올해는 SW 보안 결함에 관한 한 기록적인 해로 지적될 전망이다.
최근 IBM에 인수된 미국의 보안업체 ‘인터넷 시큐리티 시스템스(Internet Security Systems, 이하 ISS)’의 조사에 따르면 올해는 보안 결함이 그 어느 해보다 많이 발견된 해였다. 그러나 위험도가 높은 결함은 오히려 적었다는 점에서 희망은 있다는 지적이다.
ISS는 지난해 SW에서 총 5195개의 결함을 발견했으나 올해 들어 지난 9일까지 발견한 결함은 이미 5450개로 지난 한 해 동안 발견된 결함 건수를 넘어섰다. 올해 전체 결함 건수는 약 7500개에 이를 것으로 전망된다. ISS는 올해 SW에서 발견되는 보안 결함 건수가 지난해 전체보다 41% 증가할 것으로 전망했다. 지난해는 2004년 대비 37% 증가했었다. 표 참조
ISS의 군터 올만 이사는 SW업체와 보안 업체들의 결함 탐지 기술이 발전하고 결함을 자동으로 검출하는 툴이 늘어남에 따라 결함 발견 건수가 증가하고 있다고 지적했다. 또 사용자들이 예전보다 복잡한 SW를 사용하는 탓에 보안 결함이 발견될 코드도 늘어났다고 덧붙였다.
다른 보안 업체들도 보안 결함 증가를 인정한다. 베리사인의 i디펜스와 e아이 디지털 시큐리티도 올해 보안 결함이 증가했다고 밝혔다. 마이크로소프트(MS)도 올해 1∼3분기에 지난해 전체에 발표한 45개보다 10개나 많은 55개의 보안 게시물을 발표했다. 시만텍의 인터넷 보안 위협 보고서도 올해 상반기 보안결함이 지난해 하반기보다 18% 증가한 2249개였다고 밝혔다.
그러나 상황이 비관적인 것만은 아니다.
올해 보안 결함 건수는 증가하겠지만 ‘심각(critical)’이나 ‘고위험(high-risk)’ 단계로 분류되는 결함의 비중은 줄어들 것으로 전망됐다. 그에 따르면 지난해 전체 보안 결함중 위의 두 단계에 포함된 심각한 결함은 28.4%였다. 반면 올해는 이처럼 심각한 결함이 지난 9일까지 발견된 결함중 17%에 불과했고 올해 전체도 비슷한 비율에 머물 것으로 전망됐다.
올만 이사는 “지난해엔 심각한 결함의 숫자가 증가하는 경향을 보였다”며 “올해의 변화는 보안 결함 트렌드에서 가장 긍정적인 부분임에 틀림없다”고 말했다.
한편 전문가들은 보안 결함의 증가는 해커들에겐 더 많은 기회를, 보안 패치 개발자들에겐 더 많은 두통을 의미한다고 입을 모으고 있다.
정소영기자@전자신문, syjung@
