웹사이트 열에 아홉은 해킹에 악용되는 취약점이 존재하는 것으로 조사됐다. 프로그램 개발 단계부터 보안 분석 툴을 적용하는 강력한 `시큐어코딩` 정책이 필요하다는 지적이다.
6일 인포메이션위크는 보안업체 화이트햇시큐리티가 고객사 650곳의 수천개 웹사이트를 조사한 결과 86%에서 해킹에 쓰이는 취약점이 적어도 1개 이상 확인됐다고 밝혔다.
몇몇 기업은 개발자 교육과 웹방화벽 설치, 코드 보안 분석을 실시했는데도 평균보다 더 많은 취약점이 발견됐다. 웹방화벽을 설치한 한 기업은 평균보다 11개, 코드 보안 분석을 실시한 다른 기업은 15개 취약점이 더 발견됐다. 잘못된 보안 정책과 방식을 적용했기 때문이라는 설명이다.
웹사이트 중 55%는 내부 정보유출에 취약했다. 53%는 교차 사이트 스크립팅(Cross Site Scripting) 가능성이 높다. 게시판이나 웹메일에 침투한 악성코드로 페이지가 깨지거나 사이트 사용을 방해하는 공격이다. 허위 식별정보로 콘텐츠를 빼내가는 콘텐츠 스푸핑(33%) 공격에도 취약하다.
산업별로는 IT기업 웹사이트가 평균 114개로 가장 많은 취약점이 있다. 금융 사이트는 평균 11개이며 정부 웹사이트는 취약점이 가장 적은 것으로 조사됐다. 소프트웨어 개발자에 보안 교육을 실시하는 곳은 전체의 57% 수준에 머물렀다.
보안업체 베라코드 관계자는 “웹사이트가 늘어날수록 보안 취약점도 증가한다”며 “보안 개발자에 대한 철저한 교육과 주기적인 취약점 분석만이 웹사이트 해킹을 예방할 수 있다”고 말했다.
웹사에트에 존재하는 취약점(공격 방식)
자료:화이트햇시큐리티
안호천기자 hcan@etnews.com
