대부분의 조직, 취약점 첩보를 CVE에서만 얻어...구멍투성이 결과만 나와
모든 보안 전문가들이 CVE로 취약점을 보고 및 관리하지 않기 때문

[보안뉴스 문가용 기자] 취약점 관리를 위해 CVE 데이터베이스에만 의존한다면 큰 효과를 거둘 수 없다는 내용의 보고서가 발표됐다. CVE 데이터베이스에 있는 정보만으로는 네트워크 내에 도사리고 있을지 모르는 각종 위험 요소들을 온전히 파악할 수 없다는 것이다.


이런 상황에 대하여 조사하고 발표한 건 보안 업체 리스크 베이스드 시큐리티(Risk Based Security)로, 2019년 현재까지 자체적인 취약점 발굴 작업을 통해 CVE 데이터베이스인 NVD보다 5970개나 더 많은 취약점을 찾아냈다고 한다. 이 중 18.4%는 CVSS 점수를 기준으로 9~10점 사이에 있는 것으로 나타났다. 가장 위험한 취약점들이다. ‘고위험군’에 속하는 7~8점대까지 합하면 43.5%라는 수치가 나온다. 오라클, 마이크로소프트, 구글 등 유명 업체에서 출시한 서비스에서 발견된 취약점들도 다수 포진되어 있다.

“많은 조직들이 취약점과 관련된 첩보를 입수해 조직 내 취약점을 관리하는데, 이럴 경우 CVE 정보만 활용하면 꽤나 중요한 부분들을 놓칠 수 있게 됩니다. 아무리 잘해도 일부 인프라에서는 공격을 허용할 만한 부분이 남아있게 된다는 것이죠.” 리스크 베이스드 시큐리티의 부회장인 브라이언 마틴(Brian Martin)의 설명이다.

그도 그럴 수밖에 없는 것이 CVE 번호가 주어지는 건, 취약점을 발견한 보안 전문가나 업체가 직접 CVE 기관에 보고를 할 때뿐이다. 그래서 CVE 외에 다른 취약점 데이터베이스를 이용하는 전문가들이 발견한 취약점은 무시된다. “저희 회사의 경우라면, CVE만으로 취약점 관리를 한다면 조직의 33% 정도가 구멍이었을 겁니다.”

세상에 보안 전문가들이 취약점을 공개하고 공유하는 방법에는 여러 가지가 있다. “어떤 전문가들은 자기 개인 블로그에만 올려놓습니다. 깃허브(GitHub)라는 리포지터리에 등록하는 경우도 많지요. 트위터에 잠깐 언급하고 끝내는 단체들도 의외로 꽤 됩니다. 그 외에도 빗버킷(BitBucket), 소스포지(SourceForge), 깃랩(GitLab) 등과 같은 사이트에서 취약점이 공유되는 경우도 다수 존재합니다.” 심지어 취약점이 공개되는 루트는 날마다 늘어나고 있기도 하다.

리스크 베이스드 시큐리티의 취약점 DB 팀만 해도 2019년 1~3사분기 동안 16,738개의 보안 취약점을 수집하는 데 성공했다. 이 중 절반 가까이인 48%는 6~10점 대에 분포하는 것으로, 꽤나 중요한 것이라고 볼 수 있다. 또한 16,738개 취약점들 중 39%는 익스플로잇 코드나 개념증명용 코드까지 나온 바 있다.

리스크 베이스드 시큐리티가 자체적으로 찾아낸 취약점들 중 대다수는 오라클(Oracle)에서 나왔다. “1월 1일부터 9월 30일 사이에 발견된 취약점들 중 969개가 오라클의 제품들에서 비롯된 것이었습니다. 바로 뒤로는 구글이 2위를 기록(945개)했고, 수세 리눅스가 3위(812개)를 차지했습니다.” 작년 리스크 베이스드 시큐리티의 조사에서는 오라클이 3위, 구글이 4위를 차지했었다. 1위는 수세 리눅스였다.

실제 사이버 공격에 가장 많이 활용되는 제품군을 보유한 마이크로소프트의 경우 리스크 베이스드 시큐리티 기준으로 9위를 차지했다(485개).

리스크 베이스드 시큐리티는 “보안 전문가들은 자신이 발견한 취약점을 좀 더 넓은 장소에서 공개할 필요가 있다”고 강조하며 “앞서 언급한 깃허브 등 외에도 버그트랙(Bugtraq), 풀디스클로져(Full-Disclosure), 패킷스톰(PacketStorm)과 같은 취약점 보고 전문 서비스들을 활용해달라”고 촉구했다.

3줄 요약
1. 취약점이 공개되는 장소는 세상에 너무 많음.
2. 대표적인 것이 NVD의 CVE 데이터베이스이긴 하지만, 그게 전부는 아님.
3. 보안 전문가들은 취약점 찾았을 때 보다 널리 공유할 필요 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>