CA 베라코드(CA Veracode)의 ‘2017년 소프트웨어 보안 현황 보고서’에 따르면 자바 애플리케이션의 88%는 최소 1개 이상의 취약한 컴포넌트(component)를 포함하고 보편적 공격에 노출된 것으로 나타났다. 그러나 자사 앱의 컴포넌트를 정기적으로 분석하고 모니터링하는 기업은 28%에도 미치지 못했다.

이번 조사는 1400개 기업을 대상으로 ▲취약점 조치율 ▲취약한 앱 비율 ▲취약한 오픈소스 컴포넌트의 위험성 등 앱 보안 현황을 조사했다.

2016년 4월부터 2017년 3월까지 12개월 동안 발생한 주요 자바 앱 침해 사건은 오픈소스나 상업용 컴포넌트의 잘 알려진 취약점이 원인이 됐다. 지난 3월 자바 웹 앱용 오픈소스 프레임워크인 아파치 스트럿츠에서 발견된 ‘스트럿츠-쇼크’(Struts-Shock) 결함이 대표적 사례다. 아파치 스트럿츠 2 라이브러리를 사용하는 자바 앱의 68%는 첫 공격 후에도 수주 동안 취약한 컴포넌트를 계속 사용한 것으로 분석됐다.

3500만 웹사이트가 아파치 스트러츠 2 라이브러리의 치명적 취약점을 이용한 커맨드 인젝션 기법 원격코드실행(RCE) 공격에 취약했다. 다양한 앱이 사이버 범죄의 목표가 됐고 특히 캐나다 국세청, 델라웨어 대학교가 큰 피해를 입었다.

취약한 커먼스 컬렉션스(Commons Collections) 컴포넌트를 포함한 자바 앱은 2016년 조사 결과와 비슷한 수준인 53.3%로 나타났다. 기능 코드를 재사용해 빠르게 SW를 개발하도록 하는 컴포넌트는 앱 개발 시 널리 활용된다. 조사 결과 일반 앱 코드의 75%가 오픈소스 컴포넌트로 구성됐다.
많은 기업이 치명적 취약점에 최우선으로 조치를 취하지만 실제 패치가 제공되기까지는 상당한 시간이 걸렸다. 실제 심각한 보안 결함의 22%만이 30일 이내 패치되는 것으로 조사됐다. 사이버 공격자 대부분은 취약점 발견 후 수일 내 공격을 시작하고 기업 네트워크에 침투한다.

산업별로는 공공 기관이 다른 기업보다 저조한 성과를 보였다. 공공 기관의 24.7%만이 마지막 취약점 분석을 통과하고, 크로스-사이트 스크립팅(49%), SQL 인젝션(32%)과 같은 치명적 취약점을 가장 많이 포함했다. 기간 산업은 1차와 마지막 취약점 분석에서 29.8%로 가장 높은 오픈 웹 애플리케이션 보안 프로젝트(OWASP) 통과율을 기록했다. 헬스케어(2.6%), 소매•접객(2.3%) 산업은 1차 취약점 분석과 마지막 취약점 분석 사이에 소폭 개선을 나타냈다.

림 텅 성(Lim Teng Sherng) CA 테크놀로지스 아태 및 일본 지역 보안 담당 부사장은 “컴포넌트는 앱 개발 시 널리 사용되기 때문에 컴포넌트 1개에 취약점이 발견돼도 수천개 앱에 영향을 미친다. 단 한 번의 공격만으로 여러 앱을 침해할 수 있어 공격에 노출될 경우 시간이 절대적으로 중요하다”라며 “모든 오픈소스와 써드파티 컴포넌트가 기업이 직접 개발한 코드보다 취약하다고 말할 수는 없지만 컴포넌트를 항상 최신 버전으로 유지해야 한다. 기업이 위협 심각성을 간과하고 컴포넌트 모니터링 툴을 활용하지 않으면 문제는 심각해질 것”이라고 밝혔다.

이향선기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지