개요

• 보안감사업체 Positive Technologies 社는 2016년 수행한 보안감사에서 기업 시스템 중 47%에서 심각한 취약점이 발견되었다고 연구 결과를 발표
   

주요내용

• 보안감사 결과
  - 조사 된 기업 시스템 중 47%에서 심각한 취약점이 발견
  - 시스템의 잘못된 설정 및 구성 취약점(40%), 웹 응용프로그램 소스코드 오류(27%), 보안 업데이트 및 패치 미흡(20%) 순으로 나타남
  - 외부자 침입 테스트에서 55% 시스템에서 기업 인프라를 완전히 제어할 수 있었으며, 내부 침입 테스트에서는 거의 모든 시스템을 제어하는데 성공함
  - 최근 MS 윈도우 취약점을 악용한 워너크라이 랜섬웨어로 인해 보안 업데이트 및 패치에 대한 중요도가 부각됨

1. 보안 관리자의 인식의 변화가 필요
   - Positive Technologies에 따르면 발견된 취약점 중 가장 오래된 취약점은 CVE-1999-0024로 17년에 발견된 취약점이며 DDoS 공격에 악용될 수 있는 것으로 확인됨
   - 보안감사의 대상 중 취약한 시스템들에서 마지막 업데이트 날짜는 평균 9년 전으로 관리자들의 정보보안 인식의 변화가 필요함

• 모든 조직에 해당하는 정보보안 권고사항
  - 엄격한 암호 정책 개발과 적용
  - 중요정보 평문저장 금지
  - 개방형 네트워크 서비스 인터페이스 최소화
  - 정기적인 소프트웨어 업데이트와 운영체제 보안 업데이트 설치
  - 불필요한 프로토콜 비활성화 등
   

시사점

1. 해당 취약점에 대한 피해 예방을 위해서는 안티 바이러스 보호만으로는 높은 수준의 보안을 유지하기 어려우며, 관리자 및 담당자들의 보안인식 제고가 가장 선행 되어야 함
2. 관리자 및 담당자들의 보안인식 향상을 위해서 정기적인 교육과 침투 훈련이 함께 동반 되어야 함

[출처]
1. ComputerWeekly.com, “Security audits reveal poor state of corporate cyber defences”, 2017.08.04.