익스플로잇 가능성 없는 취약점까지 관리하려니 피곤함만 늘어나고

요약 : 보안 외신 시큐리티위크가 심각한 문제로 발전하고 있는 취약점 관리 피로도에 대해 보도했다. 기업들에 존재하는 수많은 취약점들 중 85%는 현실적으로 익스플로잇 가능성이 없다고 봐도 무방한데 이런 취약점들까지도 전부 관리 대상이 되고 있으니 취약점에 대한 피로도가 높아지고 있다는 내용이다. 피로도가 높아지면 취약점 관리 자체를 포기하게 되는데, 이런 현상이 만연해지기 전에 실제 익스플로잇이 가능한 취약점들을 관리하는 방안을 마련해야 한다고 전문가들은 촉구하고 있다.


배경 : 올해 열린 보안 행사 블랙햇(Black Hat)에서도 취약점 관리 문제가 가장 심도 깊게 다뤄졌다. 많은 기업들이 취약점 점수(CVSS 점수)를 기준으로 취약점을 관리하고 있는데, 이러다 보니 실질적으로 다루지 않아도 괜찮은 취약점들까지도 다루게 된다는 주장이 나왔었다. CVSS가 아니라 익스플로잇 가능성에 대한 점수를 매기고, 이에 따른 보안 전략을 세워야 한다는 의견을 여러 전문가들이 피력했다.

말말말 : “취약점 하나를 탐지하고 억제하는 데 걸리는 시간은 평균 21분 걸립니다. 취약점이 10만개 있다고 치면 하루에 12시간씩 일해도 430일을 취약점만 보고 있어야 합니다. 심지어 취약점은 계속 늘어나죠. 이러니 피로도가 높아질 수밖에요.” -레질리온(Rezilion)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>