Home > 전체기사

취약점 연구 활발한 가운데 실질적인 효과는 높아졌다 하기 힘들어

  |  입력 : 2021-07-28 19:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
상반기에는 기반 시설들과 관련된 대형 사고들이 연쇄적으로 벌어졌다. 그러면서 이 분야에 대한 취약점 연구가 활발히 이뤄지기 시작했다. 그러나 이러한 연구가 큰 성과를 거두지는 못하고 있다고 한다. 발견 후 고치는 데 걸리는 시간을 줄이지 못하고 있기 때문이다.

[보안뉴스 문가용 기자] 소프트웨어 개발 업체와 개발 팀들이 이전보다 많은 소프트웨어를 만들고 검사하면서 발견되는 취약점의 수는 점점 더 늘어나고 있다. 그러나 이 때문에 보안 팀들은 취약점을 분석하고 실제로 대응하는 데 더 큰 어려움을 겪고 있다고 한다. 이러한 내용을 담은 연구 보고서가 발표됐다.

[이미지 = utoimage]


보고서를 발표한 NTT 애플리케이션 시큐리티(NTT Application Security)에 의하면 “발견되는 취약점은 많은데 고쳐지는 취약점은 얼마 되지 않는다”는 게 현재 소프트웨어 보안의 가장 큰 문제라고 한다. “올해 초, 치명적 위험도를 가진 취약점들 중 해결이 되는 것은 54%인 것으로 집계됐었습니다. 하지만 6월 말 경 다시 조사했을 때 픽스 비율은 48%로 떨어졌습니다.”

비율이 떨어졌다는 건, 보안 전문가들이 게을러졌다는 뜻이 아니다. 오히려 취약점 검사를 더 열심히 진행한 덕분에 발견된 취약점이 많아진 것이 픽스 비율을 낮추는 데 일조했다고 한다. NTT의 부회장인 세투 쿨카니(Setu Kulkarni)에 의하면 “취약점 탐지 기술은 점점 좋아지고 있는데, 취약점을 고치는 데 드는 시간은 의미 있게 줄어들지 않고 있다는 게 가장 큰 문제”라고 지적한다.

“이제 곧 사회 기반 시설들의 위험 노출도가 늘지도 줄지도 않는 상태가 유지될 것으로 보입니다. 곧 정체기가 온다는 뜻입니다. 최근 콜로니얼 파이프라인 사태와 익스체인지 서버, 솔라윈즈, 카세야 사태를 지나오면서 주요 공급망이나 기반 시설을 구성하는 소프트웨어들에 대한 관심도가 크게 올라갔습니다. 그러면서 취약점 연구도 활발해졌고요. 하지만 아직 발견된 취약점을 해결하고 적용하는 부분에서는 속도가 나지 않습니다.” 쿨카니의 설명이다.

무슨 뜻일까? “그렇기 때문에 보안 연구가 많이 이뤄지는 것 같아도 결국 큰 향상을 기대하기 힘들다는 겁니다. 이번 NTT의 보고서가 갖는 의미는 ‘결국 취약점을 찾아내는 것보다 해결하는 게 중요한데, 그 부분에 있어서 조직들은 아직 원활한 해결을 하지 못하고 있다는 것’이라고 간추릴 수 있습니다.”

NTT 측은 보고서를 통해 취약점을 찾아내는 것과 그 취약점으로 인한 위험을 완화시키는 것을 동시에 생각하는 것이 중요하다고 강조했다. 특히 사회 기반 시설 내 생산과 관련된 요소들, 오래된 소프트웨어들과 관련하여 이러한 ‘온전한’ 취약점 관리 행위가 있어야 한다고 촉구했다. “새로운 소프트웨어를 개발하는 사람들이나 조직들은, 개발 초기 단계에서부터 보안을 고려하는 게 대단히 중요합니다. 취약점 해결보다 개발 단계에서부터 예방하는 게 더 효과적이고 비용도 저렴합니다.”

쿨카니는 “취약점 연구가 실질적인 효과를 나타내려면 고위험군 이상의 취약점을 실제로 수정하는 시간을 줄이는 데 집중해야 한다”고 권장한다. “이 시간이 의미 있게 줄어들어야 취약점을 발굴하고 분석하는 행위가 진정한 의미를 가질 수 있습니다. 이런 부분들이 선행될 때 시설 전체의 보안 수준이 높아지는 것이고요.”

어떻게 해야 시간을 의미 있게 줄일 수 있을까? 보안 업체 베라코드(Veracode)가 2019년 발표한 보고서에 의하면 코드베이스를 크게, 통째로 구성할 경우, 그러면서 기존의 주요 취약점 정보를 수집해 코드베이스에 반영해 개발을 완료할 경우 취약점 수정에 걸리는 시간을 120일까지 줄일 수 있다고 한다. 정적 코드 분석과 동적 코드 분석을 모두 실시하면 취약점 수정 시간을 24일까지 줄일 수 있다는 연구 결과도 있었다.

NTT가 찾아낸 바에 의하면 애플리케이션 보안 향상을 위해 특히 유의해야 할 취약점은 총 다섯 가지 종류로 정리되는데, 1) 정보 노출, 2) 세션 종료 불충분, 3) 교차 사이트 스크립팅, 4) 트랜스포트 레이어 보호 부족, 5) 콘텐츠 스푸핑이 바로 그것이라고 한다. “이것이 전부는 아니지만 가장 흔하게 나타나는 취약점들입니다. 이것만 유의해도 꽤나 튼튼한 애플리케이션을 만들 수 있습니다.”

쿨카니는 “취약점 연구가 활발히 진행되는 때라 수정 시간 단축이 어느 정도 이뤄지고 있긴 하지만 의미가 깊은 수준은 아니”라며 “사회 기반 시설 혹은 산업 주요 인프라에 대한 취약점 연구가 활발하게 이뤄지는 지금과 같은 때에 기세를 몰아 수정 시간 단축을 진지하게 고민해야 할 것”이라고 주장했다.

3줄 요약
1. 대형 사건이 연쇄적으로 터지면서 기반 시설 애플리케이션에 대한 취약점 연구 활발해짐.
2. 하지만 발견까지만 이뤄지지 취약점을 해결하는 데 걸리는 시간은 여전히 긺.
3. 취약점에 대한 연구가 신나게 이뤄질 때 취약점 수정 시간 단축도 같이 이뤄내야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)