[주말판] 취약점 평가하는 CVSS 점수, 이대로 괜찮은가?

CVSS 점수, IT 시스템 평가하는 데에 적합하지만...
수치화된 취약점 특성...소통엔 장점 있지만 평면적이라는 단점 있어

[보안뉴스 문가용 기자] 얼마 전 수능이 끝났다. 수능은 대학 입학을 위한 평가 제도의 한 가지 방법인데, 사실 이 대학 입시 평가 제도라는 건 모든 정권에 있어 골치 아픈 문제다. 이 문제 때문에 정당 지지도가 갈리기도 하며, 이 때문에 수험생들의 각종 인생 경로가 바뀌기도 한다. 가치를 어떤 식으로 평가하느냐는 그만큼 중요하고 민감한 문제다.

[이미지 = iclickart]

현재 보안 업계는 취약점을 발견할 때마다 CVE 번호를 부여하고, CVSS 점수를 매긴다. 추적을 용이하게 하고, 패치 우선순위에 대한 이해도를 높이기 위해서다. CVSS란 공통 취약점 등급 시스템(Common Vulnerability Scoring System)의 준말로, 취약점의 위험성을 나타내는 표준으로 굳어졌다. 그런데 이 CVSS 점수 때문에 취약점에 대해 잘못된 생각을 가질 수 있게 된다는 지적들이 나오기 시작했다.

CVSS 시스템은 ‘CVSS 분과회(CVSS Special Interest Group)’에서 관리하는 것으로, “취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기하는” 서비스를 제공한다. 점수는 다음과 같이 크게 네 가지로 분류된다.
1) 저위험군 : 0.1~3.9점
2) 중위험군 : 4.0~6.9점
3) 고위험군 : 7.0~8.9점
4) 치명적 위험군 : 9.0~10.0점

현재 CVSS 시스템은 3번째 버전(CVSS v3)으로, 사용자들이 공격 벡터, 공격의 복잡성, 필요한 권한, 사용자 참여 정도, 공격 범위, 기밀성, 실제성, 가용성 등의 요소들을 바탕으로 기본 점수를 매길 수 있게 해준다. 이 기본 점수(base score)는 고정적이며, 변하지 않는다. 반면 취약점에는 시간에 따라 특성이 변하는 부분도 존재하는데, 이는 익스플로잇 코드의 완성도, 복원 난이도, 취약점 보고자(발견자)의 자신감 등의 요소를 바탕으로 계산된다. 이를 시간 점수(temporal score)라고 한다. 또 사용자의 환경에 따라 변하는 특성에 대한 점수 계산도 이뤄진다. 취약점에 영향을 받는 자산의 중요성, 기밀성, 가용성, 무결성 등과 같은 요소를 통해 계산되며, 환경 점수(environmental score)라고 한다.

CVSS 점수, 왜 문제인가
이렇게 CVSS 점수 계산은 투명하게 이뤄지지만, 보안 연구원 개개인들과 보안 전문 기업들이 최종적으로 발표된 CVSS 점수에 동의하지 않는 건 흔히 볼 수 있는 일이다. SCADA 시스템의 보안을 전문으로 하는 래디플로우(Radiflow)의 CEO이자 창립자인 일란 바르다(Ilan Barda)는 “CVSS 점수라는 게 원래는 IT 시스템에서 사용될 목적으로 개발됐고, 그래서 산업 시스템에 적용했을 때 정확하지 못할 때가 있다”고 설명한다.

또 다른 산업 보안 업체인 노조미 네트웍스(Nozomi Networks)의 공동 창립자 모레노 카룰로(Moreno Carullo)는 “CVSS는 취약점 점수를 표준화한다는 큰 가치를 지니고 있지만, 취약점을 설명하는 하나의 참고 자료 정도일뿐”이라고 말한다. “CVSS 점수를 보면서 ‘이 취약점이 이렇게나 위험한 것이구나’라고 자동으로 생각할 게 아니라, ‘CVSS 운영자들은 이런 식으로 생각했지만, 내가 볼 땐...’이라며 자기 자신만의 점수를 매길 수 있어야 합니다. 취약점이란 건 절대적인 게 아니라 시간과 환경에 따라 달라지는 거니까요.”

보안 업체 포지티브 테크놀로지스(Positive Technologies)의 SCADA 전문가인 파올로 에밀리아니(Paolo Emiliani)는 “CVSS 점수는 특정 산업 프로세스에만 적용되어야 한다”고 주장한다. “이 점수를 가지고 모든 사람들이 똑같은 패치 우선순위를 정한다는 건 말이 되지 않습니다.”

또 다른 보안 업체 카스퍼스키(Kaspersky)의 취약점 연구 책임자인 블라디미르 다슈첸코(Vladimir Dashchenko)는 “IT의 관점에서 취약점이 얼마나 큰 문제인가를 나타내주는 전통적인 CVSS 점수는 IT 환경에서 유용할 수 있다”고 말한다. “하지만 그러한 오류가 테크니컬 프로세스에 미치는 충격이나 물리적으로 끼칠 수 있는 영향은 점수 계산에 포함되지 않으므로 완전한 건 아닙니다.”

그러면서 다슈첸코는 “OT 및 ICS 환경의 사용자들은 항상 ‘IT 버그는 OT 환경에서 다르게 작용한다’고 말한다”며 “왜냐하면 그건 사실이기 때문”이라고 설명을 잇는다. “취약점의 잠재력은 IT 환경과 OT 환경에서 크게 달라집니다. 간단히 설명하자면 OT에서 나타나는 취약점은 IT의 그것과 마찬가지로 금전적 손실로 이어질 뿐만 아니라 물리적 피해와 인명 손실로도 이어질 수 있습니다.”

보안 업체 어플라이드 리스크(Applied Risk)의 ICS 전문가인 존 엘더(John Elder)는 “IT와 ICS 환경 모두에서 CVSS 점수가 잘못된 결과를 이끌 수 있다”고 주장한다. “취약점이라는 건 여러 가지 익스플로잇 시나리오를 가지고 있기 마련이고, 어떤 시나리오를 사용하느냐에 따라 결과가 달라질 수 있습니다. 그렇다고 CVSS 점수가 무용지물이라는 건 아닙니다. 취약점을 평가하는 데 있어 좋은 시작점이 되는 건 분명합니다.”

어플라이드 리스크의 또 다른 전문가 십케 멜레마(Sipke Mellema) 역시 CVSS 점수가 IT와 OT 모두에 잘못된 이해를 심어줄 수 있다는 데 동의한다. “ICS의 가장 큰 문제는 물리적 보안 혹은 안전과 굉장히 밀접하다는 겁니다. 그런데 CVSS에는 이러한 항목이 없다고 할 수 있죠. 소셜 엔지니어링 공격 같은 건 어떻게 점수를 매길 수 있을까요? CVSS 점수에도 빈틈이 있다는 겁니다.”

래디플로우의 CTO인 예호나탄 크피르(Yehonatan Kfir)는 “ICS 환경에 적용하는 건 ‘환경 점수’가 더 적합하다”는 의견이다. “하지만 환경 점수는 사람들이 쳐다보지도 않습니다. 산업 시스템에서 가장 중요한 건 가용성이고, IT 시스템에서 가장 중요한 건 기밀성이라 취약점의 영향이 다를 수밖에 없습니다. 기밀을 누출시키는 취약점이 IT에선 크게 부각될 때, ICS에서는 공장 가동 중단이 가장 심각한 피해로 이어질 수 있습니다.”

그것 말고도 크피르는 “처음부터 취약점 익스플로잇의 위험성을 숫자로 표시한다는 것부터가 논란의 대상”이라고 덧붙였다. “현재의 수치는 지난 사이버 사건들에서부터 나온 통계자료를 바탕으로 계산됩니다. 그리고 여기서 말하는 사이버 사건들은 대부분 IT 네트워크에서 발생한 것들이죠.” 그 결과 ICS 시스템 혹은 장비들에 적용될 수 있는 취약점 점수에는 편파성이 있을 수밖에 없다. 통계자료가 충분치 않기 때문이라는 게 크피르의 설명이다.

CVSS 점수가 일으킨 오해들
그렇다면 CVSS 점수만 믿고 있다가 잘못된 실제 사례가 있을까? 보안 업체 사이버엑스(CyberX)의 부회장인 데이비드 앗치(David Atch)는 CVE-2015-5374가 좋은 예라고 말한다. “악명 높은 산업 시스템용 멀웨어인 인더스트로이어(Industroyer) 혹은 크래시오브라이드(Crashoverride)가 익스플로잇한 취약점으로, 디도스 공격을 가능하게 한 것이었습니다. 하지만 CVSS 점수는 7.8점이 고작이었습니다. 이 취약점이 발견된 장비는 발전 프로세스에서 중대한 역할을 맡고 있는 것이었기 때문에 7.8점보다 훨씬 높은 점수를 받아야 했습니다.”

카스퍼스키의 다슈첸코는 CVE-2017-6021을 꼽는다. 슈나이더 일렉트릭(Schneider Electric)에서 만든 에코스트럭슈어 지오 SCADA 엑스퍼트(EcoStruxure Geo SCADA Expert) 소프트웨어에서 발견된 것이었다. 이 소프트웨어는 SCADA 관리를 원격에서 할 수 있게 해주는 것으로, 이 취약점은 디도스 공격을 가능케 해주었다. “IT 관점에서는 디도스 공격이 별거 아닌 것처럼 보입니다만, ICS에서는 대단히 심각한 문제입니다. 그래서 이 취약점의 점수는 지나치게 낮은 감이 있었습니다.”

비슷한 사례를 크피르도 꼽았다. 하나는 CVE-2018-7795로, 슈나이더 일렉트릭의 파워로직 PM5560 전력 관리 시스템에서 발견된 XSS 취약점이고, 다른 하나는 CVE-2018-7789로 슈나이더의 모디콘 M221 PLC에서 발견된 디도스 취약점이다. “첫 번째 취약점은 8.2점을 받았습니다. 하지만 두 번째 취약점은 4.8점밖에 못 받았어요. 첫 번째 XSS 취약점이 훨씬 중대한 것처럼 보이죠. 실상은 PLC에 대한 디도스 공격이 훨씬 위험한데 말이죠. 실제로 가용성과 무결성을 가장 중요한 요소로 생각했을 때 첫 번째 취약점은 7.1점, 두 번째 취약점은 8.1점이 됩니다.”

어플라이드 리스크의 연구원들은 “낮은 CVSS 점수를 받은 취약점이라고 하더라도 다른 취약점들과 결합됐을 때 큰 사건을 일으킬 수 있다”고 지적하기도 한다. “최근 어플라이드 리스크는 다량의 치명적인 취약점들을 한 장비 내에서 찾아낸 적이 있습니다. 치명적인 취약점인 만큼 CVSS 점수가 높았죠. 전부 인증을 통과해야만 익스플로잇 할 수 있었던 것이었습니다. 그런데 같은 장비 내에서 디렉토리 탐색 취약점도 하나 더 발견했습니다. CVSS 점수가 훨씬 낮은 것이었죠. 그런데요, 이 낮은 점수의 취약점을 공격에 활용하면 크리덴셜을 확보할 수 있게 되고, 이 때문에 공격자는 인증 과정을 통과해 치명적인 취약점들을 익스플로잇 하게 됩니다. CVSS 점수가 모든 걸 반영하지 않는다는 실례입니다.”

CVSS 점수로 인한 잘못된 인식은 어떤 영향을 미치는가
논란의 소지가 있는 CVSS 점수들은 “ICS 네트워크 운영자들의 위험 관리 업무를 복잡하게 만든다.” 크피르는 “CVSS 점수만 믿고 패치 순서를 정하면, 실제 조직 내 위험을 급한 것부터 순서대로 해결할 수 없다”고 설명한다. 노력에 비해 성과가 없거나, 노력의 효율이 크게 떨어질 수 있다는 소리다.

사이버엑스의 앗치는 “잘못된 CVSS 점수 때문에 산업 조직들은 피해를 입을 수 있다”고까지 말한다. “낮은 점수는 무시하기 마련인데, 낮은 점수의 취약점이라도 환경과 맥락에 따라 치명적으로 작용할 수 있으니까요. 점수가 낮다고 패치를 하지 않기로 결정이라도 한다면 - 그리고 실제 점수가 낮은 취약점은 패치 안 하는 경우가 빈번하죠 - 마치 폭탄을 안고 사업을 진행하는 것과 마찬가지입니다.”

엘더는 “그래서 실제로 CVSS 점수에 따라 패치 순서를 정하는 산업 조직은 거의 없다”고 설명한다. “CVSS를 절대적 기준으로 받들어 모시지 않는 건, 그들이 현명해서가 아닙니다. 패치라는 거 자체를 아직 제대로 하지 않고 있어서죠. 공장의 오래된 시스템들은 수명이 끝날 때까지 패치가 되지 않는 게 대부분입니다. 패치에 관심이 없거나, 할 수 없다는 게 ICS의 큰 문제입니다.”

하지만 CVSS 점수가 ICS 취약점들을 다루는 데에 있어 여전히 쓸모 있는 체계라고 주장하는 전문가들도 있다. 물론 여기에는 전제 조건이 붙는다. “다른 여러 가지 요소들과 함께 사용되어야 하지, CVSS 점수만 단독으로 사용되지 않는다”는 것이다. 환경 점수를 더 중요하게 여겨야 한다거나, 단일 소프트웨어 및 장비가 아니라 전체 환경적 맥락에서 취약점을 평가해야 한다거나, 다른 위험 평가 시스템을 함께 사용해야 한다는 게 가장 많이 등장하는 권장 사항이다.

“최적의 방법은 리스크에 기반을 둔 평가를 하는 겁니다. 침해되었을 때의 잠재적 영향력, 익스플로잇의 용이성 등을 고려한다는 것이죠. 또한 해당 장비가 ICS 환경 전체에 얼마나 중요한 위치를 차지하고 있는가, 여러 취약점을 연쇄적으로 공략하는 게 가능하다고 했을 때, 해당 취약점의 쓸모는 어느 정도인가 등도 점수에 반영해야 합니다.” 앗치의 설명이다. “아이다호 국립연구소(INL)의 전문가들이 이런 리스크 기반 평가 제도를 이미 사용 중에 있습니다.”

또 다른 부류는 “새로운 시스템을 만들어야 한다”고 주장한다. 산업 내 기관과 조직들이 힘을 합쳐 새로운 점수 시스템을 만들 때가 됐다는 것이다. 그러나 멜레마는 “CIA 점수나 AIC 점수를 사용하는 게 훨씬 쉽고 직관적”이라는 의견이다. “결국 CVSS를 사용하든, AIC를 사용하든, 새로운 점수 체계를 만들든, 조직이 알고 싶은 건 ‘이 취약점이 우리 조직에 미칠 수 있는 위험은 어느 정도인가?’입니다. 이 본질적인 의문에 답하기 위한 장치가 필요하다는 걸 염두에 두어야 합니다.”

그러면서 멜레마는 “점수 체계 자체가 중요한 게 아니”라고 거듭 강조했다. “취약점을 발견하고, 그걸 분석하는 자들과, 취약점에 대해 알고 싶어 하고, 그 취약점 때문에 실질적인 피해를 입을 수 있는 자들 사이의 소통이 중요한 것입니다. CVSS는 ‘숫자’로 그 소통의 문제를 해결하려고 한 것이고요. 하지만 우리는 단편적인 숫자로는 충분한 소통이 되지 않는다는 걸 슬슬 깨닫기 시작했습니다. 그렇다면 이 다음에 올 소통의 매개는 뭐가 되어야 할까요? 고민은 거기서부터 시작되어야 합니다.”

3줄 요약
1. 취약점의 심각성 보여주는 CVSS 점수, 사실은 IT 시스템을 위한 것. 따라서 산업 시스템에서는 부적절할 수 있다.
2. CVSS 점수에만 의존하는 건 큰 문제. 다른 보완책과 함께 사용되어야 함. 조직 스스로 취약점 평가 할 수 있는 것도 중요.
3. 평가 시스템의 목적은 ‘취약점 전문가’와 ‘취약점으로 인한 피해자’ 사이의 소통.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)