SANS 연구소는 지난 8일 윈도우/유닉스 계열별로 보안에 취약한 소프트웨어들을 수록한 ‘최악의 보안 TOP 20’ 2003년판을 발표했다.



SANS(The SysAdmin Audit Network Security)와 FBI의 NIPC(National Infrastructure Protection Center)는 시스템 관리자가 현재 시스템에 결함이 있는 소프트웨어가 설치되어 있는지 참고할 수 있도록 3년 전부터 공동으로 매년 이 목록을 발행해오고 있다.

목록은 가장 보안에 취약한 소프트웨어를 윈도우와 유닉스 계열로 나눠 각각 10개씩 선정해 작성된다.

SANS 연구소장 알랜 폴러 “이 목록은 해커들이 시스템에 침투할 때 가장 일반적으로 사용하는 보안 결함을 모아놓은 것”이라며 “네트워크 관리자는 이를 참고해 되도록 빨리 시스템을 점검해야 한다”고 말했다.

이번 2003년판에는 윈도우 시스템에서는 MS IIS 웹서버가 가장 보안에 취약한 소프트웨어로 꼽혔다.

MS는 지난해 IIS 웹서버에서만 6개 이상의 보안 결함을 발견해 패치했으며 올해 5월에는 4개의 보안 결함을 잇따라 공개하기도 했다. 이뿐만이 아니다. 지난 해 11월에는 보안 전문가들이 IIS 웹서버에서 중대한 결함이 발견됐다고 경고했으며, 그 이전인 2001년 7~8월에는 악명높은 코드레드 웜이 MS 웹서버의 보안 결함을 이용해 확산되기도 했었다.

이밖에 윈도우 계열에서 보안에 취약한 소프트웨어로는 슬래머 웜의 숙주가 됐었던 MS SQL 데이터베이스가 명단에 포함됐다.

MS버전의 RPC도 보안 결함으로 MS블러스터 웜을 확산시키는데 일조해 명단에 올랐다.

유닉스 시스템에서는 BIND DNS 소프트웨어가 가장 문제있는 프로그램으로 꼽혔다. BIND DNS 소프트웨어는 널리 사용되는 인터넷 데이터베이스용 프로그램으로, 도메인 이름과 IP 주소를 연결하는 역할을 담당한다. BIND DNS는 리눅스와 썬의 솔라리스, IBM의 AIX 등에도 탑재되어 사용되고 있다.

지난해 BIND 소프트웨어에서는 많은 보안 결함이 발견됐다. 지난 해 3월 ISC(the Internet Software Consortium)가 새로운 보안 패치를 발표한데 이어 11월에는 보안 전문가들이 결함을 발견해 패치가 이루어지기도 했다.

이밖에 유닉스 계열에서 보안에 취약한 소프트웨어로는 불안정한 아파치 웹서버와 유닉스 계열의 RPC가 나란히 명단에 올랐다.


출처 : CNET News.com

MS...