Home > Security

취약점 관리 실태 살피니, “우린 사실 답을 가지고 있다”

  |  입력 : 2021-02-17 15:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점 있는 시스템의 수가 확실히 줄어들었다. 그렇지만 패치까지 걸리는 시간 자체는 크게 변함이 없다. 또한 문제가 되는 취약점들의 거의 대부분은 지난 5년 내에 전부 공개된 것들이다. 이미 알려진 취약점들만 해결해도 훨씬 안전해질 수 있다는 연구 결과가 새로울 것이 없는데도 매번 아차 싶다.

[보안뉴스 문가용 기자] 지난 한 해 동안 많은 조직들이 취약점 해결을 성공적으로 해냈다. 그래서 취약점을 가진 시스템의 수가 절반 수준으로 떨어졌을 정도다. 취약점 완화 조치를 취한 시스템의 수 역시 크게 늘어났다고 한다. 이러한 조사 결과를 취약점 관리 전문 업체인 에지스캔(Edgescan)이 발표했다.

[이미지 = utoimage]


2020년 에지스캔은 자사 클라이언트 시스템의 45%에서 최소 하나 이상의 취약점을 발견했다. 4%에서는 10가지 보안 문제가 넘게 있는 것으로 나타나기도 했다. 각각 77%와 15%로 조사된 2019년에 비해서 확실히 향상되었다고 볼 수 있다. 하지만 아직 안심할 수준은 아니라고 에지스캔은 설명한다. 아직도 절대적으로 많은 시스템들이 취약한 채로 사용되고 있기 때문이다.

에지스캔의 CEO인 이오인 키어리(Eoin Keary)는 “향상이 있었던 건 분명하지만 아직 편만하지는 않고 불균형이 존재한다”고 설명한다. “보안 취약점이 발견되었을 때 위험을 완화하기 위해 조치를 취하는 속도 자체는 크게 변화가 없습니다. 소프트웨어 개발 과정에 취약점 관리를 편입시킨다면 이 부분에서 조금 더 발전이 있을 겁니다. 즉 아직 소프트웨어 개발 과정이 예전과 다름이 없다는 것을 방증합니다.”

심각성에 따라 분류했을 때 고위험군에 속한 취약점이 패치에 가장 오랜 시간이 걸린 것으로 나타났다(84일). 치명적 위험도를 가진 취약점의 경우 평균 51일을 기록해 고위험군보다는 빨랐다. 저위험군에 속한 취약점들을 패치하는 데 걸린 시간은 47일인 것으로 집계됐다. “기업들이 가장 간단한 취약점부터 패치한다는 것을 알 수 있습니다. 그 다음은 가장 위험한 취약점을 다루고, 그 다음에 적당히 위험한 것을 패치하는 경향을 보입니다.”

조직의 규모별로 분류했을 때 유의미한 차이가 없는 것으로 조사됐다. 즉 큰 기업이나 작은 기업이나 취약점 패치 및 위험 완화에 걸리는 시간이 대동소이했다는 것이다. “100명 미만의 작은 기업의 경우 패치 평균 시간이 73일로 가장 길었습니다. 100~1000명 규모의 기업들은 56일로 가장 짧았고요. 그것보다 더 큰 기업들은 약 60일 정도를 기록했습니다. 이 일수만 줄어들어도 공격의 가능성을 확연히 낮출 수 있습니다.”

또한 에지스캔은 지난 한 해 동안 발견된 취약점들 중 치명적 위험도를 가진 것은 7~12% 정도라고 밝혔다. 하지만 내부 애플리케이션에서 발견된 취약점들 중 절반 이상이 치명적 위험도를 가졌거나 고위험군으로 분류되었다고 덧붙였다. “재미있는 건 SQL 주입 취약점이 치명적 취약점의 52%를 차지하고 있었다는 겁니다. XSS 취약점은 고위험군과 중위험군 취약점들의 37%를 차지했고요. 이 두 가지 취약점만 관리해도 문제의 상당수가 해결된다는 뜻이죠.”

현재 기업들을 괴롭히고 있는 취약점들 중 88%가 지난 5년 동안 공개된 것들이라는 내용도 흥미롭다. 아직까지 “이미 알려진 취약점을 처리하는 것도 아직 버겁다는 뜻”이라고 키어리는 설명한다. “패치가 가능한, 즉 해결책이 분명한 취약점들조차 우리는 다 다루지 못하고 있어요. 제로데이 공격을 예로 들며 해킹은 불가항력적인 사태라고 말할 단계가 아니라는 것이죠.”

암호화 기술과 관련된 취약점들의 경우 조직 내부에서 가장 오래 살아남는 취약점으로 꼽혔다. 외부에서의 접속이 가능한 디지털 자산들에서 가장 많이 발견되는 취약점 5개 중 4개는 TLS와 관련된 것이었다. 심지어 2013년과 2016년 사이에 발견되고, 패치도 개발이 끝난 것들이었다. 내부 자산들에서 가장 많이 발견된 취약점들 5개 중 3개도 같은 특성을 가지고 있는 것으로 분석됐다. “결국 TLS를 구축하고 활용하는 부분에서 많은 부분 오류가 발생한다는 뜻입니다. TLS 관련 취약점만 잘 관리해도 문제의 절반은 해결된다고 볼 수 있습니다.”

SSH, SMTP, RDP 등 외부에 노출된 포트들 역시 현대 IT 인프라의 고질병처럼 남아 있다. 특히 코로나로 인한 팬데믹 기간 동안 재택 근무자들의 생산성 확보를 위해 여러 조직들이 포트들을 개방했는데, 이 부분에서 문제가 더 커진 것으로 에지스캔은 분석했다. “이 기간 동안 문제가 될 정도로 노출된 RDP와 SSH 포트들이 40%나 증가했습니다. 재택 근무가 일반화 될 미래가 예견되는 때에, 이는 조직들이 반드시 살펴야 할 문제입니다.”

4줄 요약
1. 취약점 관리 현황 살피니 분명히 이전보다 더 잘하고 있음.
2. 그러나 전체적인 대응 속도 자체는 크게 변화가 없어 위험성은 그대로인 수준.
3. 이미 알려진 취약점만 패치해도 문제 대부분 해결.
4. RDP 등 원격 연결 포트와 관련된 문제는 보안의 고질병.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비