상반기 IoT 취약성 57% 늘었다…“연결기기 보안 취약점 심각”

클래로티가 2022년 상반기 XIoT 보고서를 발표하고, 사물인터넷(IoT) 기기에 영향을 미치는 취약성 노출이 전년 하반기에 대비 56% 증가했다고 전했다.

1일 보고서에 따르면, 같은 기간 동안 공급업체가 자체적으로 공개한 취약성이 69% 증가했는데, 독립 조사기관의 발표보다 공급업체의 취약점 공개가 더 많이 보고된 것은 이번이 처음이다.

아미르 프레밍어 클래로티 리서치 사업부 부사장은 “중요 영역에 있는 의사결정권자들이 공공의 안전과 환자의 건강, 스마트 그리드 및 유틸리티 등의 기반이 되는 중요 시스템에 대한 위험을 적절하게 평가하고, 우선순위를 지정 및 해결할 수 있도록 이번 조사작업을 수행했다”고 배경을 밝혔다.

보고서의 주요 내용을 살펴보면 IoT 기기에서 15%의 취약성이 발견됐다. 이는 2021년 하반기 보고서에서 조사된 9%보다 크게 증가한 수치다. 또 IoT와 IoMT 취약성을 합하면 18.2%에 이른다.

무엇보다 처음으로 IT 전체 취약성은 16.5%를 넘어섰다. 이에 대해 클래로티는 연결된 기기들이 네트워크에 더 깊이 침투할 수 있는 관문이 될 수 있으며, 연결 기기에 대한 보호를 강화해야 한다는 것에 공급업체들과 연구원들의 이해도가 개선됨에 따른 결과라고 풀이했다. 

공개 취약점을 공급업체가 독립조사기관보다 더 많이 찾아내 발표한 것도 눈에 띈다. IoT 공급기업은 조사기간 취약점 보고 중 29%인 214개를 게시해 45%를 공개한 보안회사에 이어 두 번째로 많은 취약점 보고 그룹으로 나타났다.

독립조사기관이 공개한 취약점은 전체의 19%에 그쳤다. 이는 운영기술(OT) 기업과 IoT, IoMT 공급업체들이 제품의 보안과 안전성을 검사하는데 더 많은 리소스를 투자하고 있음을 보여주는 결과다.

게시된 펌웨어 취약성과 소프트웨어 취약성은 각각 46%와 48%로 집계됐다. 지난해 하반기에는 소프트웨어가 62, 펌웨어가 37%에 불과했지만 펌웨어의 취약점 보고가 크게 증가한 것이다.

전체 또는 부분적으로 수정된 펌웨어의 취약성은 지난해 하반기 21%에서 올 상반기에는 40%로 2배 가까이 증가했다. 

전체적으로 XIoT 취약성은 2022년 상반기 총 747건이 보고됐다. 월 평균 125건의 취약점이 공개되고, 해결된 것이다. 특히 이들 취약점의 절반 이상이 공통취약점등급시스템(CVSS) 스코어는 치명적(19%), 높은 심각도(46%)로 XIoT 취약점에 대한 주의가 요청된다. 

클래로티에 따르면, 71%에 달하는 취약성이 시스템과 장치 가용성에 큰 영향을 미치고 있으며 이러한 영향 지표는 XIoT 기기에서 가장 크게 나타났다.

가장 큰 잠재적 영향은 무단으로 원격코드를 실행하거나 명령을 실행(취약성의 54%에서 발견)하는 것이었다. 충돌, 종료 또는 재시작 등 서비스거부공격(DoS) 상황(43%)이 그 뒤를 이었다.