Home > Security
구글의 프로젝트 제로, ‘책임감 있는 취약점 공개’ 정책 변경해
  |  입력 : 2020-01-09 11:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이전까지는 90일 내에 패치 개발하도록 독려하는 것이 목표
이제부터는 90일 내에 패치 배포와 적용까지 독려하는 것이 목표


[보안뉴스 문가용 기자] 구글의 프로젝트 제로(Project Zero)가 취약점 공개와 관련된 정책을 변경했다. 패치가 선공개 되는 것과 별개로 취약점은 무조건 90일 동안 보관하고 있겠다는 점이 특히 눈에 띈다. 이 새 정책은 2020년 1월 1일부터 시행되기 시작했고, 12개월 동안 운영될 예정이다. 그 후 프로젝트 제로는 이 정책을 한 번 더 평가할 계획이라고 한다.

[이미지 = iclickart]


그 동안에도 프로젝트 제로는 이 ‘90일 정책’을 고수했었다. 다만 패치가 90일보다 먼저 나올 경우 취약점에 대한 내용을 공개하기도 했었다. 또한 90일이 지나면 패치가 나오지 않아도 공개했었다. 지금은 어떤 경우에라도 90일을 보관한 후에 세부 내용을 공개하겠다는 것이다. 다만 개발사와 프로젝트 제로가 90일 이전에 공개해야 할 상황임에 동의할 경우 선공개가 가능하다.

패치가 있든 없든 무조건 90일이 지난 시점에서 취약점 정보를 공개하겠다는 건 어떤 의미를 가지고 있을까? 프로젝트 제로의 팀 윌리스(Tim Willis)에 의하면 “이전까지는 패치를 반드시 개발해야 한다는 압박으로서 정책이 작용했다면, 이제부터는 패치 개발과 적용에까지 초점을 두게 될 것으로 기대하고 있다”고 말한다.

따라서 90일 안에 패치가 개발됐을 때 예전 같았으면 취약점 정보를 공개했을 프로젝트 제로가 앞으로는 픽스 자체도 점검해 더 보완해야 할 점을 도출해낼 것이다. 보완이 필요한 경우 새로운 90일 마감일이 적용되지 않는다. 다만 개발사가 사정에 따라 최대 14일을 추가로 요청할 수 있다. 이 14일 동안 패치가 완료되면, 그 즉시 취약점 정보를 공개한다고 프로젝트 제로는 명시하고 있다.

사이버 범죄자들이나 국가 지원 해커들이 이미 활발하게 익스플로잇을 하고 있는 취약점들이라면 패치 개발에 주는 기한은 90일이 아니라 7일이다. 이 부분은 예전과 다름이 없다.

구글의 프로젝트 제로가 과거에 90일이라는 기한을 정했을 때 업계에서는 많은 반발이 일었다. 구글은 당시에도 “개발사들이 패치를 빠르게 만들어야 인터넷이 안전해진다”는 입장을 고수했었다. 그리고 실제로 그 일은 일어났다. 현재 공개된 취약점의 97.7%가 3개월(즉 90일) 내에 패치된다.

윌리스는 “90일이라면 문제의 근원을 파악하고 분석을 충실히 실행하기에 충분한 기간”이라며 “앞으로 많은 업체들이 빠르게 패치를 개발하는 것뿐 아니라 적용 및 배포까지 꼼꼼하게 해 공격자들이 누리고 있는 기회들을 앗아가기를 바란다”고 말한다.

보안 업체 타이코틱(Thycotic)의 수석 과학자인 조셉 카슨(Joseph Carson)은 “프로젝트 제로의 이런 움직임 때문에 앞으로 많은 개발사들이 싫든 좋든 패치 개발에 더 적극 나서고, 시간을 단축시켜야 할 것”이라고 말한다. “하지만 실제 취약점을 공개하는 것만으로 안전한 인터넷 환경을 만들 수 있는 건 아닙니다. 개인적으로는 리스크를 기반으로 한 분석 결과가 공개되는 방향으로 가야 한다고 봅니다.”

카슨은 “우리는 지금 ‘안전’이라는 것을 추구하면서 벤더사에만 지나치게 집중하려는 경향이 있다”는 의견이다. “안전의 책임은 고객들에게도 있습니다. 패치를 개발했느냐 안 했느냐를 벤더사에게 따지는 만큼, 그 패치가 전달되었느냐 혹은 전달 받았느냐와 적용했느냐도 따져야 합니다. 그래야 실질적으로 더 안전해지는 것입니다. 또한 며칠이 지났느냐에 따라 취약점을 공개하는 게 아니라, 그 취약점을 공개하는 것 자체가 공공의 안전에 도움이 되는지 안 되는지에 따라 여부를 결정해야 한다고 생각합니다.”

그러면서 카슨은 “패치가 여건 상 안 되는 곳들도 상당히 많다는 것을 고려할 필요도 있다”고 재차 강조했다. “패치하는 것이 무조건적인 선이고, 패치하지 않는 것은 무조건적인 악인 것으로 분위기를 몰아갈 필요가 없습니다. 그런 부작용이 걱정되긴 합니다.”

3줄 요약
1. 구글의 프로젝트 제로, ‘90일 이후 취약점 공개’ 정책 새롭게 고침.
2. 이제는 패치가 되더라도 90일이 지나야만 취약점 정보를 공개한다고 발표.
3. 왜? 90일 동안 이뤄질 패치 과정까지도 점검하기 위해.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)