Æ®·»µå¸¶ÀÌÅ©·Î(Áö»çÀå ±èÁø±¤)´Â 24ÀÏ ¹ßÇ¥¸¦ ÅëÇØ ½ÃÀåÁ¶»ç±â°ü ¿Èµð¾Æ(Omdia)¿¡¼ ¹ßÇ¥ÇÑ º¸°í¼ÀÇ ¿¬±¸ °á°ú¸¦ Àοë, ÀÚ»çÀÇ º¸¾È ¹× Ãë¾àÁ¡ ¿¬±¸ Á¶Á÷ ‘Á¦·Îµ¥ÀÌ À̴ϼÅƼºê(Zero Day Initiative, ZDI)°¡ Áö³ ÇØ °¡Àå ¸¹Àº Ãë¾àÁ¡À» °ø°³Çß´Ù°í ¹ßÇ¥Çß´Ù.
¿Èµð¾Æ°¡ µ¶ÀÚÀûÀ¸·Î ÁøÇàÇÑ À̹ø ¿¬±¸´Â º¸¾È Ãë¾àÁ¡À» ¿¬±¸ÇÏ´Â 11°÷ÀÇ ¸®¼Ä¡ º¥´õ»ç(Research vendor)¿¡¼ ¹ßÇ¥ÇÑ Ãë¾àÁ¡ °ø°³ ³»¿ªÀ» ºÐ¼®, Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ ‘Á¦·Îµ¥ÀÌ À̴ϼÅƼºê’°¡ º¥´õ ºÒ¹®(Vendor-agnostic) ¹ö±× º¸»ó ÇÁ·Î±×·¥(Bug bounty program)À¸·Î¼ Àü ¼¼°è ÃÖ´ë ±Ô¸ð¸¦ 10³â° À¯ÁöÇÏ°í ÀÖÀ½À» È®ÀÎÇß´Ù.
Æ®·»µå¸¶ÀÌÅ©·Î ‘Á¦·Îµ¥ÀÌ À̴ϼÅƼºê’´Â Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ º¸¾È Á¦Ç°À» »ç¿ëÇÏ´Â ÀÌ¿ëÀÚ¿¡°Ô ÇØ´ç º¸¾È Ãë¾àÁ¡ÀÌ ÆÐÄ¡µÇ±â Àü¿¡ ¼±Á¦Àû ´ëÀÀÀ» ÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù.
ƯÈ÷ ƼÇÎÆ÷ÀÎÆ®´Â ¼ÒÇÁÆ®¿þ¾î º¥´õ°¡ Á÷Á¢ ÆÐÄ¡Çϱâ Àü±îÁö Æò±Õ 81ÀÏ ¸ÕÀú ÇØ´ç Ãë¾àÁ¡¿¡ ´ëÇÑ ´ëÀÀÀ» ÇÏ°í ÀÖ´Ù.
ºê¶óÀ̾ð °í·ÀÅ©(Brian Gorenc) Æ®·»µå¸¶ÀÌÅ©·Î Ãë¾àÁ¡ ¸®¼Ä¡ ½Ã´Ï¾î µð·ºÅÍ´Â “¸¹Àº »çÀ̹ö °ø°ÝÀÌ ÆÐÄ¡ µÇÁö ¾ÊÀº Ãë¾àÁ¡À» ÀÌ¿ëÇØ ¹Î°¨ µ¥ÀÌÅ͸¦ µµ¿ëÇÏ°í ½Ã½ºÅÛ ¿î¿µ¿¡ Àå¾Ö¸¦ ¹ß»ý½ÃÅ°¸ç, ½Ã½ºÅÛÀ» ¼Õ»ó½ÃÅ°´Â ¸Ö¿þ¾î¸¦ È®»ê½ÃÄÑ ÇÇÇØ ±â¾÷¿¡ ¸·´ëÇÑ ¼Õ½ÇÀ» ÀÔÈ÷°í ÀÖ´Ù”¶ó¸ç “Æ®·»µå¸¶ÀÌÅ©·Î´Â Áö³ 15³â µ¿¾È ÇØ¿Â Ãë¾àÁ¡ °ø°³ È°µ¿¿¡ ÀںνÉÀ» ´À³¢°í ÀÖ´Ù. °øµ¿ÀÇ Ãë¾àÁ¡ °ø°³ ³ë·ÂÀº ¼ÒÇÁÆ®¿þ¾îÀÇ º¸¾È ¼öÁØÀ» ½ÇÁ¦·Î Çâ»ó½ÃÅ°±â À§ÇØ ÇʼöÀûÀ̸ç, ÀÌ´Â Æ®·»µå¸¶ÀÌÅ©·Î°¡ °¡Àå Áß¿äÇÏ°Ô »ý°¢ÇÏ´Â »çÇ×”¶ó°í ¹àÇû´Ù.
¿Èµð¾ÆÀÇ ‘Ãë¾àÁ¡ °ø°³ ½ÃÀå °è·®È(Quantifying the Public Vulnerability Market)’ ¿¬±¸´Â 11°÷ÀÇ ¿¬±¸±â°ü°ú º¥´õ»çÀÇ È°µ¿À» ¹Ì±¹ ±¹¸³Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST), ¸¶ÀÌÅÍ(MITER) ¹× ħÇØ»ç°í´ëÀÀÆÀ(US CERT/CC)À» ºñ·ÔÇÑ Á¤ºÎ ±â°üÀÇ ¹ßÇ¥ ÀÚ·á¿Í ´ëÁ¶ÇÏ¸é¼ Æò°¡ÇÑ ³»¿ëÀ» ´ã¾Ò´Ù.
|
|
|
¡ã (Ãâó : Æ®·»µå¸¶ÀÌÅ©·Î Á¦°ø) |
11°÷ÀÇ º¥´õ»ç°¡ ¹ß°ßÇÑ ÃÑ 1095°ÇÀÇ Ãë¾àÁ¡(Áߺ¹ ŽÁö 14°Ç Æ÷ÇÔ) °¡¿îµ¥, Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â 573°ÇÀÇ Ãë¾àÁ¡À» ŽÁöÇØ Àüü ŽÁö·®ÀÇ 52.3%¸¦ Â÷ÁöÇß´Ù.
ÀÌ´Â Â÷¼øÀ§ ±â¾÷ÀÌ Â÷ÁöÇÑ 15%¿¡ ºñÇØ 3.5¹è ¸¹Àº ¼öÄ¡´Ù.
ÀÌ·± °á°ú¸¦ ÅëÇØ Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â 2018³â¿¡ À̾î 2019³â¿¡µµ ½ÃÀå ¼±µµ À§Ä¡¸¦ À¯ÁöÇß´Ù.
ÅÂ³Ê Á¸½¼(Tanner Johnson) ¿Èµð¾Æ ¼ö¼® ¾Ö³Î¸®½ºÆ®´Â “Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â Áö¼ÓÀûÀ¸·Î Ãë¾àÁ¡ °ø°³ ½ÃÀåÀ» °ßÀÎÇÏ°í ÀÖÀ¸¸ç, °¡Àå ³ôÀº ¹ö±× ŽÁö»Ó¸¸ ¾Æ´Ï¶ó, ºñÁî´Ï½º ¿µ¿ª º¸¾È¿¡ °¡Àå À§ÇèÇÑ Ãë¾àÁ¡ °ø°³¿¡ ±â¿©ÇÏ°í ÀÖ´Ù”¶ó¸ç “Àü ¼¼°è ±â¾÷ÀÌ ÀÇÁ¸ÇÏ°í ÀÖ´Â º¥´õ»ç¿Í Çù·ÂÀº ¸ðµç ¿µ¿ª¿¡¼ º¸¾È ¼öÁØÀ» ³ôÀÌ´Â µ¥¿¡ ±â¿©ÇÑ´Ù”°í ¹àÇû´Ù.
Æ®·»µå¸¶ÀÌÅ©·Î´Â ½É°¢ÇÑ Ãë¾àÁ¡ ŽÁöÀ² 56.2%¿Í Áß°£ ¼öÁØ Ãë¾à ŽÁöÀ² 60.5%¸¦ ±â·ÏÇÏ¸ç ¾ÐµµÀûÀÎ À§Ä¡¸¦ Â÷ÁöÇÏ°í ÀÖ´Ù.
´ë»ó Á¦Ç°À» ±âÁØÀ¸·Î ºÐ¼®Çϸé, Áö³ÇØ °ø°³µÈ PDF Ãë¾àÁ¡Àº ÃÑ 269°³·Î, Á¦·Îµ¥ÀÌ À̴ϼÅƼºê°¡ ÀÌ Áß 61%¸¦ ŽÁöÇß´Ù.
ÇÑÆí, 2005³â¿¡ ½ÃÀÛÇÑ Æ®·»µå¸¶ÀÌÅ©·ÎÀÇ Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â Ãë¾àÁ¡ Á¦º¸¸¦ ÃËÁøÇϱâ À§ÇØ ¿¬±¸¿øµéÀ» ´ë»óÀ¸·Î ¹ö±× Æ÷»ó(Bug bounty rewards)À» Á¦°ø, Ãë¾àÁ¡ °ø°³ ½ÃÀåÀ» º¯È½ÃÄ×´Ù.
Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â ÇÙ½É ÀÎÇÁ¶ó ³» ºñÁî´Ï½º ¾ÖÇø®ÄÉÀ̼Ç, ¿î¿µ üÁ¦, ¸ð¹ÙÀÏ°ú IoT¸¦ ºñ·ÔÇØ ICS/SCADA±îÁö Æ÷ÇÔÇÑ ´Ù¾çÇÑ ¼ÒÇÁÆ®¿þ¾î ¿µ¿ª¿¡ ±â¿©ÇÏ´Â 1¸¸¸í ÀÌ»óÀÇ µ¶¸³ÀûÀÎ ¿¬±¸¿øÀÌ À̲ø°í ÀÖ´Ù.
Á¦·Îµ¥ÀÌ À̴ϼÅƼºê´Â 7500°³ ÀÌ»óÀÇ Ãë¾àÁ¡ °ø°³¸¦ Ã¥ÀÓÁ³À¸¸ç, Âü¿©ÇÑ ¿¬±¸¿øµé¿¡°Ô 2500¸¸ ´Þ·¯(ÇÑÈ ¾à 2972¸¸¿ø) ÀÌ»óÀÇ º¸»ó±ÝÀ» Áö±ÞÇß´Ù.
<±èµ¿±â ±âÀÚ>kdk@bikorea.net < ÀúÀÛ±ÇÀÚ © BI KOREA ¹«´ÜÀüÀç ¹× Àç¹èÆ÷±ÝÁö > |