2014.04.14

HP 보고서 “앱 취약점의 80%는 사용자 잘못”

Tony Bradley | PCWorld
이 세상에 ‘취약하지 않은 앱’이란 없다. 지난 주 하트블리드 버그에서도 밝혀졌듯이, 어떤 것이 다른 것들보다 조금 더 취약할 뿐이다. 하지만 HP가 새로 공개한 2013 사이버 리스크 리포트(HP 2013 Cyber Risk Report)에 따르면, 대부분의 취약점은 앱 자체의 문제가 아니라 사용자에게 있다고 한다.

HP는 HP 포티파이 온 디맨드(HP Fortify on Demand)에서 스캔한 2,200개의 앱에서 데이터를 수집 및 분석한 결과를 공개했다. 발견된 취약점의 80%는 코드와 관련이 없음을 발견했다.

보고서는 “많은 취약점들은 서버의 잘못된 구성, 부적절한 파일 설정, 샘플 콘텐츠, 오래된 소프트웨어 및 안전하지 않은 배치와 관련된 다른 요소들과 관련이 있다”라고 주장했다. 요약하자면 취약점의 80%가 사용자의 잘못 때문이라는 것.

더불어 HP는 포티파이 온 디맨드로 총 180개의 iOS와 안드로이드 앱을 조사했는데, 거의 절반이 데이터와 개인 정보가 위험하게 처리되었다는 사실을 발견했다. 이 iOS와 안드로이드 플랫폼은 암호화 기능이 있지만, 앱 개발자들이 이를 앱에 적절히 반영하지 않으면, 암호화 기능이 디바이스의 데이터를 보호하지 못한다.

이런 보고서는 보안 방어막에서 가장 약한 부분이 바로 사용자라는 점을 다시 한번 확인해주었다. 운영체제나 앱이 얼마나 안전한지에 상관없이, 사용자의 설정이 부적절하면 위험에 노출될 수 밖에 없다.

한편, HP는 BYOD, 모바일 진화, 그리고 사물 인터넷이 부상하면서 공격자들이 이전의 단순한 서버나 데스크톱 PC를 노린 공격에서 벗어나 더 많은 공격 옵션이 생겼다고 지적했다. 아직까지 모바일 악성 코드에 대한 정의가 완전히 이루어지지 않아서 모바일 기기의 악성 앱 이슈를 해결하는 것이 어렵다고 덧붙였다.

HP의 2013 사이버 위협 보고서는 여기에서 확인할 수 있다. editor@itworld.co.kr


2014.04.14

HP 보고서 “앱 취약점의 80%는 사용자 잘못”

Tony Bradley | PCWorld
이 세상에 ‘취약하지 않은 앱’이란 없다. 지난 주 하트블리드 버그에서도 밝혀졌듯이, 어떤 것이 다른 것들보다 조금 더 취약할 뿐이다. 하지만 HP가 새로 공개한 2013 사이버 리스크 리포트(HP 2013 Cyber Risk Report)에 따르면, 대부분의 취약점은 앱 자체의 문제가 아니라 사용자에게 있다고 한다.

HP는 HP 포티파이 온 디맨드(HP Fortify on Demand)에서 스캔한 2,200개의 앱에서 데이터를 수집 및 분석한 결과를 공개했다. 발견된 취약점의 80%는 코드와 관련이 없음을 발견했다.

보고서는 “많은 취약점들은 서버의 잘못된 구성, 부적절한 파일 설정, 샘플 콘텐츠, 오래된 소프트웨어 및 안전하지 않은 배치와 관련된 다른 요소들과 관련이 있다”라고 주장했다. 요약하자면 취약점의 80%가 사용자의 잘못 때문이라는 것.

더불어 HP는 포티파이 온 디맨드로 총 180개의 iOS와 안드로이드 앱을 조사했는데, 거의 절반이 데이터와 개인 정보가 위험하게 처리되었다는 사실을 발견했다. 이 iOS와 안드로이드 플랫폼은 암호화 기능이 있지만, 앱 개발자들이 이를 앱에 적절히 반영하지 않으면, 암호화 기능이 디바이스의 데이터를 보호하지 못한다.

이런 보고서는 보안 방어막에서 가장 약한 부분이 바로 사용자라는 점을 다시 한번 확인해주었다. 운영체제나 앱이 얼마나 안전한지에 상관없이, 사용자의 설정이 부적절하면 위험에 노출될 수 밖에 없다.

한편, HP는 BYOD, 모바일 진화, 그리고 사물 인터넷이 부상하면서 공격자들이 이전의 단순한 서버나 데스크톱 PC를 노린 공격에서 벗어나 더 많은 공격 옵션이 생겼다고 지적했다. 아직까지 모바일 악성 코드에 대한 정의가 완전히 이루어지지 않아서 모바일 기기의 악성 앱 이슈를 해결하는 것이 어렵다고 덧붙였다.

HP의 2013 사이버 위협 보고서는 여기에서 확인할 수 있다. editor@itworld.co.kr


X