2013.05.08

블로그 | "86%의 웹에 심각한 취약점 있다"

Bill Brenner | CSO
화이트햇의 센티널 서비스(WhiteHat Sentinel Services)가 650개 이상의 기업과 수만 개의 웹사이트를 지속적으로 모니터링한 보고서를 발표했다.

필자는 최근 발표된 화이트햇 웹사이트 보안 통계를 살펴보면서 몇 가지 흥미로운 데이터들을 발견했다.

우선 여기에 들어간 단어다. 화이트햇은 650개 이상의 기업과 수만 개의 웹사이트를 지속적으로 모니터링한 데이터를 면밀히 조사했다. 관점에 따라 여기에 높은 점수를 줄 수도 낮은 점수를 줄 수도 있다.

-모든 웹사이트의 86%는 최소한 하나의 심각한 취약점을 가지고 있었다.

-각 웹사이트에서 확인된 심각한 취약점의 평균 수는 2010년 230개, 2011년 79개에서 2012년 56개로 줄어드는 추세다.

-심각한 취약점이 처음 발견되고 나서 해결되기까지 걸리는 시간은 평균 193일이었다.

-심각한 취약점의 61%는 해결됐다. 이 비율은 2011년 63%에 약간 못 미쳤지만 2010년에는 53였고 2007년에는 35%로 점차 나아지고 있다.

*심각한 취약점이란 공격자가 웹 사이트 전체나 일부분을 장악하고 시스템에서 사용자 계정을 조작해 민감한 데이터에 접근하고 규제 요구를 위반하며 1면 기사를 장식할 만한 사건을 일으키는 경우를 말한다. 즉, 심각한 취약점은 반드시 바로 잡아야 하는 상황이다.

2012년에 발생한 가장 잘 알려진 취약점 10개를 보면, 전년도와 거의 비슷하며 다음과 같다.

1) 정보 유출 - 웹사이트의 55%

2) 크로스 사이트 스크립팅 - 웹사이트의 53%

3) 콘텐츠 스푸핑 - 웹사이트의 33%

4) 사이트 간 요청 위조 - 웹사이트의 26%

5) 무작위 공격 - 웹사이트의 26%

6) 핑거프린팅 - 웹사이트의 23%

7) 불충분한 전송 계층 보호 - 웹사이트의 22%

8) 세션 고정 - 웹사이트의 14%

9) URL 리디렉터 남용 - 웹사이트의 13%

10) 인증 부족 - 웹사이트의 11%

한편, 다음과 같은 결과도 눈여겨 볼 필요가 있다.

-조사 대상 기업의 57%는 프로그래머를 위한 컴퓨터 기반 소프트웨어 보안 교육이나 교육 강사를 제공하고 있다. 이들 가운데 취약점을 경험한 응답자는 40%로 더 적었으며, 50% 더 빠르게 해결했지만 12%라는 낮은 치료율을 나타냈다.

-기업의 39%는 자사 웹사이트에서 상당한 통계 코드 분석을 수행하고 있다고 답했다. 이 조직들은 15% 더 많은 취약점을 경험했으며 26% 늦게 해결했고 4%의 낮은 치료율을 보였다.

-기업의 55%는 웹 애플리케이션 방화벽(WAF)을 설치했거나 도입 중이라고 말했다. 이들은 11% 더 많은 취약점이 발생했고 8% 더 늦게 해결했으며 7% 더 낮은 치료율을 나타냈다.

*Bill Brenner는 CSO의 편집국장이다. ciokr@idg.co.kr



2013.05.08

블로그 | "86%의 웹에 심각한 취약점 있다"

Bill Brenner | CSO
화이트햇의 센티널 서비스(WhiteHat Sentinel Services)가 650개 이상의 기업과 수만 개의 웹사이트를 지속적으로 모니터링한 보고서를 발표했다.

필자는 최근 발표된 화이트햇 웹사이트 보안 통계를 살펴보면서 몇 가지 흥미로운 데이터들을 발견했다.

우선 여기에 들어간 단어다. 화이트햇은 650개 이상의 기업과 수만 개의 웹사이트를 지속적으로 모니터링한 데이터를 면밀히 조사했다. 관점에 따라 여기에 높은 점수를 줄 수도 낮은 점수를 줄 수도 있다.

-모든 웹사이트의 86%는 최소한 하나의 심각한 취약점을 가지고 있었다.

-각 웹사이트에서 확인된 심각한 취약점의 평균 수는 2010년 230개, 2011년 79개에서 2012년 56개로 줄어드는 추세다.

-심각한 취약점이 처음 발견되고 나서 해결되기까지 걸리는 시간은 평균 193일이었다.

-심각한 취약점의 61%는 해결됐다. 이 비율은 2011년 63%에 약간 못 미쳤지만 2010년에는 53였고 2007년에는 35%로 점차 나아지고 있다.

*심각한 취약점이란 공격자가 웹 사이트 전체나 일부분을 장악하고 시스템에서 사용자 계정을 조작해 민감한 데이터에 접근하고 규제 요구를 위반하며 1면 기사를 장식할 만한 사건을 일으키는 경우를 말한다. 즉, 심각한 취약점은 반드시 바로 잡아야 하는 상황이다.

2012년에 발생한 가장 잘 알려진 취약점 10개를 보면, 전년도와 거의 비슷하며 다음과 같다.

1) 정보 유출 - 웹사이트의 55%

2) 크로스 사이트 스크립팅 - 웹사이트의 53%

3) 콘텐츠 스푸핑 - 웹사이트의 33%

4) 사이트 간 요청 위조 - 웹사이트의 26%

5) 무작위 공격 - 웹사이트의 26%

6) 핑거프린팅 - 웹사이트의 23%

7) 불충분한 전송 계층 보호 - 웹사이트의 22%

8) 세션 고정 - 웹사이트의 14%

9) URL 리디렉터 남용 - 웹사이트의 13%

10) 인증 부족 - 웹사이트의 11%

한편, 다음과 같은 결과도 눈여겨 볼 필요가 있다.

-조사 대상 기업의 57%는 프로그래머를 위한 컴퓨터 기반 소프트웨어 보안 교육이나 교육 강사를 제공하고 있다. 이들 가운데 취약점을 경험한 응답자는 40%로 더 적었으며, 50% 더 빠르게 해결했지만 12%라는 낮은 치료율을 나타냈다.

-기업의 39%는 자사 웹사이트에서 상당한 통계 코드 분석을 수행하고 있다고 답했다. 이 조직들은 15% 더 많은 취약점을 경험했으며 26% 늦게 해결했고 4%의 낮은 치료율을 보였다.

-기업의 55%는 웹 애플리케이션 방화벽(WAF)을 설치했거나 도입 중이라고 말했다. 이들은 11% 더 많은 취약점이 발생했고 8% 더 늦게 해결했으며 7% 더 낮은 치료율을 나타냈다.

*Bill Brenner는 CSO의 편집국장이다. ciokr@idg.co.kr

X