| 중국의 취약점 데이터베이스, 일부러 공개 늦게 한다 | 2018.03.12 |
취약점 공개 늦는 이유, “정부의 사이버전 활동 위해”
중국의 취약점 데이터베이스, 기능면에선 미국보다 뛰어나 [보안뉴스 문가용 기자] 중국의 국립 취약점 데이터베이스(CNNVD)의 운영자들이 의도적으로 일부 취약점 정보를 공개하지 않는다는 의혹이 제기되고 있다. 취약점 일부를 감추는 이유는, 중국의 국무부가 첩보전 등에 먼저 활용하도록 하기 위해서라고 한다. 이는 보안 업체 레코디드 퓨처(Recorded Future)가 주장하고 있는 바다.  [이미지 = iclickart] 그 한 예로 레코디드 퓨처는 마이크로소프트 오피스에서 발견된 CVE-2017-0199 버그를 지적한다. “CCNVD는 미국의 취약점 관리 데이터베이스인 NVD보다도 57일이나 늦게 공개했습니다. 그 57일 동안 중국의 APT 공격 그룹은 해당 취약점을 활발하게 익스플로잇 했고요.” 어떤 취약점의 경우 236일이라는 간극이 존재하기도 한다고 레코디드 퓨처는 주장했다. 그리고 그 236일 동안 대량의 사용자 정보가 중국에 위치한 서버들로 전송됐다고 한다. 레코디드 퓨처는 “이 정보가 정부의 감시 활동에 활용되었을 것으로 예상한다”고 발표했다. 레코디드 퓨처에 의하면 CNNVD의 취약점 공개 날짜는 보통 NVD보다 빠른 편이라고 한다. “즉 일부 고위험도 취약점만 선별적으로 늦게 발표하는 것이라고 볼 수 있는 것이죠. 예를 들어 지난 10월 한 달만 보면 CCNVD는 NVD보다 평균 20일이나 빠르게 취약점을 공개했습니다. NVD가 취약점 공개를 늦게 하는 동안 그 취약점들은 각종 다크웹 포럼에서 공유되는 게 보통이고요.” 또한 레코디드 퓨처는 CNNVD에 저장되어 있는 취약점들의 수가 NVD의 그것과 비교했을 때 1746개나 더 많다고 주장하고 있다. “순수 ‘퍼포먼스’만 봤을 땐 중국의 CNNVD가 미국의 NVD보다 훨씬 잘 하고 있습니다. 빠르고 풍부한 데이터베이스 역할을 하고 있는 것이니까요.” 그래서 레코디드 퓨처는 미국 정부가 CNNVD의 콘텐츠를 참고하면 훨씬 ‘퍼포먼스’가 좋아질 것이라고 권장하기도 한다. “현재 NVD는 보안 전문가들의 취약점 제보로만 데이터베이스를 꾸리고 있습니다. 소스가 너무 한정적이죠. 그러니 늦는 것이고요. CNNVD는 공개된 내용물들이니, 이를 참고하는 것도 좋안 방법일 겁니다.” 이렇게 기능을 잘 발휘하는 CNNVD인만큼 특정 위험군에 속한 취약점들이 반복적으로 늦게 공개되는 게 더 눈에 띌 수밖에 없었다. “유독 높은 위험도를 가진 취약점들은 늦게 발표되더군요. 실수라고 볼 수 없을 정도로 주기적으로요. 낮은 위험도를 가진 취약점들도 그런 경우가 있긴 하지만, 드물기도 하고, 그 늦어지는 기간 자체도 비교하기 힘들 정도로 짧습니다. 그리고 그 기간 동안 수상한 정부의 움직임도 동반됩니다.” 레코디드 퓨처가 이러한 의견을 제기하기 시작한 건 이미 지난 11월의 일이다. 그런 일이 있고 나서 돌연 CNNVD내 267개의 취약점 공개 날짜가 변경됐다. 기존 날짜보다 훨씬 이전의 날로 바뀐 것이다. “새롭게 변경된 날짜들은 NVD의 공개 날짜와 비슷합니다. 공개일의 공식적인 기록을 조작한 것입니다.” 레코디드 퓨처는 “이렇게 조직적으로 날짜를 조작한다는 것 자체가 중국 정부의 첩보 활동이 있다는 걸 증명한다”고 주장한다. “중국 정부가 각종 첩보 활동을 하기 위해 특정 취약점을 따로 보관하고 있음이 분명합니다. 그렇지 않다면 일부러 늦게 발표하고, 그 날짜를 몰래 조작하기도 하는 행위를 설명할 수 없습니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
