Home > 전체기사

소프트웨어 취약점 패치, 속도보다 정확도가 중요하다

  |  입력 : 2022-01-20 16:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점은 1년에 2만 개가 넘게 발견된다. 이걸 다 패치할 수는 없다. 필요한 것만, 필요한 때에 패치하는 게 중요한데, 그렇기 때문에 전략이 반드시 있어야 한다. 패치 전략의 가장 중요한 기준이 되는 건 현재 CVSS 점수인데, 그것보다 더 좋은 것이 있다고 한다.

[보안뉴스 문가용 기자] CVSS 점수를 기준으로 패치 전략을 만드는 조직들이 상당히 많다. CVSS를 기준으로 점수가 높은 취약점들을 먼저 패치한다는 식이다. 아무 취약점이나 닥치는 대로, 혹은 상황이 허락하는 대로 패치하는 것보다 나은 전략이지만, 그렇다고 엄청나게 효과적이라고 보기는 힘들다. 최근 연구 결과에 의하면 ‘익스플로잇 출시 여부’에 따른 패치 전략이 가장 효과적이라고 한다.

[이미지 = utoimage]


보안 업체 켄나시큐리티(Kenna Security)와 데이터 과학 전문 조직인 사이엔샤 인스티튜트(Cyentia Institute)가 공동으로 분석한 바에 의하면 CVSS 점수에 따라 취약점을 분류하고, 패치의 우선순위를 결정하는 방법은 무작위로 패치하는 방법보다 2~6배의 효과를 가지고 있는 것으로 나타났다. 2배에서 6배의 차이를 만드는 가장 큰 요인은 패치의 속도였다. 즉 빠르게 패치를 하면 할수록 효과가 늘어난다는 것이다.

켄나시큐리티의 공동 창립자인 에드 벨리스(Ed Bellis)는 “익스플로잇 코드가 있는지 조사하고, 그런 코드가 공개된 취약점부터 패치하는 게 대단히 높은 효과를 발휘한다”고 말한다. “해커들 사이에서나 보안 전문가들 사이에서 익스플로잇 코드가 공개 및 유포되는 경우가 많죠. 그런 동향을 조사해 익스플로잇 코드가 존재하는 취약점부터 패치를 서둘러야 합니다. 이런 취약점만 해결해도 위험도가 크게 낮춰집니다.”

벨리스는 이에 대해 “공격자들의 전략에는 한 가지 변하지 않는 근간이 있기 때문”이라고 설명한다. “공격자들은 효율성을 최고로 칩니다. 낮은 투자로 높은 수익을 거두고 싶어 하는 것이죠. 이 때문에 익스플로잇 코드를 스스로 개발하는 것보다, 이미 누군가 만들어 둔 것을 재활용하거나 살짝 개량시키는 것을 선호합니다. 즉 익스플로잇 코드가 없는 취약점이라면 굳이 먼저 나서서 건드리지 않는 게 일반적인 사이버 범죄자들의 성향이라는 겁니다.”

사이엔샤 인스티튜트의 창립자인 제이 제이콥스(Jay Jacobs)는 “CVSS 점수는 취약점 분석 지표 중 하나로 매우 가치가 있는 정보임에 분명하지만, 패치 전략의 절대적 기준으로서 만들어지는 것이 아니라는 걸 기억해야 한다”고 강조한다. “CVSS 점수를 활용해 각 조직 나름의 패치 우선순위를 결정할 수 있어야 합니다. CVSS 점수가 대신 결정해주기를 바라서는 안 됩니다.”

패치는 반드시 전략적으로 이뤄져야 하는 보안 업무로 자리를 잡았다. 2021년 한 해 동안 NVD에 등록된 취약점만 해 도 2만 개가 넘기 때문이다. 365일 동안 매일 패치를 한다고 해도 하루에 54~55개씩 해야 하는데, 그 어떤 조직도 매일 50개가 넘는 패치를 하면서 생산성을 그대로 유지할 수 없다. 실제 조직들이 평균적으로 패치하는 취약점은 15% 정도에 그치고 있다. 우선순위를 정하고, 무시할 건 무시할 수 있어야 효과적인 방어를 할 수 있게 된다.

이 때 ‘속도’보다는 ‘정확성’이 중요한 것으로 조사됐다고 벨리스는 강조한다. “취약점으로 인한 위험도를 낮추려면 단순히 더 많이 하고, 더 빨리 하는 것만으로는 부족합니다. 실제 공격이 발생할 가능성이 높은 것을 정확히 패치하는 게 더 중요합니다. 보안 인력을 대거 고용해 취약점 패치를 대량으로 해내는 조직임에도 사이버 공격에 많이 노출된 곳이 있고, 자본이 부족해 사람을 더 쓸 수 없어 제한된 환경에서 패치를 하는데도 노출이 덜 된 곳이 있는 이유 중 하나입니다.”

취약점을 골라서 패치해야만 하는 또 다른 이유는, 한 해 동안 보고되는 모든 취약점들이 전부 기업과 기관의 환경에 그대로 존재하는 게 아니기 때문이다. 이번 조사에 의하면 약 1/5~1/4의 취약점들만이 평균적인 기업 환경에 존재한다고 한다. 그러니 총 2만 개의 취약점 중 4천~5천 개만 전략적으로 해결하면 된다. “그러니 보안 담당자들이 자기 네트워크에 대해 잘 알고 있어야만 합니다.”

벨리스는 “NVD에 등록된 취약점들 중 대다수가 기업 환경에서는 좀처럼 찾을 수 없는 소프트웨어들에서 발견된 것들”이라고 설명을 추가한다. “일반 소비자용 소프트웨어에서도 취약점이 다수 발견됩니다. 이런 취약점들은 기업들이 대부분 무시하고 넘어가도 되죠. 단 임직원 개개인이 아무 소프트웨어나 업무용 컴퓨터에 설치하지 않았다면 말이죠. 그래서 평소 ‘은둔의 IT’라고 하는 비승인 소프트웨어를 잘 관리해야 합니다. 그러면 패치가 굉장히 수월해질 수 있어요.”

제이콥스는 “취약점 관리라는 건 지루하고 단순한 작업의 반복이어서는 안 된다”고 강조한다. “패치는 회사 전체의 리스크를 관리하고 공격 표면을 능동적으로 줄여가는 커다란 프로젝트의 일환입니다. 보다 다이내믹하고 흥미로울 수 있으며, 방어에 있어 대단히 높은 효과를 발휘할 수 있는 방어법입니다. 덮어놓고 패치가 나올 때마다 하는 게 아니라 주도적으로 관리하는 게 중요합니다.”

3줄 요약
1. 위험 관리에 있어 가장 중요한 업무 중 하나는 ‘패치.’
2. 하지만 패치를 무작위로 하는 건 비추천. CVSS 점수를 기준으로 하면 조금 나음.
3. 가장 효과적인 건 익스플로잇 코드 존재 여부에 따라 패치 순서 정하는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)