2021년 마이크로소프트 소프트웨어에서 발견된 보안 취약점
1,212
자료 제목 :
마이크로소프트 취약점 리포트 2022
Microsoft Vulnerabilities Report 2022
자료 출처 :
BeyondTrust
원본자료 다운로드
발행 날짜 :
2022년 05월 25일
보안

"MS가 보안에 진지해졌다" 취약점 수 5년 만에 '감소세'

Jon Gold | CSO 2022.05.26
2021년 마이크로소프트 제품과 서비스의 전체 보안 취약점 건수가 5% 줄어든 것으로 나타났다. 5년 만에 감소세로 돌아섰다.
 
ⓒ Martyn Williams/IDG

계정 관리 업체 비욘드트러스트(BeyondTrust)의 최신 보고서에 따르면, 지난해 마이크로소프트의 소프트웨어 제품에서 발견된 보안 취약점은 총 1,212건이었다. 그 전 해와 비교하면 상당히 크게 변화했는데, CVSS(Common Vulnerability Scoring System)를 기준으로 '치명적(critical)' 등급의 보안 취약점이 47% 급감했다. 비욘드트러스트가 보고서를 작성한 지난 9년을 통틀어 최저치다. 특히 윈도우와 윈도우 서버에서 각각 40%, 50% 보안 취약점이 크게 줄었다. 반면 마이크로소프트 엣지와 인터넷 익스플로러 브라우저는 이들 보안 취약점에 가장 영향을 받는 것으로 나타났다.

보고서 내용을 더 자세히 살펴보면, 2021년 가장 일반적인 형태의 보안취약점은 권한 확대(privilege elevation) 관련된 것이었다. 공격자가 불법적인 방법으로 시스템의 관리자 권한을 탈취한 것을 의미한다. 2021년에만 이런 권한 확대 보안 취약점이 558건 발견됐다.

비욘드트러스트의 연구자들은 이에 대한 보안 대응 방법도 제시했다. 불필요하게 관리자 권한을 가진 사용자를 줄이라는 것이다. 이를 통해 공격자가 확대된 권한을 얻는 것을 더 어렵게 만들 수 있다. 보고서는 "로컬 관리자 권한을 가진 사용자에게 접근하는 것 외에 공격자는 확대된 권한을 얻기 위해 창의적인 방법을 사용하기 시작했다. 이는 시스템을 변조하거나 계정을 탈취하거나 동서 이동에도 사용할 수 있는 방법이다"라고 분석했다.

두 번째로 많은 보안 취약점은 원격 코드 실행(remote code execution)이다. 취약점 같은 것을 노리는 공격자가 최소한의 사용자 상호작용 혹은 아예 상호작용 없이도 원격으로 공격을 실행할 수 있다는 점에서 특히 위험하다. 2021년에만 이런 보안 취약점이 326가지 발견됐는데, 이 중 5건은 CVSS 위험도가 9.0 이상이었다. 비욘드트러스트 보고서는 "이 형태의 위험에서는 실제 작동하는 취약점이 '존재하는가'의 문제가 아니다. '언제 적발되느냐'의 문제로 접근해야 한다"라고 분석했다.

이 밖에도 보고서는 애저, 윈도우, 마이크로소프트 오피스 등 주요 마이크로소프트 제품에서 보안 취약점을 찾아냈다. 윈도우와 오피스의 경우 전체 66건 중 단 1건만 치명적인 것으로 분류됐고, 애저와 다이내믹스 365의 경우 각각 7건, 44건이었다.

비욘드트러스트의 연구팀은 마이크로소프트가 애저의 보안을 지속해서 안전하게 관리하고 오피스의 보안 취약점을 점차 줄여가고 있다고 평가했다. 실제로 윈도우 운영체제의 경우 2021년에 전체 보안 취약점이 이전 해 대비 40% 줄었다. 심각한 보안 취약점은 절반으로 급감했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.