Home > 전체기사

[블랙햇 2022] 아무리 강조해도 패치 관리가 잘 되지 않는 이유

  |  입력 : 2022-08-14 22:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
패치는 늘 쉬운 듯 어려운 문제다. 자꾸만 사용자들과 보안 담당자들에게 빨리 빨리 적용하라고 다그치기만 해서는 안 될 정도로 그 문제의 내면은 복잡하다. 이번 블랙햇에서 패치와 관련된 복잡한 실타래를 하나하나 점검하는 시간이 마련됐다.

[보안뉴스 문가용 기자] 보안 취약점 패치를 제때 한다는 것은 대단히 어려운 일이다. 이미 모든 취약점을 다 패치한다는 것은 불가능이라는 소리가 공공연하게 나오고 있고, 그러면서 우선순위를 정해서 패치를 진행해야 한다는 조언들이 등장한 지 꽤 됐는데, 이제 이 우선순위 결정마저도 난이도 높은 일이 되고 있다. CVSS 점수가 너무 일차원적이고, 기업들의 보안 권고문이 너무 모호하며, 패치들이 불완전하기 때문이다.

[이미지 = utoimage]


보안 업체 트렌드 마이크로(Trend Micro)에서 제로데이이니셔티브(Zero Day Initiative, ZDI)를 진행하고 있는 브라이언 고렝크(Brian Gorenc)와 더스틴 차일즈(Dustin Childs)는 이러한 내용을 미국 라스베이거스에서 열리고 있는 보안 행사인 블랙햇(Black Hat USA 2022)의 기조 연설 시간에 발표했다. ZDI는 2005년부터 현재까지 1만 개가 넘는 취약점들을 발굴해 공개한 조직이다. 차일즈는 “패치의 질과 보안 관련 소통의 질 모두 지속적으로 하락하는 중”이라고 말했다.

“패치를 했는데 오히려 문제가 커질 때가 있습니다. 패치 자체에 오류가 있다거나, 공개된 취약점 정보가 불완전하다거나 할 때, 그래서 사용자 기업들이 리스크를 잘못 계산했을 때죠. 특히 불완전한 취약점은 공격자들에게 매우 요긴한 공격 무기가 됩니다. 아무도 발견 못한 제로데이 취약점을 연구하는 것보다, 공개된 n-데이 취약점을 연구하는 게 훨씬 편하거든요.”

CVSS 점수와 패치 우선순위
대부분의 사이버 보안 팀들은 현재 인력 부족으로 시달리고 있다. 그러므로 한 사람 한 사람이 받는 업무적 스트레스가 어마어마하다. ‘모든 소프트웨어를 최신화 하고, 최신 버전으로 유지하라’는 보안 권고문이 이들에게 공허하게 들리는 이유다. 업데이트 할 여력이 없기 때문이다. 그래서 CVSS 점수에 따라 높은 것부터 해결하는 방식을 여기 저기 보안 팀들에서 채택하는 중이다.

차일즈는 이러한 방식은 그 자체로 오류가 충만하다는 입장이다. 자원 낭비로 이어질 공산도 크다고 그는 주장한다. CVSS 점수를 통해 얻어낼 수 없는 정보가 너무 많기 때문이다. “CVSS 점수에 대한 의존도가 높은 기업들은 표면에 드러난 CVSS 점수 그 자체만 볼 때가 많습니다. 그런데 CVSS 점수는 ‘실제 익스플로잇 가능성’이라는 항목이 고려되지 않고 계산된 수치입니다. 또한 해당 취약점이 15개 시스템에서 발견된 건지, 1500만 개 시스템에서 발견된 건지도 말해주지 않습니다. 각각의 회사와 기관들이 진행하는 사업 운영에 꼭 필요한 시스템에 영향을 미치고 있는지도 알려주지 않지요.”

그렇다는 건 CVSS 시스템에서 10점 만점을 받은 초고위험도 취약점이라고 하더라도 ‘우리 회사’와는 아무런 상관이 없는 것일 수 있다는 것이다. “예를 들어 MS 익스체인지의 이메일 서버에서 발견된 원격 코드 실행 취약점의 경우 익스플로잇 개발자들의 시선을 확 잡아끄는 흥미거리가 될 수 있습니다. 하지만 사용자가 비교적 적은 스쿼럴메일(Squirrel Mail)에서 똑같은 취약점이 나왔다면 어떨까요? 관심을 갖고 연구를 시작하는 해커의 수는 확연히 다를 겁니다. 하지만 둘의 CVSS 점수는 비슷하겠죠.”

이러한 부실함을 파악한 보안 담당자들은 기업들이 발표한 보안 권고문을 검토하기도 한다. 하지만 차일즈는 기업이 따로 발표하는 보안 권고문은 그것대로 작지 않은 문제를 가지고 있다고 말한다. 취약점을 모호하게 설명한다는 것이다.

MS의 패치 튜즈데이, 세부 내용이 부족해
2021년 MS는 보안 업데이트 발표문에서 개요를 넣지 않겠다고 발표했었다. CVSS 점수만 보고도 패치 우선순위를 결정해도 충분하다는 것이었다. 차일즈는 이를 혹독하게 비판한다. “위험을 평가할 때 반드시 필요한 상황 정보 혹은 맥락 정보를 빼겠다는 게 MS 발표문의 내용입니다. 예를 들어 ‘정보 노출 취약점’이라고 했을 때, 노출되는 취약점이 메모리 할당 구역에서 무작위로 추출된 것인지 아니면 개인 식별 정보인지는 알 수 없다는 것이죠. ‘보안 장치 우회 취약점’이라고 했을 때, 정확히 어떤 장치가 우회되는 것일까요? 이런 내용 없이 숫자 하나만 가지고 우선순위를 정하는 건 큰 도움이 되지 않습니다.”

이어서 차일즈는 MS의 패치 튜즈데이가 점점 더 혼란만 야기하는 정보를 제공하고 있어 문제라고 지적했다. “개요를 뺌으로써 맥락적 정보를 삭제한 것도 문제인데, 그것 외에도 패치 노트 자체의 정보가 점점 더 모호해지고 있습니다. 그래서 매우 기본적인 정보도 알기 힘들어요. 예를 들어 이제는 매달 몇 개 취약점이 패치되었는지도 확실하지 않죠. 아마 보안 쪽 매체를 읽으시는 분은 아실 겁니다. 매체마다 패치 튜즈데이의 취약점 수를 조금씩 다르게 보도합니다.”

해커들의 실질적인 공격에 노출된 취약점 혹은 이미 내용이 공개된 취약점이 어떤 것인지도 금방 찾기 힘들다고 차일즈는 지적한다. “MS는 이런 정보를 유지하고 있긴 하지만, 따로 분류하지 않고 여러 가지 정보들 속에 섞어두고 있습니다. 예를 들어 이번 달에는 패치된 취약점의 수가 총 121개였는데요, 이 중 어떤 것이 실질적인 공격에 이미 노출되어 있는지를 파악하려면 121개의 취약점 세부 내용을 하나하나 읽어야 합니다. 그래서 사람들은 MS의 취약점 발표문을 직접 보지 않습니다. 정리되고 요약된 블로그나 기사를 읽죠.”

참고로 MS는 공개되는 취약점 정보가 일부 줄어들고 모호하게 된 것에 대해 인지하고 있다. 의도적으로 그렇게 결정했기 때문이다. 그 이유는 ‘사용자 보호’라고 MS는 주장한다. 정보가 너무 친절하게 공개되면 사용자보다 해커들에게 득이 되는 경우가 더 많다는 게 MS의 설명이다. 또한 자사 제품에 대한 취약점을 공개하는 데 있어 수위 조절은 MS 내부적으로도 신중하게 고민하는 문제라고 밝히기도 했다.

다른 기업들 역시 취약점 공개에 소극적
취약점 정보를 세상에 공개할 때 소극적으로 변하는 건 MS만이 아니다. 차일즈는 “CVE 번호도 공개하지 않고 업데이트를 발표하는 기업들도 수두룩하다”고 말한다. “그런 기업들은 ‘일부 취약점이 발견되어 업데이트를 배포한다’고만 통보합니다. 정확한 개수, 심각성, 익스플로잇 가능성은 조금도 언급되지 않지요. 심지어 ‘취약점 정보를 공개하지 않는다’는 원칙을 고수하는 회사들이 아직도 적지 않습니다.”

CVE 공개와 관련된 여러 가지 ‘꼼수’가 개발되기도 한다. 차일즈는 “한 가지 CVE 번호에 여러 가지 취약점을 묶어두는 것이 그 중 한 가지”라고 말한다. “보통 CVE 번호 하나에 한 가지 취약점이 묶여 있을 것을 예상하지요. 그럴 때 여러 개의 취약점을 한 번호로 묶어 두면 어떤 일이 발생할까요? CVE를 기반으로 한 리스크 평가 결과가 부정확하게 나옵니다. 그래서 CVE를 기반으로 패치 계획을 세울 때나 리스크를 평가할 때 내용을 세세히 살펴야 합니다. 기업들이 CVE 하나에 여러 개 취약점을 묶어두는 것을 막을 방법이 현재로서는 없거든요.”

플라시보 효과와 우선순위
패치와 취약점 정보를 발표하는 방식에도 문제가 있지만 패치 자체에도 문제가 적지 않다. 차일즈는 “플라시보 패치라는 것들이 상당히 많이 배포된다”고 주장한다. “코드를 전혀 변경하지 않으면서도 패치라는 이름으로 나오는 픽스들을 말합니다. 문제가 고쳐진 것처럼 착각을 유발하고 실제로는 아무 것도 고치지 않는 패치들이죠. 이런 패치들이 나오는 이유에는 기술적 무능이나 실수, 혹은 윤리적 해이 등 여러 가지가 있습니다.”

불완전한 패치도 어마어마하게 많다. 발표되는 버그의 10~20%가 과거 패치의 오류에서 불거져 나온 것이라고 차일즈는 설명했다. “예를 들어 어도비 리더(Adobe Reader)에서 버퍼 오버플로우 취약점이 발견된 적이 있습니다. 저희는 어도비가 특정 한계값을 설정해 기존 코드에 새롭게 적용할 줄 알았습니다. 새로 설정된 한계값을 넘어가는 연산 처리가 일어나지 않도록 하려면 그렇게 해야 하니까요. 하지만 어도비는 다른 방법을 사용했고, 이 때문에 패치 배포 1시간 만에 새로운 패치를 또 만들어야 했습니다.”

패치의 영원한 해결 과제, ‘사용자들의 움직임’
하지만 패치에는 또 다른 치명적인 문제가 존재한다. 사용자들이 패치를 적용하는 데 걸리는 시간이 지나치게 길다는 것이다. ZDI의 고렝크에 의하면 “사이버 범죄자들은 취약점이 발견되면 곧바로 익스플로잇을 연구하고, 그 결과를 각종 익스플로잇 킷 등에 추가하는 등 적극적인 조치를 취한다”고 설명한다. “패치를 사용자 기업들이 적용하기 전에 최대한 빨리 공격해 이득을 취하려 하는 것입니다. 공격자들이 n-데이 취약점을 역설계하면 취약점 공개 이틀 만에 벌써 공격을 실시할 수 있습니다.”

공격자는 이렇게 빠른데, 사용자들은 그렇지 않다. 이는 단순히 사용자들이 게으르거나 경각심이 없어서가 아니다. “물론 그런 사람들도 있겠죠. 하지만 패치에 대한 좋지 않은 경험이 있어서 조금 늦게 적용하는 사람들도 있고, ‘나와 상관이 없는 일’이라고 생각해서 그런 사람들도 있습니다. 즉 완전한 패치를 세상에 내놓고, ‘이 취약점의 실제 익스플로잇 가능성이 높다’는 정보만 추가해도 패치 적용 속도를 높일 수 있다는 겁니다. 하지만 대부분 기업들이 패치를 내놓으면서 ‘실제 익스플로잇 가능성’에 대해서는 잘 언급하지 않습니다.”

그렇기 때문에 위험을 계속해서 평가해야 하는 보안 담당자들이라면 오히려 취약점 공개 이후 부지런하고 능동적으로 움직여야 한다. 위협 첩보 관련 소식을 여러 곳에서부터 수집해 취약점과 관련하여 공격자들이 어떻게 움직이고 있는지, 어떤 익스플로잇 킷이나 랜섬웨어 단체가 자신들의 무기를 최신화 했으며, 혹시 공격자 커뮤니티나 보안 커뮤니티에 익스플로잇이 등장하지는 않았는지를 살피는 게 좋다.

“위협 지형도는 항상 변합니다. 패치와 관련된 소식이 나타나거나 개념증명용 익스플로잇 코드가 공개되거나 실제 공격자들 사이에서 사용되던 익스플로잇 코드가 발견되는 등의 사건들이 위협 지형도를 변하게 만들죠. 그럴 때마다 기업에 적용되는 리스크가 바뀝니다. 즉 취약점 하나만 보고 점수를 매겨 위험도를 평가해서는 안 된다는 겁니다. 보다 입체적인 파악이 필요합니다. 어떤 취약점들이 최근 공개됐고, 현지 그 취약점에 대한 연구가 어떻게 진행되고 있는지, 그러므로 얼마나 공격 가능성이 높아졌는지를 모니터링 해야 합니다. 신뢰할 만한 첩보의 출처를 확보해 두는 게 중요합니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)