Home > Security

구글, 제로데이 패치 개발에 90일 따로 배포에 30일 따로 준다

  |  입력 : 2021-04-19 19:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
취약점이 처음 발견됐을 때, 그 내용을 곧바로 공개한다면 해커들에게 큰 도움이 된다. 그래서 구글은 90일 동안 이를 비밀로 하고 벤더사가 개발과 적용을 완료하도록 시간을 주었다. 이제는 이 ‘개발’과 ‘적용’이 따로 진행된다. 개발에 90일, 배포에 30일을 추가로 준다는 것이다. 이미 익스플로잇 되는 취약점에도 비슷한 규칙이 적용된다.

[보안뉴스 문가용 기자] 구글의 프로젝트 제로(Project Zero) 팀이 제로데이 취약점 패치 ‘적용’ 기한을 30일 추가했다. 구글이 어떤 소프트웨어에서 제로데이 취약점을 발견했을 경우, 해당 소프트웨어 개발사가 90일 동안 패치를 개발하고, 30일 안에 패치를 배포하지 않으면 취약점 정보를 공개하기로 한 것이다. 패치 적용 시간을 줄이기 위한 조치라고 구글은 설명한다.

[이미지 = utoimage]


이 자체로만 보면 혼동이 있을 수 있는데, 구글 블로그에 이는 다음과 같이 설명이 되어 있다. “패치 ‘개발’에 소요되는 기간은 기존처럼 90일이고, 만약 패치 개발이 이 기간 내에 전부 완료가 된 상황이라면 이 패치를 배포하고 사용자들이 적용하도록 하는 데 소요되는 기간을 추가 30일로 잡았습니다.” 즉 ‘90+30일 방식’으로 취약점 공개 정책을 변경시킨다는 것이다. 90일 안에 개발이 완료되지 않으면 추가 30일도 없다.

이러한 변경은 패치라는 문제에 있어서 ‘개발’과 ‘적용’을 분리시킨다는 의미를 갖는다. (기존에는 패치 개발과 배포를 전부 합해서 90일 안에 해야 했었다.) 구글에 의하면 개발과 적용 시간을 따로 가져갔을 때의 장점은 기술적 세부 내용에 대한 공유가 원활해지고, 공격자와 방어자 간 트레이드오프 관련 논쟁이 줄어들며, 따라서 사용자들이 취약점 익스플로잇에 노출되는 시간을 단축시킬 수 있는 것이라고 한다.

공격자들이 이미 악용하고 있는 취약점들의 경우에도 비슷한 정책이 적용될 예정이다. 현재 구글은 이러한 취약점의 존재가 밝혀질 경우 7일 안에 기술 세부 내용을 공개한다. 하지만 앞으로는 벤더사가 7일이라는 기간 내에 패치를 발표하면 구글이 30일 동안 기술 세부 사항을 발표하지 않겠다고 한다. 여기에 더해 벤더사가 한 번 더 요청을 하면 3일 더 있다가 기술 세부 사항을 발표한다는 것이 구글의 새 입장이다.

‘취약점을 발견했을 때 어떻게 처리해야 안전한가?’하는 문제는 보안 업계 내 오랜 논쟁거리였다. 특히 소프트웨어 제품을 다수 출시한 기업들의 경우, 모든 취약점을 제 때 제 때 패치하는 데에 큰 어려움을 호소해 왔었다. 또한 소비자들 편에서도 패치를 적용하는 게 말처럼 쉽거나 문제없이 이뤄지는 것이 아니다.

그래서 MS, 구글, 애플과 같은 기업들은 자동으로 패치가 적용되는 시스템을 구축하고 있는데도 사용자들 중 업데이트를 거부하는 사례도 꽤 많다. 그래서 취약점 발견과 패치 적용 사이에 ‘패치 개발에 걸리는 시간’과 ‘패치가 배포돼 사용자들이 실제로 적용하는 시간’이라는 틈이 생기고, 공격자들은 이 사이를 집요하게 파고든다. 그래서 수년 전에 널리 알려진 취약점이 여전히 공격에 활용되는 일이 빈번하게 발생한다.

이를 해결하려면 패치 개발 시간을 줄이고, 패치 배포와 적용 프로세스를 보다 원활하게 가져가야 한다. 그렇기 때문에 구글도 90일이라는 취약점 공개 기한을 설정해 왔던 것이다. 다만 이번에는 개발과 패치의 기간을 명확히 분리함으로써 두 요소의 균형을 맞추고 개발만이 아니라 사용자 적용에도 실질적인 노력을 기울이도록 한다는 것이 구글의 생각이다. 또한 90일 동안에는 온전하고 안전한 패치 개발에 전력을 기울이라는 것 역시 구글의 의도다.

구글이 현재까지 고수해 왔던 ‘90일 정책’은 큰 실효를 거두지 못한 것으로 평가 받고 있다. 90일 안에 패치 적용을 이뤄내지 못할 경우 기술 정보를 공개하겠다는 구글의 협박 아닌 협박이 취약점 발견과 패치 적용 간 시간 차이를 의미 있게 줄이지 못했다는 것이다. 그래서 공격자들은 이 시간 차이를 악용해 자신들의 수익을 극대화 한다.

또한 예나 지금이나 논란이 되고 있는 건 취약점의 기술 세부 내용을 공개한다는 것 자체다. 구글은 패치가 나오지 않았으니 기술 정보를 공개해 누구든 스스로 보호하도록 꾀할 수 있다고 주장하고 있지만, 보안 업계 일부는 이러한 정보가 오히려 공격자들에게 이득이 되는 경우가 많다고 반박한다. 하지만 이 점에 있어서 구글은 양보할 기미가 없어 보인다.

여기에 그치지 않고 구글은 “가까운 미래 안에 90일이라는 기한 역시 줄일 예정”이라고 발표하기도 했다. ‘개발’과 ‘배포’의 구분이 명확히 정착하면 이제 패치 개발 시간 자체를 줄이겠다는 것이다. 하지만 그 일자는 아직 명시되지 않았다.

3줄 요약
1. 구글, 앞으로 취약점 발견되면 패치에 90일, 배포 및 적용에 30일 줄 것.
2. 이미 익스플로잇 되고 있는 취약점의 경우 패치 개발을 7일에 완료하면 30일 동안 기술 세부 내용 미발표.
3. 패치 개발과 패치 적용 기간을 따로 하는 문화 정착되면, 90일이라는 일수를 줄여나갈 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)