올해 3분기 동안 발표된 취약점 중 CVSS 점수 7.0 이상의 고위험 취약점을 업체별로 구분해 보면 구글, 어도비 관련 제품들에서 여전히 많은 취약점이 발견된 것으로 조사됐다.
한국인티넷진흥원은 2016년 3분기 사이버 위협 동향 보고서를 발표하고 보안취약점 관련 사이버 위협 동향 분석 내용을 공개했다. 3분기 CVE 취약점은 총 694건으로 나타났다. 구글이 155건으로 가장 많았고 어도비가 107건으로 다음을 차지했다.
구글 제품군으로 분류된 취약점 중 절반이 넘는 87개가 퀄컴 등 안드로이드 기기에 탑재된 여러 칩셋의 취약점이며 특히 퀄컴 칩셋과 관련된 취약점은 67개가 발견되어 전체 구글 취약점 대비 절반에 가까운 비중을 차지했다. 칩셋 종류를 제외한 구글 제품군 취약점은 61개이며 이 중 절반인 31개가 미디어서버 관련 취약점으로 조사됐다.
다음은 어도비 제품군으로 2분기 보다 11% 줄어든 15%를 기록했으며 그럼에도 불구하고 여전히 100개가 넘는 취약점이 발생했다. 6월에는 제로데이 취약점도 공개됐다. 총 107개 취약점 중 68개는 플래시, 31개는 아크로뱃 관련 취약점이며 두 가지 제품 취약점이 전체 취약점의 92%를 차지했다.
한편 오라클의 경우 이전 분기 통계에는 항목이 없었다. 이는 오라클이 주요 패치를 한꺼번에 모아 발표하기 때문이다. 이번 패치는 7월에 발표됐으며 다양한 제품군에 대한 276개의 취약점에 대한 수정사항이 패치됐다.
MS 제품 취약점들은 2분기 보다 3% 줄어든 10% 비율로 나타났으며 CVE 9.0 이상의 치명적인 취약점 36개 중 55%인 20개가 오피스 제품군 관련 취약점이었다. 이 취약점들은 오피스 문서의 메모리 변조를 통해 임의 코드 실행이 가능한 공통적인 특징을 가지고 있다.
또 7월에는 취약점 개수는 적지만 파급력이 큰 BIND DNS 원격 서버스 거부 취약점이 패치됐고 이 제품은 DNS 서비스에 널리 이용되고 있으며 9월 28일에는 또 다른 취약점이 발표되기도 했다.
8월 1주차에 패치가 발표된 M2Soft Report Desinger5.0,
Crownix ERS&Report6.0은 조달청 등에 많이 납품된 국산 HTML5 웹 레포팅 툴 제품이다.
8월 3주차에 있었던 시스코의 네트워크 보안 플랫폼 ASA의 취약점 공지는 미국 NSA의 해킹 툴 관련 취약점 CVE-2016-6366에 대한 것이며 이에 대한 패치는 9월 1주차에 이루어졌다.
9월 2주차에는 국내에서 많이 사용하고 있는 워드프레스 취약점에 대한 패치가 있었다. 하지만 가장 중요한 보안 업데이트는 3주, 5주차에 이루어진 MySQL과 OpenSSL 업데이트였다.
MySQL의 경우 전체 시장 점유율이 80%를 차지하고 있으며 취약점 발표 후 오라클 패치가 즉시 제공되지 않아 제로데이 공격 등에 악용될 가능성이 있다는 논란이 있었다.
OpenSSL에서는 임의 코드 실행 및 서비스거부가 가능한 10여 개의 중요 취약점이 발표되었으며 이는 통신이 필요한 상당수 제품에 광범위한 영향을 미쳐 패치가 반드시 필요한 취약점이다.
★정보보안 대표 미디어 데일리시큐!★