있다고 볼 수 있습니다.
<그림 2. 웹 공격의 유형>
통계에서 분류한 공격의 유형에는 사람이 직접 조사한 공격과 자동화에 의한 공격 등 다양합니다.
<그림 3. 업계에 따른 중요한 취약점의 평균 개수>
업종으로 구분할 경우에는 IT 분야가 가장 많은 취약점을 가진 것으로 나타났으며, 전체적으로 약 12개 정도의 취약점을 가지고 있습니다.
<그림 4. 취약점의 순위>
가장 많은 취약점을 보이는 것은 바로 Cross-Site Scripting 으로 약 71%나 차지했습니다. 그리고, Information Leakage, Content Spoofing과 같이 데이터 누출이 그 뒤를 차지했습니다. 다행히도, SQL Injection 취약점은 15% 정도로 낮았지만, 이로 인해 데이터의 손실이 발생하는 효과는 매우 크게 되므로, 주의가 요망됩니다.
<그림 5. 문제 해결에 걸리는 시간>
가장 흥미로운 그래프라고 볼 수 있는데, 바로 업종 별로 문제점이 발견될 때에 이를 해결하는데 걸리는 시간을 나타낸 것입니다. 가장 재빠른 조치를 위한 은행 및 금융권은 문제점을 해결하는데 약 43주 정도 걸린 것으로 나타나고 있습니다. 하지만, 소매나 보험업종에서는 1년반 이상 소요된 것으로 나타납니다.
<그림 6. 문제 해결에 걸리는 시간>
따라서, 업종과 취약점의 개수를 이용하여 한번 더 산출해 보면, 취약점 당 해결에 걸리는 시간을 어림잡아 알 수 있으며, 아래와 같습니다.
은행(45주) / 취약점( 4.95개) = 9주
금융(41주) / 7.7 = 5.3 주
가장 빠른 대처를 보인 업종인데도 불구하고 한 개를 해결하는데 7-9 주 정도가 소요된다는 것을 봤을 때에 문제점을 파악하여 해결하는 것이 얼마나 어려운 것인지 가늠할 수 있습니다.
<그림 7. 문제 해결 비율>
더 큰 문제는 일부 업종에서는 취약점을 해결하는데 많은 노력을 기울이는 것으로 보이지만, 대부분의 업종에서는 그리 높은 해결 의지를 가지지 않은다는 것입니다. 심지어 SNS에 관련된 업종에서는 문제 해결비율이 떨어지는 결과를 보입니다.
이렇게 해결되지 않는 이유를 다음과 같이 정의내리고 있습니다.
조직 내에서 코드를 유지보수하거나 이해할 만한 위치에 있는 사람이 없음.
개발 그룹이 취약점을 이해하지 못하거나 반영하지 못함.
보안 상의 문제점 해결보다 기능 향상을 더 우선시함.
문제점 해결을 위한 예산 부족
취약점에 관련된 코드를 책임이 없는 서드파티 벤더가 가지고 있음.
웹사이트가 없어지거나 빠른 시일 내에 교체될 예정임.
취약점 자체가 용인됨.
비지니스 용도에 관련된 솔루션과 상충됨.
관련 법령(PCI-DSS 외)의 부재
지금까지 웹 보안에 대한 통계 정보를 간단히 요약해 봤습니다. 여전히 나오는 얘기지만 보안 의식 부재뿐만 아니라 개인정보의 중요성에 대해서 우리나라를 위시해서 미국에서도 마찬가지라는 점을 확인했을 뿐입니다.
요즘에는 매일 웹 사이트의 문제점이나 사고 사례에 대한 글만 포스팅하는 것 같습니다. 그만큼 최근의 사고가 웹에 관련된 것이 많으며 그 중에서도 SQL Injection 공격이 대세로 보입니다.
오늘 소개할 내용은 미국의 특정한 사이트에서 SQL Injection 취약점으로 인해 카풀을 통해 출퇴근하는 직원들의 개인정보가 누출된 뉴스를 소개합니다.
카풀로 통근할 수 있도록 도와주는 웹사이트(https://www.ridematch.info)의 프로그래밍 오류로 인해 남부 캘리포니아에 위치한 수백명의 직원의 개인 정보가 누출되는 사고가 발생했으며, 적어도 하나 이상의 국방 관련 사이트가 포함된 것으로 알려졌습니다.
버그는 지난 달 말에 이미 발견된 것으로 해커는 개인의 이름, 집주소, 전화번호, 통근 횟수 등의 다양한 개인정보를 취득할 수 있었습니다. 이 글을 쓰는 시점에도 SQL Injection 취약점이 여전히 존재하고 있으며, 특히 개발자에게 이러한 문제점을 알린 2주가 지나도 조치가 이뤄지지 않았습니다.
웹사이트는 남부 캘리포니아에 있는 5개의 지방 정부가 함께 참여하여 개발하였으며 사용자들은 회사 및 집 주소와 출퇴근 시간을 입력하였습니다. 또한 웹사이트에서는 카풀을 이용할 수 있도록 다른 사람들에게 적절한 위치와 시간대를 알려 주고 있습니다.
또한, 적어도 하나의 국방 관련 교육 기관이 이 웹사이트를 이용한 것으로 알려졌습니다. 하지만, 보안 상의 이유로 공개하고 있지는 않습니다.
이 제품은 OS X 운영체제에서 사용할 수 있으며 안티바이러스 뿐만 아니라 스파이웨어 기능도 제공하며 애드웨어와 피싱 공격도 차단할 수 있다고 되어 있습니다.
아직까지 이 사이트에서 다운로드받을 수 있는 링크는 나타나지만 실제로는 다운로드할 수 없습니다.
이 사이트들의 배경에는 'Antivirus XP 2008'과 'XP Antivirus'를 배포하는 집단이 있을 것으로 믿어지고 있습니다. 이 두 프로그램은 허위 윈도우 보안 프로그램으로 사용자에게는 최악의 피해를 입히고 있으며, 최근에는 V3를 비롯한 다양한 안티바이러스에서 이를 진단하는 추세를 보이고 있습니다.
만약 MacGuard 프로그램이 정말 가짜 보안 프로그램으로 밝혀진다면 이는 맥 운영체제에서 출현하는 악성 프로그램으로 또다른 전기를 맞게 될 수도 있습니다.
일반적으로 맥 OS는 매우 안전하다고 소문나 있으며, 특히 바이러스와 같은 악성 프로그램에 강하다고 알려져 있다. 하지만, 최근에는 맥 OS가 아닌 응용 프로그램을 이용하여 공격하는 행태가 소개되어 논란이 된 적이 있다.
최근 매킨토시 컴퓨터의 보안 소프트웨어를 개발하는 SecureMac 社의 전문가는 MAC OS X 10.4(일명 타이거)와 10.5(일명 레오파드)에서 활동이 가능한 트로이목마를 발견했다고 한다.
이 트로이 목마는 애플 원격 데스크탑 에이전트(Apple Remote Desktop Agent, ARDAgent)의 보안 취약점을 이용하는 것으로 공격이 성공하게 되면 매킨토시에서 직접 명령어를 내린 것과 마찬가지로 다양한 명령을 전송할 수 있게 된다. 따라서, 크래커가 매킨토시를 장악하게 되면 사용자의 사진 파일을 누출하거나, 모든 파일을 삭제하거나, 심지어 비밀번호까지도 바꿀 수 있게 된다.
SecureMac은 이 취약점을 "매우 심각하다고" 분류하고 있으며 가급적 방화벽의 포트를 열거나 시스템 로그 기록을 사용하지 않는지 조심스럽게 다뤄야 한다고 밝혔다.
다행히도 매킨토시 사용자는 바이러스를 포함하고 있는 프로그램을 다운로드하여 실행하는 경우에만 감염이 된다고 하니 파일을 다운로드할 때 한번 더 조심할 필요가 있다.
악성 프로그램은 AppleScript 또는 번들 프로그램을 이용하여 컴파일하여 실행파일로 만든 것으로, ScureMac의 Nicholas Raba에 따르면 트로이 목마는 원격 데스크탑을 이용하므로 매킨토시 환경에서 이 부분을 사용하지 않게 ARDAgent를 중지시키거나 파일을 아예 제거하는 것이 좋다고 한다.
SecureMac과 Intego Security는 이미 자사의 안티 바이러스 소프트웨어에 이 새로운 트로이 목마를 진단하여 처리할 수 있는 업데이트를 제공하고 있다.
AppleScript.THT 트로이 목마 정보: http://www.securemac.com/applescript-tht-trojan-horse.php
