3월 29일 (금) 오전 12:28

logo

  • home
  • head
  • itnews
  • product
  • mobile
  • game
  • benchmark
  • analysis
  • blog

개봉 2023.11.22. / 등급: 12세 관람가 / 장르: 드라마 / 국가: 대한민국 감독 : 김성수 출연 : 황정민, 정우...
노량: 죽음의 바다 / 개봉 2023.12. / 장르: 액션, 드라마 / 국가: 대한민국 감독 : 김한민 출연 : 김윤석, ...

cisco.png


시스코 시스템즈(Cisco Systems)는 보안 연구 결과 보고서 Cisco 2015 Annual Security Report를 공개 했다. 이 보고서는 다양한 관점에서 2014년의 주요 보안 관련 부문을 언급한 내용으로 그 중 몇가지 포인트를 소개한다.


근래에 들어 취약성이 많이 악용된 소프트웨어의 하나로 자바(Java)를 꼽을 수 있지만 2014년 1월 1일부터 2014년 11월 30일까지 시스코에서 확인한 자바와 관련된 악용 사례는 1건만 확인되고 있다. NVD(National Vulnerability Database)의 데이터에서도 2013년 자바 취약성 관련 내용은 309건이었으나 2014년 253건으로 감소하고 있다.


이처럼 자바 취약성을 악용한 사례가 감소하고 이유로 보고서에는 자바의 자동 갱신 기능 외 웹 브라우저 벤더가 오래된 JRE(Java Runtime Environment)를 기본적으로 차단하고 있는 점을 들고 있다. 최신의 자바8은 이전 버전에 비해 공격의 악용에 어렵게 설계 되어 있는 점도 중요한 포인트이며 자바 취약성을 악용한 신규 제로 데이 공격은 2014년에는 확인되지 않고 있다.


이런 가운데 공격자는 자바 이외로 눈을 돌려 예를 들면 어도비 플래시 플레이어와 PDF 리더, 웹 브라우저가 대상으로서 특히 마이크로소프트의 실버라이트는 사례 자체는 적지만 증가세가 두드러지고 있다. 시스코가 어느 시점과 비교했는지는 확실하지 않지만 실버라이트의 공격 증가율은 228%로 큰 폭의 증가세를 나타내고 있다.


OpenSSL을 사용하고 있는 디바이스를 조사한 결과에 따르면 56%가 50개월 이상 전의 오래된 버전의 OpenSSL을 사용하고 있다. 즉, 지난해 화두가 된 허트블리드(Heartbleed)와 POODLE 등의 취약성이 남아 있을 가능성이 있는 디바이스가 절반 이상 존재한다는 것을 의미하고 있다. 참고로 허트블리드는 1.0.1버전 계열 이상만 대상으로 1.0.0 계열 및 그 이전 버전이라면 비록 오래된 버전이라도 허트블리드의 영향은 받지 않는다.


이번 보고서는 웹 브라우저의 자동 갱신 기능의 유효성에 대해서도 언급하고 있다. 비교한 것은 마이크로소프트의 인터넷 익스플로러(IE)와 구글 크롬으로 크롬에 의한 접속의 64%가 최신 버전인 반면, IE는 불과 10%에 머무르고 있다. 이러한 부문에 대해 IE 사용자보다 크롬 사용자가 기술적으로 숙련되었다고 보면서 크롬의 자동 갱신 기능은 성공적이라 평가 하고 있다. 그리고 이러한 자동 갱신 기능에 따른 자바 취약성의 악용이 감소하고 있는 점에서 소프트웨어의 자동 갱신은 보안 대책으로서 효과적이기 때문에 기업이나 조직에서 자동 갱신에 따른 비 호환성 문제 등의 리스크를 감안하고 수용 할 필요성도 있다고 언급하고 있다.


그러나 사용자 측에 자동 갱신에 따른 리스크를 수용하는 것은 기업 시스템상 현실적이지 않은 부문(사내 전산S/W)들이 있기 때문에 각각의 기업 환경에 따라 그 적용 기준이 다를 수 있다.






List of Articles
제목 조회 수
[AWS re:Invent 2019] 일반 개발자에게 머신러닝의 힘을 2 12819
MS, 애저 센티넬(Azure Sentinel)로 제로 트러스트형 보안 추진 4103
Dell EMC, 인공지능 간소화 패키지 Ready Solutions for AI 전개 3095
OOW 2018, 오라클이 설명하는 2세대 클라우드 비전 (Generation 2 Cloud) 3970
Dell EMC, 키네틱 인프라스트럭처 신제품 PowerEdge MX 발매 2018
MS 클라우드 애저 기능 확장, 스피어/디도스 보호/보안 센터 등 10043
시스코, 기업 iOS 디바이스를 보호하는 Security Connector 발표 2393
소프트웨어 정의 스토리지 - 레노버 Storage DX8200C 3493
HPE Vertica 8, 어디에서나 데이터 전개와 분석이 가능하다 1668
VMware Virtual SAN 6.5 발표, HCI와 가상화 시대로 2 2089
구글 딥마인드의 차세대 인공지능 기술 DNC 발표 1968
델 테크놀로지스 탄생, 세계 최대 비상장 통합 IT 기업 4 4239
구글 Cloud SQL 2세대 정식 공개, MySQL 호환 (Google Cloud Platform) 3868
시스코 테트레이션 애널리틱스, 데이터 센터를 가시화 (Tetration analytics) 3768
델 소닉월 캡처 제공 시작 (Dell SonicWALL UTM Capture) 2088
FireEye HX 3.0 발표 - 엔드포인트 방어 솔루션 1 2189
빅데이터 플래시 시스템, 샌디스크 인피니플래시 발표(InfiniFlash) 1 4523
4소켓 하이엔드 X86서버, 델 파워에지 R930 시장 투입 1922
EMC, EVO:RAIL 베이스 통합 어플라이언스 VSPEX BLUE 발매 2039
3D마크 v1.5 공개 - 다이렉트X 11,12/맨틀API 오버 헤드 비교 지원 4939
Board Pagination Prev 1 2 3 Next
/ 3