2014.03.06

“보안 취약점 중 절반은 자바를 노린다”…오라클의 적극적 대응 필요

Tony Bradley | PCWorld
한 때는 마이크로소프트가 악성코드 개발자들이 가장 선호하는 대상이었다. 하지만 마이크로소프트가 자사 소프트웨어의 방어력을 높이면서 사이버 공격자들은 좀 더 쉬운 먹이감으로 옮겨가고 있다. 한동안은 어도비가 최고의 공격 대상이었지만, 어도비 역시 마이크로소프트의 뒤를 따라 자사 소프트웨어의 보안성을 강화했다. 2014 IBM 엑스포스 위협정보 분기 보고서에 따르면, 이제 공격자들이 가장 선호하는 대상은 자바인 것으로 나타났다.

특정 애플리케이션이나 플랫폼이 주요 공격대상이 되는 이유는 두 가지 정도로 요약할 수 있다. 첫 번째는 배포 상태이다. 공격자들은 잘 사용되지 않는 소프트웨어의 취약점을 찾아낼 수도 있지만, 그래서는 의미가 없다. 만약 악성코드 개발자가 시간과 노력을 들인다면, 당연히 잠재적인 피해자가 가장 많은 곳을 노릴 것이다.

두 번째 요소는 용이성이다. 악성코드 개발자들이 근면한 성격의 사람들은 아니다. 취약점이 없는 완벽한 코드는 없지만, 취약점을 찾아내 이를 악용하기 위해 며칠 밤을 새며 머리를 짜내야 한다면 이 역시 좋은 공격 대상이 아니다. 더 간단한 해법은 역시 눈에 띄는 약점을 가지고 있고 보안 제어가 적은 소프트웨어의 취약점을 노리는 것이다.

오라클의 자바는 이런 공격 대상의 요건을 갖추고 있다. 윈도우와 맥, 모바일 플랫폼까지 폭넓게 사용되고 있어 거의 모든 곳에 있다고 해도 과언이 아니다. 게다가 마이크로소프트나 어도비가 악성코드 개발자를 막기 위해 방어 진지를 구축한 데 비해 오라클은 아직 본격적인 대처에 착수하지 않은 것으로 보인다.



IBM의 자회사 트러스티어(Trusteer)는 2013년 12월 조사된 취약점의 절반이 자바를 공격 대상으로 하고 있다고 밝혔다. 어도비 리더는 22%로 한참 떨어진 2위를 기록했으며, IE나 구글 크롬 등 다양한 소프트웨어들이 공격 대상이 됐다.

트러스티어는 자사 블로그를 통해 자바가 이처럼 악성코드 개발자의 선호 대상이 된 이유에 대해 “자바는 조직을 첨단 공격에 노출시키는 위험성이 높은 애플리케이션이다. 악성코드를 전달하고 사용자의 시스템을 감염시키는 데 악용할 수 있는 수많은 취약점을 가지고 있다. 일단 엔드포인트에 배포되고 나면 악의적인 동작을 막기가 극히 어렵다”라고 설명했다.

자바의 문제는 소프트웨어 자체의 취약점보다 더 심각하다. 자바는 자체 가상 환경에서 구동하기 때문에 악성코드를 실행하기 위해서 자바 보안 모델만 깨면 된다. 여기서 윈도우의 DEP나 ASLR같은 표준 보안 통제 기능은 아무런 도움이 되지 못한다.

트러스티어는 자바가 많은 기업과 개인이 필요로 하는 소프트웨어라는 점을 인정하고 자바 악성코드의 피해를 줄이기 위해서는 잘 알려진 신뢰할 수 있는 자바 파일만을 실행할 것을 권고했다. 하지만 소규모 기업이나 개인 사용자에게는 말만큼 쉬운 일은 아니라는 것이 여전히 한계로 남는다.

우선은 사용자가 모든 자바용 보안 업데이트를 적용하는 것이 필요하다. 그리고 오라클이 이런 위험성을 진지하게 받아들여 더 많은 보안 코드를 개발하고 시의적절하게 보안 패치를 발표해야 할 것이다.  editor@itworld.co.kr


2014.03.06

“보안 취약점 중 절반은 자바를 노린다”…오라클의 적극적 대응 필요

Tony Bradley | PCWorld
한 때는 마이크로소프트가 악성코드 개발자들이 가장 선호하는 대상이었다. 하지만 마이크로소프트가 자사 소프트웨어의 방어력을 높이면서 사이버 공격자들은 좀 더 쉬운 먹이감으로 옮겨가고 있다. 한동안은 어도비가 최고의 공격 대상이었지만, 어도비 역시 마이크로소프트의 뒤를 따라 자사 소프트웨어의 보안성을 강화했다. 2014 IBM 엑스포스 위협정보 분기 보고서에 따르면, 이제 공격자들이 가장 선호하는 대상은 자바인 것으로 나타났다.

특정 애플리케이션이나 플랫폼이 주요 공격대상이 되는 이유는 두 가지 정도로 요약할 수 있다. 첫 번째는 배포 상태이다. 공격자들은 잘 사용되지 않는 소프트웨어의 취약점을 찾아낼 수도 있지만, 그래서는 의미가 없다. 만약 악성코드 개발자가 시간과 노력을 들인다면, 당연히 잠재적인 피해자가 가장 많은 곳을 노릴 것이다.

두 번째 요소는 용이성이다. 악성코드 개발자들이 근면한 성격의 사람들은 아니다. 취약점이 없는 완벽한 코드는 없지만, 취약점을 찾아내 이를 악용하기 위해 며칠 밤을 새며 머리를 짜내야 한다면 이 역시 좋은 공격 대상이 아니다. 더 간단한 해법은 역시 눈에 띄는 약점을 가지고 있고 보안 제어가 적은 소프트웨어의 취약점을 노리는 것이다.

오라클의 자바는 이런 공격 대상의 요건을 갖추고 있다. 윈도우와 맥, 모바일 플랫폼까지 폭넓게 사용되고 있어 거의 모든 곳에 있다고 해도 과언이 아니다. 게다가 마이크로소프트나 어도비가 악성코드 개발자를 막기 위해 방어 진지를 구축한 데 비해 오라클은 아직 본격적인 대처에 착수하지 않은 것으로 보인다.



IBM의 자회사 트러스티어(Trusteer)는 2013년 12월 조사된 취약점의 절반이 자바를 공격 대상으로 하고 있다고 밝혔다. 어도비 리더는 22%로 한참 떨어진 2위를 기록했으며, IE나 구글 크롬 등 다양한 소프트웨어들이 공격 대상이 됐다.

트러스티어는 자사 블로그를 통해 자바가 이처럼 악성코드 개발자의 선호 대상이 된 이유에 대해 “자바는 조직을 첨단 공격에 노출시키는 위험성이 높은 애플리케이션이다. 악성코드를 전달하고 사용자의 시스템을 감염시키는 데 악용할 수 있는 수많은 취약점을 가지고 있다. 일단 엔드포인트에 배포되고 나면 악의적인 동작을 막기가 극히 어렵다”라고 설명했다.

자바의 문제는 소프트웨어 자체의 취약점보다 더 심각하다. 자바는 자체 가상 환경에서 구동하기 때문에 악성코드를 실행하기 위해서 자바 보안 모델만 깨면 된다. 여기서 윈도우의 DEP나 ASLR같은 표준 보안 통제 기능은 아무런 도움이 되지 못한다.

트러스티어는 자바가 많은 기업과 개인이 필요로 하는 소프트웨어라는 점을 인정하고 자바 악성코드의 피해를 줄이기 위해서는 잘 알려진 신뢰할 수 있는 자바 파일만을 실행할 것을 권고했다. 하지만 소규모 기업이나 개인 사용자에게는 말만큼 쉬운 일은 아니라는 것이 여전히 한계로 남는다.

우선은 사용자가 모든 자바용 보안 업데이트를 적용하는 것이 필요하다. 그리고 오라클이 이런 위험성을 진지하게 받아들여 더 많은 보안 코드를 개발하고 시의적절하게 보안 패치를 발표해야 할 것이다.  editor@itworld.co.kr


X