취약점의 심각성을 나타내주는 중요 지표 중 하나인 CVSS의 4.0 버전이 곧 공개될 예정이다. 이를 통해 사용자 기업들이 보다 적절한 대처를 할 수 있게 될 것이라고 예상되지만, 모든 문제가 해결되지는 않을 거라고 전문가들은 보고 있다.

[보안뉴스 문정후 기자] 취약점의 심각성을 점수로 표기해 주는 표준인 CVSS의 4.0 버전이 조만간 공개될 예정이다. 이전 버전들이 가지고 있던 문제를 온전히 해결한 채 나올 것이라고 하는데, 보안 전문가들은 고개를 갸웃거린다. CVSS 체제가 가지고 있던 문제의 핵심은 CVSS 점수와 패치 우선순위가 ‘따로 논다’는 것이었는데, 이것은 그리 간단히 해결될 성질의 문제가 아니기 때문이다.


지난 주 사건대응보안팀포럼(Forum of Incident Response and Security Teams, FIRST)에서 CVSS 4.0 미리보기 버전을 공개했다. 그러면서 기존의 모호한 수치나 측정 값을 없애고 위협에 대한 보다 기술적인 내용을 상세히 서술하는 데에 초점을 맞추고 있다고 밝혔다. 그렇게 함으로써 CVSS 라는 체계의 활용성을 높이는 데 주력했고, 정식 출시 전에 미리 사용해 본 조직들로부터 피드백을 아직 받고 있다고 사건대응보안팀포럼은 설명했다.

CVSS 4에는 취약점의 기본 메트릭을 계산하는 공식에 두 가지 요인이 추가된다고 한다. 하나는 공격성립조건(Attack Requirement, AT)이고, 다른 하나는 사용자개입(User Interaction, UI)이다. 이 두 가지 요인으로 실제 공격 실행의 난이도와 복잡성을 보다 정교하게 예측하겠다는 것이다. 여기에 추가로 이번 CVSS는 취약점들에 ‘환경 점수’라는 것도 부여하는데, 취약점이 기업의 IT 환경에 어떤 영향을 미치는지를 나타내는 지표가 될 것이라고 한다.

패치 우선순위를 정할 수 있을까?
새로운 CVSS를 사용하여 취약점을 관리할 경우 이전보다 나아진 점이 분명 있을 것이다. 하지만 전문가들은 “먼저 패치를 해야 할 취약점을 결정하는 데 있어 새 CVSS가 갖는 이점이 있을 테지만 그렇다고 만병통치약까지는 아닐 것”이라는 의견이다.

취약점을 패치한다는 것은 기업 입장에서 꽤나 골치 아픈 일이다. 그렇기 때문에 발견된 모든 취약점을 다 패치할 수는 없고, 한다 하더라도 동시 진행은 되지 않는다. 가장 급한 것부터 순서대로 처리한다. 순서를 정할 때 기업들이 참고할 수 있는 자료들이 여럿 있는데, 그 중 하나는 CVSS다. 그 외에 미국 사이버 보안 전담 기관인 CISA가 제공하는 KEV라는 것이 있고, EPSS라는 시스템도 있으며, CESS라는 것도 존재한다.

싱크탱크인 랜드코프(RAND Corp.)의 수석 연구원인 사샤 로마노스키(Sasha Romanosky)는 “이런 도구들을 아무리 여럿 사용해도 모든 기업에 꼭 맞는 우선순위가 결정되기는 힘들다”고 말한다. “어떤 점수 체계가 낫냐 부족하냐의 문제가 아닙니다. 취약점 패치를 해야 하는 조직이 처한 상황과 사용할 수 있는 자원, 전체적인 사업 방향이라는 변수까지도 고려해야 순서가 결정됩니다. 그러니 어떤 체계를 가져다 놔도 완벽할 수가 없습니다. 게다가 CVSS는 애초부터 위협을 예측하는 데에 큰 위력을 발휘하는 지표가 아니었습니다.”

트렌드마이크로(Trend Micro)의 제로데이이니셔티브(Zero Day Initiative)를 담당하고 있는 더스틴 차일즈(Dustin Childs)도 “기업의 공격 표면이 되는 모든 시스템들을 알아야 패치 우선순위를 정할 수 있게 된다”며 “보유하고 있는 모든 IT 자산을 빠짐없이 파악하고 어떤 시스템들이 기업 운영에 있어 핵심이 되는지, 어떤 시스템들이 비교적 덜 중요한지 항상 알아두어야 한다”고 권장한다. “어떤 시스템과 어떤 데이터, 어떤 자산이 중요한지 파악하는 것과 취약점 우선순위를 결정하는 것 사이에는 밀접한 연관성이 있습니다.”

CVSS가 직면한 문제들
문제는 그것만이 아니다. 보안 업체 콜리션(Coalition)의 수석 분석가 스콧 월시(Scott Walsh)는 “실제 익스플로잇 가능성에 대한 정보가 빠르게 나오는 게 중요하다”고 지적한다. “CVE가 발표되면 리스크 관리자들과 보안 담당자들은 CVSS나 EPSS 점수를 먼저 확인합니다. 그래야 뭐가 얼마나 위험한지 파악할 수 있으니까요. 그런데 이 두 가지 점수 시스템 모두 꽤나 늦게 분석이 됩니다. CVE의 대략이 먼저 나오고 1주일이나 한 달 뒤에야 분석 결과와 점수가 나오거든요. 그 공백 기간 동안 사용자 기업은 우선순위를 무작위로 정하거나 마냥 기다려야 합니다.”

게다가 CVSS가 점수라는 방법으로 표기되기는 하지만 그 점수를 구성하는 상세 요소들을 자세히 파악하는 건 꽤나 난이도가 높은 일이 될 수 있다. 20개가 넘는 속성과 요인들을 통해 점수가 계산되기 때문이다. 이 때문에 보안 담당자들이 CVSS 분석 결과를 곧바로 현장에서 활용하기에 어려움이 적지 않다.

“보안에 있어 시간은 절대적인 요소가 됩니다. 특히 ‘모든 걸 방어해야 한다’가 아니라 ‘한 번 침투한 적을 최대한 빠르게 찾아서 몰아내야 한다’가 보안이 대세 패러다임이 된 지금은 더욱 그러합니다. 그렇기 때문에 그 어떤 취약점 평가 시스템이더라도 실질적인 도움이 되려면 대응 시간을 단축시켜 주는 데 일조해야 합니다. 이번 CVSS가 과연 그 점을 해결해 줄지는 아직 의문입니다.” 월시의 설명이다.

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>