보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

CVSS 점수만으로 보안 취약점 평가하는 것, 적절한가?

입력 : 2020-05-07 18:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2005년부터 산업 내 보편적으로 활용되어 온 취약점 평가 시스템
v3부터 위험성이 아니라 심각성에 초점을 맞춰...장점도 있지만 단점도 분명해


[보안뉴스 문가용 기자] 오픈소스에 대한 의존도가 점점 높아지고 있다. 그러면서 오픈소스 보안 문제에 대한 인식도 올라가고 있다. 오픈소스에서 발견되는 취약점이 증가하고 있는 것도 다 그러한 변화 때문이다. 그러나 여기에는 어두운 면이 존재한다. 오픈소스에서 발견된 취약점들이 많아지면서 관리에 대한 소요가 같이 늘어났기 때문이다.

[이미지 = iclickart]


취약점이 많아지니 자연스럽게 ‘우선순위 정하기’가 큰 관심을 받게 되었다. 몽땅 패치하기 어려우니 제일 시급한 것부터 패치를 한다는 원칙이 선 것이다. 이 때 보안 담당자들이 주로 참고하는 건 CVSS라는 점수 시스템이다. 그러나 CVSS 점수만을 기준으로 하는 것에도 한계가 있다는 지적이 나오고 있다. 오늘은 그 점을 다뤄보려고 한다.

2005년부터 CVSS는 보안 취약점을 평가하는 가장 보편적인 기준으로서 활용되어 왔다. 전문가들은 취약점의 여러 가지 면(코드베이스, 시간성(유효성), 악영향, 환경적 요소)을 분석해 익스플로잇이 얼마나 어려운가와 익스플로잇 성공으로 발생하는 피해는 어느 정도인가를 평가하고 점수를 부여했다. 이 방법론이 조금씩 개편되면서 CVSS도 ‘버전 업’을 해왔는데, 현재는 2015년에 발표된 3번째 버전(CVSS v3)이 보편화 되어 있다. 가장 최신 버전은 3.1이다.

하지만 이런 진화의 과정 속에서 생각지 못한 문제가 발생했다. 같은 취약점을 v2로 평가했을 때와 v3.0 및 v3.1로 평가했을 때 점수 차이가 꽤나 크게 벌어졌던 것이다. 예를 들어 CVSS v2 체제 하에서 평가된 한 취약점은 7.6점을 받았는데, v3 체제에서는 9.8점이 나왔다. 중상위권의 취약점이 갑자기 가장 높은 등급의 취약점이 된 것이다.

이 때문인지 CVSS v3이 도입된 이후 고위험군과 치명적 위험도를 가진 취약점들이 크게 증가했다. 2019년에 발견되고 CVE로 등록된 취약점들 중 55%가 고위험군 이상인 것으로 나타났다. 심지어 CVE 전체의 수도 전년도에 비해 50%나 증가했다. 보안 담당자들에게는 ‘언젠가 해결해야 할’ 취약점도 많아지고, ‘지금 시급하게 해결해야 할’ 취약점도 많아진 것이다.

게다가 하나 더 생각해야 할 건, CVSS v3.1을 통해 ‘심각성’은 평가돼도 ‘위험성’은 평가되지 않는다는 것이다. 이 두 가지는 서로 다른 개념이다. 즉, 심각한 취약점이라고 해서 반드시 위험하지 않고, 덜 심각한 취약점이라고 해서 덜 위험한 건 아니라는 뜻이다. 시스템을 이렇게 바꾼 건, 심각성을 평가하고 그 정보를 배포하는 것이 보편적 활용성이 높을 것으로 보았기 때문이다. 하지만 그렇기 때문에 누구나 ‘보편적인 심각성’을 가지고 ‘조직 고유의 위험성’을 평가해야만 하게 되었다.

덕분에 많은 보안 담당자들이 환경에 상관없이 천편일률적이다시피 한 우선순위를 가지고 패치 관리를 하게 되었는데, 그마저도 고위험군 이상의 취약점들 자체가 증가하다보니 우선순위를 수립하는 것의 의미가 흐려졌다. 이 우선순위를 잘 지키느냐 하면, 그것도 아니다. 치명적인 취약점을 관리하고 해결하는 건 시간도 많이 걸리는 게 보통이기 때문에 조직에 따라 오히려 치명적인 취약점을 미루고 낮은 위험도의 취약점부터 해결하기도 했다. CVSS 점수가 오히려 역효과를 내는 것과 같다.

이런 상황에서 CVSS 점수만을 가지고 취약점 관리 우선순위를 결정하는 게 맞을까? CVSS 점수가 무가치하다는 게 아니다. 보안 취약점과 패치, 위험성과 같은 개념은 보안 업계와 마찬가지로 꽤나 빠르게 변하고 있다. 과장 좀 섞어, 어제 발견되고 평가된 취약점이 내일 조직과 제품에 어떤 영향을 미칠지 정확히 예측하기 힘들 정도라는 것이다. 규격화되고 고정된 숫자만으로는 부족할 수 없을 정도로 이 분야는 변화무쌍하고 역동적이다. 숫자를 보완해줄 다른 기준들도 필요하다.

그렇다면 CVSS 점수 외에 어떤 요소들을 고려해야 정확한 우선순위가 수립될까? 얼른 생각나는 것으로 각종 소프트웨어들을 구성하고 있는 디펜던시들의 현황, 네트워크 아키텍처, 환경설정 상황 등이 있다. 하물며 보안 솔루션들도 각 조직의 상황에 맞게 미세 조정이 되어야 100% 성능을 발휘할 수 있는데, 취약점 위험성 평가도 그래야 할 것이다. 산업 내 논의와 의견 조율이 필요하다.

글 : 제프리 마틴(Jeffrey Martin)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)