올해 1월에 나온 IBM X-Force Trend and Risk 리포트를 보니 흥미로운 자료가 많았습니다. 시맨텍, 맥아피, IBM, 그리고 마이크로소프트 등 많은 보안 관련 업체들이 반기나 분기별로 이런 종류의 트렌드 분석 리포트를 내고 있습니다.

이번 리포트엔 눈에 띄는 표가 하나 있었습니다. 사실 아래 내용은 마이크로소프트로서는 좀 민감하게 받아들일 수도 있는 정보입니다.

가장 취약한 운영 체제

2008년에 취약점이 많이 보고된 운영 체제를 순서대로 추리면 순위가 이렇게 된다고 합니다. 상위 10개를 합치면 전체의 75%가 되는군요.

운영 체제 비율
Apple Mac OS X Server 14.3%
Apple Mac OS X 14.3%
Linux Kernel 10.9%
Sun Solaris 7.3%
Microsoft Windows XP 5.5%
Microsoft Windows 2003 Server 5.2%
Microsoft Windows Vista 5.1%
Microsoft Windows 2000 4.8%
Microsoft Windows 2008 4.1%
IBM AIX 3.7%
기타 24.9%

PDF 문서 44페이지에 있는 표 7 Operating Systems with the Most Vulnerability Disclosures, 2008을 인용했습니다. ^^

보는 관점에 따라 다른 해석이 가능합니다만 제 생각은 이렇습니다.

  1. IT 관리자의 전반적인 인식과 실제 팩트는 조금 다르다는 점,
  2. 공급업체들끼리 서로 누가 누구에게 취약점이 많네 적네 할 상황이 아니라 업계 공동에게 보안 취약점은 꾸준한 위협이라는 재발견,
  3. 윈도우 비스타가 윈도우 XP에 비해 취약점이 훨씬 적(을 것이)다고 마이크로소프트가 그간 강조해 왔는데 2008년의 취약점 발견 수로 보면 차이가 미미하다는 사실,
  4. 여기 집계된 취약점 수보다는 공격에 사용되는 빈도나 난이도나 공격킷 활용이나 방지책/대안은 어느 정도냐가 실제 IT환경에는 더 중요할 것이라는 믿음,
  5. 그리고 마이크로소프트도 항상 강조하듯이, 패치의 수보다는 얼마나 기민하게 패치를 만들고 그 패치의 품질이 얼마나 우수하고 IT관리자가 얼마나 쉽게 패치를 적용할 수 있는지가 더 중요하다는 점.

등등.

위 정보 외에도 X-Force의 이번 리포트는 ‘보안 공격의 경제학’에 대해 상세하게 소개하고 있습니다. 꽤 재미있는 내용인데, 아마 많은 컨퍼런스에서 이 내용을 참고하지 않을까 기대합니다.