세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
소프트웨어 취약점, 2017년 또 다시 기록 갱신
  |  입력 : 2018-02-21 14:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
패치에 대한 고민 진지하게 시작해보는 것이 2018년의 과제
개발사부터 사용자, 보안 담당자까지 다 따로따로...효율 좋을 수 없어


[이미지 = iclickart]

[보안뉴스 문가용 기자] 2017년은 보안 업계의 새로운 기록이 갱신된 해였다. 소프트웨어 취약점이다. 2016년에 비해 31%나 많은 취약점이 발견됐다고 한다. 보안 업체 리스크베이스드 시큐리티(RiskBased Security)에 의하면 작년에 발견된 취약점은 총 20832개로, 40%가 CVSS 점수 7.0 이상을 받았을 정도로 심각한 것이었다.

“2017년에도 취약점을 추적하고 패치를 계속해서 발표해야 한다는 압박감에서 기업들은 벗어나지 못했습니다. 오히려 그러한 부담감은 점점 더 늘어나는 추세입니다.” 리스크베이스드 시큐리티의 부회장인 브라이언 마틴(Brian Martin)의 설명이다. “디지털 자산을 보호하는 일의 난이도는 점점 높아지고 있고, 그에 따라 더 많은 사업체들과 조직들이 영향을 받고 있습니다. 보안의 영향력이 높아지고는 있는데, 결과는 신통치 않다고 볼 수도 있습니다.”

시장 조사 전문 업체인 포레스터(Forrester)의 분석가인 조시 젤로니스(Josh Zelonis)는 “보안 및 위기 관리라는 분야에 있어 현존하는 취약점 관리 시스템의 비효율적인 특징이 가장 큰 문젯거리 중 하나”라고 지적한다. “그러므로 2018년의 숙제”라고도 표현한다. 포레스터는 최근 2017년 글로벌 보안 연구조사를 통해 2017년 한 해 동안 발생한 데이터 유출 사고의 41%가 소프트웨어 취약점으로부터 출발했다고 발표한 바 있다.

젤로니스는 “작년에 전 세계는 워너크라이와 낫페트야라는 유례없는 보안 사건을 겪었다”며 “당시 패치의 중요성이 얼마나 부각됐는지 생각해보라”고 말한다. “당시 이미 패치가 나와 있던 취약점을 통해 사건이 이뤄졌어요. 조직들이 패치 작업을 보다 진지하게 받아들이고, 보다 빠르게 적용시킬 필요가 있습니다. 사태가 어느 정도 진정된 후에도 비슷한 취약점 때문에 피해를 입은 사례들도 있었죠.”

워너크라이는 핵심 패치가 발표된 후 60일이 지나서 발생했으며, 두 달여 간의 패치 기간이 주어졌음에도 전 세계적으로 30만 대의 시스템을 감염시켰다. “패치를 빨리 했으면 괜찮았을 것”이라는 후회 섞인 교훈이 여기 저기 나오고 30일이 채 지나기도 전에 본질적으로 똑같은 낫페트야 사건이 터졌다. 문제를 파악하고 후회까지 했지만 정작 행동을 하지 않은 탓에 머크앤코(Merck & Co)와 같은 제약 회사는 2억 7천만 달러를 잃어야만 했다고 젤로니스는 설명한다.

보안 업체 트립와이어(Tripwire)의 전략 책임자인 팀 얼린(Tim Erlin)은 “취약점이 발견됐다면 최대한 빨리 적용하는 걸 목표로 삼아야 할 것”이라고 말한다. “취약점이 공개된 시간과 패치가 되는 시간 사이의 그 때가 가장 위험한 기간입니다. 패치를 미룬다는 건 위험한 시간을 자발적으로 연장시킨다는 뜻이 됩니다. 패치를 하지 않는다는 건, 해킹해달라고 고사를 지내는 것과 같고요.”

지난 달 트립와이어는 설문을 통하여 기업의 약 1/4이 알려진 취약점을 패치하는 데에 한 달 이상의 기간을 소요한다는 사실을 알아냈다고 한다. 게다가 같은 설문에서 51%의 기업들이 “취약점이 존재하는지, 패치를 적용해야 하는지 여부조차 판단하지 못하는 상태”라고 답하기도 했다. 어떤 소프트웨어에서 취약점이 발견됐고, 개발사가 패치를 발표했다는 소식이 그냥 남의 소식이고 흘려듣는 이야기일 뿐이라는 것이다. “그러니 빨리 패치 할 수 있을 리가 없죠.”

취약점 패치에 대한 인식이 아직도 느리게만 개선되고 있다는 현재 상황 속에서 “취약점의 절대량이 늘어나고 있다”는 소식은 중대할 수밖에 없다. 또한 “패치 시스템의 효율성이 낮다”는 문제 역시 단순히 사용자가 빨리 적용하느냐 마느냐를 지적하는 게 아니라는 것도 알 수 있다. 리스크베이스드 시큐리티는 “취약점에 대한 가시성 확보 문제를 해결해야 한다”고 설명한다. “새로운 취약점 정보가 필요한 사람에게 전달되도록 해야 합니다. 내가 사용하는 소프트웨어 이야기라는 걸 정확히 인지시켜야 한다는 것이죠.”

또 다른 보안 업체 F5 네트웍스(F5 Networks)의 CISO인 마이크 콘버티노(Mike Convertino)는 “소프트웨어 만드는 사람 따로, 사용하는 사람 따로, 취약점 발견하는 사람도 따로, 그걸 적용하는 사람도 따로라는 게 가장 안타까운 현실”이라고 지적한다. “다 따로따로 노는데 효율이 좋을 수가 없죠.”

또한 패치 작업에 대한 자원 배치가 너무 인색하다는 것도 그는 말한다. “패치라는 걸 지나치게 간단한 작업으로 생각하기 때문에 조직 차원에서는 무시되는 겁니다. 따로 시간을 내지도 않고, 사람을 배치시키지도 않아요. 직원들이나 보안 담당자 입장에서는 개인 시간과 자원을 희생해야 하는데, 동기부여가 될 리가 없죠. 지금 이런 분위기가 지속된다면 패치 시스템의 효율을 높이기는 힘들 겁니다.”

리스크베이스드 시큐리티의 보고서는 여기(https://pages.riskbasedsecurity.com/2017-ye-vulnerability-quickview-report), 포레스터의 보고서는 여기(https://www.forrester.com/report/Top+Cybersecurity+Threats+In+2018/-/E-RES137206), 트립와이어의 보고서는 여기(https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/survey-security-pros-aim-patch-vulnerabilities-within-30-days/)서 열람이 가능하다.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)