Home > 전체기사

인텔, 취약점 관리 현황 발표하며 “내외부 전문가 모두 필요”

  |  입력 : 2021-03-05 11:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인텔이 한 해 동안 취약점의 거의 대부분을 능동적 투자를 통해 해커들보다 먼저 알아냈다고 한다. 신문 기사의 사고 소식이나 보안 전문가의 섣부른 트윗을 통해, 혹은 유관 기관의 경고를 통해 취약점을 ‘강제로’ 알게 되는 때에, 이는 자랑할 만한 성과다.

[보안뉴스 문가용 기자] 인텔이 오늘 취약점과 관련된 보고서를 발표했다. 지난 한 해 동안 인텔 제품과 솔루션에서 나온 취약점들 중 92%가 인텔의 투자를 통해 발굴된 것이라는 내용이다. 내부 취약점 연구 팀 운영을 강화하고, 버그바운티를 통해 외부 전문가들의 참여를 독려한 것이 인텔이 말하는 ‘취약점에 대한 투자’다.

[이미지 = utoimage]


2020년에 인텔 제품에서 발견된 취약점은 총 231개다. 이중 47%인 109개는 인텔 내부 직원들이 찾아냈고, 45%인 105개는 버그바운티 프로그램을 통해 발견했다고 한다. 취약점을 능동적으로 찾아내는 데에 있어 투자를 아끼지 않았다는 것이다. 그러나 정확히 얼마나 투자했는지는 상세히 밝히지 않고 있다. 버그바운티에 한 해 평균 80만 달러를 쓴다는 것이 인텔이 공유한 내용의 전부다.

인텔의 보안 소통 부문 책임자인 제리 브라이언트(Jerry Bryant)는 “인텔은 앞으로도 이러한 취약점 발굴 노력을 이어갈 것”이라고 강조하며 “보안이 1회성 투자로 해결할 수 없는 특성을 가지고 있다는 것을 잘 이해하고 있다”고 설명했다. “취약점을 보다 넓은 관점에서 바라보고 관리해야 한다는 사고방식이 기업 전반에 젖어들어야 한다는 것을 이러한 투자를 통해 더욱 절감하게 되었습니다.”

인텔의 이번 발표에서 강조되는 건 버그바운티의 높은 효율성이다. 5년 전만 해도 버그바운티의 실효성이 논제였는데, 여러 조직들에서 버그바운티를 도입해 시행하기 시작하면서 이제 아무도 버그바운티가 손해라고 생각하지 않는다. 취약점 발굴 외에, 외부 전문가와 연을 맺는다는 것이 얼마나 높은 가치를 가지고 있는지도 대부분 이해하고 있다.

인텔이 버그바운티를 도입한 건 2018년부터다. 그 후 버그바운티를 통해 찾아내는 취약점이 내부 연구를 통해 찾아내는 취약점보다 많을 정도로 괜찮은 성과를 거두고 있다. 그렇다고 내부 인력을 전부 버그바운티 프로그램으로 대체할 수는 없다고 인텔은 지적한다. 외부 전문가들이 집중하는 분야와, 내부 전문가들이 장점을 발휘하는 분야가 다르기 때문이다.

“외부 전문가들은 대부분 소프트웨어 드라이버를 파고듭니다. 반면 내부 팀원들은 자신의 기업이 생산 차질을 전혀 빚지 않는 선에서 펌웨어와 하드웨어라는 복잡한 요소들을 연구하는 편입니다. 실제 작년에 발견된 펌웨어 취약점의 69%는 내부에서 찾아냈습니다. 하드웨어 취약점의 57% 역시 내부에서 발견했습니다.”

“외부 전문가들이 찾아낸 취약점은 소프트웨어 유틸리티, 소프트웨어의 그래픽 드라이버, 네트워크 드라이버, 블루투스 요소 등에서 나온 것들입니다. 중요한 문제들이며 반드시 해결되어야 하는 취약점들임에는 분명하지만 펌웨어가 탄탄해야 시장에서 소비자들과 신뢰를 구축할 수 있습니다. 내부 전문가들의 노력이 외부 전문가들로만 대체되기는 힘들다는 뜻입니다.” 인텔의 설명이다.

내부 요원도 아니고, 버그바운티 프로그램에 참여한 사람도 아니면서 취약점을 인텔에 제보한 경우도 있었다. 이렇게 찾아낸 취약점은 2020년 17개였다. 인텔의 파트너사, 고객사, 특수한 입장에 있어서 상금을 받을 수 없는 사람 혹은 단체가 이쪽으로 분류됐다.

취약점이 가장 많이 발견된 건 드라이버 등과 같은 소프트웨어 구성 요소들에서였다(93개). 펌웨어에서 발견된 취약점은 66개, 펌웨어와 소프트웨어 모두의 취약점으로 분류된 것은 58개였다. 하드웨어에서 발견된 취약점은 14개였다. 하드웨어 취약점들 중 스펙터(Spectre)와 멜트다운(Meltdown)처럼 추측 실행과 관련된 것들은 패치가 매우 어려운 것으로 현재까지 알려져 있고, 인텔도 보고서를 통해 이를 인정했다.

그래픽 요소들에서 발견된 취약점들 중 절반 가까이가 고위험군으로 분류됐다. 하지만 가장 위험한 것으로 평가된 취약점은 CSME(Converged Security and Management Engine)에서 나왔다. 2020년 한 해 동안 인텔 제품과 서비스에서 치명적인 위험도의 취약점은 총 6개, 고위험군은 총 80개, 중간급은 총 131개, 저위험군은 총 14개 발견됐다.

인텔은 보안 투자에 대한 결과물을 이렇게 보고서를 통해 대대적으로 공개했지만 투자의 규모에 대해서는 언급하지 않았다. 목표액조차 이번 보고서에서는 명시되지 않고 있다. “취약점 투자를 ‘액수’로 따지는 것이 적절하지 않다고 저희는 보고 있습니다. 취약점 관리라는 것을 회사의 경쟁력 혹은 능력으로 보고 있고, 그런 관점에서 육성하는 중인 것이죠. 특정 금액을 처음부터 정해놓고 그 안에서만 키워낼 만한 성질의 것이 아닙니다.” 브라이언트의 설명이다.

3줄 요약
1. 인텔, 취약점 관리 위해 열심히 투자한 성과를 보고서로 발표함.
2. 내부 전문가들은 주로 펌웨어 쪽에, 외부 전문가들은 소프트웨어와 드라이버 쪽에 관심 많음.
3. 투자 규모는 공개하지 않고, “취약점 관리라는 기업의 능력은 액수로 표현할 만한 것이 아니다.”

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비