[보안뉴스 오다인 기자] 최근 발표되는 웹 애플리케이션 보안 실태 보고서들을 볼 때마다 업체 및 분석가들은 데자뷔를 경험하게 된다. 그 모든 보고서가 결국 하나의 똑같은 결론에 다다르기 때문이다. 그 결론은 바로 웹 애플리케이션이 점점 더 취약해지고 있다는 사실이다.

[이미지=iclickart]

3일 보안 업체 임퍼바(Imperva)가 발표한 보고서에 따르면, 2017년에 새롭게 나타난 웹 애플리케이션 취약점 숫자는 2016년에 비해 무려 212%나 증가했다. 임퍼바는 취약점 데이터베이스, 포럼, 뉴스레터, 소셜 미디어 등 다양한 소스에서 데이터를 수집했으며, 2017년 웹 애플리케이션 취약점이 총 14,082개였다고 총계를 냈다. 2016년에 6,615개였던 것과 비교하면 엄청난 증가세다.

임퍼바는 절반이 넘는 웹 애플리케이션들에 대한 익스플로잇이 이미 세상에 나와 있다는 사실도 발견했다. 즉, 해당 애플리케이션에 대한 공격이 지금 당장 시작되더라도 이상할 것이 없다는 얘기다. 더 안 좋은 소식도 있다. 웹 애플리케이션 취약점의 36%가량이 소프트웨어 패치, 업그레이드, 기타 해결책을 갖고 있지 않은 것으로 밝혀졌다.

임퍼바의 보안 연구 팀장 나다브 아비탈(Nadav Avital)은 “웹 애플리케이션 취약점은 언제나 증가세에 있었고 2017년은 신기록을 세운 해”였다고 말한다. “기업들은 증가하는 취약점에 어떻게 대응해야 할지 계획을 세워야 합니다. 유지보수 및 패치 프로그램을 신중하게 계획하고, 외부의 보안 솔루션도 살펴봐야 합니다.”

임퍼바의 보고서에 따르면, 교차 사이트 스크립팅(XSS) 취약점은 가장 흔한 웹 애플리케이션 취약점으로 다시 왕좌에 올랐다. 2016년 단 640개에 불과했던 XSS 취약점은 2017년에 1,863개로 뛰었다. 아비탈은 XSS 취약점이 앞으로도 가장 기본적인 웹 애플리케이션 취약점 중 하나로 남을 것이라고 예측했다. 동시에 테스트하고 발견해내는 것도 아주 쉽다고 덧붙였다. “XSS 취약점을 갖고 있는 제품들 다수가 오픈소스로 만들어졌습니다. 즉, XSS 취약점을 찾아내는 것이 더 쉽다는 뜻입니다.”

최근 몇 년 간 터져 나온 대형 정보 유출 사고들의 원인은 취약한 웹 애플리케이션들 때문이었다. 지난 해, 신용정보사 에퀴팩스(Equifax)에서 발생한 초대형 정보 유출 사태는 1억 4,000만 명이 넘는 사람들의 개인정보를 유출했는데, 이는 침입자가 에퀴팩스 내부 네트워크에 들어올 수 있도록 길을 열어준 웹 애플리케이션 취약점 때문에 발생했다. 실제로, 봇넷을 활용해 취약한 웹 애플리케이션을 공격한 건 2017 버라이즌 데이터 침해 조사 보고서의 그 어떤 매개보다 많은 침해 사고(571건)를 일으킨 것으로 나타났다. 사이버 스파이 공격은 두 번째로 큰 원인이었는데, 절반 수준인 289건에 그쳤다는 점이 대조적이다.

보안 전문가들은 지금의 웹 애플리케이션 보안 상황이 사실은 몇 안 되는 원인 때문에 발생한 것이라고 지적했다.

보안 업체 CA 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal)은 애플리케이션을 만들 때 개발자들이 오픈소스 컴포넌트를 점점 더 많이 사용하고 있는 것이 그 원인 중 하나라고 분석했다. 오픈소스 컴포넌트들에는 버그가 있는 경우가 더러 있고, 오픈소스 컴포넌트를 통한 애플리케이션 제작 시 이 버그들이 상속되기도 한다는 것이다. 오픈소스 컴포넌트의 알려진 취약점을 확인하고 다른 것으로 대체하는 소프트웨어 조합 분석(software composition analysis) 프로세스를 사용하더라도, 애플리케이션이 배포된 이후에 여전히 취약점들이 발견되고 있다고 와이소팔은 설명했다.

와이소팔은 “예컨대, CA 베라코드의 2017 소프트웨어 보안 실태 보고서에선 자바 애플리케이션 88%가 최소한 하나의 컴포넌트 취약점을 갖고 있는 것으로 나타났다”고 말했다. 와이소팔은 외부에서 소스를 얻어 자체 생산한 애플리케이션들이 OWASP 10대 취약점 목록을 봤을 때 더 심각한 수준이라고 CA 베라코드 보고서가 서술하기도 했다고 짚었다.

요즘 생산되는 웹 애플리케이션의 양 자체도 또 다른 이슈가 된다. 보안 업체 센티넬원(SentinelOne)의 최고 보안 전략가 예레미야 그로스만(Jeremiah Grossman)은 “현대의 소프트웨어 개발 프레임워크는 지난 수년 간 웹 애플리케이션 취약점에 아주 긍정적인 영향을 미쳤지만 결국 생산되는 웹 애플리케이션 코드의 양이 계속해서 증가하고 있는 것이 문제”라고 말했다.

“일반적인 소프트웨어 버그와 유사하게, 코드가 더 많아질수록 취약점도 더 많아집니다. 그러므로 우리가 집중해야 할 것은 정보 유출이 단 하나의 취약점 때문에 발생하는 일이 없도록 단속하는 것입니다.”

데브옵스(DevOps), 애자일(agile) 개발, 지속적 통합 및 배포(CI/CD) 방식의 도입이 많은 조직에서 확대되는 흐름 역시 하나의 요소로 작용하고 있다. 와이소팔은 “만약 개발 팀이 보안 테스팅을 CI/CD의 일부분으로 자동화해 통합시킨다면, 보안 수준이 향상돼야 하는 것이 당연하다”고 지적했다. 그러나 보안이 CI/CD에 통합되지 않는다면, 예전보다 더 많은 애플리케이션들이 적절한 테스팅이나 수정 없이 배포될 위험이 크다고 와이소팔은 덧붙였다. 애플리케이션 배포 전 적절한 패치가 코드에 적용돼야 하지만, 이런 과정 없이 자동으로 배포돼버린다면 취약한 애플리케이션이 증가할 것이라는 뜻이다.

웹 애플리케이션 보안과 관련해 그로스만도 같은 생각이다. “데브옵스는 중대한 장점과 단점을 모두 갖고 있습니다. 데브옵스의 빠르고 빈번한 배포 주기는 식별된 취약점을 해결하기에 더 많은 기회를 제공합니다. 그러나 데브옵스는 보안 팀이 애플리케이션을 배포하기 전에 앱 내에서 취약점을 찾고 수정할 시간을 더 줄이기도 합니다.”
[국제부 오다인 기자(boan2@boannews.com)]