2018.07.12

마이크로소프트 관련 버그 121%, 가상화 소프트웨어 버그 275% 증가…ZDI

Ms. Smith | CSO
유명 버그바운티 커뮤니티인 제로데이 이니셔티브(Zero Day Initiative, ZDI)에 따르면, 2018년 현재까지 보고된 버그 수가 33% 증가해 2017년에 기록했던 가장 많은 버그 수를 초과할 것으로 보인다.

ZDI는 올해 상반기까지 취약점 보고에 대해 연구원들에게 이미 100만 달러 이상을 지불했다. 2018년 상반기를 돌이켜 보면, ZDI는 600건을 발표했는데, 2017년 같은 기간에 451개를 게시한 것이 비해 상당히 많은 수다. 2017년이 가장 많은 해였지만, 올해에는 버그 보고가 33% 증가해 2017년 기록을 깨트릴 전망이다.

버그 보고가 증가하고 트랜드마이크로의 ZDI가 2018년 상반기동안 더 많은 버그를 발표한 반면, 제로데이 경보는 지난해 같은 기간에 비해 42% 감소했다. ZDI가 특정한 2018년 상반기 가장 흥미로운 트랜드인 마이크로소프트, 애플, 어도비, 스카다(SCADA), 가상화 소프트웨어의 버그 동향을 살펴보자.

121% 증가한 마이크로소프트 관련 버그
마이크로소프트 관련 버그는 지난해에 비해 121%나 증가했다. IE, 엣지(Edge), 차크라코어(Chakra Core) 내 JIT 버그가 2018년에 UAF(Use After Free) 버그로 되어가는 양상을 보여줬다.

ZDI 측은 마이크로소프트가 발표한 지난해 상반기 패치보다 8%만 증가한 점을 비춰봤을 때, 마이크로소프트 제품의 버그 증가보다는 프로그램이 증가한 것으로 분석했다. 하지만 패치를 기다리고 있는 마이크로소프트 버그가 39개나 된다는 점 또한 지적했다.

반면, 애플은 보고된 버그의 수가 28.5%나 줄었다. 그러나 이는 기만에 불과하다. ZDI는 보고된 애플 버그의 수가 2017년 Pwn2Own에서 버그가 얼마나 많았는지 고려하지 않았다. 지난해와 올해 Pwn2Own 동안 획득한 버그를 제외하면 지난해에 비해 36% 증가한 수치다. 이는 곧 발표할 버그 수에서도 볼 수 있는데, 30개 이상의 애플 버그가 보안 패치를 기다리고 있다.

전체 버그의 30%를 차지한 스카다
보고된 스카다 버그 수가 급증하고 있는데, ZDI에 제출된 전체 버그의 30%를 차지했다. 이는 스카다 제품이 IoT 제어 소프트웨어의 대표격으로 자리 매김하고 있다는 것을 의미한다. 스카다 버그는 인프라 및 제조 부문에서 그 이상의 영향을 미칠 수 있다. 스카다 버그가 지난해와 비교해 늘어난 것은 어드밴택(Advantech), 델타 인더스트리얼(Delta Industrial), 옴론(Omron)에서 보고된 버그에 대한 인증이다.

ZDI는 어드밴텍의 보안 경고 132건을 발표했는데, 올해까지 보고된 버그의 22%를 차지했다. 26건의 델타 경고와 22건의 옴론 경고가 각각 총 경고의 4%를 차지했다.

상대적으로 점유율이 낮아진 어도비 버그
2018년 1월에서 6월 사이에 보고된 어도비 버그는 94건으로, 2017년 같은 기간에 비해 2개가 더 많았지만 점유율은 지난해 20%에서 16%로 4%포인트 낮아졌다. 4%포인트 감소하게 된 원인은 스카다 버그가 30%로 증가한 것때문이다.

가상화 소프트웨어에도 버그가 있다
가상화 소프트웨어에서 버그를 찾아내는 보안 연구원들도 있다. 지난해부터 가상화 버그에 대한 보고가 나오기 시작했는데, 이 수치는 275%나 급증했다. 올해 Pwn2Own에 발표된 오라클 버추얼박스(Oracle VirtualBox)의 버그 보고서와 ZDI가 발표한 VM웨어 보고서에 따르면, 가상화 제품의 보안 연구는 실제로 궤도에 올랐다.

이런 현황들은 취약점 연구의 지속적인 성장과 2018년 하반기 동안 버그 보고가 증가할 것이라고 예측할 수 있다. ZDI 측은 2018년 하반기에는 어떻게 될지 정확히 예측할 수 없지만 2017년보다 더 바빠질 것으로 보인다고 밝혔다. editor@itworld.co.kr  


2018.07.12

마이크로소프트 관련 버그 121%, 가상화 소프트웨어 버그 275% 증가…ZDI

Ms. Smith | CSO
유명 버그바운티 커뮤니티인 제로데이 이니셔티브(Zero Day Initiative, ZDI)에 따르면, 2018년 현재까지 보고된 버그 수가 33% 증가해 2017년에 기록했던 가장 많은 버그 수를 초과할 것으로 보인다.

ZDI는 올해 상반기까지 취약점 보고에 대해 연구원들에게 이미 100만 달러 이상을 지불했다. 2018년 상반기를 돌이켜 보면, ZDI는 600건을 발표했는데, 2017년 같은 기간에 451개를 게시한 것이 비해 상당히 많은 수다. 2017년이 가장 많은 해였지만, 올해에는 버그 보고가 33% 증가해 2017년 기록을 깨트릴 전망이다.

버그 보고가 증가하고 트랜드마이크로의 ZDI가 2018년 상반기동안 더 많은 버그를 발표한 반면, 제로데이 경보는 지난해 같은 기간에 비해 42% 감소했다. ZDI가 특정한 2018년 상반기 가장 흥미로운 트랜드인 마이크로소프트, 애플, 어도비, 스카다(SCADA), 가상화 소프트웨어의 버그 동향을 살펴보자.

121% 증가한 마이크로소프트 관련 버그
마이크로소프트 관련 버그는 지난해에 비해 121%나 증가했다. IE, 엣지(Edge), 차크라코어(Chakra Core) 내 JIT 버그가 2018년에 UAF(Use After Free) 버그로 되어가는 양상을 보여줬다.

ZDI 측은 마이크로소프트가 발표한 지난해 상반기 패치보다 8%만 증가한 점을 비춰봤을 때, 마이크로소프트 제품의 버그 증가보다는 프로그램이 증가한 것으로 분석했다. 하지만 패치를 기다리고 있는 마이크로소프트 버그가 39개나 된다는 점 또한 지적했다.

반면, 애플은 보고된 버그의 수가 28.5%나 줄었다. 그러나 이는 기만에 불과하다. ZDI는 보고된 애플 버그의 수가 2017년 Pwn2Own에서 버그가 얼마나 많았는지 고려하지 않았다. 지난해와 올해 Pwn2Own 동안 획득한 버그를 제외하면 지난해에 비해 36% 증가한 수치다. 이는 곧 발표할 버그 수에서도 볼 수 있는데, 30개 이상의 애플 버그가 보안 패치를 기다리고 있다.

전체 버그의 30%를 차지한 스카다
보고된 스카다 버그 수가 급증하고 있는데, ZDI에 제출된 전체 버그의 30%를 차지했다. 이는 스카다 제품이 IoT 제어 소프트웨어의 대표격으로 자리 매김하고 있다는 것을 의미한다. 스카다 버그는 인프라 및 제조 부문에서 그 이상의 영향을 미칠 수 있다. 스카다 버그가 지난해와 비교해 늘어난 것은 어드밴택(Advantech), 델타 인더스트리얼(Delta Industrial), 옴론(Omron)에서 보고된 버그에 대한 인증이다.

ZDI는 어드밴텍의 보안 경고 132건을 발표했는데, 올해까지 보고된 버그의 22%를 차지했다. 26건의 델타 경고와 22건의 옴론 경고가 각각 총 경고의 4%를 차지했다.

상대적으로 점유율이 낮아진 어도비 버그
2018년 1월에서 6월 사이에 보고된 어도비 버그는 94건으로, 2017년 같은 기간에 비해 2개가 더 많았지만 점유율은 지난해 20%에서 16%로 4%포인트 낮아졌다. 4%포인트 감소하게 된 원인은 스카다 버그가 30%로 증가한 것때문이다.

가상화 소프트웨어에도 버그가 있다
가상화 소프트웨어에서 버그를 찾아내는 보안 연구원들도 있다. 지난해부터 가상화 버그에 대한 보고가 나오기 시작했는데, 이 수치는 275%나 급증했다. 올해 Pwn2Own에 발표된 오라클 버추얼박스(Oracle VirtualBox)의 버그 보고서와 ZDI가 발표한 VM웨어 보고서에 따르면, 가상화 제품의 보안 연구는 실제로 궤도에 올랐다.

이런 현황들은 취약점 연구의 지속적인 성장과 2018년 하반기 동안 버그 보고가 증가할 것이라고 예측할 수 있다. ZDI 측은 2018년 하반기에는 어떻게 될지 정확히 예측할 수 없지만 2017년보다 더 바빠질 것으로 보인다고 밝혔다. editor@itworld.co.kr  


X