1년에 1만 5천개, 2011년에 비해 85% 증가한 수치
공개 절차는 점점 더 합리적으로 발전...개발자와 보안 전문가 협업 증가

[보안뉴스 문가용 기자] 보안 업계의 기록이 하나 깨졌다. 보안 전문업체인 리스크 베이스드 시큐리티(Risk Based Security)가 최근 발표한 보고서에 의하면 지난 2016년 한 해 동안 발견된 소프트웨어 취약점의 수가 1만 5천 개를 넘어섰기 때문이다. 지난 5년 동안 매년 소프트웨어 취약점을 집계해온 리스크 베이스드 시큐리티는 “2011년에 비해 85%나 증가한 수치”라고 한다.


“지난 몇 년 동안 각종 유출 사고가 반복적으로 발생해왔고, 그에 따라 수많은 기업들이 주저앉기도 했었죠. 그러면서 온갖 매체들이 보안의 중요성을 외쳐왔고요. 그러면 좀 바뀌어야 하는데, 오히려 더 못하고 있어요. 소프트웨어 취약점이 갈수록 늘어나고 있는 겁니다.” 리스크 베이스드 시큐리티의 CISO인 제이크 코운스(Jake Kouns)의 설명이다. “소프트웨어 제작사들은 계속해서 위험한 물건들을 만들고 있어요. 보안의 측면에서는 전혀 진전이 없습니다.”

1년에 1만 5천개라면 하루에 41개의 새로운 취약점이 매일 발견되었다는 뜻이다. 이 부담은 온전히 보안 업계가 짊어지는 구조다. 게다가 이 전 해의 취약점들이라도 전부 해결되었다면 모르겠는데, 그렇지도 않다. 2016년 버라이즌 데이터 유출사고 수사 보고서에 의하면, 범죄자들이 가장 애용하는 취약점은 무려 2007년에 발견된 것이라고 할 정도다. 실제 보안 업계가 감당해야 하는 건 하루 41개보다 훨씬 더 많다.

코누스는 “취약점에 관해 수두룩하게 나오는 보고서들을 소프트웨어 개발 업체들이 보기나 하는지 모르겠다”며 “전부 꼼꼼히 읽지 않아도 되니까 취약점에 대한 기술 세부 사항이라도 보고 제대로 고쳐줬으면 좋겠다”고 토로했다. 또한 이런 식의 자발적 참여를 기대하기 힘든 상황이라면 소프트웨어의 보안 평가 등급제를 도입해 무책임한 개발 행위를 아예 처음부터 하지 못하도록 해야 한다고 주장하기도 했다.

취약점의 수만큼 문제가 되는 건 취약점의 위험성이다. 취약점들은 분명히 낮은 위험성을 가진 것들과 치명적일 정도로 높은 위험성을 가진 것들로 구분이 된다. 이에 따라 소프트웨어 패치의 개발 일자와 배포 방법이 결정되어야 한다. 취약점의 수만 따지자면 오라클이 1288개로 단연 선두에 서있다. 하지만 이들의 평균 ‘위험성’ 등급은 CVSS 기준 6점 밑이다. 반면 어도비는 전체 취약점 수는 549로 훨씬 적으나, 위험성 등급은 CVSS 기준 9점이 넘는다. 하지만 패치 개발 평균일자는 어도비가 발견 후 하루인데 반해 오라클은 23일이다.

책임감을 요구받는 건 소프트웨어 개발사들만이 아니다. 사용자들과 각 조직의 보안 담당자들도 이런 현상에 대해 책임이 없다고 할 수 없다. “취약점 관리 체계가 여러 가지 존재합니다. 그리고 체계마다 다른 장점과 단점을 가지고 있습니다. 가장 인기가 많은 취약점 관리 시스템은 CVE인데요, 서드파티 라이브러리의 취약점에 대해서는 거의 기록하고 있지 않아 완전하지 않습니다. 그렇지만 요즘은 거의 CVE만 사용하죠. 좀 더 다양한 정보들을 취해야 할 필요가 있습니다.”

그나마 다행인 건 ‘공개’에 대해서만큼은 업계가 전체적으로 올바른 방향을 향하고 있다는 것이다. 지난 5년 동안 ‘타당한’ 절차에 의해 공개된 취약점의 비율도 높아져가고 있는데, 2014년에는 타당한 절차를 밟아 공개된 취약점대 논란이 될 만한 방법으로 공개된 취약점이 5:5였다면, 2016년에서는 그 비율이 6735:2195였다. “좋아지겠다고 봐야겠죠? 결국 타당한 절차라면 소프트웨어 개발자와 보안 전문가가 협업을 하고 있다는 거니까요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>