00:00:00지난해는 사이버 보안 측면에서 기록적인 한 해였지만, 결코 좋은 의미는 아니었습니다.
00:00:04작년 한 해 동안 48,000개가 넘는 CVE가 발표되었으며, 이는 공식적으로
00:00:10단일 연도에 발견된 취약점 수 중 역대 최고치입니다.
00:00:13게다가 앞으로 상황이 더 나아질 기미도 보이지 않습니다.
00:00:17이번 영상에서는 통계 자료를 심층적으로 분석하여 왜 이렇게 취약점 수가
00:00:22급증하고 있는지, 그리고 우리가 무엇을 할 수 있는지 알아보겠습니다.
00:00:29지난해 취약점은 18% 증가했으며, 이는 매일 평균 130개의 새로운
00:00:35보안 결함이 발견되었다는 것을 의미합니다.
00:00:39더욱 무서운 사실은 2025년 초 기준으로, 관찰된 공격의 약 28%가
00:00:46취약점이 공개된 지 단 하루 만에 시작되었다는 점입니다.
00:00:49즉, 개발자들이 패치를 배포하기도 전에 공격자들은 이미
00:00:54시스템을 타겟팅하여 활발하게 취약점을 악용하고 있었다는 뜻입니다.
00:00:57말할 것도 없이, AI 코딩은 양측 모두에게 상황을 더 유리하게 만들었습니다.
00:01:01이른바 “바이브 코딩(vibe coding)”이 부상하면서, AI 코딩 에이전트가 적용한
00:01:07허술한 보안 조치로 인해 새로운 시스템들이 미처 발견되지 못한 취약점에 노출되고 있습니다.
00:01:11공격자 입장에서도 시스템의 치명적인 문제를 스캔하고,
00:01:17새로 발견된 취약점을 즉시 공격할 수 있는 스크립트를 생성하는 것이 그 어느 때보다 쉽고 빨라졌습니다.
00:01:22하지만 공격 유형을 살펴보면 놀랍게도 교차 사이트 스크립팅(XSS)과
00:01:27SQL 인젝션이 여전히 가장 인기 있는 공격 경로 중 하나입니다.
00:01:32따라서 앱이나 시스템에 적절한 입력값 검증(sanitization)을 구현하는 것이
00:01:38자신을 보호하기 위해 할 수 있는 가장 쉬운 방법 중 하나입니다.
00:01:40특정 웹 프레임워크에 대해 이야기하자면, 워드프레스는 여전히 새로운 CVE가 가장 많이
00:01:45발견되는 소스로, 워드프레스에서만 약 7,000개의 새로운 취약점이 발견되었습니다.
00:01:52그래서 저는 워드프레스 사용을 지양하시라고 권고하고 싶습니다.
00:01:55하지만 다음 프로젝트에 워드프레스를 꼭 사용해야 한다면, 플러그인을
00:02:00최대한 적게 사용하세요. 워드프레스 관련 버그의 대다수인 90%는 제3자
00:02:07플러그인에서 발생하며, 6%는 테마, 단 4%만이 워드프레스 코어 소프트웨어 자체에서 발생하기 때문입니다.
00:02:15즉, 워드프레스 코어는 비교적 안전하지만, 플러그인은 관리가 제대로 되지 않아
00:02:21문제가 방치되는 경우가 많습니다.
00:02:23여기서 중요한 질문이 하나 생깁니다.
00:02:25그렇다면 어떤 언어와 프레임워크가 상대적으로 안전할까요?
00:02:28데이터에 따르면 Rust, Java, Go, C#, Python, Swift와 같은
00:02:36메모리 안전 언어들이 C, C++, 어셈블리와 같은 메모리 미안전 언어보다 더 안전한 것으로 간주됩니다.
00:02:43메모리 미안전 언어들은 직접적인 포인터 조작을 허용하기 때문입니다.
00:02:47조사에 따르면 마이크로소프트나 구글과 같은 대규모 코드 베이스에서 발생하는
00:02:52심각한 보안 취약점의 약 70%가 메모리 안전 문제로 인해 발생합니다.
00:02:592025년의 주요 변화 중 하나는 CISA, NSA, 백악관과 같은 기관들이
00:03:06개발자들에게 메모리 미안전 언어에서 벗어날 것을 강력하게 요구하고 있다는 점입니다.
00:03:11취약점 위험을 평가할 때 코드 밀도를 살펴보는 것도 가치가 있습니다.
00:03:16구글의 2025년 데이터에 따르면, Rust 코드의 취약점 밀도는 코드 100만 줄당 0.2개인 반면,
00:03:26기존 C나 C++ 코드는 100만 줄당 거의 1,000개에 육박합니다.
00:03:32이는 당연한 결과이기도 합니다. C와 C++는 70년대부터 존재해 왔으며
00:03:37여전히 패치되지 않은 취약점을 가질 수 있는 오래된 코드가 아주 많기 때문입니다.
00:03:42따라서 다음 프로젝트에서 C를 쓸지 Rust를 쓸지 고민 중이시라면,
00:03:47보안 측면만 보더라도 이 사실 하나만으로도 Rust 쪽으로 마음이 기울기에 충분할 것입니다.
00:03:52운영체제를 살펴보면, 단연코 가장 취약한 운영체제는
00:03:58리눅스 커널입니다.
00:03:59이는 그리 놀라운 일이 아닙니다. 아시다시피 리눅스 커널은 어디에나 존재하기 때문입니다.
00:04:04서버, 안드로이드, IoT 기기 등을 구동하는 핵심이죠.
00:04:09그만큼 수많은 연구자로부터 철저한 조사를 받아왔고,
00:04:12결과적으로 많은 버그가 발견되고 공개되었습니다.
00:04:15게다가 오픈 소스 프로젝트는 잠재적인 공격자들의 관심을 더 많이 끌 수밖에 없습니다.
00:04:20이제 2026년을 맞이하며 우리가 해야 할 질문은, 다가올 위협으로부터
00:04:25시스템을 보호하기 위해 어떻게 더 잘 준비할 수 있을까 하는 것입니다.
00:04:28현실은 이제 더 이상 인간 해커들하고만 싸우는 것이 아닙니다.
00:04:32우리는 기계 대 기계의 전쟁 시대로 접어들고 있습니다.
00:04:36따라서 올해 집중해야 할 보안의 세 가지 핵심 기둥을 소개합니다.
00:04:40첫째, 메모리 안전을 최우선으로 하세요.
00:04:43모든 신규 개발에는 Rust, Go, Swift 같은 메모리 안전 언어를 우선적으로 사용하시기 바랍니다.
00:04:49C와 C++에서 벗어나는 것이 취약점 밀도를 줄이는 가장 효과적인 방법입니다.
00:04:55둘째, AI 기반 모니터링을 구현하세요.
00:04:58공격자들이 이제 AI를 사용해 취약점 공개 후 24시간 이내에 공격을 감행하므로,
00:05:05사람이 수동으로 감시하는 것만으로는 더 이상 충분하지 않습니다.
00:05:06행동 분석을 통해 실시간으로 이상 징후를 식별하는
00:05:12자동 탐지 시스템을 구축해야 합니다.
00:05:13이러한 탐지에 아주 적합한 모니터링 도구가 바로 'Better Stack'입니다.
00:05:17Better Stack에는 AI 네이티브 에러 추적 기능이 내장되어 있으며,
00:05:24시스템에 문제가 생길 때마다 언제든 알려주는 AI SRE 기능도 포함되어 있습니다.
00:05:28셋째, 공급망 노출 면적을 최소화하세요.
00:05:32이 교훈은 모든 현대적 개발 방식에 적용됩니다.
00:05:35종속성을 줄이세요.
00:05:37대부분의 취약점은 제3자 플러그인과 라이브러리에서 비롯됩니다.
00:05:41이는 작년에 발생한 치명적인 'React to Shell' 취약점 사례에서도 명확히 드러났는데,
00:05:46이에 대해서는 James가 훌륭하게 분석한 영상이 있으니 여기서 확인해 보세요.
00:05:49마지막으로 네 번째로 하셔야 할 일은 저희 채널을 구독하여
00:05:54새로운 주요 취약점에 대한 업데이트를 놓치지 않는 것입니다.
00:05:58저희 Better Stack 채널은 최신 보안 동향뿐만 아니라
00:06:03새롭게 발견되는 취약점 소식을 발 빠르게 전해드리기 위해 최선을 다하고 있습니다.
00:06:06이번 영상이 도움이 되셨기를 바라며, 유익하셨다면
00:06:10영상 아래의 '좋아요' 버튼을 꼭 눌러주세요.
00:06:13지금까지 Better Stack의 Andres였습니다. 다음 영상에서 뵙겠습니다.