보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

트렌드마이크로, ‘보안패치 품질 하락, 기업 리스크 부담 가중’ 경고

입력 : 2022-08-31 11:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
제로데이 이니셔티브, 벤더에 공개정책 개정 통한 적극적 개선 강조
보안패치 타임라인 30~90일로 세분 설정...패치 비용 공식도 제시


[보안뉴스 김영명 기자] 클라우드 보안 솔루션의 글로벌 리더 트렌드마이크로(지사장 김진광)는 불완전하거나 결함이 있는 보안패치가 증가하면서 업데이트 시 기업에 최대 40만 달러(약 5억4,000만원)의 비용이 발행할 수 있다고 밝혔다.

▲트렌드마이크로 로고[이미지=트렌드마이크로]


트렌드마이크로 보안 및 취약점 연구 조직인 제로 데이 이니셔티브(Zero Day Initiative, ZDI) 관계자는 글로벌 정보보안 행사 ‘블랙햇(Black Hat) USA 2022’에서 보안 패치 품질과 벤더-고객 간 커뮤니케이션의 현저한 감소를 해결하기 위해 수립한 정책 변화를 공개했다.

브라이언 고렝크(Brian Gorenc) 트렌드마이크로 ZDI 취약점 리서치 시니어 디렉터는 “ZDI가 벤더에게 2005년부터 1만개 이상의 취약점을 공개하면서 산업 전반의 보안패치 현황에 대해 이렇게 우려한 적은 없었다”며 “벤더가 부적절한 패치와 복잡한 권장사항을 제공해 기업의 시간과 비용이 낭비되고, 불필요한 비즈니스 리스크가 가중되고 있다”고 말했다.

ZDI는 결함이 있거나 기타 미완성된 패치를 제공하는 벤더로부터 파생된 세 가지 주요 문제에 대해 △부족한 벤더 서비스로 기업이 자사 네트워크에 미치는 실질적 위험에 대한 뚜렷한 가시성을 가질 수 없다 △불완전 또는 결함이 있는 업데이트로 기업이 같은 패치를 반복하게 하며 추가 시간과 비용을 소모하게 한다 △업데이트가 완료됐다는 착오로 인해 기업의 잘못된 패치가 패치 이전보다 더 큰 위험을 초래한다는 등으로 정의했다.

이와 같은 문제는 단일 취약점을 개선하기 위한 추가 업데이트로 이어져 기업자원 낭비와 위험을 가중시켜 패치 비용을 배로 증가시키게 된다.

또한 벤더들이 패치 관련 인증 정보를 평문으로 제공하는 것을 꺼리는 추세로 네트워크 방어자들이 위험 노출을 정확히 측정할 수 없게 됐다.

ZDI, 비효율 패치에 대한 공개정책 변경 제시
ZDI는 업계 전반의 이러한 비정상적인 시스템을 개선시키기 위해 비효율적 패치에 대한 공개 정책을 변경하고 있다. 또한, 기본 120일로 설정된 타임라인을 우회된 보안 패치 결과로 추정되는 버그를 잡기 위해 △취약점 공격이 예상되는 최고 ‘위급(Critical)’ 등급의 경우 30일 △‘위급’ 및 ‘높은’ 심각도 버그이지만 패치가 일부 보호기능을 제공하는 경우 60일 △즉각적인 공격이 없을 것으로 예상되는 기타 등급의 경우 90일 등으로 각각 단축했다.

대부분의 기업에서 침해 발생에 걸리는 시간이 해당 취약점 패치에 소요되는 시간보다 짧기 때문에 패치가 적절하게 설계됐더라도 패치 자체가 위협행위자들에게 잠재적 취약점을 알리게 되면서 위험을 증가시킬 수 있다. 패치가 불완전하거나 결함이 있는 경우라면 기업의 손상 위협은 배 이상으로 커진다.

패치 비용은 기업마다 각각 다르지만, 트렌드마이크로는 ‘총비용=f(T, HR, S, PF)’와 같은 공식을 통해 결함이 있는 패치에 대한 비용을 측정했다.

이 공식에서 △T는 패치 관리에 소요되는 시간 △HR은 패치관리 전문가에 대한 인적관리 비용 △S는 패치가 적용되는 애플리케이션의 수 △PF는 애플리케이션마다 2~3주 정도가 해당되는 패치 빈번도를 의미한다.

대기업과 함께 중소기업이라도 매월 10만 달러(약 1억3,500만원) 이상을 패치비용으로 지출하는 것이 이제는 흔한 일이다. 앞서 패치 비용을 측정하기 위해 사용된 공식을 떠나 같은 취약점에 여러 차례 업데이트를 적용하는 것은 기업을 불필요한 위험에 노출하면서 시간과 비용을 소모하게 한다.

기업이 이러한 위험을 이해하고 완화하기 위해 트렌드마이크로는 △엄격한 자산 검색 및 관리 프로그램 개발 △책정된 예산 범위에서 가능한 한 가장 신뢰할 수 있는 벤더 선정 △보안기업의 주요 패치 일정인 ‘패치 화요일(Patch Tuesday)’에 관계없이 지속해서 패치 수정사항 모니터링과 면밀한 위협환경 변화 관찰 등의 위험평가 실행 등을 제시했다.

한편, ZDI는 전 세계 최대 규모의 벤더 불문 버그 보상 프로그램으로 지난 한 해 발견된 전체 취약점 중 약 64%를 탐지했다. 제로데이 이니셔티브(ZDI) 정책 변화 내용은 홈페이지에서 확인할 수 있다.
[김영명 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)