Secunia는 Global Security Company 입니다. 특히, 위의 그림과 같이 "보안 취약점 (Security Vulnerability)" 리포트로 유명합니다. 또한 매년, 1년 동안의 데이터를 분석하여 리포트를 발표하여 보안산업뿐만 아니라 IT산업 전체의 발전에 이바지하고 있는데요, 이번에는 2013년 2월에 발표한 "Secunia Vulnerability Review 2013"의 내용 중 일부를 소개하겠습니다.
리포트를 좀 더 쉽게 이해하기 위해서 "Secunia의 취약점 DB 자료구조"를 아는 것이 좋은데요, 다음과 같습니다.
Criticality는 다음과 같습니다.
Where의 상세는 다음과 같습니다.
이런 구조하에 취합된 모든 취약점 데이터를 분석한 결과 다음과 같은 리포트가 나왔네요.
1. 총 410개의 벤더의 2,503개의 제품 속에서 9,776개의 취약점이 발견 되었습니다. 한 개의 제품 속에 평균 4개의 취약점이 발견된 것을 의미합니다.
2. 발견된 취약점의 위험도는 다음과 같습니다. (위 도표중 Criticality 참조)
3. ZERO-Day 취약점은 2011년 14개에서 2012년 8개가 발견되었습니다. 이 수치는 Top 25 포트폴리오에 대한 결과이며 확대 적용하여 Top 400의 포트폴리오를 적용하면 2012년 11개가 됩니다.
4. 윈도우즈와 같이 가장 많이 쓰이는 50개의 프로그램에 대한 취약점은 18개의 제품에 1,137개이며 직전 5년간의 트랜드를 보면 98%의 상승률을 나타냅니다.
제품당 평균 취약점 갯수는 63개나 됩니다.
취약점의 위험도는 취약점 자체도 위험 하지만, "알려져 있다는 것"이 가장 높은 위험도 입니다.
누구나 나쁜 마음을 먹으면 충분히 악용할 수 있고 복합적으로 응용할 수 있다는 것이지요. 그렇기 때문에 "알려지지 않고 공개되지 않은 취약점"의 파괴력이 더 한층 높아지는 것이고요.
따라서, 패치 및 보안 업데이트를 귀찮아해서는 안됩니다. 패치 및 보안 업데이트가 최신으로 적용되어 있다면 만의 하나 알려지지 않은 취약점을 통한 공격에 대해서도 그 피해를 줄일 수 있는 결과를 가져 옵니다.
또한 공개되는 취약점 정보에 민감해야 합니다. 그래야만이 공개된 취약점에 대한 대안을 마련하고 대비를 할 수 있기 때문에 그렇습니다.
이상입니다. ^^
-자세한 내용 및 리포트 받으러 가기: Secunia Vulnerability Review 2013
