60%가 이미 알려진 취약점 때문에 당해...34%는 당할 줄 알고 있었다
패치에 대한 부담 없지 않아...실제 적용 전에 실험해보는 과정 필요

[보안뉴스 문가용 기자] 지난 2년 동안 정보 유출 사고를 한 번이라도 겪은 조직들의 60%가 알려진 취약점을 패치하지 않아서 당한 것이라는 조사 결과를 시장 조사 전문 기관인 포네몬(Ponemon)이 발표했다.


포네몬은 이번 조사를 위해 전 세계의 IT 전문가 약 3000명을 만나 인터뷰했다. 이중 절반이 2년 내에 유출 사고를 최소 한 번은 겪었다고 답했으며, 34%는 사고가 발생하기 전에 이미 회사 시스템이 취약하다는 걸 알고 있었다고 답했다고 한다.

보안 관련 이야기가 나올 때마다 패치 이야기는 반드시 등장하고 있어, 이제는 누구나 당연히 할 것처럼 여겨지지만, 사실 현실 속에서는 그렇지도 않다는 뜻이라고 포네몬은 이번 연구 결과에 대해 말한다.

포네몬과 함께 이번 조사를 진행했던 서비스나우(ServiceNow)의 수석 마케팅 책임자인 피에로 데파올리(Piero DePaoli)는 “조직들에게 있어 유출 사고를 막는 데 가장 중요한 건 취약점을 먼저 탐지해내고 소프트웨어 업데이트를 통해 이를 해결하는 것으로 보인다”고 덧붙였다.

“취약점과 패치에 대한 발표가 공식적으로 나오는 순간부터는 달리기 시합이죠. 해커들에겐 공격 정보요, 방어자들에겐 방어 정보니까요. 누가 먼저 이에 대해 손을 쓰는가, 이 살벌한 경기가 시작되는 겁니다. 패치 발표에 대해 무심하게 받아들여서는 안 됩니다.”

다행히 이 달리기 시합에 있어서는 해커보다 방어자가 유리한 편이다. 해결 방법이 같이 나오는 것이 보통이기 때문이다. 작년에 발표된 취약점의 86%가 패치와 함께였다.

기업과 기관들의 대부분이 이미 알려진 취약점에 당했다는 건, 제로데이 취약점 문제가 실제로 미치는 영향이 생각보다 미비하다는 뜻도 된다. 실제로 작년에 밝혀진 2만 여개의 취약점들 중 제로데이는 14개에 불과했다. 취약점의 절대적인 수치는 증가하고 있지만 제로데이는 오히려 줄어들고 있기도 하다.

그렇지만 기업이나 조직들 입장에서 ‘패치로 해결하라’는 말이 그리 쉬운 해결책이 아닐 수 있다. 패치를 위해 서비스를 일시 중단해야 할 수도 있는데, 이 일시 중단 자체가 치명적인 결과를 낳을 수 있는 곳이라면 더 그렇다. 또한 패치가 오류를 일으키는 예도 없지 않아 리스크 또한 감안해야 한다. 실제로 패치가 더 큰 문제를 일으킬까봐 두렵다고 답한 기업은 3/4나 되었다.

포네몬은 “패치 롤아웃(patch rollout) 프로세스가 필요하다”다고 권한다. 패치가 발표되면 곧바로 적용하기 전에 시험적용을 해보는 것을 말한다. 시간은 얼마나 걸리는지, 기존 애플리케이션들과 호환성이 유지되는지, 시스템 마비나 고장이 일어나지는 않는지, 실험해 보고 적용하는 것이 바람직하다는 것이다.

또한 포네몬의 보고서에 의하면 대부분의 조직들이 “패치와 관련된 문제를 해결하려면 인력이 더 필요하다”고 답하기도 했다. 64%는 패치를 관리하기 위한 인력을 1년 내에 추가로 선발할 계획이라고 했는데 이중 절반은 한두 명이 아니라 현재 보안 인원을 50% 늘리는 방향을 계획하고 있다고 답했다.

기업들이 취약점 해결 및 대응에 쏟는 시간은 1주일에 평균 320 시간 정도인 것으로 나타났다. 이는 8명이 풀타임 근무를 한 것에 해당하는 시간이다. “그렇다고 현실적으로 8명을 패치 때문에 고용하기는 힘들지 않을까 합니다. 대부분 조직들은 고용비가 부담스럽기도 하고, 돈 문제가 아니더라도 보안 인력 자체가 모자라는 상황이니까요.”

한편 정보 유출 사고를 경험한 기업들 중 37%는 “취약점 스캔도 하지 않는다”고 답했다. 데파올리는 “가장 충격적인 결과”였다고 말한다. “패치를 잘 안 한다는 것은 알고 있었지만, 아예 찾을 생각조차 하지 않는 기업이 이렇게 많을 줄은 몰랐습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>