아라의 글로벌 마인드 칼럼..think globally [댓글 불허 블로그]


[ 사회 참여 활동은 작은 참여로부터 시작된다. ]


반응형
IE는 인터넷 익스플로러를 뜻한다.
Secunia.com의 2008년 보고서를 보면 보안 취약에 완벽히 노출된 웹브라우저는 인터넷 익스플로러이고, 액티브엑스(ActiveX)가 범죄에 가장 많이 이용되고 있는 걸로 보인다고 한다.

Favbrowser.com의 Vygantas Lipskas님 글 Firefox - Browser with the Most Disclosed Vulnerabilities @ 2009.4.15에서 Secunia 2008 보고서에 대한 소개가 있고, 보고서 파일의 링크도 제공한다.

웹초보님의 글 보안 취약점이 가장 많이 발견된 브라우저는 파이어폭스 (Secunia 2008 리포트) @ 2009/04/20 12:51에 일부분 설명되어 있다.



Secunia 2008년 보고서의 기본 배경 지식

먼저 Secunia.com에서 보안 취약에 대한 것은 문제가 발견된 부분만 보고한 것으로서 회사 내부적으로 발견된 것은 절대 알지 못한다. 즉, 마이크로소프트의 IE나 애플의 사파리, 오페라 브라우저 등은 보안에 노출되어 있어도 회사에서 없다고 우기면 사용자로서는 알 수가 없다.

그에 반해 파이어폭스는 공개 소프트웨어 프로젝트이기 때문에 모든 보안 취약점이 그대로 보고가 되기 때문에 아래와 같은 엄청난 수치를 보인다.

Secunia2008Report.pdf 파일의 11쪽에서 도표 발췌

Secunia2008Report.pdf 파일의 11쪽에서 도표 발췌


도표: 유명한 4개의 웹브라우저에서 공개된 보안취약점 갯수
IE 31
사파리 32
오페라 30
파이어폭스 115



보안 취약이 없는 웹브라우저가 없는데, 저 숫자가 중요하나?

실제로 중요한 것은 소비자가 보안 취약이 있든 없든 범죄에 당하지 않으면 되는 것이다. 소 잃고 외양간 고치는 것보다 소를 잃지 않으면 가장 좋으므로 리눅스를 사용하면 천하무적(??)이겠지만 일반 사용자가 다시 배우려면 많은 시간과 공을 들여야 한다.

그래서 얼마나 빨리 보안 취약점이 고쳐지느냐가 소비자에게는 중요한 것이다.
어차피 소를 잃을 수밖에 없다면, 더 잃지 않도록 방어를 해주는 게 중요하다.


그것뿐만이 아니라 외양간에 다른 동물들이 있다고 하자. 소를 잃는 것보다 닭이나 양을 잃는 게 훨씬 이득이다.
보안에 취약해서 모든 개인 정보가 악성 코드나 액티브엑스를(보안에 취약하기 때문에 해킹을 당한다.) 통해 유출되는 것보다는 어떤 웹사이트를 자주 이용하는지 정도의 사소한 개인 정보라면 모든 개인 정보와 은행 정보가 해킹당하는 것보다 훨씬 낫다.
즉, 위험의 수준이 낮으면 큰 무리가 없다.



위험에 노출된 윈도우즈

Secunia2008Report.pdf 파일의 12쪽에서 도표 발췌

Secunia2008Report.pdf 파일의 12쪽에서 도표 발췌


  위험도
보안 취약점이 알려진 일자
해결 일자(팻치)
알려진지 며칠 만에 해결되었나?
IE(인터넷 익스플로러)
 SA30857 아주 높음 보통
2008-06-26 2008-10-14
110
 SA30851 높음
2008-06-26 2008-10-14 110
 SA30145 보통 아주 낮음
2008-05-12 해결되지 않음
233
 SA30141 낮음
2008-05-14 해결되지 않음
231
 SA29453 낮음
2008-03-24 2008-06-10 78
 SA29346 낮음
2008-03-12 해결되지 않음
294
파이어폭스
 SA32192 보통 아주 낮음
2008-10-14 2008-13-11
30
 SA32040 보통 아주 낮음
2008-10-01 2008-12-26 86
 SA28622 낮음
2008-01-24 2008-02-08 15

* 오역 수정 2009.4.21 18:20 tealeaf님이 (2009/04/21 17:53) 위험도에 순서가 잘못되고, 잘못 번역되었다는 것을 알려왔다. 위험도의 수위 표시가 잘못 되어서(extreme -> high -> moderate -> less -> not의 순서이다.) 수정했다. tealeaf님에게 감사의 마음을 전한다.
** 위 오역으로 수정했지만 본문에는 전혀 영향이 없다. 위험도에 노출된 것을 바로 처리한 것은 파이어폭스여서 위험 요소를 제거했지만, IE는 위험에 노출되어도 위험 요소를 제거하지 않았다.

이 도표는 공개된 보안 취약이나 회사에서 공개한 보안 취약에 대해서만 통계를 낸 것이다.
미해결로 빨간 숫자는 2008년 12월 31일까지도 해결되지 않은 것을 표시한 것이다. [번역 - 아라]

위의 도표는 윈도우즈의 IE와 파이어폭스에서 위험에 노출된 정도와 알려진 시기 그리고 보안 취약을 해결한 시기를 도표에 표시한 것이다.


물론 이것은 일례이긴(이것에 대해 보고서에 자세한 설명이 없다.) 하지만 파이어폭스는 발견된 보안 취약 3건이 위험도가 높지 않지만 15일, 30일, 86일 만에 문제가 해결되었고, IE는 아주 높음과 높음 2건에 대해서 110일 만에 해결되었고, 낮음은 78일 만에 해결되었지만, 보통과 낮음 총 3건이 230일 넘게도 해결되지 않아서 (2008년) 해가 넘어갈 동안도 해킹의 위험에 노출되어 있다.




액티브 액스 좋아라하는 대한민국. 보안 취약에 완벽하게 노출되어 있다.

Secunia2008Report.pdf 파일의 11쪽에서 내용/도표 발췌

Secunia2008Report.pdf 파일의 11쪽에서 도표 발췌

Secunia2008Report.pdf 파일의 11쪽에서 도표 발췌



ActiveX controls have always been popular in terms of use and abuse. However, the figure took a jump from 2006(45) to 2007(330), the latter apparently increased by events such as the Month of ActiveX Controls (MoAXB) and the discovery by Secunia Research of a vulnerable ActiveX component that was used in over 40 different products. The news for 2008 is that the number of vulnerabilities has been even higher, possibly indicating that ActiveX controls are increasingly being targeted by cybercriminals. However, this could also be an indication that more ActiveX vulnerabilities are being found using scanning tools.

도표: 웹브라우저의 플러그인 또는 애드온 기능에서의 보안 취약 보고 건수
파이어폭스 확장 1
오페라 위젯 0
액티브액스 366
자바 54
플래시 19
퀵타임 30

액티브액스는 널리 사용되고 있는데, 나쁜 쪽(또는 범죄의 도구)으로도 널리 사용되고 있다. 어쨌든 2006년 45개에서 2007년 330개로 보안 취약이 발견되었는데, 2007년의 이달의 ActiveX Bug에 많이 알려졌고, Secunia리서치에서도 보안에 취약한 액티브액스가 40개 제품에 사용되었다는 것이 알려졌다. 2008년에는 더욱 증가(위에 보면 366개이다. 엄청나다로는 부족하고 경악스럽다.)했는데, 이것은 사이버범죄에 사용되었음을 시사한다. 또한, 이것은 바이러스 검사 프로그램이 더 많은 액티브액스의 보안 취약을 찾아내었음을 시사하는 것일 수도 있다. [의역에 가까운 번역 - 아라]



마무리하며

이것은 회사의 보고 자료일 뿐이므로 더 많은 통계자료를 파악해야 한다. 그러나 IE가 해외 웹브라우저 점유율을 왜 잃고 있는지 확실히 보여준다.
한국도 비켜갈 수 없는 웹브라우저 전쟁 (국내와 전 세계 OS, 웹브라우저 환경과 점유율) @ 2009/02/10 15:13을 보면 전 세계의 IE 점유율이 2008년 10월 71.27%, 11월 69.77%, 2009년 1월은 67.55%로 계속 떨어지는 모습을 보인다.

어느 누가 해킹에 완벽히 노출된 웹브라우저를 사용하고 싶겠는가?


아이폰 또는 아이팟 터치로 글 읽기
반응형