Movable Type 4.24 의 XSS 취약점이 발표되었습니다.
취약점 정보 :
1. http://j2k.naver.com/j2k_frame.php/korean/jvn.jp/jp/JVN97248625/index.html
2. http://j2k.naver.com/j2k.php/korean/jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000020.html
대처 방안 : http://j2k.naver.com/j2k.php/korean/www.movabletype.jp/blog/security-info_mt424.html
여담입니다만, JVN의 취약점 정보는 무척 편리하군요.
취약점에 대한 상세 정보가 없어 Independant Researcher들이 재현 불가능하다는 단점이 있습니다만, 공공기관 입장에서는 문제의 소지를 미연에 방지하기 위해 어쩔 수 없는 선택이었겠지요.
위의 단점을 제외하면 매우 simple하게 해당 문제를 일반에 잘 소개하고 있고, 버전 정보, 대처 방안, 위험도 정보 등을 직관적으로 제공하고 있어 관련 분야 전문가가 아니더라도 쉽게 이해할 수 있겠네요.
취약점 정보 제공에 있어 한국에는 윈스테크넷(現, 나우콤)의 SecureCAST(http://securecast.co.kr) 서비스가 대표적입니다만, 컨텐츠 구매를 꺼리는 한국 고객들의 특성 상 얼마나 수익을 내고 있을지 궁금하군요. 사실 저런 서비스를 퀄리티 있게 운영하는데는 최소 4명 이상의 인원(관리 1명+테스터 3명 이상), 사이트 개발 및 유지보수, 다양한 테스트 배드가 필요한 만큼 상당한 비용 투자가 필요한데, 그에 합당한 수익 창출이 이루어지지 않으면 지속적인 서비스 제공이 어려워진다는 문제가 있습니다.
때문에 대부분의 한국 회사들은 비용 절감을 위해 외국 취약점 정보를 스크랩한 후 검증 절차 없이 한글로 번역하여 제공하고, 디자인도 조악한 경우가 많습니다. 이를 본 고객들 역시 낮은 퀄리티에 실망하여 비용 지불의 필요성을 못느끼고, 결과적으로 취약점 정보 제공 시장이 위축되는 악순환이 계속되어 왔죠.
제 개인적인 생각으로는 보안 업계의 발전을 위해서도 경쟁력없는 서비스들은 되도록 drop하고, 퀄리티있는 서비스를 제공하는 회사의 서비스를 구매하여 고객에게 제공하는 것이 적절하다고 봅니다. 물론 한국 보안 회사들이 대부분 Product나 Contents를 정품으로 구매하는 경우가 없습니다만, 이런 관행이 계속되면 더더욱 보안 시장의 파이가 작아지고, 결과적으로 국내 보안 수준 향상을 위해 공공기관들이 해당 사업 분야에 진출하여 보안 회사와 경쟁하는 형국으로 갈 수 밖에 없습니다.
보안 회사들 간의 선순환 구조가 하루 빨리 정착되었으면 좋겠네요. 고객이 필요로하는 퀄리티의 Product, Service, Contents, People을 적절히 소싱하여 고객에게 value를 제공하는 것이 장기적으로 보안 시장의 발전에 도움이 되지 않겠습니까?
이글루스 가든 - professional secur...
취약점 정보 :
1. http://j2k.naver.com/j2k_frame.php/korean/jvn.jp/jp/JVN97248625/index.html
2. http://j2k.naver.com/j2k.php/korean/jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000020.html
대처 방안 : http://j2k.naver.com/j2k.php/korean/www.movabletype.jp/blog/security-info_mt424.html
여담입니다만, JVN의 취약점 정보는 무척 편리하군요.
취약점에 대한 상세 정보가 없어 Independant Researcher들이 재현 불가능하다는 단점이 있습니다만, 공공기관 입장에서는 문제의 소지를 미연에 방지하기 위해 어쩔 수 없는 선택이었겠지요.
위의 단점을 제외하면 매우 simple하게 해당 문제를 일반에 잘 소개하고 있고, 버전 정보, 대처 방안, 위험도 정보 등을 직관적으로 제공하고 있어 관련 분야 전문가가 아니더라도 쉽게 이해할 수 있겠네요.
취약점 정보 제공에 있어 한국에는 윈스테크넷(現, 나우콤)의 SecureCAST(http://securecast.co.kr) 서비스가 대표적입니다만, 컨텐츠 구매를 꺼리는 한국 고객들의 특성 상 얼마나 수익을 내고 있을지 궁금하군요. 사실 저런 서비스를 퀄리티 있게 운영하는데는 최소 4명 이상의 인원(관리 1명+테스터 3명 이상), 사이트 개발 및 유지보수, 다양한 테스트 배드가 필요한 만큼 상당한 비용 투자가 필요한데, 그에 합당한 수익 창출이 이루어지지 않으면 지속적인 서비스 제공이 어려워진다는 문제가 있습니다.
때문에 대부분의 한국 회사들은 비용 절감을 위해 외국 취약점 정보를 스크랩한 후 검증 절차 없이 한글로 번역하여 제공하고, 디자인도 조악한 경우가 많습니다. 이를 본 고객들 역시 낮은 퀄리티에 실망하여 비용 지불의 필요성을 못느끼고, 결과적으로 취약점 정보 제공 시장이 위축되는 악순환이 계속되어 왔죠.
제 개인적인 생각으로는 보안 업계의 발전을 위해서도 경쟁력없는 서비스들은 되도록 drop하고, 퀄리티있는 서비스를 제공하는 회사의 서비스를 구매하여 고객에게 제공하는 것이 적절하다고 봅니다. 물론 한국 보안 회사들이 대부분 Product나 Contents를 정품으로 구매하는 경우가 없습니다만, 이런 관행이 계속되면 더더욱 보안 시장의 파이가 작아지고, 결과적으로 국내 보안 수준 향상을 위해 공공기관들이 해당 사업 분야에 진출하여 보안 회사와 경쟁하는 형국으로 갈 수 밖에 없습니다.
보안 회사들 간의 선순환 구조가 하루 빨리 정착되었으면 좋겠네요. 고객이 필요로하는 퀄리티의 Product, Service, Contents, People을 적절히 소싱하여 고객에게 value를 제공하는 것이 장기적으로 보안 시장의 발전에 도움이 되지 않겠습니까?
이글루스 가든 - professional secur...
덧글