안전하자고 발표하는 정보 속에 취약한 장비에 대한 정보도 포함돼 있어

요약 : IT 외신 블리핑컴퓨터가 마이터(MITRE)의 취약점 보고서를 통해 취약한 장비들로 연결되는 링크들이 지난 4월부터 공개되어 왔다고 보도했다. CVE 취약점 보고서 안에는 ‘참조(references)’ 항목이 있는데, 이 항목을 통해 취약점에 영향을 받는 장비들이 무엇이며 어디에 있는지 알 수 있게 된다는 것이다. 물론 마이터가 의도를 가지고 취약점을 이런 식으로 공개하는 것은 아니다. 마이터는 “오래 전부터 ‘참조’ 항목을 운영해 왔다며, 이것이 왜 지금에 와서 문제로 지적되는지 모르겠다는 입장이다.


배경 : CVE 취약점 보고서 내 ‘참조’ 항목은, 해당 취약점이 최초로 설명되거나 지적된 연구 자료나 블로그 게시글 등의 링크로 구성되어 있다. 취약점에 대한 보다 상세한 설명을 읽고 싶은 사람들을 위한 것인데, 이 링크를 따라가다보면 취약점의 영향을 받는 시스템의 IP 주소가 나오는 경우가 상당수인 것으로 드러났다. 이 때문에 취약점 정보가 도리어 취약한 표적을 알려주는 정보가 될 수 있다.

말말말 : “CVE 정보 속에 아직도 생생히 취약점에 영향을 받는 장비의 정보가 포함되어 있다는 건 한 번 생각해볼 문제입니다. 여태까지 그런 식으로 취약점 정보가 공개되어 왔다고 하더라도 말이죠.” -CERT/CC-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>