많은 웹 사이트들이 취약점이 노출된 자바스크립트 라이브러리를 사용하고 있다는 연구 결과가 나왔다.
전체 웹 사이트의 37%에 취약성이 있는 자바스크립트 라이브러리가 1개 이상 포함돼 있다는 사실을 발견했다고 미국 지디넷이 12일(현지시간) 노스이스턴대학교 연구 결과를 인용 보도했다.
미국 노스이스턴대학교 연구진들은 2014년부터 13만3천 개가 넘는 웹 사이트를 분석한 뒤 최근 논문을 발표했다. 이 연구는 웹 사이트의 잠재적 보안 위험을 알아보기 위한 것으로, 오래 된 자바스크립트 라이브러리 버전, 브라우저 내의 J쿼리 앵귤러JS 프레임 워크 등을 조사했다.
연구진은 J쿼리 내에 오래된 크로스사이트 스크립팅 버그를 지적하며 취약한 라이브러리는 적절한 조건 하에서 위험요소가 될 수 있다고 밝혔다. 이는 해커가 취약한 웹 사이트에 악성 스크립트를 삽입할 수 있다고 덧붙였다.
연구진들은 트래픽 조사 기관 알렉사의 상위 7만5천 개의 웹 사이트목록과 닷컴(.com) 도메인에서 무작위로 선택한 7만5천 개의 웹 사이트를 대상으로 72개의 서로 다른 라이브러리와 각각의 버전을 평가했다. 알렉사 사이트의 87%와 닷컴 사이트의 46.5%가 72개 라이브러리 중 하나를 사용했다.
이 조사에 따르면 J쿼리의 36.7%, 앵귤러의 40.1%, 핸들바의 86.6%, YUI의 87.3%가 취약한 버전을 사용하는 것으로 나타났다. 또 조사된 사이트의 9.7%는 2개 이상의 취약한 라이브러리 버전을 사용하는 것으로 조사됐다.
조사 대상 중 알렉사 상위 사이트들은 타 사이트에 비해 취약한 라이브러리를 포함할 가능성이 훨씬 적다. 연구진들은 알렉사 상위 100개 사이트 중 21% 만이 취약한 라이브러리 버전을 사용했다는 것을 발견했다.
연구진들은 이번 연구결과가 자바스크립트 생태계의 보안 상태가 엉망이라는 것을 나타내는 것이라고 밝혔다.
연구진들은 “연구 결과는 자바스크립트 라이브러리 생태계가 복잡하고 조직화되어 있지 않으며, 보안과 관련해 특별하다는 가장 현실적인 증거다.”며, “(자바스크립트 라이브러리는) 신뢰할 수 있는 취약성 DB도, 라이브러리 벤더에 의해 관리되는 보안 메일링 목록도 없다. 보안 이슈에 대한 세부 정보들도 거의 제공되지 않는다. 이는 어떤 버전의 라이브러리가 특정한 취약점에 영향을 받는지 확인하기가 어렵다. “고 밝혔다.
관련기사
- "美 CIA, 삼성-애플제품 무더기 해킹"2017.03.13
- 위키리크스, CIA 해킹 활동 문건 폭로2017.03.13
- '해킹사고' 야후, 몸값 더 떨어지나2017.03.13
- 구글, G메일에 자바스크립트 파일첨부 금지2017.03.13
또, 대다수의 웹 사이트가 오래된 라이브러리를 사용하기 때문에 개선작업도 간단치 않다고 전했다. 각 각의 웹 사이트의 오래된 버전과 최신 버전의 중앙값의 차이가 3년이 넘는다고 연구진은 덧붙였다.
“우리는 알렉사 사이트의 2.8%, 닷컴 사이트의 1.6%만이 패치 레벨 업데이트를 적용해 취약점으로부터 자유롭다는 사실을 관찰했다.”며 대다수의 웹 사이트는 최소한 하나의 라이브러리 이상이 최신 메이저 또는 마이너 버전 설치가 필요하다. 이는 비호환성으로 인해 추가로 코드 변경을 필요로 할 수도 있다.“도 연구진은 밝혔다.
