외국에 Risk Based Security라는 보안 업체가 있습니다. 한국에 비슷한 기업을 보자면 nProtect가 있습니다.
이 기업에서 보고서를 내놨는데, 2018년 동안 발견된 소프트웨어의 취약점은 22,000개가 넘는다고 합니다.
(https://www.riskbasedsecurity.com/2019/02/more-than-22000-vulnerabilities-disclosed-in-2018/)
이 업체는 매년 발견된 취약점들의 갯수를 보고서로 작성해 발표를 하는데, 작년도 22,000여개 정도였다고 합니다.
그중에서 웹 관련 취약점들은 47,9%를 차지했다고 합니다.
여기서 주목해야할 점은 SCADA취약점인데, 작년에비해 약 2배 오른 3.5%가 나왔다고 합니다.
비록 SCADA의 비중은 적지만 작년에 비해 증가했고, SCADA시스템이 해킹당할 경우 어마어마한 피해가
발생할 수 있다는걸 알아야 합니다.
취약점들이 발견된 해킹 기법으로는 SQL injection, Buffer Overflow, 원격 명령 주입 등...
사용자가 입력해서 인증을 받는 형식의 절차 과정에서 많이 발생했다는 것입니다.
지금도 많은 언어들이 패치를 하고 있지만 구멍은 항상 존재 하는 것 같습니다.
하지만 다행인 것은 대부분의 것들이 치명적인 취약점이 아니라는 점입니다.
또한 아주 강력하고 크리티컬한 취약점들은 공개하지 않는다고 합니다.
취약점을 발견해도 고칠 수 없는 것들이 있으며, 고친다 해도 기간이 오래걸리고
이를 악용한다면 치명적인 해킹으로 이어질 수 있기 때문이라고 합니다.
Risk Based Security의 말로는 취약점 10개중 3개는 고칠 수 없는 취약점이라고 합니다.
때문에 정보의 관리를 신경써야 하고 인증 절차를 1개가 아닌 여러개를 둬서
부족한 점들을 채워줘야 한다고 말합니다.
기술의 발전함에 따라 취약점들은 더 많이 나올 것 같다는게 저의 생각이고,
공부하는데 있어서 심도있게 공부를 해야 나중에 이를 방어할 수 있겠다라는 생각을 했습니다.
'보안뉴스' 카테고리의 다른 글
2019-03-04/시스코 장비 취약점 패치 (0) | 2019.03.04 |
---|---|
2019-03-03/한국과학기술정보연구원, APAN 통해 글로벌 빅데이터 하이웨어 구축 협력 추진 (0) | 2019.03.03 |
2019-02-28/PDF파일을 크롬으로 열었을 때 취약점 발견!! (0) | 2019.02.28 |
2019-02-26/출입통제 시스템에 ICT를 융합하는 시스템 (0) | 2019.02.26 |
2019-02-25/삼성전자, 5G 기지국용 칩 개발 (0) | 2019.02.25 |
댓글