한국쓰리콤, ZDI 1주년 기념 보안취약점 자료공개

세계적인 시큐어 컨버지드 네트워크(SCN) 솔루션 업체인 한국쓰리콤(대표 이수현 www.3com.co.kr)은 6일, 새로 발견된 보안 취약점 정보를 공개하여 신속한 대응을 가능하게 하는 ‘ZDI (Zero Day Initiative) 프로그램’을 시행한지 1주년을 기념하여 ‘ZDI 홈페이지(www.zerodayinitiative.com)’를 통해 모든 미해결 취약점에 대한 통계를 공개한다고 밝혔다. 현재 ZDI에 보고된 보안 관련 취약점 중 미해결된 28개 사안들은 해당 벤더사들에 의해 해결책이 강구 중에 있다.

이번 공개에서는 취약점 통계가 악용되는 것을 막기 위해, 벤더명과 티핑포인트가 해당 벤더에 보고한 날짜 및 심각성 정도(severity level) 만이 표기되며, 취약점 관련 세부 기술이나 벤더의 특정 제품명은 해당 벤더들의 사용자 보호를 위해 공개되지 않는다. 티핑포인트는 자사의 IPS (침임 방지 시스템) 고객들에게 지난 1년 동안 28개의 취약점을 발견하여 해당 벤더사에 보고된 시점에서부터 신속하게 우선적인 보호 기능을 제공하였다고 밝혔다.

지난해 8월 ZDI 프로그램을 처음으로 시행한 이후로 현재까지 30개의 제로데이(zero day) 취약점이 처리되었으며, 알려 지지 않거나 밝혀 지지 않은 취약점의 세부 사항들은 해당 벤더들의 솔루션 및 패치 등장 시까지 공개하지 않았다. 이 중 7건은 광범위하게 사용되고 있는 마이크로소프트의 소프트웨어 제품 관련이었으며, 그 외에 모질라와 시만텍, 노텔, 어도비, 애플 등의 벤더도 이에 해당된다.

현재 400명 이상의 보안 연구원들이 ZDI 프로그램에 참여하고 있고, 티핑포인트의 보안 연구팀(TSRT, TippingPoint security research team)은 추가적으로 연구를 계속하고 있다. 연구팀은 미해결된 취약점 관련 정보를 티핑포인트 사이트에 공시하고 있다. ZDI 프로그램은 지난해 마이크로소프트와 관련된 3건을 포함, 총 16건의 제로데이 취약점을 발견하였다. 연구팀이 발견한 취약점 중 6건은 해당 벤더의 솔루션으로 해결과정 중에 있으며, 자세한 목록은 http://www.tippingpoint.com/security/upcoming_advisories.html 에서 확인 할 수 있다.

티핑포인트의 보안 연구 부장 데이빗 엔들러(David Endler)는 “지난 한 해 동안 ZDI 연구 중 가장 혁신적이었던 일은 미해결 제로데이 취약점과 관련된 벤더들의 대응 상황을 공개 함으로써 자사의 ZDI프로그램에 투명성을 더한 것이다”라고 말하고, “이러한 취약점들 가운데 상당수는 초기 발표 이후 6개월 혹은 그 이상까지도 해결되지 않았다. 이러한 취약점의 공개는 해당 제품 벤더들이 보고된 결점을 평가해 해결 하려는 노력을 보일 때에 만이 의미가 있을 것이며, 제로데이 취약점이 미해결된 채로 남아 있는 한 해당 벤더들의 고객에게 가해지는 위험은 커져만 갈 것이다. 보안 연구원들이 그들의 취약점 발견의 공개를 우리에게 위임했기 때문에 우리는 스스로를 벤더 커뮤니티를 지탱해 주는 파수꾼으로 여기고 있다”라고 말했다.

‘ZDI(Zero Day Initiative)’는 쓰리콤의 티핑포인트 부서에 의해 개발되었으며 이 프로그램을 통해 보안 연구원 및 해당 벤더에 새롭게 발견된 제로데이 취약점을 공지해 신속하게 관련 패치를 개발 및 공급하게 함으로써 기업 및 개인 고객에게 더욱 강화된 보안을 제공하는데 그 목적이 있다.

해당 벤더에 의해 패치 작업이 끝난 ZDI의 완전한 목록은 www.zerodayinitiative.com/advisories.html 에서 확인 할 수 있으며, 티핑포인트 보안 연구팀에 의해 발견된 취약점 리스트는www.tippingpoint.com/security/published_advisories.html에서 볼 수 있다.

[길민권 기자(reporter21@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다