오픈소스 취약점의 3%만이 해커들의 공격을 받는다?

획기적인 소식이 나왔다. 오픈소스의 3%만 보호해도 충분하다는 내용이다. 이것이 사실이라면 보안 업계의 부담이 상당히 덜어진다. 하지만 경계의 목소리도 같이 나오고 있다.

[보안뉴스 문가용 기자] 소프트웨어 공급망 위험과 보안이 대두되고 있는 때라 오픈소스 취약점 관리에 대한 부담감 역시 커져가고 있다. 그런데 오늘 한 보고서를 통해 새로운 사실이 밝혀졌다. 공격자가 실제로 악용하는 오픈소스 취약점은 전체의 3%에 불과하다는 것이다. 그렇다는 건 보안 담당자들이 실제 익스플로잇 가능한 취약점에 초점을 맞춰 대비를 할 경우 업무 부담과 보안 모두에서 큰 효과를 거둘 수 있을 거라는 뜻이 된다.

[이미지 = utoimage]

이런 연구 결과는 보안 업체 쉬프트레프트(ShiftLeft)가 발표한 것으로, “실질적인 위협이 되는 취약점들만 해결해도 효과적으로 조직을 보호할 수 있다”는 결론을 내리고 있다. 실질적인 공격 가능성이라는 측면으로만 취약점에 대해 대응을 할 때, 패키지 스캔 후 오탐이 97% 줄어든다는 것도 이번에 발표된 내용 중 하나다.

이 내용이 사실이고, 모든 조직들에 적용이 가능하다면, 보안 담당자들로서는 희소식이 아닐 수 없다. 취약점 관리는 모든 보안 담당자들에게 있어 매우 고단하고 힘든 일이었으며, 소프트웨어를 구성하는 서드파티 요소들에서 나타나는 취약점들까지 관리해야 한다는 분위기가 생겨나면서 하루 종일 취약점 관리만 해도 시간이 모자랄 지경이었기 때문이다. 이 때문에 취약점 관리라는 건 결국 우선순위를 정하는 것과 다름이 없었다. 오늘의 연구 결과도 바로 이 ‘우선순위’와 관련된 내용이라고 볼 수 있다.

쉬프트레프트의 CEO인 마니시 굽타(Manish Gupta)는 “가장 먼저 오픈소스 디펜던시 상태와, 취약점의 공격 사례를 확인해야 공격 가능성을 가늠할 수 있게 된다”고 설명한다. “이미 이런 면에서 취약점을 분석하는 도구는 여러 가지가 있습니다. 하지만 결과에는 노이즈가 꽤나 많이 섞이죠. 예를 들어 디펜던시가 있다는 것만 찾아내지, 디펜던시가 실제 애플리케이션에서 어떻게 구성되는지는 분석되지 않습니다. 즉 디펜던시가 애플리케이션에 실질적인 영향을 미치는지는 고려하지 않고 분석한다는 겁니다.” 그러므로 공격 가능성이라는 측면에서 취약점을 분석한다는 건 애플리케이션이 실질적으로 취약점 CVE가 포함된 패키지를 로딩하느냐 마느냐까지를 본다는 뜻이 된다.

CISO들은 이미 이러한 개념에 익숙하다. 로그4셸(Log4Shell)이나 스프링4셸(Spring4Shell)과 같은 취약점이 나오고, 산업 전체가 들끓으며 여러 매체의 헤드라인까지 장식하면서 이러한 디펜던시 관련 취약점이 실질적으로 미치는 영향을 조사한 바가 있기 때문이다. 그러면서 애플리케이션 내부에 깊이 박혀 있는 위험 요소들을 하나하나 패치하기까지 했으니, 실질적인 공격 가능성에 따라 위험도를 평가하고 해결하는 것을 꽤나 격렬하게 연습해 봤다고 해도 무방하다.

소프트웨어 디펜던시
현대 개발 행위에 있어서 소프트웨어 디펜던시는 빼놓을 수 없는 요소다. 특히 오픈소스를 사용한다면 소프트웨어들 간 상호 의존성을 모를 수가 없다. “덩치가 큰 애플리케이션일수록 디펜던시의 수가 어마어마한데, 그렇기 때문에 한 달에 패치해야 할 취약점이 셀 수 없이 많아집니다. 게다가 기업에서 애플리케이션을 하나만 쓰는 게 아니죠. 그러니 보안 팀에서 관리하고 처리해야 할 취약점의 수는 우선순위를 정하지 않고서는 도무지 감당할 수가 없을 정도로 늘어나게 됩니다.”

패키지 업그레이드 자체는 그리 어려운 일이 아니다. 다만 패키지가 활용되고 있는 애플리케이션과 각종 디펜던시들까지 아우르는 작업이 될 수 있기 때문에 쉽지 않은 일이 된다. 각종 소프트웨어 패치를 진행했더니 일부 기능이 작동을 하지 않는다든가, OS가 마비된다든가 하는 일들을 누구나 경험을 해보았을 것이다. 이는 패키지 하나가 그냥 패키지 하나가 아니라 각종 디펜던시 관계로 연결된 요소이며 따라서 코드의 리팩토링까지도 필요한 경우가 생길 수 있다. “라이브러리나 패키지의 업그레이드가 항상 안전한 일은 아닙니다. 호환성은 늘 개발자들을 괴롭히는 문제이며, 라이브러리 업그레이드 전에 항상 앱의 기능성과 관련된 원리도 꼼꼼히 이해해야 합니다.”

공격 가능성이라는 특성
OWASP의 창시자인 마크 커피(Mark Curphey)는 “공격 가능성을 위주로 한 우선순위 분류 방법은 새로운 개념이 아니”라고 말한다. “다만 어떤 것이 보다 위험하고 공격 가능성이 높은 것인지를 선택하는 것이 오늘 날의 애플리케이션들이 가진 구조를 생각하면 쉽지 않을 것입니다. 우선순위를 정하라는 조언은 올바른 말이고 적절한 조언이지만, 그걸 현장에서 실천한다는 건 참 어려운 일입니다." 그는 현재 여러 CSO들을 만나면서 현장에서의 가장 큰 문제가 무엇인지를 상담하는데, “거의 모든 CSO들이 우선순위를 결정하는 것”이라고 답한다고 한다.

커피는 “쉬프트레프트가 보고서를 통해 주장한 내용은 사실일 거라고 생각하고, 중요한 지적을 담고 있다고 보지만, 그것이 실제 현장에서 얼마나 큰 효력을 발휘할지는 알 수 없다”는 입장이다. “사업의 중요도, 사용자의 수, 실제 특정 앱이나 시스템에서 만들어지는 수익 수준, 대중의 인식, 처리되는 데이터의 종류, 물리적인 저장소의 위치 등과 같은 여러 사안들을 종합적으로 고려해야 합니다. 여기에 더해 어떤 요소가 어떤 디펜던시를 가지고 있고 어떤 요소들과 연결되어 있는지, 어떤 식으로 상호작용하는지 등 기술적인 검토도 있어야 하지요. 우선순위를 결정한다는 것 자체가 이런 관련 데이터를 끊임없이 수집하는 행위를 수반합니다."

보안 업체 소나타입(Sonatype)의 부회장 스티븐 마길(Stephen Magill)은 공격 가능성이 취약점 관리 우선순위를 결정하는 요소가 될 때 또 다른 문제가 발생한다고 지적한다. “취약점 정보가 충실하다면 공격 가능성을 기준으로 우선순위를 정하는 게 큰 도움이 될 수 있습니다. 하지만 취약점 정보가 애초부터 부실했기 때문에 공격 가능성을 우선순위의 기준으로 삼는 것은 오히려 위험할 수 있습니다. 즉 취약점 정보 자체를 충실히 마련하고 공유하는 것이 기본 전제가 되어야 한다는 것입니다. 하지만 모든 취약점 정보가 이런 식으로 생성되거나 유통되는 건 아닙니다. 공격 가능성을 위주로 우선순위를 결정하는 게 허상이 될 수 있는 현실 속에서 우리가 살고 있다는 겁니다.”

또한 마길은 “최근 공격자들은 오픈소스가 소프트웨어 개발에서 차지하는 위치를 이해하고, 의도적으로 공격을 실시하고 있다”며, “그렇기 때문에 공격 가능성이라는 게 계속해서 높아질 것”이라고 지적한다. “지금은 3%만 위험하다는 수치가 조사될 수 있습니다만, 그것이 계속해서 3%로 남을 것이라는 보장은 어디에도 없습니다. 공격 가능성이라는 필터 장치가 취약점 우선순위를 결정하는 데에 좋은 기준이 될 수 있습니다만, 그것만이 진리인 것은 아닙니다. 기준으로 작용할 수 있는 다른 모든 사안들도 충실히 파악할 수 있어야 합니다.”

3줄 요약
1. 오픈소스 취약점 익스플로잇 하는 해커들의 공격 행위 빠르게 증가 중.
2. 하지만 한 연구 결과, 취약점의 3%만이 실제 익스플로잇 되고 있다는 것이 드러남.
3. 사실이라면 취약점 관리의 효율이 매우 높아질 것이지만 아직 더 검토할 부분들이 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)