2013.12.12

칼럼 | 2014 보안 이슈, 10년 동안 변치 않는 톱 10

Dave Lewis | CSO
매년 빨간 옷을 입은 유쾌한 이를 볼 수 있는 이맘때쯤이면 보안 전문가들은 내년도 보안 이슈 톱 10을 거론하면서 마케팅이 가득 담긴 경고 메시지를 전달한다.

그래서 필자 또한 이런 추세에 맞춰 스스로가 지정한 2014년 톱 10 목록을 생각해보고 다가올 2014년에 문제시될 것으로 보이는 최고의 취약점들을 꼽았다.

이 목록은 다음과 같다.

- BIND 약점 : NXT, QINV, 그리고 in.named
- 웹 서버에 설치된 CGI 프로그램과 애플리케이션 확장 취약점
- RPC(Remote Procedure Call) 약점
- 마이크로소프트 IIS(Internet Information Server)내 RDS 보안 허점
- 샌드메일 버퍼 오버플로(buffer overflow) 약점
- 새드마인드(sadmind) and 마운트디(Mountd) 버그
- 글로벌 파일 공유
- 비밀번호 없는 사용자 계정
- IMAP, POP 버퍼 오버플로 취약점
- SNMP 취약점

어디선가 많이 본 듯한 괴물들이 있지 않는가? 그렇다. DNS, 이메일, 파일 공유, 오버플로, 그리고 디폴트 구성 등은 틀림없이 봤을 것이다. 이 주제들은 내년에도 보안상의 이슈로 나올 것이다.

앞서 열거한 목록이 올해 업데이트 된 것처럼 보일 지 모른다. 그러나 이것은 2000년도 ISACA에서 제기된 보안 이슈다.

자, 2000년에 받은 보도자료로 돌아가보자.
2000년 1월 15일 30명의 인터넷 전문가들은 클린턴 대통령을 만나 DDoS(distributed denial of service)을 방어할 때 필요한 조치와 지속 성장을 위한 인터넷 안전을 유지하는 법 등을 논의했다.

논의 결과 가운데 하나로 42명의 전문가들이 인터넷 커뮤니티의 모든 부문에서 악용된 취약점의 목록을 모아 톱 10 우선 위협 순위를 결정했다.

이후 13년동안 매번 같은 이슈가 반복되는 것은 왜일까? 이는 보안전문가를 비롯해 관련된 모든 업체들이 무의식적으로 타성에 젖어있지 않나 반성해 볼 필요가 있다.

반복되는 프로세스는 햄스터가 쳇바퀴를 돌리듯 운명인 것처럼 보인다. 필자는 그간 여러 해동안 많은 이들에게 오랜 기간에 걸친 거시적인 보안보다는 반복적인 방법론과 반짝 등장하는 새로운 보안 위협에 대한 대책만을 제시해왔던 것을 인정한다.

이제 전문가들에게는 햄스터가 쳇바퀴에서 내려오게 할 지혜의 땅콩이 필요하다. editor@itworld.co.kr



2013.12.12

칼럼 | 2014 보안 이슈, 10년 동안 변치 않는 톱 10

Dave Lewis | CSO
매년 빨간 옷을 입은 유쾌한 이를 볼 수 있는 이맘때쯤이면 보안 전문가들은 내년도 보안 이슈 톱 10을 거론하면서 마케팅이 가득 담긴 경고 메시지를 전달한다.

그래서 필자 또한 이런 추세에 맞춰 스스로가 지정한 2014년 톱 10 목록을 생각해보고 다가올 2014년에 문제시될 것으로 보이는 최고의 취약점들을 꼽았다.

이 목록은 다음과 같다.

- BIND 약점 : NXT, QINV, 그리고 in.named
- 웹 서버에 설치된 CGI 프로그램과 애플리케이션 확장 취약점
- RPC(Remote Procedure Call) 약점
- 마이크로소프트 IIS(Internet Information Server)내 RDS 보안 허점
- 샌드메일 버퍼 오버플로(buffer overflow) 약점
- 새드마인드(sadmind) and 마운트디(Mountd) 버그
- 글로벌 파일 공유
- 비밀번호 없는 사용자 계정
- IMAP, POP 버퍼 오버플로 취약점
- SNMP 취약점

어디선가 많이 본 듯한 괴물들이 있지 않는가? 그렇다. DNS, 이메일, 파일 공유, 오버플로, 그리고 디폴트 구성 등은 틀림없이 봤을 것이다. 이 주제들은 내년에도 보안상의 이슈로 나올 것이다.

앞서 열거한 목록이 올해 업데이트 된 것처럼 보일 지 모른다. 그러나 이것은 2000년도 ISACA에서 제기된 보안 이슈다.

자, 2000년에 받은 보도자료로 돌아가보자.
2000년 1월 15일 30명의 인터넷 전문가들은 클린턴 대통령을 만나 DDoS(distributed denial of service)을 방어할 때 필요한 조치와 지속 성장을 위한 인터넷 안전을 유지하는 법 등을 논의했다.

논의 결과 가운데 하나로 42명의 전문가들이 인터넷 커뮤니티의 모든 부문에서 악용된 취약점의 목록을 모아 톱 10 우선 위협 순위를 결정했다.

이후 13년동안 매번 같은 이슈가 반복되는 것은 왜일까? 이는 보안전문가를 비롯해 관련된 모든 업체들이 무의식적으로 타성에 젖어있지 않나 반성해 볼 필요가 있다.

반복되는 프로세스는 햄스터가 쳇바퀴를 돌리듯 운명인 것처럼 보인다. 필자는 그간 여러 해동안 많은 이들에게 오랜 기간에 걸친 거시적인 보안보다는 반복적인 방법론과 반짝 등장하는 새로운 보안 위협에 대한 대책만을 제시해왔던 것을 인정한다.

이제 전문가들에게는 햄스터가 쳇바퀴에서 내려오게 할 지혜의 땅콩이 필요하다. editor@itworld.co.kr

X