보안 취약점 신고포상건수로 집계한 최근 3년간 해킹 공격 유형 TOP 10 (보안뉴스, 권 준 기자, 2021.02.22.)
한국인터넷진흥원(KISA)은 보안 취약점을 제거하기 위해 집단 지성을 활용하는 ‘보안 취약점 신고포상제’를 2012년부터 운영해오고 있으며, 법적 제한으로 인해 취약점 분석에 한계가 있는 서비스에 대해서는 2018년부터 ‘핵더챌린지’를 신고포상제의 일환으로 개최해오고 있다.
이와 관련 KISA는 최근 3년간 ‘핵더챌린지’를 포함한 신고포상제를 통해 분석된 취약점 유형을 구분하고 공격 사례를 통해 개발자가 보안 패치 시 놓치기 쉬운 대응방안을 제시한 기술문서를 발표했다. 여기서는 보안 취약점 신고 포상건수로 집계한 최근 3년간 가장 빈번했던 해킹 공격 유형 10가지를 중심으로 살펴본다.
최근 3년간 신고된 취약점 가운데 신규로 검증되어 포상된 건수를 기준으로 통계를 산출한 결과, 가장 많았던 공격 유형은 크로스 사이트 스크립팅(XSS)으로 총 458건이었던 것으로 집계됐다. 이어 오버플로우가 332건, 명령어 삽입(Command Injection)이 175건으로, 각각 2, 3위를 차지했다. 그 다음으로는 부적절한 권한 검증(105건), 파일 다운로드 및 실행(94건), SQL Injection(90건), 파일 다운로드(76건), 취약한 인증 및 세션 관리(72건), 임의 파일 실행(38건), 파일 업로드(33건) 순이었다.
해당 결과에 대해 KISA 측은 크로스 사이트 스크립팅, 부적절한 권한 검증으로 인한 파라미터 변조 공격, SQL Injection 등과 같이 비교적 취약점 발굴이 쉬운 웹 취약점의 비율이 높았다고 밝혔다. 그 다음으로는 입력 값 검증 미흡으로 인한 오버플로우 취약점, 명령어 삽입(Command Injection) 취약점이 높은 비율을 차지하고 있다는 설명이다.
또한, KISA는 대상별로 취약점을 분류한 결과 크게 Application, Service로 나눌 수 있으며 Application과 Service 경계선상에 있으나 고유 특징을 가지고 있는 모바일 및 IoT(PC를 제외한 하드웨어 친화적 IoT기기), ActiveX(브라우저 플러그인), CMS(웹빌더 소프트웨어)를 포함해 분류했다고 밝혔다.
조사 결과, 2018년과 2019년도에는 모바일 및 IoT 취약점 비율이 높았던 반면, 2020년은 IoT 취약점이 감소했고 Application과 Service 취약점이 높은 비율을 차지했다. 2020년 Application 내에서는 전년 대비 파일 전송·원격 협업 솔루션 대상이 증가했다. 이를 통해 IoT 보안 내재화가 높아짐에 따라 모바일 및 IoT 취약점은 상대적으로 감소추세에 있으며, 비대면 업무방식이 늘어남에 따라 파일전송/업로드 보안 및 원격 협업 솔루션이 증가했다는 걸 알 수 있다.
보다 자세한 내용이 담긴 KISA의 관련 보고서는 링크를 통해 확인할 수 있다.