링크 : https://www.krcert.or.kr/data/reportView.do?bulletin_writing_sequence=35907
KISA 인터넷 보호나라&KrCERT
KISA 인터넷 보호나라&KrCERT
www.boho.or.kr
보안 취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안
[ 보안 취약점 신고포상제를 통해 알아본 놓치기 쉬운 취약점 사례별 대응 방안 ] 보고서에서는 KISA에서 최근 3년간 실시한 핵더챌린지를 포함하여 신고포상제를 통해서 나타난,
취약점 유형 현황 /
공격 유형 분석 /
공격자가 우회하는 방법 /
보안 패치 시 놓치기 쉬운 부분과 이에 따른 대응방안
에 대해서 다룹니다. 해당 내용은 문서를 참고 하세요.
- 취약점 대상
1) Application (소프트웨어)
2) Service ( 웹 사이트 등의 서비스)
3) 모바일 및 IoT (PC를 제외한 하드웨어 친화적 IoT기기)
4) ActiveX (브라우저 플러그인)
5) CMS (웹빌더 소프트웨어)
- 최근 3년간 공격 유형별 통계
- 각 유형별 최근 3년간 공격 취약점 현황
1. Application
Application 취약점은 문서편집, 멀티미디어, 보안·파일 전송 솔루션 등의 소프트웨어 취약점들에서 발견되고, 주로 프로그램에서 특정 파일 포맷을 처리하는 과정에서 발생하는 취약점이다.
* 최근 3년간 Application 주요 취약점 공격 유형
1) 오버플로우
2) 명령어 삽입
3) 임의 파일 실행
4) 파일 다운로드
5) 파일 다운로드 및 실행
2. Service
많은 침해사고들이 실제 운영 중인 웹 사이트 등 서비스 취약점을 악용하여 발생 하고 있다. 하지만 서비스 제공자의 동의를 받지 않고 취약점을 발굴하는 행위는 「정보 통신망 이용촉진 및 정보보호 등에 관한 법률」 제48조제1항에 의거하여 정보통신망 침입 행위로 간주될 수 있다.
제48조(정보통신망 침해행위 등의 금지) ① 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.
② 누구든지 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램(이하 "악성프로그램"이라 한다)을 전달 또는 유포하여서는 아니 된다.
③ 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 아니 된다.
* 최근 3년간 Services 주요 취약점 공격 유형
1) 크로스사이트스크립트 (XSS)
2) 부적절한 권한 검증
3) SQL Injection
4) URL Redirection
5) 취약한 인증 및 세션 관리
3. 모바일 및 IoT
최근 유무선 공유기, IP카메라, 도어락 등 다양한 IoT 기기들의 사용률이 높아지면서 IoT 취약점 역시 지속적으로 신고 접수되고 있다. 모바일 및 IoT로 구분되는 제품군의 대상은 아래와 같다.
공유기, IP카메라, NAS, 와이브로(에그), 모바일 앱, 스마트 가전기기(스마트TV, 도어락, 인공지능스피커 등), 기타(DVR, 블랙박스 등)
* 최근 3년간 모바일 및 IoT 주요 취약점 공격 유형
1) 오버플로우
2) 명령어 삽입
3) 부적절한 권한 검증
4) 취약한 인증 및 세션 관리
5) SQL Injection
4. CMS
CMS(Contents Management System)는 게시판, 레이아웃, 모듈과 같은 기능을 모아둔 웹 프레임워크이다. 따라서, 게시판 관련 기능에서 발생하는 크로스 사이트 스크립팅 (XSS), SQL Injection 등의 웹 취약점이 주로 신고 되고 있다.
* 최근 3년간 CMS 주요 취약점 공격 유형
1) 크로스사이트스크립트 (XSS)
2) SQL Injection
3) 파일 업로드
4) CSRF
5) File Inclusion
5. ActiveX
최근 인터넷 익스플로러(Internet Explorer)의 웹 브라우저 점유율은 하락하고 있으나, ActiveX 등 플러그인 자체의 보안 취약점으로 인한 침해 사고는 꾸준히 발생하고 있다. 행정안전부에서도 ‘공공 웹사이트 플러그인 제거 가이드라인'을 배포하는 등 불필요한 ActiveX를 제거하려는 노력이 추진되고 있다. 하지만 여전히 일부 웹 사이트에서는 ActiveX 모듈을 사용 중이며, ActiveX 취약점도 지속적으로 신고·접수되고 있다.
* 최근 3년간 ActiveX 주요 취약점 공격 유형
1) 파일 다운로드
2) 파일 다운로드 및 실행
3) 명령어 삽입
4) 임의 파일 실행
5) 무결성 검증 미흡
