Home > 전체기사
기업들, 크나 작으나 매달 패치하는 취약점은 전체의 10% 수준
  |  입력 : 2020-09-23 17:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
산업 불문, 사업 규모 불문, 약 10%의 취약점만 해결돼...90%는 떠안고 가
취약점이 많기도 하고, 서비스 중단이 무섭기도 하고, 가시성이 불완전하기도 하고


[보안뉴스 문가용 기자] 패치와 취약점 관리에 관한 따끈따끈한 보고서가 4개나 나왔다. 결론은 전부 같다. 산업이나 기업 규모에 상관없이 모든 조직들이 평균적으로 취약점의 10% 정도만 패치를 한다는 것이다. 이러한 보고서를 발표한 건 보안 업체 켄나 시큐리티(Kenna Security)와 사이엔타 인스티튜트(Cyentha Institute)다.

[이미지 = utoimage]


보고서 작성을 위해 두 조직이 조사한 산업은 기술, 생산, 의료, 금융이다. 이 산업에 속한 기업들이 취약점을 어떤 식으로 관리하고, 어떤 방식으로 우선순위를 정해 패치하며, 취약점 관리에 걸리는 평균 시간이 어느 정도인지 조사했다고 한다. 그런데 기업의 덩치와 취약점 관리 능력 사이에 그 어떤 관련성도 발견할 수 없었다는 것에서 크게 놀랐다고 한다.

취약점 관리라는 것이 사실은 조직의 상황에 따라 취약점 해결의 우선순위를 정하고, 패치를 차례대로 실행하는 것이라는 걸 CISO들 대부분은 이미 알고 있다. 이 때 높은 순위를 차지하는 취약점들은 공격에 실제적으로 활용되고 있거나, 개념증명용 익스플로잇이 나왔거나, 공격 성공 시 효과가 너무나 치명적인 것들이다.

2년 전 켄나 시큐리티가 비슷한 조사를 진행했을 때 수많은 기업들이 “취약점 우선순위를 매달 정해서 해결하는 게 말처럼 쉬운 게 아니고, 그렇기 때문에 패치를 꾸준히 해도 매달 해결해야 할 취약점이 오히려 늘어난다”고 답했었다. 켄나 측은 “그 때에 비하면 10%를 꾸준히 해결하고 있다는 것만도 다행”이라고 애써 긍정적으로 결과를 해석한다.

산업별 취약점 관리가 잘 이뤄지지 않고 있다고는 하지만, 산업별로 보이는 독특한 특징들이 아예 없는 건 아니었다. 예를 들어 의료 산업의 경우 기계에서 발견되는 취약점들의 수가 많은 편이었고, 그만큼 소해율(clearance rate)도 높았다. 켄나 측은 “윈도 장비들에 대한 의존도가 높을 때 나타나는 현상”이라고 해석을 덧붙였다.

기술 산업 쪽도 소해율이 높았다. 아무래도 기술에 능숙한 사람들이 많기 때문이다. 켄나 시큐리티는 “기술 기업들은 의외로 장비와 OS, 네트워크 펌웨어 등을 통일하는 경우가 많다”고 설명한다. “즉 같은 제조사의 같은 모델을 여러 대 사용하는 비율이 높다는 뜻입니다. 수많은 브랜드에서 나온 모델들이 뒤섞인 환경보다 관리와 패치가 훨씬 쉽죠. 사건 대응에도 유리하고요. 그런 환경 요인이 소해율을 높이는 것으로 보입니다.”

금융 산업의 사정은 정 반대였다. 이쪽은 각 기관이나 은행별로 개발하고 사용하는 장비와 애플리케이션이 천차만별이었고, 따라서 취약점을 해결하는 데에 걸리는 시간이 다른 산업에 비해 4배 긴 것으로 나타났다. 위험 요소가 어느 정도 완화되는 데 걸리는 시간은 25% 더 길었다.

생산업의 경우, 장비들이 고비용이고 비교적 고장에 자주 노출된다는 특징을 가지고 있다. 따라서 사건 발생 후 복구 작업이나 취약점 점검도 조심스럽게 진행이 된다. 그렇기 때문에 타 산업에 비해 취약점 해결에 걸리는 시간이 2배 길었다. 가장 위험한 취약점을 손도 못대고 있는 조직이 가장 많은 것도 바로 생산 분야였다.

취약점을 해결한다는 게, 현장에서는 말처럼 쉬운 게 아니라고 두 조직은 보고서를 통해 강조했다. 패치에는 적잖은 시간이 걸리고, 전담 인원이 반드시 필요하며, 서비스나 생산을 중단시켜야 할 때가 많기 때문이다. 이 때문에 수많은 조직들이 취약점을 통한 공격 가능성을 배제하고 사업을 운영한다. 취약점이라는 폭탄을 안고 가는 것이, 서비스와 생산을 중단시키는 것보다 안전하다고 판단하는 것이다.

CISO가 충분한 가시성을 확보하지 못해 패치 관리 계획을 잘못 수립하는 경우도 적지 않다. 사이엔타는 보고서를 통해 “패치의 우선순위는 위험도에 따라 결정되는데, 네트워크에 대한 가시성을 충분히 확보하지 못한다면 위험도를 잘못 판단할 수밖에 없다”고 설명한다.

취약점 처리 능력이 기업 규모와 큰 상관이 없다는 건, 현재 대기업들이 더 위험하다는 뜻도 된다고 사이엔타는 지적하기도 했다. “큰 기업이건 작은 기업이건 똑같이 90%의 취약점을 남겨둔다는 건, 절대량을 비교했을 때 큰 기업이 훨씬 많은 취약점을 보유하고 있다는 겁니다. 즉 공격의 통로가 절대적으로 더 많다는 뜻이죠. 당연히 더 위험할 수밖에 없습니다. 게다가 큰 기업일수록 비싼 정보가 더 많은 편이기도 하죠.”

그러면서 사이엔타는 “패치가 정말 불가능하다면, 위험 완화 대책이라도 마련해야 한다”고 강조했다. “망분리라든가, 중요한 데이터의 오프라인 보관과 같은 수들을 마련해 정립시켜야 합니다. 무작정 위험을 감수한다는 건 현명하지 못합니다. 기업을 운영한다는 것에 대한 책임도 지지 못하는 태도고요.”

3줄 요약
1. 취약점 관리, 큰 기업이나 작은 기업이나 10% 해결에서 만족하는 수준.
2. 비슷한 기계와 앱 많이 사용할수록, 네트워크 가시성 높을수록 패치 관리 효과 높아짐.
3. 취약점 패치가 불가능하다면 완화법이라도 마련하는 게 상책.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)