CVE 취약점 번호 부여 권한 받은 래피드7, 그 의미는?

CVE 취약점 데이터베이스 관리해온 MITRE, 래피드7에 도움 요청
한국에서는 CVE 인지도 낮아...취약점 관리는 보안의 기본

[보안뉴스 문가용 기자] 모든 사람들에게 약점과 단점이 있듯이 모든 소프트웨어와 시스템도 그러한데, 이를 정보보안에서는 취약점이라고 부른다. 온라인에서 보내는 시간이 늘어나고, 사물인터넷과 같은 기술들이 발전하기 시작하면서, 이런 취약점들은 특별 관리 대상이 되었고, MITRE라고 하는 비영리 단체가 CVE 번호를 붙여가며 각종 취약점들을 모은 데이터베이스를 꾸리고 있다.

CVE는 다수의 취약점 관리 시스템 중 하나다. MITRE가 넘버링 권한을 가지고 있고, 이 권한(취약점에 CVE 번호를 매길 수 있는 권한)이 부여된 기관이나 단체를 CNA(CVE Numbering Authority)라고 부른다. CVE 관리 시스템에서 가장 최상위에 위치한 기관은 당연히 MITRE다. MS나 Adobe와 같은 대형 소프트웨어 업체들은 자사의 제품에서 취약점을 발견했을 때 CNA에 요청해 CVE 번호를 부여받을 수 있다.

그런데 보안 전문업체인 래피드7(Rapid7)이 최근 CNA가 되었다. 자사의 솔루션 및 애플리케이션에서 발견된 취약점은 물론 타사의 제품에서 나온 취약점에도 CVE 번호를 부여할 수 있게 되었다는 뜻으로, 취약점 관리 분야에서는 굉장히 중요한 자격을 취득했다는 것. 이는 래피드7이 취약점 관리에 특화된 보안 업체이고, 해외에서는 여러 보안 업체 및 소프트웨어 제조사들과 협업하여 취약점을 찾아내는 일을 적극적으로 진행했기 때문이라고 시큐리티위크(Security Week)는 보도하고 있다.

게다가 MITRE은 CVE 공개 및 관리 업무를 신속하게 처리하고 있지 못하다는 비판도 받아왔다. 그래서 올 3월 새로운 CVE 포맷을 런칭하겠다고 발표했으나, 아직도 실현되고 있지 못하는 실정이다. 비영리 단체라 인력 및 자원을 동원하는 데에 한계가 있었던 것. 고심 끝에 래피드7의 지원을 받아 CVE 관리를 더 철저히 하겠다는 MITRE의 의지로 보인다.

래피드7 한국 지사의 문현욱 부장은 “취약점 관리 분야에 있어서는 굉장히 중요한 소식”이라고 이번 CNA 선정에 대해 설명한다. “그러나 CVE라는 취약점 관리 시스템이 한국에서는 그리 높은 인지도를 가지고 있지 못합니다. 그래서 이번 선정이 한국 시장에서 유의미하게 작용할 수 있을지는 더 두고 봐야 할 일입니다.”

한국 시장에서 CVE 시스템의 인지도가 높지 않은 것에는 두 가지 이유가 있다. 하나는 CVE가 공식적인 글로벌 표준이 아직 아니라는 것이고, 다른 하나는 한국 정보보안의 기본 방향이 CVE를 크게 필요로 하지 않는다는 것이다. 문현욱 부장은 “현재 한국의 정보보안은 주로 1) 널리 공개가 된 2) 외부 프로그램의 취약점 대비를 위주로 한 ‘선제 방어형’ 구조를 가지고 있습니다. 평소부터 자체 네트워크와 시스템의 취약점을 찾아내고, 찾아낸 내용을 통합적으로 관리해 사건이 실제 일어났을 때 빠른 대처를 하는 세계적인 흐름과는 사뭇 다릅니다.”

“최근 사이버 범죄자들이 범행을 저지를 때, 유명한 소프트웨어의 유명한 취약점만 노리는 건 아니”라고 설명하는 문현욱 부장은 “CVE와 같은 취약점 관리 시스템을 보유하고 있다는 건 보안의 기본기가 탄탄하게 마련되었다는 뜻”이라고 강조한다. 래피드7의 CEO인 코리 토마스(Corey Thomas)는 “취약점을 공개하고 관리하는 건 보안 커뮤니티 전체를 강화하는 것에도 그 목적을 가지고 있지만, 일반 사용자들을 교육시키는 데에 있어서도 중요하다”고 설명했다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)