CISA, 사상 첫 ‘주요 하드웨어 취약점 관리 목록’ 발표

우리가 잘 알고 있는 취약점은 거의 대부분 소프트웨어 취약점들이다. 하지만 하드웨어들에도 취약점이라는 것이 있다. 보안 강화에 열을 올리고 있는 미국 정부가 이 부분을 공략하기 위해 주요 취약점 목록을 발표했다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 기구인 CISA가 오늘 2021년 취약점 관리 시스템 중 하나인 CWE를 기준으로 한 ‘가장 중요한 하드웨어 취약점 목록’을 발표했다. 소프트웨어 취약점 목록은 여러 형태로 발표되지만 하드웨어 취약점 중 중요한 것들이 선별되어 발표된 것은 이번이 처음이다.

[이미지 = utoimage]

이번 목록에는 ‘시스템 온 칩(System-on-a-Chip, SoC)’의 취약점, 록빗(Lock Bit) 문제, 업데이트 안 되는 펌웨어, 물리적 부채널 취약점 등이 포함되어 있다. CWE 관리 사이트에는 “이번에 발표된 목록을 가지고 보안 분석가들과 테스트 엔지니어들은 좀 더 계획적으로 보안 평가를 진행할 수 있을 것으로 기대한다”는 설명이 나와 있다. 또한 하드웨어 소비자들이라면 “이 목록을 사용해 보다 안전한 제품을 공급자에게 요청할 수도 있다”고 적혀 있다.

한편 CIO들과 임원진들이라면 이번에 발표된 목록을 가지고 “전사적인 혹은 전 조직적인 하드웨어 강화 드라이브를 보다 용이하고 정확하게 진행할 수 있을 것”이라고 한다. 어디에 보안 도구와 자원을 투자하고, 어디 부분을 자동화 하며, 어느 취약점들을 우선적으로 해결해야 할지 보다 객관적으로 결정하는 데 도움이 되기 때문이다.

정확한 목록과 설명은 이 페이지(https://cwe.mitre.org/scoring/lists/2021_CWE_MIHW.html)에서 열람이 가능하다.
1) CWE-1189 : SoC 공유 자원의 부적절한 고립
2) CWE-1191 : 온칩 디버그와 실험 인터페이스의 부적절한 접근 제어
3) CWE-1231 : 록빗 임의 수정의 부적절한 방지
4) CWE-1233 : 록빗 보호 장치가 없는 보안 하드웨어 및 제어 장치
5) CWE-1240 : 로우레벨 암호화 알고리즘의 활용
6) CWE-1244 : 불안전한 디버그 접근 수위에 노출된 내부 자산
7) CWE-1256 : 하드웨어 기능에 대한 소프트웨어 인터페이스의 부적절한 제한 기능
8) CWE-1260 : 보호된 메모리 영역의 부적절한 처리
9) CWE-1272 : 디버그와 전력 상태 변경 전 민감 정보 유지
10) CWE-1274 : 부트 코드를 내포한 휘발성 기억장치의 부적절한 접근 제어
11) CWE-1277 : 업데이트가 불가능한 펌웨어
12) CWE-1300 : 물리적 부채널 공격에 대한 부적절한 보호
이 목록은 중요도나 점수의 순서대로 작성된 것이 아니다.

이번 목록 작성을 위해 하드웨어 설계, 생산, 연구, 보안 연구를 전문으로 하고 있는 업계 관계자들과 학자들과 정부 기관이 협력했다고 한다. CISA는 처음으로 ‘하드웨어 취약점 목록’이라는 것을 발표한 목적에 대해 “소프트웨어만이 아니라 하드웨어도 취약점이 있으며 공격자들이 이를 적극 악용한다는 것을 알리는 것”이라고 설명했다. 또한 하드웨어 설계사와 제조사들이 보다 튼튼한 제품을 만들도록 하는 것도 반드시 성취되어야 할 목적이라고 밝혔다.

CWE는 CVE와 비슷한 취약점 관리 시스템으로 미국 국토안보부의 사이버 보안 전담 기관인 CISA와 마이터 코퍼레이션(MITRE Corporation)이 관리한다. CVE의 경우 미국 표준기술연구소(NIST)가 NVD라는 취약점 관리 데이터베이스를 통해 관리한다.

3줄 요약
1. 미국 CISA, 가장 중요한 하드웨어 취약점 목록 발표.
2. 주요 하드웨어 취약점들이 정리되어 대대적으로 발표된 건 처음 있는 일.
3. 하드웨어 취약점에 대한 인식 제고도 필요한 상황이기 때문에 진행한 프로젝트.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)