Home > 전체기사
취약점 관리, 숫자의 논리로 접근하는 건 지양해야 한다
  |  입력 : 2020-03-25 11:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점이란 무엇인가?...커다란 맥락과 상황 속에서 재정의 해야 할 부분
숫자 싸움은 아무런 의미를 가지고 있지 않아...게임 이론 방식의 접근법 필요해


[보안뉴스 문가용 기자] 모든 취약점들을 다 다루려고 하면 보안 담당자는 다른 일에 눈길도 줄 수 없게 된다. 취약점의 수, 제한된 자원, 팀과 조직마다 달라지는 ‘취약점 관리’의 구체적인 목표 등을 생각했을 때 모든 취약점을 해결하고 말겠다는 결심은 부질없는 것이 되어 버릴 공산이 크다. 취약점은 전체적인 상황과 맥락을 통해 관리하는 것이 최선이다.

[이미지 = iclickart]


취약점에 대한 재정의
취약점 관리의 효율을 높이려면, 제일 먼저 ‘취약점’이란 것이 무엇인지 정의해야 한다. 기술적 정의가 아니라 ‘우리 조직의 입장에서 취약점이란 무엇인가?’ 혹은 ‘어떤 상황에서 우리는 관리해야 할 취약점이 생겼다고 판단할 수 있는가?’를 결정해야 한다. 단순 ‘사이버 범죄자들이 기어들어올 수 있는 구멍이나 통로’를 넘어 ‘익스플로잇의 존재 여부’나 ‘우리 조직을 표적으로 삼을 만한 동기’까지도 고려해야 한다는 것이다.

취약점의 심각성을 판단하는 데 있어서 많은 조직들이 기준으로 삼는 건 CVSS 점수다. 그러나 이 점수를 액면 그대로 받아들이면 취약점 관리에 실패할 수 있다. CVSS는 취약점의 심각성을 평가하는 척도이긴 하지만, ‘위험성’을 측정하지는 않는다. 취약점이 성공적으로 익스플로잇 될 때의 ‘최악의 상황’을 상정한 점수이지, ‘익스플로잇이 실제로 발생할 가능성’은 고려하지 않은 숫자라는 것이다. 안전의 측면에서 최악의 상황을 상상하고 대비하는 건 나쁘지 않지만, 모든 위험 요소에 대해 최악의 상황을 전부 대입하는 건 피곤하고 능률적이지 못하다.

‘맥락’이 제일 중요하다
취약점은 그 자체로 매우 심각하고 중대한 사안이지만, 실제 위험성은 낮을 수 있다. 취약점 관리의 핵심은 이걸 이해하는 것에서부터 시작한다. 그런데 보안 전문가들은 심각한 취약점이나 위험한 취약점이 아닌, ‘새로운’ 취약점에 집중하려는 경향이 강하다. 새로운 취약점이 높은 CVSS 점수를 받았다면 더 그렇다. 그러니 ‘심각한’ 취약점과 ‘실제로 위험성이 높은’ 취약점을 분간하려는 노력은 더 희박해진다.

공격자들은 어떨까? 이들에게 중요한 건 CVSS 점수가 아니다. 취약점이 최신식이든 4~5년 전부터 흔히 알려진 것이든 상관이 없다. 왜? 자신의 가치를 드높이는 게 목적이 아니기 때문이다. 이들에게는 실제 성과가 중요하다. 그러므로 익스플로잇이 쉬운 게 가장 높은 가치를 가진다. 투자 대비 성과가 좋은 취약점이라면 금상첨화다. 그래서 오래된 취약점들에서 계속해서 사고가 발생하는 것이기도 하다. 오래된 취약점은 익스플로잇 방법과 효과가 수년 동안 검증되어 왔기 때문이다.

게임 이론과 취약점 관리
취약점 관리에 실패하는 가장 큰 요인 중 하나는, 성과를 숫자로 매기려는 습성 혹은 문화다. 발굴하거나 패치한 취약점의 숫자 자체가 성과의 척도가 된다. 많이 패치하면 많이 한 것처럼 보이고, 적게 하면 일을 안 한 것처럼 보인다. 하지만 많은 취약점을 패치했다고 실제 위험성이 줄어드는 건 아니다.

만약 보안 담당자가 1천 개의 취약점을 탐지했다면, 그리고 그 중 990개를 패치하는 데 성공했다면 어떨까? 취약점의 99%를 차단했으니 대단한 성과임에 틀림이 없다. 실제 담당자들은 꽤나 열심히 일했을 것이다. 그러나 현실은 냉혹하다. 사이버 공격자들에게 필요한 건 익스플로잇이 가능한 취약점 딱 한 개다. 밤새 99%의 취약점이라는 문을 닫는 데 성공했더라도, 남은 1%에서 익스플로잇이 가능한, 이미 범죄자들 사이에서 가치가 증명된 것이 하나라도 남아있다면 99%의 노력은 도루묵이 된다. ‘사장님, 간밤에 99%의 취약점을 패치했습니다’라는 보고서에는 ‘남은 1%의 취약점이 가진 위험성’에 대한 내용도 덧붙어야 한다.

취약점을 숫자로 접근하면 오류가 생길 수밖에 없고, 그래서 수많은 사건사고가 매일처럼 터지는 것이다. 취약점 관리는 오히려 ‘게임 이론’으로 접근하는 것이 알맞다. 무슨 뜻일까? 게임 이론이란, 경쟁 상대의 반응을 고려해 최적의 행위를 선택하는 의사 결정 방식을 말한다. 상대의 전략과 움직임을 예상해서 방어 전략을 갖춘다는 것이다. 보고하기 위해, 혹은 발표하기 위한 취약점 연구나 패치는 실제적인 위험성을 줄이지 못하고, 따라서 가치가 없다.

효율적인 취약점 관리 전략에 필요한 것은 또 있다. 바로 ‘지속성’이다. 취약점을 한 달에 한 번 혹은 일주일에 한 번 스캔하고 패치하는 건 아예 안 하는 것보다야 낫지만 순간적인 안전함만을 누리게 해준다. 인터넷은 불이 한 순간도 꺼지지 않는 공간이다. 해킹 시도 역시 꺼지지 않는다. 지속적으로 경계하는 것이 취약점 관리의 중요한 요소가 될 수밖에 없는 이유다.

취약점에 접근하려면 전략을 가지고 있어야 한다. CVE와 CVSS 점수만 확인해 체크리스트에 올리고, 위에서부터 차례차례 패치하는 평면적인 접근법으로는 실패할 것이 뻔하다. 전체 그림과 맥락 속에서 취약점을 분석해 최종적인 ‘위험성’을 판단하고, 시급한 것부터 해결하는 것이 진정한 ‘위험 관리’다.

글 : 프라틱 바잔카(Prateek Bhajanka), Qualys
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)