Home > 전체기사
취약점 점검과 패치만 잘 해도 공격자의 비용 올라간다
  |  입력 : 2019-11-18 16:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현대 보안에서 가장 중요한 건, 지속적인 관찰과 능동적인 점검
자동화 기술과 주기적인 침투 테스트 통해 취약점 줄이고 심각도 낮춰야


[보안뉴스 문가용 기자] 자동화 기술과 주기적인 침투 테스트를 활용해 보안을 지속적으로 점검하는 것으로 공격자들의 비용을 두 배 늘릴 수 있다는 연구 결과를 보안 업체 사이낵(Synack)이 발표했다.

[이미지 = iclickart]


“레드팀을 통해 자산을 점검한 뒤 취약점을 찾아내는 기업들의 수가 지난 2년 동안 약 2배(112%) 증가했습니다. 동시에 레드팀이 찾아낸 취약점들의 평균 심각도는 줄어들고 있습니다. 2016년 CVSS 점수는 평균 6.41점이었지만 2018년에는 5.95점을 기록했습니다.” 이런 결과를 두고 사이낵은 “기업들이 능동적인 보안 점검을 통해 시스템 강화에 성공했다 뜻”이라고 해석하고 있다.

사이낵의 제품 마케팅 책임자인 앤마리 춘 윗(Anne-Marie Chun Witt)은 “취약점들은 점점 줄어들고 있고, 그 심각도도 낮아지고 있으며, 찾아내는 데 걸리는 시간이 더 길어지고 있다”며 “그 동안 보안에 투자를 한 기업들이 전체적인 보안 상황을 유의미하게 향상시켰으며, 공격은 더 힘들어졌다”고 평가했다.

사이낵의 이번 연구 결과는 꽤나 의미가 깊다. 보안을 강화하기 위한 노력이 밑 빠진 독에 물 붓기가 아니라는 게 명확히 드러나는 수치를 제공하기 때문이다. “전반적으로 자동화 기술을 가지고 주기적으로 보안 점검을 하는 기업들이 약 43% 강력한 것으로 나타났습니다.” 43%는 사이낵이 독자적인 기준으로 도출한 값이므로 절대적이지 않다.

절반 이상의 기업들이 취약점을 패치하는 데 3개월이 채 걸리지 않는다는 것이 이번 조사를 통해 드러나기도 했다. 쇼핑몰들을 비롯한 전자상거래 업체들과 도소매 업체, 정부 기관과 교육 기관이 느린 편에 속했다. “반면 칭찬을 받아 마땅한 산업도 있었습니다. 취약점을 능동적으로 찾아내고, 이를 적극 약화시키는 것은 물론, 조직 내 문화 변화까지도 꾀하며 보안을 강화하는 그런 곳들 말입니다. 그런 곳들은 눈에 분명히 띄는 향상을 대가로 지불 받고 있습니다.”

능동적이고 재빠른 취약점 대처만으로 침해와 유출의 위험으로부터 벗어날 수 있다는 연구 결과를 발표한 건 사이낵 만이 아니다. 이번 달 초 버그바운티 관리 플랫폼인 해커원(HackerOne)은 네 건의 대형 데이터 유출 사고를 분석하면서 “이미 알려진 취약점들이 익스플로잇 됐다”는 사실을 알게 되었다고 발표했다. “버그바운티를 사용했더라면 훨씬 적은 비용으로 문제를 해결할 수 있었습니다.”

네 건 중 하나는 영국항공(BA)에서 발생한 것으로, 영국항공은 벌금만 2억 3천만 달러를 내야 하는 상황이다. “그 천문학적인 손해가 하나의 자바스크립트 취약점 하나 때문에 발생한 겁니다. 이 취약점은 버그바운티 시장에서 통상 5천~1만 달러 정도에 거래될 수 있는 것입니다. 극심한 손해죠.”

포네몬의 경우 ‘사이버 범죄 비용 연구(Cost of Cybercrime Study)’를 통해 보안에 대한 투자가 범죄자들의 비용에 어떠한 영향을 주는지 연구하기도 했다. 그러면서 네 가지 기술이 공격자의 비용은 높이고 방어자의 비용은 낮출 수 있다고 발표했다. “1) 보안 첩보와 위협 공유, 2) 자동화, 인공지능, 머신러닝, 3) 고급 아이덴티티 및 접근 관리, 4) 사용자 행동 분석이 바로 그것입니다.

한편 사이낵이 발표한 보고서를 통해 제조업과 사회 기반 시설 관련 산업이 의외로 공격에 대한 저항력이 꽤나 준수한 것으로 나타났다. 중간값이 100점 만점에 69점으로 점검 대상이 되었던 9개 산업들 중 가장 높았다. 다만 지속적 보안 점검이라는 현대 보안의 트렌드를 좇아가지 못해 전반적으로 튼튼하다는 평가를 이끌어내지는 못했다. 그외 의료 건강 분야도 지속적 점검 항목에서 낮은 점수를 기록했다.

사이낵은 “제조업과 사회 기반 시설 분야가 ‘의외로’ 괜찮다는 것이지, 지금 상태 그대로 양호하다는 뜻은 절대 아니”라고 강조했다. “게다가 그 두 분야를 노리는 해커들은 보다 악의적이고 동기부여가 충실한 편이기도 합니다. 따라서 지속적인 점검과 능동적인 패치 전략만 갖춰지는 게 중요합니다.”

기술 산업의 경우 평균치 정도를 기록했다. 다만 애플리케이션 보안에 있어서 타 산업보다 강력한 면모를 보였기 때문에 실제로 공격자들이 취약점을 찾아내는 데에 있어 더 많은 시간이 걸리는 것으로 나타났다. “취약점 찾는 데 더 많은 시간이 걸린다는 건, 결국 공격자의 비용이 올라간다는 뜻입니다. 전반적으로 두드러지게 방어를 잘하는 산업은 아니었지만, 중요한 부분에서 강력한 모습을 보여주고 있었습니다.”

3줄 요약
1. 공격자의 비용 높이려면, 능동적으로 취약점 찾아내고 관리해야 함.
2. 제조업이나 사회 기반 시설 분야, 공격자가 강력하기 때문에 더 위험.
3. 기술 산업, 애플리케이션 보안에 강력하기 때문에 공격 비용 높일 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)