2023년 가장 위험한 SW 취약점 1위, 메모리 버그
해킹과 랜섬웨어가 급증하고 있는 최근 이런 공격의 주요 타깃은 소프트웨어(SW) 메모리 버그인 것으로 나타났다. 더레지스터 등 외신에 따르면 보안 전문 비영리기관 마이터 코페이션은 올해 가장 위험한 보안 취약점(CWS) 유형 25개를 공개했다. CWS는 개발 과정에서 발생한 SW 및 하드웨어(HW) 취약점으로 가장 일반적이고 보안상 영향력이 큰 유형이다. 해커 등 공격자가 상대적으로 쉽게 찾아 악용할 수 있어 주로 이를 통해 시스템에 침투해 데이터를 훔치거나 암호화 후 몸값을 요구하는 등의 행위가 이뤄진다. 이 중에서도 가장 위험한 CWS는 위험 점수 63.72점을 기록한 CWE-787 '범위를 벗어난 쓰기'로 일반적으로 메모리 버그 등으로 불리는 취약점이다. 의도된 범위를 넘는 수치의 데이터 입력으로 인해 데이터 손상, 충돌 또는 예상치 못한 외부 코드 실행 등 개발 중 예상치 못한 결과를 발생시킨다. 해커들은 사용자가취약점을 일으키도록 유도해 시스템 구조에 침투할 수 있는 균열을 일으킨다. 이 취약점은 가장 많이 시도되는 공격 방법으로 마이크로소프트, 구글 등에서 발표한 심각도가 높은 보안 취약점의 60% 이상을 차지하고 있다. 이 취약점은 C와 C++ 등 장기간 사용해온 프로그래밍 언어에서 주로 발생하고 있다. 이에 마이크로소프트, 구글, 아마존 등은 주요 인프라 등을 러스트 등 해당 취약점을 개선한 언어로 전환하고 있다. 미 국가안보국(NSA)도 지난해 높은 보안이 요구되는 높은 분야는 러스트, 고(GO), C# 등으로 전환을 권장하는 지침을 발표했다. 2위는 CWE-79 크로스 사이트 스크립팅(xss)으로 45.54점을 기록했다. 웹 사이트에 악성 스크립트를 삽입해 해당 사이트를 방문한 사용자의 정보를 탈취하는 방식이다. 공개된 사이트를 통해 대규모 사용자 정보를 동시에 확보할 수 있으며, 확보한 개인정보는 다른 사용자에게 접근하기 위한 위장수단으로 사용하는 등 다양하게 악용될 여지가 크다. 3위 CWE-89는 SQL 인젝션으로 특정 코드를 SQL에 추가함으로써 보안검사를 우회해 고객 데이터, 개인 식별 정보 등 민감정보에 접근할 수 있는 권한을 탈취하는 방식이다. 이 밖에도 총 25개의 주요 CWE에 대한 내용은 마이터 코페이션 사이트에서 확인할 수 있다. 올해 조사 결과는 미국 국토 안보부 및 미국 사이버보안 및 인프라 보안국(CISA)과 함께 2021년과 2022년 발생한 4만3천996개 취약점 분석 기록을 기반으로 발표했다.