[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¹Ì±¹ÀÇ »çÀ̹ö º¸¾È Àü´ã ±â±¸ÀÎ CISA°¡ ¿À´Ã 2021³â Ãë¾àÁ¡ °ü¸® ½Ã½ºÅÛ Áß ÇϳªÀÎ CWE¸¦ ±âÁØÀ¸·Î ÇÑ ¡®°¡Àå Áß¿äÇÑ Çϵå¿þ¾î Ãë¾àÁ¡ ¸ñ·Ï¡¯À» ¹ßÇ¥Çß´Ù. ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡ ¸ñ·ÏÀº ¿©·¯ ÇüÅ·Π¹ßÇ¥µÇÁö¸¸ Çϵå¿þ¾î Ãë¾àÁ¡ Áß Áß¿äÇÑ °ÍµéÀÌ ¼±º°µÇ¾î ¹ßÇ¥µÈ °ÍÀº À̹øÀÌ Ã³À½ÀÌ´Ù.
[À̹ÌÁö = utoimage]
À̹ø ¸ñ·Ï¿¡´Â ¡®½Ã½ºÅÛ ¿Â Ĩ(System-on-a-Chip, SoC)¡¯ÀÇ Ãë¾àÁ¡, ·Ïºø(Lock Bit) ¹®Á¦, ¾÷µ¥ÀÌÆ® ¾È µÇ´Â Æß¿þ¾î, ¹°¸®Àû ºÎä³Î Ãë¾àÁ¡ µîÀÌ Æ÷ÇԵǾî ÀÖ´Ù. CWE °ü¸® »çÀÌÆ®¿¡´Â ¡°À̹ø¿¡ ¹ßÇ¥µÈ ¸ñ·ÏÀ» °¡Áö°í º¸¾È ºÐ¼®°¡µé°ú Å×½ºÆ® ¿£Áö´Ï¾îµéÀº Á» ´õ °èȹÀûÀ¸·Î º¸¾È Æò°¡¸¦ ÁøÇàÇÒ ¼ö ÀÖÀ» °ÍÀ¸·Î ±â´ëÇÑ´Ù¡±´Â ¼³¸íÀÌ ³ª¿Í ÀÖ´Ù. ¶ÇÇÑ Çϵå¿þ¾î ¼ÒºñÀÚµéÀ̶ó¸é ¡°ÀÌ ¸ñ·ÏÀ» »ç¿ëÇØ º¸´Ù ¾ÈÀüÇÑ Á¦Ç°À» °ø±ÞÀÚ¿¡°Ô ¿äûÇÒ ¼öµµ ÀÖ´Ù¡±°í ÀûÇô ÀÖ´Ù.
ÇÑÆí CIOµé°ú ÀÓ¿øÁøµéÀ̶ó¸é À̹ø¿¡ ¹ßÇ¥µÈ ¸ñ·ÏÀ» °¡Áö°í ¡°Àü»çÀûÀΠȤÀº Àü Á¶Á÷ÀûÀÎ Çϵå¿þ¾î °È µå¶óÀ̺긦 º¸´Ù ¿ëÀÌÇÏ°í Á¤È®ÇÏ°Ô ÁøÇàÇÒ ¼ö ÀÖÀ» °Í¡±À̶ó°í ÇÑ´Ù. ¾îµð¿¡ º¸¾È µµ±¸¿Í ÀÚ¿øÀ» ÅõÀÚÇÏ°í, ¾îµð ºÎºÐÀ» ÀÚµ¿È Çϸç, ¾î´À Ãë¾àÁ¡µéÀ» ¿ì¼±ÀûÀ¸·Î ÇØ°áÇØ¾ß ÇÒÁö º¸´Ù °´°üÀûÀ¸·Î °áÁ¤ÇÏ´Â µ¥ µµ¿òÀÌ µÇ±â ¶§¹®ÀÌ´Ù.
Á¤È®ÇÑ ¸ñ·Ï°ú ¼³¸íÀº ÀÌ ÆäÀÌÁö(https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html)¿¡¼ ¿¶÷ÀÌ °¡´ÉÇÏ´Ù.
1) CWE-1189 : SoC °øÀ¯ ÀÚ¿øÀÇ ºÎÀûÀýÇÑ °í¸³
2) CWE-1191 : ¿ÂĨ µð¹ö±×¿Í ½ÇÇè ÀÎÅÍÆäÀ̽ºÀÇ ºÎÀûÀýÇÑ Á¢±Ù Á¦¾î
3) CWE-1231 : ·Ïºø ÀÓÀÇ ¼öÁ¤ÀÇ ºÎÀûÀýÇÑ ¹æÁö
4) CWE-1233 : ·Ïºø º¸È£ ÀåÄ¡°¡ ¾ø´Â º¸¾È Çϵå¿þ¾î ¹× Á¦¾î ÀåÄ¡
5) CWE-1240 : ·Î¿ì·¹º§ ¾ÏÈ£È ¾Ë°í¸®ÁòÀÇ È°¿ë
6) CWE-1244 : ºÒ¾ÈÀüÇÑ µð¹ö±× Á¢±Ù ¼öÀ§¿¡ ³ëÃâµÈ ³»ºÎ ÀÚ»ê
7) CWE-1256 : Çϵå¿þ¾î ±â´É¿¡ ´ëÇÑ ¼ÒÇÁÆ®¿þ¾î ÀÎÅÍÆäÀ̽ºÀÇ ºÎÀûÀýÇÑ Á¦ÇÑ ±â´É
8) CWE-1260 : º¸È£µÈ ¸Þ¸ð¸® ¿µ¿ªÀÇ ºÎÀûÀýÇÑ Ã³¸®
9) CWE-1272 : µð¹ö±×¿Í Àü·Â »óÅ º¯°æ Àü ¹Î°¨ Á¤º¸ À¯Áö
10) CWE-1274 : ºÎÆ® Äڵ带 ³»Æ÷ÇÑ Èֹ߼º ±â¾ïÀåÄ¡ÀÇ ºÎÀûÀýÇÑ Á¢±Ù Á¦¾î
11) CWE-1277 : ¾÷µ¥ÀÌÆ®°¡ ºÒ°¡´ÉÇÑ Æß¿þ¾î
12) CWE-1300 : ¹°¸®Àû ºÎä³Î °ø°Ý¿¡ ´ëÇÑ ºÎÀûÀýÇÑ º¸È£
ÀÌ ¸ñ·ÏÀº Áß¿äµµ³ª Á¡¼öÀÇ ¼ø¼´ë·Î ÀÛ¼ºµÈ °ÍÀÌ ¾Æ´Ï´Ù.
À̹ø ¸ñ·Ï ÀÛ¼ºÀ» À§ÇØ Çϵå¿þ¾î ¼³°è, »ý»ê, ¿¬±¸, º¸¾È ¿¬±¸¸¦ Àü¹®À¸·Î ÇÏ°í ÀÖ´Â ¾÷°è °ü°èÀÚµé°ú ÇÐÀÚµé°ú Á¤ºÎ ±â°üÀÌ Çù·ÂÇß´Ù°í ÇÑ´Ù. CISA´Â óÀ½À¸·Î ¡®Çϵå¿þ¾î Ãë¾àÁ¡ ¸ñ·Ï¡¯À̶ó´Â °ÍÀ» ¹ßÇ¥ÇÑ ¸ñÀû¿¡ ´ëÇØ ¡°¼ÒÇÁÆ®¿þ¾î¸¸ÀÌ ¾Æ´Ï¶ó Çϵå¿þ¾îµµ Ãë¾àÁ¡ÀÌ ÀÖÀ¸¸ç °ø°ÝÀÚµéÀÌ À̸¦ Àû±Ø ¾Ç¿ëÇÑ´Ù´Â °ÍÀ» ¾Ë¸®´Â °Í¡±À̶ó°í ¼³¸íÇß´Ù. ¶ÇÇÑ Çϵå¿þ¾î ¼³°è»ç¿Í Á¦Á¶»çµéÀÌ º¸´Ù Æ°Æ°ÇÑ Á¦Ç°À» ¸¸µéµµ·Ï ÇÏ´Â °Íµµ ¹Ýµå½Ã ¼ºÃëµÇ¾î¾ß ÇÒ ¸ñÀûÀ̶ó°í ¹àÇû´Ù.
CWE´Â CVE¿Í ºñ½ÁÇÑ Ãë¾àÁ¡ °ü¸® ½Ã½ºÅÛÀ¸·Î ¹Ì±¹ ±¹Åä¾Èº¸ºÎÀÇ »çÀ̹ö º¸¾È Àü´ã ±â°üÀÎ CISA¿Í ¸¶ÀÌÅÍ ÄÚÆÛ·¹À̼Ç(MITRE Corporation)ÀÌ °ü¸®ÇÑ´Ù. CVEÀÇ °æ¿ì ¹Ì±¹ Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)°¡ NVD¶ó´Â Ãë¾àÁ¡ °ü¸® µ¥ÀÌÅͺ£À̽º¸¦ ÅëÇØ °ü¸®ÇÑ´Ù.
3ÁÙ ¿ä¾à
1. ¹Ì±¹ CISA, °¡Àå Áß¿äÇÑ Çϵå¿þ¾î Ãë¾àÁ¡ ¸ñ·Ï ¹ßÇ¥.
2. ÁÖ¿ä Çϵå¿þ¾î Ãë¾àÁ¡µéÀÌ Á¤¸®µÇ¾î ´ë´ëÀûÀ¸·Î ¹ßÇ¥µÈ °Ç óÀ½ ÀÖ´Â ÀÏ.
3. Çϵå¿þ¾î Ãë¾àÁ¡¿¡ ´ëÇÑ ÀÎ½Ä Á¦°íµµ ÇÊ¿äÇÑ »óȲÀ̱⠶§¹®¿¡ ÁøÇàÇÑ ÇÁ·ÎÁ§Æ®.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>