• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

오래된 취약점들이 더 문제인데 도무지 해결이 되지 않는다 2023.05.11

해커들이 진짜 좋아하는 건 이미 오래되어 닳고 닳은 취약점들이다. 보안 담당자들이 좋아하는 건 어제 막 발견된 제로데이 취약점들이다. 이 간극 때문에 오늘도 피해자들이 따끈따끈하게 생겨나고 있다.

[보안뉴스 문정후 기자] IT와 보안 분야의 담당자들은 거의 항상 새로운 기술과 차세대 위협과 같은 것에 역량의 거의 모든 부분을 쏟는다. 제로데이 취약점 소식을 그렇게 좋아할 수가 없다. 이해가 안 가는 건 아니다. 새로운 것에 끌리는 것, 혹은 미지의 것을 더 두려워하는 것은 인간의 본능에 가까우니까. 기존에 없던 것들에 관심이 더 가는 건 우리가 저항할 수 없는 현상에 가깝다.

[이미지 = gettyimagesbank]


하지만 이러한 우리의 본능 때문에 조직들의 보안이 약화되고, 그러므로 공격을 허용하게 된다. 왜냐하면 사이버 공격자들이 실제 공격에 이용하는 건 이미 널리 알려진 취약점들이기 때문이다. 보안 업체 세쿠린(Securin)이 최근 조사한 바에 따르면 2022년 한 해 동안 익스플로잇 된 취약점들 중 76%가 2010~2019년 사이에 발견된 것이었다고 한다. 같은 기간 동안 랜섬웨어 공격자들이 익스플로잇 한 취약점 56개 중 20개는 2015~2019년 사이에 세상에 알려진 것이었다.

무슨 말인가? 우리는 공격자들이 들어오는 통로를 이미 오래 전부터 알고 있었다는 뜻이다. 다시 말해, 알고도 막지 못했다는 것이기도 하다. 물론 IT 및 보안 담당자들에게만 책임이 있는 건 아니다. 아무리 잘해도 악성 링크 무심코 클릭하는 임직원 한 명 때문에 기업이 뚫리는 사례는 수두룩하다. 하지만 새로운 공격 기술과 취약점 소식에 더 많은 관심을 쏟느라 지나간 취약점들을 다시 점검하는 지겨운 일은 피하고 싶었던 현장 담당자들의 본능과 같은 마음까지 옹호되는 건 아니다.

오래된 취약점이 간과되는 과정
이야기를 진행하기에 앞서 우리는 먼저 오래된 취약점이 보안 담당자들의 외면을 받는 이유를 깊이 들여다볼 필요가 있다. 세상 모든 취약점에는 생애주기라는 것이 있다. 제일 처음 누군가에게 발견될 때가 가장 찬란하다. 모든 보안 전문가들과 해커들이 관심을 갖고 연구한다. 그런 다음 누군가 패치를 개발해 배포한다. 일부 기업들이 이를 받아다가 설치한다. 막 태어났을 때 관심을 보였던 사람들의 수에 비하면 패치를 적용하는 사람들의 수는 형편없는 수준이다. 관심이 떨어졌거나, 패치 소식을 놓쳤거나, 잠깐 미루다가 망각하거나... 이유는 다양하다.

그런 상태에서 수개월이 지나고, 수년이 쌓인다. 처음의 스포트라이트는 찾아볼 수 없다. 비슷한 운명을 지나왔던 수많은 취약점들과 같은 신세가 된다. 그런데다가 IT는 원래 이직률이 높은 곳이다. ‘언젠가 패치해야지’하고 기억하고 있던 담당자들이 갑자기 퇴사해 버린다. 퇴사했다가 잠깐 들려서 ‘이거 패치하는 거 잊어버렸어요’라고 자진 납세하는 경우는 거의 없다. 새 담당자 입장에서 취약점 점검을 처음부터 하지 않는 이상 전임자가 잠깐 미뤄둔 취약점을 찾기 힘들다. 그래서 그 오래된 취약점은 거기 그대로 남아 있게 된다.

능동적인 패치가 답
결국 답은 ‘오래된 취약점이 늘 문제가 된다’는 걸 조직 차원에서 항상 기억하는 것이다. 새로운 위협에 대한 대처법을 연구하면서도 늘 다른 한쪽으로는 오래된 취약점을 찾아내 패치하는 작업을 끊임없이 진행해야 한다. 물론 말처럼 쉬운 일이 아니다. 요즘처럼 IT 담당자들에게 과도하리만큼 무거운 업무량이 주어질 때는 더 그렇다. 게다가 ‘모든 취약점을 패치한다’는 건 비현실적인 말일 때가 더 많다.

그렇다면 어떻게 해야 할까? 가장 간단하면서도 효과적인 방법은 ‘최적화된 패치 관리 절차’라는 것을 수립하여 조직 내 도입하는 것이다. ‘해커들이 우리 회사에 침투할 방법이 무엇인가?’를 파악하고, 그 침투 경로 안에 있는 취약점들을 우선적으로 찾아내 해결해야 한다는 뜻이다. 업무의 초점을 ‘취약점’이 아니라 ‘실재하는 공격 통로’에 맞춰야 한다는 의미이기도 하다. 그래야 쓸데없는 취약점 패치에 자원을 낭비하지 않을 수 있다. 가뜩이나 자원과 시간이 모자라는 게 IT 및 보안 담당자들인데 말이다.

그렇기에 공식적인 CVSS 점수나 CVE 관리 체계를 너무 신봉하는 것도 좋지 않다. 분명 필요한 기준이고 체계이지만 모든 조직들에 일괄적으로 적용할 수 있는 것은 아니다. 누구에게는 100점짜리 위협이라도 우리에게는 0점짜리가 될 수 있다. 그 반대도 마찬가지로 성립된다.

취약점은 취약점이다. 5년 전에 발견된 것이든 5시간 전에 발견된 것이든 공격 통로가 된다는 점에서는 다르지 않다. 그러니 5시간 전의 것에만 신경을 쓴다는 건 보안의 업무를 반만 한다는 뜻이 된다. 오래된 취약점을 공격자들이 더 선호한다는 조사 결과가 여러 차례 나왔다는 걸 생각하면 보안의 업무를 반도 하지 않는 것이라고 해도 과언이 아니다.

IT와 보안 담당자들 바쁜 건 부정할 수 없는 사실이다. 하지만 바쁜 일정을 구성하고 있는 임무들 모두가 ‘정확한 것’은 아닐 수 있다. 가뜩이나 빠듯한 시간이 엉뚱한 곳으로 누수되고 있는 건 아닌지 되돌아볼 필요가 있다는 뜻이다.

글 : 아론 산딘(Aaron Sandeen), CEO, Securin
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>