운영 체제 취약점 부문, 연말 시상식
올해 1월에 나온 IBM X-Force Trend and Risk 리포트를 보니 흥미로운 자료가 많았습니다. 시맨텍, 맥아피, IBM, 그리고 마이크로소프트 등 많은 보안 관련 업체들이 반기나 분기별로 이런 종류의 트렌드 분석 리포트를 내고 있습니다.
이번 리포트엔 눈에 띄는 표가 하나 있었습니다. 사실 아래 내용은 마이크로소프트로서는 좀 민감하게 받아들일 수도 있는 정보입니다.
가장 취약한 운영 체제
2008년에 취약점이 많이 보고된 운영 체제를 순서대로 추리면 순위가 이렇게 된다고 합니다. 상위 10개를 합치면 전체의 75%가 되는군요.
| 운영 체제 | 비율 |
|---|---|
| Apple Mac OS X Server | 14.3% |
| Apple Mac OS X | 14.3% |
| Linux Kernel | 10.9% |
| Sun Solaris | 7.3% |
| Microsoft Windows XP | 5.5% |
| Microsoft Windows 2003 Server | 5.2% |
| Microsoft Windows Vista | 5.1% |
| Microsoft Windows 2000 | 4.8% |
| Microsoft Windows 2008 | 4.1% |
| IBM AIX | 3.7% |
| 기타 | 24.9% |
PDF 문서 44페이지에 있는 표 7 Operating Systems with the Most Vulnerability Disclosures, 2008을 인용했습니다. ^^
보는 관점에 따라 다른 해석이 가능합니다만 제 생각은 이렇습니다.
- IT 관리자의 전반적인 인식과 실제 팩트는 조금 다르다는 점,
- 공급업체들끼리 서로 누가 누구에게 취약점이 많네 적네 할 상황이 아니라 업계 공동에게 보안 취약점은 꾸준한 위협이라는 재발견,
- 윈도우 비스타가 윈도우 XP에 비해 취약점이 훨씬 적(을 것이)다고 마이크로소프트가 그간 강조해 왔는데 2008년의 취약점 발견 수로 보면 차이가 미미하다는 사실,
- 여기 집계된 취약점 수보다는 공격에 사용되는 빈도나 난이도나 공격킷 활용이나 방지책/대안은 어느 정도냐가 실제 IT환경에는 더 중요할 것이라는 믿음,
- 그리고 마이크로소프트도 항상 강조하듯이, 패치의 수보다는 얼마나 기민하게 패치를 만들고 그 패치의 품질이 얼마나 우수하고 IT관리자가 얼마나 쉽게 패치를 적용할 수 있는지가 더 중요하다는 점.
등등.
위 정보 외에도 X-Force의 이번 리포트는 ‘보안 공격의 경제학’에 대해 상세하게 소개하고 있습니다. 꽤 재미있는 내용인데, 아마 많은 컨퍼런스에서 이 내용을 참고하지 않을까 기대합니다.