보안 취약점, 내년부터 새 이름 얻을 예정

현재의 CVE 네이밍 체계로는 취약점 전부 수용하기에 부족

미리 취약점 관련 툴 및 소프트웨어의 코딩 상태 점검 필요

[보안뉴스 문가용] 매년 발견되는 취약점이 점점 늘어남에 따라 관리 체제를 다시 정립해야 할 필요가 생겼고, 일이 이루어지고 있다. 바로 지금까지 활용되고 있는 CVE 네이밍 체계다. 취약점의 구분과 식별을 위해 이름을 붙였던 이 방식이 달라질 예정이다. 실무 차원에서 취약점 및 취약점 관리를 해야 하는 담당자들이 이에 빨리 적응하지 않으면 조금 힘들어질 수도 있을 것으로 보인다.

▲ 종류가 다양해지고 늘어나면 칸도 늘어나는 게 당연.

보안 산업계에서 발견하고 기록하고 분류하는 취약점의 양이 해마다 걷잡을 수없이 늘어나고 있다. 그렇기 때문에 CVE 네이밍 체계가 바뀔 것은 사실 예견된 것이었다. 현재 네 개의 숫자로 이루어진 이 체계로 수용할 수 있는 취약점의 개수는 일년에 일만 개 미만이었다. 지난해에 보고된 취약점 개수는 7400개였기 때문에 이 체제를 바꿀 필요가 없었다. 하지만 올해, 아직 9월인 지금 시점에 발견된 취약점 수는 벌써 6400개에 다다른다. 체계 변화가 시급해진 것이다.

네이밍 방식을 바꾼다는 건 2014년 초에 이미 공식화된 이야기다. 실제로 발견된 취약점이 10000개를 넘지 않았기 때문에 아무런 변화가 없었던 것처럼 보인 것 뿐이다. 그러나 이제 그 변화가 실제로 일어나야 한다. 마감기한은 겨우 2015년 1월로, 시간이 그리 많이 남지도 않은 상태다. 이는 설사 2014년에 발견된 취약점이 총 만개를 넘지 않더라도 시행될 예정이다.

CVE를 관리하는 비영리 조직 MITRE는 아직 이에 대한 산업계 인지도가 낮은 편이라며 정보 보안 수석 엔지니어인 스티브 크리스티 콜리(Steve Christey Coley)를 통해 성명을 발표했다. “소비자들과 판매자들 모두 이 취약점 네이밍 방식이 바뀐다는 걸 모르고 있습니다. 현재 CVE 꼬리표가 붙은 취약점은 빠르게 늘고 있고 현재의 CVE 네이밍으로는 다 수용할 수 없는 지경에까지 와있습니다. 이제 이런 점을 사람들에게도 더 적극적으로 알려야 할 것입니다. 내년 1월이면 얼마 남지도 않은 시점입니다.”

보안 업계에서는 이런 변화의 필요성에 동의하고 있다. 또한 이를 1월까지 실제 업무에 적용하는 것이 그다지 까다로운 일이 아니라는 것에도 고개를 끄덕인다. “시대가 변했다는 걸 상징하는 사건입니다. 이제는 한해 취약점이 일만 개를 돌파하는 시점에 왔다는 것이죠. 그걸 MITRE가 빠르게 인지하고 변화를 시도하고 있는 것입니다. 이 다음에 나올 네이밍 체제는 무한대의 취약점을 수용할 수 있는 것이어야 하겠습니다.” 지스케일러(Zscaler)의 부회장인 마이클 서튼(Michael Sutton)의 의견이다. “물론 코딩에 약간의 변화가 있을 것입니다. 하지만 크게 복잡하거나 대단한 변화는 아닙니다.”

하지만 이를 너무 쉽게 보고 조심하지 않으면 시스템 전체가 다운되는 불상사가 발생할 수도 있다고 스티브 콜리는 경고한다. “몇몇 미리 새로운 네이밍 체제를 적용해 본 사업자 및 전문가들의 시스템이 망가진 사례가 있습니다. 사실 저희조차도 아직은 이 새로운 관리 체계에 적응하기가 힘든 게 사실입니다.”

새로운 네이밍 방식으로 업데이트 하지 않을 경우 어떤 일이 일어날 수 있을까? 예를 들어 취약점 보고 시스템이 네 자리로 이루어진 이전 네이밍 방식을 고수한다면 더 많은 자릿수로 이루어진 새로운 네이밍 방식 뒤에 붙을 숫자들이 당연히 잘려나간다. 네이밍 방식이 다섯 자리 숫자로 바뀐다면 보고서 상에서는 맨 끝 한 자리가 사라진다는 것이다. 그러면 전혀 다른 취약점이 보고되는 것이나 다름없다. “그러면 대처 방안부터 전부 꼬이게 되는 것이죠. 아마도 커다란 소동이 벌어질 것입니다.”

결국 실제 변화는 ‘세부사항’에서 발생하기 마련이라고 비욘드트러스트(BeyondTrust)의 프로그램 관리 수석 담당자인 모리 하버(Morey Haber)는 예견한다. “현재 CVE 네이밍 자릿수에 딱 맞게 코딩을 한 상태라면 아마 이번 변화가 달갑지 않을 것입니다. 지금부터 준비를 조금씩이라도 해나가야 할 것입니다.”

그래서 사실 보안담당자들이 지금 제일 먼저 해야 할 일은 시스템 내 코딩을 면밀하게 검토하는 것이다. “취약점 감지 및 관리 툴, GRC 시스템, 패치 관리, 보안 정보 플랫폼 등 현재의 CVE 네이밍 체제가 적용되는 곳이 새로운 포맷을 지원하는지 알아보라는 것이죠.” 파이어몬(Firemon)의 CEO인 조디 브라질(Jody Brazil)이 권한다. 또한 조직 및 회사 차원에서도 시스템 점검에 심혈을 기울여야 한다.

“아마 유명하거나 대중적인 취약점 관련 툴을 사용했다면 큰 준비가 필요 없을 것입니다. 그 툴을 만든 업체에서 이미 한창 업데이트를 준비 중일 테니까요. 다만 회사 내에서 독자적으로 이런 툴을 만들어 운영했다면 일이 좀 커질지도 모르겠습니다.” 팔로알토 네트웍스의 라이언 올슨(Ryan Olson)이 경고한다. 콜리는 “MITRE에서 기술 안내문을 발행했으니 참고하면 도움이 될 것”이라고 팁을 주었다. 안내문은 여기 링크에서 확인이 가능하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)