[º¸¾È´º½º = µ¥À̺ñµå ½ºÆ®·Ò IT Ä®·³´Ï½ºÆ®] 2005³âºÎÅÍ ¹Ì±¹ Á¤ºÎ´Â ¡®±¹°¡ Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º(NVD)¡¯¶ó´Â °É ¿î¿µÇØ ¿Ô´Ù. ÀÌ°÷¿¡¼ º¸¾È Àü¹®°¡µéÀº °¢Á¾ Ãë¾àÁ¡ Á¤º¸¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù. Ãë¾àÁ¡ Á¤º¸°¡ ±Ã±ÝÇÒ ¶§ Àü ¼¼°è ´ëºÎºÐ º¸¾È Àü¹®°¡µéÀÌ ²À ÇÑ ¹ø °Ë»öÇغ¸´Â °÷ÀÌ ¹Ù·Î ÀÌ NVD¿´´Ù. ÇÏÁö¸¸ Áö³ ´ÞºÎÅÍ NVDÀÇ ¿î¸íÀÌ Á¶±Ý ´Þ¶óÁ³´Ù.
[À̹ÌÁö = gettyimagesbank]
NVD¸¦ °ü¸®ÇÏ´ø ¹Ì±¹ Ç¥Áرâ¼ú¿¬±¸¼Ò(NIST)´Â Áö³ ´Þ ¾Æ¸®¼ÛÇÑ °øÁö »çÇ×À» ±â°ü °ø½Ä À¥»çÀÌÆ®¿¡ ¿Ã·È´Ù. ¡°Ãë¾àÁ¡ ºÐ¼®¿¡ ÀϽÃÀûÀ¸·Î Áö¿¬ÀÌ ÀÖÀ» °Í¡±À̶ó´Â ³»¿ëÀ̾ú´Ù. ¡°º¸´Ù Çâ»óµÈ µµ±¸¿Í ¹æ¹ýÀ» »õ·Ó°Ô µµÀÔÇÏ·Á Çϱ⠶§¹®¡±À̶ó°í ¼³¸íÇϱ⵵ Çß´Ù. ÇÏÁö¸¸ °øÁö´Â °Å±â¼ ³¡³µ°í, »ó¼¼ÇÑ ¼³¸íÀº Áö±Ý±îÁö ³ª¿ÀÁö ¾Ê°í ÀÖ´Ù. ±×·¯¸é¼ Ãë¾àÁ¡°ú °ü·ÃµÈ Á¤º¸°¡ µ¥ÀÌÅͺ£À̽º¿¡ Ãß°¡µÇ´Â Àϵµ ÁߴܵƴÙ.
¹°·Ð ±×¶§ºÎÅÍ Áö±Ý±îÁö CVE°¡ ´Ü Çϳªµµ Ãß°¡µÇÁö ¾Ê¾Ò´Ù´Â °Ç ¾Æ´Ï´Ù. °£ÇæÀûÀ¸·Î ÀϺΠCVEµéÀÌ ´õÇØÁö´Â ÁßÀÌ´Ù. ±×·¯³ª ±âÁ¸ NVD¿¡ CVEµéÀÌ Ãß°¡µÇ´Â ¼Óµµ¿Í´Â ºñ±³°ú µÇÁö ¾ÊÀ» Á¤µµ·Î ´À¸®´Ù. ±×·¸±â ¶§¹®¿¡ °¢ Ãë¾àÁ¡ ´ã´çÀÚµéÀÌ Å©°Ô °ï¶õÇØÁö°í ÀÖ´Ù.
Ãë¾àÁ¡À» CVE·Î ºÐ·ùÇϴ ü°è¿¡´Â 365°³ÀÇ ÆÄÆ®³ÊµéÀÌ Âü¿©ÇÏ°í ÀÖ´Ù. À̵éÀº À§Çù ¿ä¼ÒµéÀ» ÆľÇÇÏ°í, ¼öÁýÇÏ°í, ºÐ¼®ÇÏ°í, ºÐ·ùÇÑ´Ù. À̵é Áß Àý¹Ý Á¤µµ°¡ ¹Ì±¹¿¡ ÀÖ´Ù. ¼ÒÇÁÆ®¿þ¾î ±â¾÷µéµµ ÀÖ°í »ç¼³ ¿¬±¸ ±â°üµµ ÀÖ°í ¹ö±×¹Ù¿îƼ ¿î¿µ ´ëÇà Ç÷§Æûµµ ÀÖ´Ù. À̵éÀº ±ÔÁ¤¿¡ µû¶ó Ãë¾àÁ¡À» ¿¬±¸ÇÏ°í, CVE ¹øÈ£¸¦ ºÙÀÌ°í, ³»¿ëÀ» °øÀ¯ÇÑ´Ù. ÀÌ·¸°Ô Çؼ ¿ÃÇØ¿¡¸¸ NVD¿¡ Ãß°¡µÈ CVEµéÀº 6õ °³°¡ ³Ñ´Â´Ù.
±×·±µ¥ ±× 6õ °³ÀÇ CVEµé Áß ´ë·« Àý¹Ý Á¤µµ¿¡´Â »ó¼¼ ³»¿ëÀÌ ±âÀԵǾî ÀÖÁö ¾Ê¾Ò´Ù. ÀÌ »ó¼¼ ³»¿ëÀÌ ÀÖ¾î¾ß Ãë¾àÁ¡¿¡ ´ëÇÑ ´ëó°¡ µÇ´Â °Çµ¥, Áß¿äÇÑ ºÎºÐÀÌ ºüÁ® ÀÖ¾ú´ø °ÍÀÌ´Ù. ¿Ö °©ÀÚ±â NVD¿¡ ¿Ã¶ó¿À´Â Ãë¾àÁ¡ Á¤º¸µéÀÌ ÀÌ·¸°Ô ºÎ½ÇÇØÁø °ÍÀÎÁö´Â ´©±¸µµ ¼³¸íÇÏÁö ¾Ê¾Ò¾ú´Ù. ÀÌ ¼¼ºÎ ³»¿ëµéÀÌ »ç¶óÁöÀÚ NVD¸¦ ±â¹ÝÀ¸·Î ÀÛµ¿ÇÏ´ø Ãë¾àÁ¡ °ü¸® µµ±¸µéµµ Á¦´ë·Î ÀÛµ¿ÇÏÁö ¾Ê°Ô µÆ´Ù.
º¸¾È ¾÷ü üÀΰ¡µå(Chainguard)ÀÇ CEOÀÎ ´í ·Î·ÀÅ©(Dan Lorenc)´Â Áö³ ´Þ ¼Ò¼È¹Ìµð¾î °Ô½Ã±ÛÀ» ÅëÇØ ¡°ÃÖ±Ù µî·ÏµÇ´Â CVE Á¤º¸µé¿¡´Â ¸ÞŸµ¥ÀÌÅ͵µ ¾ø°í, ¾î¶² ¼ÒÇÁÆ®¿þ¾îµéÀÌ ¿µÇâÀ» ¹Þ´ÂÁöµµ Ç¥½ÃµÇÁö ¾Ê´Â´Ù¡±¸ç ¡°Ãë¾àÁ¡À» °ü¸®ÇØ¾ß ÇÏ´Â ÀÔÀå¿¡¼ ÀÌ°Ç ´ë´ÜÈ÷ ½É°¢ÇÑ ¹®Á¦¡±¶ó°í ½è´Ù. ¿©±â¿¡ ¶Ç ´Ù¸¥ º¸¾È Àü¹®°¡ÀÎ Á¶½Ã ºê·¹¼Áî(Josh Bressers)µµ µ¿ÀÇÇÏ¸ç ¡°ÀÌ°Ç ±¹°¡ÀûÀÎ ¹®Á¦ÀÌ´Ï Á» ´õ ¸íÈ®ÇÏ°í ºÐ¸íÇÑ ¼³¸íÀÌ ÀÖ¾î¾ß ÇÒ °Í¡±À̶ó°í µ¡ºÙ¿´´Ù.
ÇÏÁö¸¸ NIST Ãø¿¡¼´Â ¾ÆÁ÷±îÁö ħ¹¬À» ÁöÅ°°í ÀÖÀ¸¸ç, ÀÌ Ä§¹¬ÀÇ ±â°£Àº µÎ ´Þ°·Î ³Ñ¾î°¡´Â ÁßÀÌ´Ù. ±×·¯ÀÚ º¸¾È Ä¿¹Â´ÏƼ¿¡¼´Â ´©±º°¡ NIST°¡ ÇÏ´ø ÀÏÀ» ´ë½ÅÇØ¾ß ÇÑ´Ù´Â À̾߱⵵ ³ª¿À°í ÀÖ´Ù. º¸¾È ¾÷ü ¸ðÇǼ½(Morphisec)ÀÇ °æ¿ì, ÀÚ»ç ºí·Î±× °Ô½Ã±ÛÀ» ÅëÇØ ÇöÀçÀÇ NVD °ü·Ã »óȲÀ» ¾Ë¸®±âµµ Çß´Ù. ÀÌ°÷ÀÇ CTOÀÎ ¸¶ÀÌŬ °í·¼¸¯(Michael Gorelik)Àº ¡°±Ô¸ð°¡ ÀÛÀº Á¶Á÷µéÀº NVDÀÇ Ãë¾àÁ¡ Á¤º¸¿¡ Å©°Ô ÀÇÁ¸ÇÏ´Â Æí¡±À̶ó¸ç, ¡°NVDÀÇ Á¤º¸¸¸ È°¿ëÇصµ º¸¾È ¿¹»êÀ» ¾Æ³¥ ¼ö Àֱ⠶§¹®¡±À̶ó°í ¼³¸íÇß´Ù. ¡°Áï NVD°¡ Àá½Ã Áß´ÜµÈ °Í ¶§¹®¿¡ ÀûÀÝÀº Á¶Á÷µéÀÌ ´õ ¸¹Àº ¿¹»êÀ» ½á¾ß ÇÏ´Â »óȲÀÌ µÉ °ÍÀ̶ó´Â ¶æÀÔ´Ï´Ù.¡±
¶Ç ´Ù¸¥ º¸¾È ¾÷ü ³Ý¶óÀÌÁî(Netrise)ÀÇ CEO Åè ÆäÀ̽º(Tom Pace)µµ Áö±ÝÀÇ »óȲÀÌ ¸Å¿ì ½É°¢ÇÏ´Ù´Â µ¥ µ¿ÀÇÇÑ´Ù. ¡°Ãë¾àÁ¡ Á¤º¸¶ó´Â °Ô, ÀÖÀ¸¸é ÁÁÀº ÁÙ ¸ô¶ú´Ù°¡ ¾ø¾îÁö¸é ¿ªÃ¼°¨ÀÌ ½ÉÇÕ´Ï´Ù. ¿ì¸® ¸ðµÎ °©Àڱ⠴« ¾ÕÀÌ ¾îµÎ¿öÁø ´À³¦ÀÔ´Ï´Ù. ¹«½¼ Ãë¾àÁ¡ÀÌ ¾î¶² »óȲÀ» ¾ß±âÇÏ°í ÀÖ´ÂÁö ¾Ë ¼ö°¡ ¾ø´Ù´Â °Ç º¸¾È ´ã´çÀÚµéÀ» ±äÀåÄÉ ÇÕ´Ï´Ù. ÆÐÄ¡ °³¹ß°ú ¹èÆ÷ ¿ª½Ã ´À·ÁÁú ¼ö¹Û¿¡ ¾øÀ¸´Ï, ÀÌ°Ç ´Ü¼ø ¡®´À³¦¡¯ÀÇ ¹®Á¦°¡ ¾Æ´Ï±âµµ ÇÕ´Ï´Ù.¡±
¸¶ÀÌÅÍ°¡ ³ª¼¸é ¾î¶³±î?
»ç½Ç NVD¸¸ »ý°¢Çϸé NIST°¡ Ã¥ÀÓÀÌ ÀÖ´Â Á¶Á÷ÀÌ ¸Â´Ù. ÇÏÁö¸¸ NVD¸¦ ±¸¼ºÇÏ´Â CVEµéÀ» »ý°¢ÇÑ´Ù¸é ¸¶ÀÌÅÍ(MITRE)°¡ ¸ÕÀú ¶°¿À¸¥´Ù. ¸¶ÀÌÅÍ°¡ CVE ¼öÁý°ú °ü¸®ÀÇ ÃÑ Ã¥ÀÓÀ» ¸Ã°í Àֱ⠶§¹®ÀÌ´Ù. NVDÀÇ ¿î¿µÀ» NISTÀÇ À̸§À¸·Î ÇÏ°í ÀÖ¾úÀ» »Ó, ±× ³»¿ëÀ» ½ÇÁúÀûÀ¸·Î ä¿ì´Â °Ç ¸¶ÀÌÅÍ¿´´Ù´Â °ÍÀÌ´Ù. ±×·¡¼ ÆäÀ̽º´Â ¡°¸¶ÀÌÅÍ°¡ Áö±ÝÀÇ °ø¹éÀ» ÃæºÐÈ÷ ä¿ï ¼ö Àִµ¥ ¿Ö ³ª¼Áö ¾Ê´Â °ÇÁö ±Ã±ÝÇÏ´Ù¡±´Â ÀÇ°ßÀ» ³»ºñÄ£´Ù. ¡°NIST°¡ ½ÇÁ¦ÀûÀ¸·Î ÇÏ´Â ÀÏÀº ¿ø·¡ ±×·¸°Ô ¸¹Áö ¾Ê¾Ò¾î¿ä. ½ÇÁúÀûÀÎ ¿ªÇÒÀº ¸¶ÀÌÅÍ°¡ ´Ù ÇßÁÒ.¡±
ÇÏÁö¸¸ ¸¶ÀÌÅÍ´Â NIST¿Í ¸¶Âù°¡Áö·Î ÀÌ ¹®Á¦¿¡ ´ëÇÏ¿© ¾ð±ÞÇÏÁö ¾Ê°í ÀÖ´Ù. ÀϺΠ¿Ü½ÅµéÀÌ ÃëÀ縦 ¿äûÇßÀ» ¶§¿¡µµ º° ´Ù¸¥ ´äº¯À» ÇÏÁö ¾Ê°í ÀÖ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
±×·¡¼ ¹Î°£ ±â¾÷µéÀº NVD¸¦ ´ëüÇÒ ¸¸ÇÑ °ÍÀ» ½º½º·Î ã°í ÀÖ´Ù. Á¤ºÎ°¡ ³ª¼¼ ¹®Á¦¸¦ ÇØ°áÇÒ °ÍÀ̶ó°í ±â´ëÇϱâ Èûµé´Ù°í ÆÇ´ÜÇÑ °ÍÀÌ´Ù. È帵éÀº ÀÌ¹Ì Á¸ÀçÇÑ´Ù. ¿¹¸¦ µé¾î Å׳ʺí(Tenable)À̳ª Ä÷¸®½º(Qualys), À̹ÝƼ(Ivanti)¿Í °°Àº ±â¾÷µéÀº ÀÌ¹Ì µ¶ÀÚÀûÀÎ Ãë¾àÁ¡ ü°è¸¦ ¼ö³â ÀüºÎÅÍ °®Ãß°í ÀÖ´Ù. À̵éÀÇ Ãë¾àÁ¡ ºÐ¼® ÀÚ·á¿¡µµ ¸ÞŸµ¥ÀÌÅÍ µîÀÇ ÀÚ·á°¡ dzºÎÈ÷ ³ì¾Æµé¾î ÀÖ´Ù.
±× ¿Ü¿¡µµ ¿ÀǼҽº µ¥ÀÌÅͺ£À̽ºµéµµ ¸î Á¸ÀçÇÑ´Ù. ±× Áß Çϳª´Â ¹úüũ(VulnCheck)´Ù. À̵éÀº NVD++¶ó´Â À̸§À¸·Î Ãë¾àÁ¡À» ¼öÁýÇÑ´Ù. OVD(Open Vulnerability Database)µµ Àִµ¥, ¿©±â¿¡ ±¸±Û, ¼Ò³ª¼Ò½º(SonarSource), ±êÇãºê, ½º³ªÀÌÅ©(Snyk) µî ¿©·¯ ±â¾÷µéÀÌ Âü¿©ÇÑ´Ù. ÇÏÁö¸¸ ¹úüũ³ª OVD µîÀ¸·Î Ãë¾àÁ¡ °ü¸® üÁ¦ÀÇ ±â¹ÝÀ» ¿Å±ä´Ù´Â °Ô ±â¼úÀûÀ¸·Î °£´ÜÇÏÁö ¾Ê´Ù°í Àü¹®°¡µéÀº ¸»ÇÑ´Ù. ÀûÀÝÀº ÇÁ·Î±×·¡¹Ö ¹× ½ÇÇèÀ» °ÅÃÄ¾ß ÇÑ´Ù´Â °Ô Áß·ÐÀÌ°í, ¾÷üµé Áß ÀÌ ¿É¼ÇÀ» ¼±ÅÃÇÏ´Â °Ô ºÒ°¡´ÉÇÑ °÷µµ ÀÖÀ» °ÍÀ¸·Î ¿¹»óµÈ´Ù.
Áß±¹ Á¤ºÎµµ Ãë¾àÁ¡À» µû·Î °ü¸®ÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖÀ¸³ª À̸¦ °ø°³ÇÏÁö ¾Ê°í ÀÖ°í, Áß±¹ º¸¾È Àü¹®°¡µé°ú ¼¼°è º¸¾È Àü¹®°¡µé °£ ±³·ù°¡ Àû¾ú±â ¶§¹®¿¡ ½ÇÁ¦ È°¿ëÀº ¾î·Á¿ï °ÍÀ¸·Î º¸ÀδÙ.
ÆäÀ̽º´Â ¡°ÀϺΠ±â¾÷µé »çÀÌ¿¡¼ ÄÁ¼Ò½Ã¾öÀ» »õ·Ó°Ô ±¸¼ºÇØ¾ß ÇÑ´Ù´Â À̾߱Ⱑ ³ª¿À°í ÀÖ´Ù¡±°í ¸»ÇÑ´Ù. ´Ù¸¸ ¾ÆÁ÷ ±¸Ã¼ÀûÀÎ °èȹÀº ¾ø´Â »óȲÀÌ´Ù. ¡°±×Àú Ãë¾àÁ¡À» ³ª¿ÇÑ µ¥ÀÌÅͺ£À̽º°¡ ÇÊ¿äÇÑ °Ô ¾Æ´Ï¶ó, È°¿ëÀÌ ½±°í È¿°ú°¡ ÁÁÀº Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º°¡ ÇÊ¿äÇÑ °ÍÀ̶ó, ¼±¶æ ³ª¼¼ ¡®¿ì¸®°¡ Çغ¾½Ã´Ù¡¯¶ó°í Çϱ⠾î·Á¿ï °Ì´Ï´Ù. Ãë¾àÁ¡ µ¥ÀÌÅͺ£À̽º¸¦ ±¸¼ºÇÑ´Ù´Â °Ç ³À̵µ°¡ ³ôÀº ÀÏÀ̶ó´Â °É º¸¾È Àü¹®°¡µéÀ̶ó¸é ´Ù ¾ËÁÒ. ±×·¡¼ ¡®ÄÁ¼Ò½Ã¾öÀ» ÇÏÀÚ¡¯°í ¸»Àº Çصµ ¾ÆÁ÷ ±¸Ã¼ÀûÀÎ ¹º°¡°¡ µîÀåÇÏÁö ¾ÊÀº °Ì´Ï´Ù.¡±
±×·¡¼ ÇöÀç Ãë¾àÁ¡ °ü¸® üÁ¦´Â ¾Æ¹«·± ÇØ°áÃ¥µµ ¾øÀÌ Ç¥·ùµÇ¾î ÀÖ´Ù. ÀÌ »óȲÀÌ ¾î¶² ½ÄÀ¸·Î ¹ßÀüÇÏ°Ô µÉÁö´Â ¾Æ¹«µµ ¸ð¸¥´Ù.
±Û : µ¥À̺ñµå ½ºÆ®·Ò(David Strom), IT Ä®·³´Ï½ºÆ®
[±¹Á¦ºÎ ¹®Á¤ÈÄ ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>