TECH M
×
TECH M
고위험 보안 취약점, 구글에 집중
2016-11-08강진규 기자
과거 마이크로소프트(MS), 어도비 제품군에 집중됐던 보안 취약점 위협이 구글 제품 등 다방면으로 확대되고 있는 것으로 알려졌다. 해커들이 이를 악용할 수 있어 전반적인 주의가 필요하다는 지적이다.
8일 보안업계에 따르면, 한국인터넷진흥원(KISA)은 최근 발간한 ‘3분기 사이버 위협 동향 보고서’를 통해 7월부터 9월까지 3개월간의 고위험 취약점 분석 결과를 공개했다.
이 기간에 발표된 취약점 중 고위험 취약점을 업체별로 구분하면, 구글 제품에서 가장 많은 155건(22%)의 취약점이 발견됐고 어도비 제품에서 107건(15%)의 취약점이 분석돼 뒤를 이었다. 이어 오라클 제품 취약점이 71건(10%), 마이크로소프트(MS) 취약점이 69건(10%), 애플 취약점 54건(8%), 시스코 취약점 34건(5%)이었다.
![한국인터넷진흥원이 최근 발간한 ‘3분기 사이버 위협 동향 보고서’ 중 업체별 고위험 취약건수 [자료: 한국인터넷진흥원]](http://techm.kr/data/editor/1611/3745383181_1478508664.63731.jpg)
KISA는 구글 제품군으로 분류된 취약점 155건 중 절반이 넘는 87건이 퀄컴 등 안드로이드 기기에 탑재된 칩셋 취약점이었다고 분석했다. 칩셋을 제외한 취약점은 61건이며 이 중 절반인 31건이 미디어서버와 관련된 것이었다.
어도비 제품군 취약점은 68건은 플래시, 31건은 아크로뱃 관련 취약점이었다. 또 MS 취약점 중 오피스 문서 관련 20건은 치명적 취약점이라고 KISA는 분석했다.
지난 2분기에도 구글, 어도비, MS 등의 취약점이 많이 나타났다. 2분기에는 어도비 취약점이 188건(26%), MS 관련 취약점이 94건(13%), 구글 취약점이 93건(13%), 애플 취약점이 41건(6%)이었다. 어도비 제품 중 플래시에서 많은 취약점이 나타난 것으로 나타났다.
2~3분기를 종합해보면, 어도비 취약점 295건, 구글 취약점은 248건, MS가 163건으로 상위권을 형성하고 있다.
이같은 보안 취약점들은 악성코드 제작과 제로데이 공격 등에 이용될 가능성이 높다. 제로데이 공격은 운영체제(OS)나 네트워크 장비, 소프트웨어(SW) 등의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기 전에 해당 취약점을 이용해 공격하는 수법이다.
실제로 제로데이 공격을 위해 취약점을 찾고 또 발표되는 취약점을 예의주시하는 해커들도 존재한다. 즉 취약점이 발견되고 알려진다는 것은 그만큼 그 부분에 대한 사이버공격 위험성이 높다는 뜻이다.
그런데 최근 보안 취약점의 추세 변화가 나타나고 있다는 점에서 주목을 받고 있다. 과거에는 MS 제품인 윈도 OS, 인터넷익스플로어(IE) 브라우저 등의 취약점이 많이 나타났지만, 최근 구글 제품 관련 취약점이 많아지고 있는 것이 대표적이다.
2009년 12월 인터넷침해사고 동향 및 분석 월보에 따르면, 당시 KISA는 MS 오피스, IE 등의 취약점과 어도비 플래시 취약점을 주요 위협으로 꼽았다. 이어 몇 년 사이 어도비 제품 취약점이 빠르게 늘어났다. KISA의 2015년 10월 월간 악성코드 은닉사이트 탐지 동향보고서에 따르면, 어도비 플래시 관련 취약점이 42%, 자바 애플릿 취약점이 32%, MS 취약점 악용 사례가 21%로 집계됐다.
구글 안드로이드 취약점 문제는 올해 초부터 조짐이 나타났다. 지난 1월 구글은 안드로이드 OS에 영향을 줄 수 있는 심각한 취약점들에 대한 보안패치를 공개했다. 이 취약점들은 음악, 동영상 등을 재생하는 영역은 물론 스마트폰에 탑재되는 칩이 사용하는 영역까지 취약점에 노출될 수 있는 것으로 알려졌다.
또 지난 8월 7일 미국 지디넷은 모든 안드로이드 버전에 포함된 보안 취약점이 발견됐다고 경고했다. 보도에 따르면, 퀄컴 칩을 탑재한 모든 안드로이드 스마트폰과 태블릿에서 이제까지 알려지지 않았던 보안 취약점 4건이 발견됐다. 공격자가 해당 기기의 제어권한을 가져갈 수 있는 이 취약점은 보안 패치가 될 때 까지 전 세계 수 억 대의 스마트폰, 태블릿PC에 영향을 준 것으로 알려지고 있다.
KISA 관계자는 “해커들이 사용자가 많은 부분의 취약점을 악용하는데, 전 세계적으로 안드로이드 OS와 퀄컴 칩 사용이 많다보니 최근 그 분야의 취약점을 노리는 것으로 보인다”고 말했다.
전문가들은 앞으로 안드로이드폰 관련 악성코드나 사이버공격이 더 많아질 수 있다고 우려하고 있다. 이에 따라 오피스 SW, 웹브라우저. 플래시에 대한 최신 업데이트를 강조하는 것만큼 구글 안드로이드 등에 대한 업데이트의 중요성도 국민들에게 알려야 한다는 지적이다.
[테크M = 강진규 기자(viper@techm.kr)]
8일 보안업계에 따르면, 한국인터넷진흥원(KISA)은 최근 발간한 ‘3분기 사이버 위협 동향 보고서’를 통해 7월부터 9월까지 3개월간의 고위험 취약점 분석 결과를 공개했다.
이 기간에 발표된 취약점 중 고위험 취약점을 업체별로 구분하면, 구글 제품에서 가장 많은 155건(22%)의 취약점이 발견됐고 어도비 제품에서 107건(15%)의 취약점이 분석돼 뒤를 이었다. 이어 오라클 제품 취약점이 71건(10%), 마이크로소프트(MS) 취약점이 69건(10%), 애플 취약점 54건(8%), 시스코 취약점 34건(5%)이었다.
| (한국인터넷진흥원이 최근 발간한 ‘3분기 사이버 위협 동향 보고서’ 중 업체별 고위험 취약건수 [자료: 한국인터넷진흥원]) |
KISA는 구글 제품군으로 분류된 취약점 155건 중 절반이 넘는 87건이 퀄컴 등 안드로이드 기기에 탑재된 칩셋 취약점이었다고 분석했다. 칩셋을 제외한 취약점은 61건이며 이 중 절반인 31건이 미디어서버와 관련된 것이었다.
어도비 제품군 취약점은 68건은 플래시, 31건은 아크로뱃 관련 취약점이었다. 또 MS 취약점 중 오피스 문서 관련 20건은 치명적 취약점이라고 KISA는 분석했다.
지난 2분기에도 구글, 어도비, MS 등의 취약점이 많이 나타났다. 2분기에는 어도비 취약점이 188건(26%), MS 관련 취약점이 94건(13%), 구글 취약점이 93건(13%), 애플 취약점이 41건(6%)이었다. 어도비 제품 중 플래시에서 많은 취약점이 나타난 것으로 나타났다.
2~3분기를 종합해보면, 어도비 취약점 295건, 구글 취약점은 248건, MS가 163건으로 상위권을 형성하고 있다.
이같은 보안 취약점들은 악성코드 제작과 제로데이 공격 등에 이용될 가능성이 높다. 제로데이 공격은 운영체제(OS)나 네트워크 장비, 소프트웨어(SW) 등의 보안 취약점이 발견된 뒤 이를 막을 수 있는 패치가 발표되기 전에 해당 취약점을 이용해 공격하는 수법이다.
실제로 제로데이 공격을 위해 취약점을 찾고 또 발표되는 취약점을 예의주시하는 해커들도 존재한다. 즉 취약점이 발견되고 알려진다는 것은 그만큼 그 부분에 대한 사이버공격 위험성이 높다는 뜻이다.
그런데 최근 보안 취약점의 추세 변화가 나타나고 있다는 점에서 주목을 받고 있다. 과거에는 MS 제품인 윈도 OS, 인터넷익스플로어(IE) 브라우저 등의 취약점이 많이 나타났지만, 최근 구글 제품 관련 취약점이 많아지고 있는 것이 대표적이다.
2009년 12월 인터넷침해사고 동향 및 분석 월보에 따르면, 당시 KISA는 MS 오피스, IE 등의 취약점과 어도비 플래시 취약점을 주요 위협으로 꼽았다. 이어 몇 년 사이 어도비 제품 취약점이 빠르게 늘어났다. KISA의 2015년 10월 월간 악성코드 은닉사이트 탐지 동향보고서에 따르면, 어도비 플래시 관련 취약점이 42%, 자바 애플릿 취약점이 32%, MS 취약점 악용 사례가 21%로 집계됐다.
구글 안드로이드 취약점 문제는 올해 초부터 조짐이 나타났다. 지난 1월 구글은 안드로이드 OS에 영향을 줄 수 있는 심각한 취약점들에 대한 보안패치를 공개했다. 이 취약점들은 음악, 동영상 등을 재생하는 영역은 물론 스마트폰에 탑재되는 칩이 사용하는 영역까지 취약점에 노출될 수 있는 것으로 알려졌다.
또 지난 8월 7일 미국 지디넷은 모든 안드로이드 버전에 포함된 보안 취약점이 발견됐다고 경고했다. 보도에 따르면, 퀄컴 칩을 탑재한 모든 안드로이드 스마트폰과 태블릿에서 이제까지 알려지지 않았던 보안 취약점 4건이 발견됐다. 공격자가 해당 기기의 제어권한을 가져갈 수 있는 이 취약점은 보안 패치가 될 때 까지 전 세계 수 억 대의 스마트폰, 태블릿PC에 영향을 준 것으로 알려지고 있다.
KISA 관계자는 “해커들이 사용자가 많은 부분의 취약점을 악용하는데, 전 세계적으로 안드로이드 OS와 퀄컴 칩 사용이 많다보니 최근 그 분야의 취약점을 노리는 것으로 보인다”고 말했다.
전문가들은 앞으로 안드로이드폰 관련 악성코드나 사이버공격이 더 많아질 수 있다고 우려하고 있다. 이에 따라 오피스 SW, 웹브라우저. 플래시에 대한 최신 업데이트를 강조하는 것만큼 구글 안드로이드 등에 대한 업데이트의 중요성도 국민들에게 알려야 한다는 지적이다.
[테크M = 강진규 기자(viper@techm.kr)]
-
'전자정부 名家' LG CNS, 1200억 '행복e음' 사업 수주로 자존심 회복할까공공 소프트웨어(SW) 사업의 강자 LG CNS가 올해 공공시장 첫 '대어'로 꼽히는 보건복지부 차세대 사회보장정보시스템(행복e음) 구축 사업에 출사표를 던졌다.17일 업계에 따르면 LG CNS는 이날 행복e음 사업 재입찰에 제안서를 제출했다.행복e음 사업은 지난 2009년 복지부가 각종 사회복지 급여 및 서비스 지원 대상자의 자격과 이력에 관한 정보를 통합 관리하기 위해 구축한 시스템을 현대화 하는 사업이다. 올해부터 3년간 약 1220억원이 투입된다.이 사업은 지난 3일 첫 입찰 공고를 마감했으나 무2020-03-17 16:54:47테크M 남도영 기자 -
네이버 vs 카카오, 포털-메신저 이은 3라운드... 링은 '콘텐츠'#수천억 자금으로 뭘 만들까#넷플릭스 잡을 수 있을까#톡TV-네이버TV 경쟁 볼만할 듯국내 대표 인터넷 맞수 기업 네이버와 카카오의 세번재 경쟁 무대 막이 올랐다. 포털과 메신저 플랫폼에서 치열하게 경쟁해온 두 기업의 3라운드 링은 '콘텐츠'다. 이미 양사는 콘텐츠 자회사에 수천억원의 자금을 쌓아놨다. 올해부터 본격적으로 콘텐츠 양산에 돌입한다. 콘텐츠 주도권 경쟁의 전초전은 이미 시작됐다.◆실탄 마련한 카카오M, 직접 콘텐츠 제작 개시카카오는 지난 16일 콘텐츠 자회사 카카오M이 3자 배정 유상증자2020-03-17 15:53:45테크M 허준 기자 -
[템 사이트] 게임 하면 유니티! 2020년 기대되는 유니티 기반 게임은?연일 쏟아지는 신작 소식이 게이머들을 설레게 하고 있습니다. 남다른 스케일을 자랑하는 게임업체들의 대형 신작은 물론 독특한 게임성을 내세운 게임까지, 게이머들의 다양한 취향을 만족시킬만한 다양한 신작게임들이 많습니다.오늘은 특히 유니티 엔진을 기반으로 한 신작 게임들을 엄선해서 소개할까 합니다. 유니티는 이미 전세계 수백만명의 게임 개발자들이 사용하는 유명한 게임엔진입니다. 최신 버전의 엔진 '유니티 2019.3' 업데이트를 통해 260가지가 넘는 개선사항과 신규 기능이 포함돼 진일보한 고성능 그래픽과 최적화 기2020-03-17 15:30:39테크M 허준 기자