지난 2분기 고위험 취약점 총 1천235개가 발견됐다. 지난 1분기 145개에 비해 약 8.5배로 늘었다.
과학기술정보통신부, 한국인터넷진흥원(KISA)이 17일 발간한 '2019년 2분기 사이버 위협 동향 보고서' 분석 결과다.
■MS 취약점 최다...9점 이상 고위험 취약점도 53개
보고서에 따르면 지난 2분기에 발표된 취약점 중 취약점 등급시스템(CVSS) 점수 7.0 이상의 고위험 취약점은 총 1천235개다. 전년 동기인 지난해 2분기에 발견된 취약점 891개와 비교해도 38.6% 증가한 수치다.
월별로 고른 발생량을 기록했다는 점도 주목했다. 4월 366개, 5월 464개, 6월 405개가 발견됐다. 1분기에 집계되지 않았던 취약점이 2분기로 몰려서 집계된 것이 아니라 전체적인 취약점 발견 숫자가 늘고 있는 추세를 보였다는 것.
가장 많은 취약점이 발견된 벤더는 마이크로소프트(MS)다. 158개의 취약점 중 53개가 9점 이상의 고위험 취약점이었다.
보고서는 "2분기 유독 MS 제품 취약점에 대한 관심이 높았으며 관심을 불러일으키는 이슈가 많았다"고 설명했다.
'CVE-2019-0708', 일명 블루킵으로 명명된 취약점을 대표적인 사례로 꼽았다. 특수하게 조작된 요청을 원격 데스크톱 프로토콜(RDP)을 통해 공격 대상에 전송하면 인증 단계를 건너뛰고 임의의 코드를 실행할 수 있다. 웜 형태의 악성코드와 통합해 자가 전파를 통한 빠른 감염을 유발, 단시간에 심각한 피해를 줄 수 있다는 특징이 있다.
관심을 모았던 또 다른 MS 취약점으로 윈도우에 기본 탑재된 메모장 프로그램 취약점을 언급했다. 화이트햇 그룹 구글 프로젝트 제로에서는 5월28일 메모장 프로그램에서 코드 실행이 가능한 취약점을 발견, MS에 제보했다. 현재 이 취약점은 90일 후에 정보 공개를 하는 구글 프로젝트 제로 정책에 의해 공개 전 대기 상태다. 근시일 내에 MS의 패치가 배포될 것으로 예상되고 있다.
이외에도 지난 4월 파워셸 백도어 유포를 위해 사용된 'CVE-2019-0859' 취약점 패치가 이뤄지는 등 최근 들어 '치명적' 등급을 가진 윈도우 취약점 발견 숫자가 상승하고 있다는 지적이다. 보안 업체 비욘드트러스트 발표에 의하면 지난 해 MS 제품의 총 취약점 수는 30% 증가했다. 심각한 영향을 가지는 원격코드 실행 취약점도 292개 발견됐다. 원격 코드 실행 취약점은 지난 2013년 이래 54%가 늘었다. 윈도뿐 아니라 엣지 브라우저에도 다수 발견됐다.
비욘드트러스트는 이런 취약점의 81%는 관리자 권한 획득과 관련돼 있다며, 이는 벤더사에서 일괄적으로 제재할 수 없어 사용자가 장비에 따른 권한을 세밀하게 조정하는 노력이 위험 제거에 가장 효과적이라고 설명했다.
어도비에서는 120개의 취약점이 발표됐다. 이 중 114개가 9점 이상의 취약점이다. 이 중 거의 대부분인 99개의 취약점이 PDF 뷰어 '아크로뱃' 취약점이었다. RAD 플랫폼 '콜드퓨전' 등 다양한 제품에서 취약점이 발생했다. 하지만 국내에서는 어도비 플래시의 UAF 취약점 'CVE-2019-7845'가 상대적으로 가장 주목받았다.
구글 취약점의 경우 53개의 취약점 중 49개가 안드로이드 취약점이었으며 퀄컴 취약점은 대부분 칩셋 '스냅드래곤' 취약점이었다. 보고서는 "퀄컴 취약점들은 모바일 기기뿐 아니라 사물인터넷(IoT) 기기에 탑재되는 '스냅드래곤 컨슈머 IOT'와, 산업용 기기에 탑재되는 '스냅드래곤 인더스트리얼 IOT'에도 모두 영향을 미친다"며 "IoT 기기 제조사와 스마트공장 등에서는 특히 주의할 필요가 있다"고 강조했다.
그외 인텔 CPU의 부채널 공격 취약점인 'CVE-2018-12126' 등도 주목할 만한 취약점으로 짚었다. CPU 캐시가 아닌 CPU 내부의 버퍼로부터 예측 실행을 통해 데이터를 탈취하는 특징을 가지고 있는 취약점이다.
■"5G 서비스 도입률 3분의 1 수준"
KISA는 이번 사이버 위협 동향 보고서에 '5G 보안 인식도 설문조사' 결과를 공개했다. 설문조사는 1천699명을 대상으로 실시됐다. 응답자 주요 연령대는 26~45세였다. 응답자 소속은 일반 기업 종사자가 60%, 공공기관이 11.8%, 학생이 11.5%였다.
설문조사 결과 5G를 활용한 서비스를 근무지에서 도입하거나 개발할 계획이 있느냐는 질문에는 '계획 없음'이 38.5%, '계획 중'이 28.7%로 나타났다. 이미 서비스 중이거나 올해 안에 서비스가 예정돼 있다고 답한 응답자는 32.9%였다.
KISA는 "이를 통해 5G를 활용한 서비스에 대한 도입률은 3분의 1 수준임을 알 수 있다"고 설명했다.
5G 서비스 보급이 필요한 분야로는 스마트폰, 태블릿 등의 통신 기기 응답률이 58.4%로 가장 많았다. 사물인터넷 47.8%, 대용량 데이터 서비스 45.8%, 고속-원격 서비스 34.6% 순으로 응답률이 많았다. 블록체인 관련 서비스에 대한 관심도는 19.7%를 기록, 상대적으로 낮은 편이었다.
5G 기술이 적용된 스마트폰 등의 통신기기를 도입할 시기에 대해서는 다음번 기기 교체 시기에 변경할 것이라고 답한 응답자가 36.3%로 가장 많았다. 올해 안에 교체할 것이라고 답한 응답자는 24.1%였다.
관련기사
- KISA, '2030 비전' 선포..."안전·신뢰 기반 디지털 미래사회 선도"2019.07.17
- KISA, CI 정책 개선 위한 의견 수렴회 개최2019.07.17
- 국내 정보보호 업계 4인, ISLA 2019 수상2019.07.17
- KISA, 아태지역 13개국과 침해사고 대응 교육 실시2019.07.17
이미 5G를 사용 중이거나 근시일 내에 기기를 교체할 것이라 응답한 사용자는 22.6%로 나타났다.
이에 대해 KISA는 현재까지 소비자가 5G 기기 도입을 서두를 정도의 제반 조건을 갖추지는 못한 것으로 평가했다.
