데일리그리드
정보산업
“자바 앱 88%가 알려진 보안 취약점 포함”
임영규 기자  |  sun@sundog.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.11.25  
트위터 페이스북 google 링크드인 밴드 카카오톡
   

CA 베라코드(CA Veracode) 조사 결과 자바 애플리케이션의 88%는 최소 1개 이상의 취약한 컴포넌트(component)를 포함하고 보편적 공격에 노출된 것으로 나타났다. 그러나 자사 앱의 컴포넌트를 정기적으로 분석하고 모니터링하는 기업은 28%에도 미치지 못했다.

CA 테크놀로지스가 인수한 세계적인 보안 소프트웨어 기업 베라코드는 1400개가 넘는 고객의 앱 보안 테스트 평과 결과를 담은 ‘2017년 소프트웨어 보안 현황 보고서’를 24일 발표했다. 이번 보고서는 ▲취약점 조치율 ▲취약한 앱 비율 ▲취약한 오픈소스 컴포넌트의 위험성 등 앱 보안 현황을 보여준다.

2016년 4월부터 2017년 3월까지 12개월 동안 발생한 주요 자바 앱 침해 사건은 오픈소스나 상업용 컴포넌트의 잘 알려진 취약점이 원인이 됐다. 지난 3월 자바 웹 앱용 오픈소스 프레임워크인 아파치 스트럿츠에서 발견된 ‘스트럿츠-쇼크’(Struts-Shock) 결함이 대표적 사례다. 아파치 스트럿츠 2 라이브러리를 사용하는 자바 앱의 68%는 첫 공격 후에도 수주 동안 취약한 컴포넌트를 계속 사용한 것으로 분석됐다.

3500만 웹사이트가 아파치 스트러츠 2 라이브러리의 치명적 취약점을 이용한 커맨드 인젝션 기법 원격코드실행(RCE) 공격에 취약했다. 다양한 앱이 사이버 범죄의 목표가 됐고 특히 캐나다 국세청, 델라웨어 대학교가 큰 피해를 입었다.

취약한 커먼스 컬렉션스(Commons Collections) 컴포넌트를 포함한 자바 앱은 2016년 조사 결과와 비슷한 수준인 53.3%로 나타났다. 기능 코드를 재사용해 빠르게 SW를 개발하도록 하는 컴포넌트는 앱 개발 시 널리 활용된다. 조사 결과 일반 앱 코드의 75%가 오픈소스 컴포넌트로 구성됐다.

많은 기업이 치명적 취약점에 최우선으로 조치를 취하지만 실제 패치가 제공되기까지는 상당한 시간이 걸렸다. 실제 심각한 보안 결함의 22%만이 30일 이내 패치되는 것으로 조사됐다. 사이버 공격자 대부분은 취약점 발견 후 수일 내 공격을 시작하고 기업 네트워크에 침투한다.

산업별로는 공공 기관이 다른 기업보다 저조한 성과를 보였다. 공공 기관의 24.7%만이 마지막 취약점 분석을 통과하고, 크로스-사이트 스크립팅(49%), SQL 인젝션(32%)과 같은 치명적 취약점을 가장 많이 포함했다. 기간 산업은 1차와 마지막 취약점 분석에서 29.8%로 가장 높은 오픈 웹 애플리케이션 보안 프로젝트(OWASP) 통과율을 기록했다. 헬스케어(2.6%), 소매·접객(2.3%) 산업은 1차 취약점 분석과 마지막 취약점 분석 사이에 소폭 개선을 나타냈다.

림 텅 성(Lim Teng Sherng) CA 테크놀로지스 아태 및 일본 지역 보안 담당 부사장은 “컴포넌트는 앱 개발 시 널리 사용되기 때문에 컴포넌트 1개에 취약점이 발견돼도 수천개 앱에 영향을 미친다. 단 한 번의 공격만으로 여러 앱을 침해할 수 있어 공격에 노출될 경우 시간이 절대적으로 중요하다”라며 “모든 오픈소스와 써드파티 컴포넌트가 기업이 직접 개발한 코드보다 취약하다고 말할 수는 없지만 컴포넌트를 항상 최신 버전으로 유지해야 한다. 기업이 위협 심각성을 간과하고 컴포넌트 모니터링 툴을 활용하지 않으면 문제는 심각해질 것”이라고 밝혔다.

웹사이트에서 CA 베라코드 ‘2017년 소프트웨어 보안 현황 보고서’ 전문과 인포그래픽을 확인할 수 있다.

[오피니언 리더가 만드는 심층뉴스 '데일리썬'] [IT보고서 총집합 '마이닝독']
< 저작권자 © 데일리그리드 무단전재 및 재배포금지 >
임영규 기자의 다른기사 보기  
페이스북 공유하기 트위터 공유하기
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 google 링크드인 밴드 카카오톡
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
서울시 중구 수표로 72-13, 401호 (수표동, 대한전기회관)   |  대표전화 : 02) 749-3205  |  팩스 : 02) 749-3207
정기간행물ㆍ등록번호 : 서울 아 00378  |  발행.편집인 : 장영신  |  등록일 : 2007.05.28  |  발행일 : 2007.05.30  |  청소년보호책임자: 심재형
Copyright © 2011 데일리그리드. All rights reserved. mail to grid@dailygrid.net