• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 담당자들의 고민, ‘이걸 다 패치해야 하나?’ 2020.03.05

패치는 다 할수록 좋긴 하지만...현실적으로는 불가능...전략 필요
가장 시급한 취약점부터 순서대로...다 할 순 없어도 순서대로는 할 수 있어

[보안뉴스 문가용 기자] 보안 팀들에 주어진 임무가 어마어마한 상황에서 관리하고 패치해야 할 취약점의 수도 기하급수적으로 증거하고 있어 문제다. 이런 때 보안 담당자들의 머릿속에는 이런 질문이 떠오른다. ‘이걸 정말 다 패치해야 하나? 꼭 그래야 하나?’ 이 질문에 대한 답은 ‘그렇다’이기도 하지만 ‘아니오’이기도 하다.

[이미지 = iclickart]


보안 연구 기관인 시엔시아 인스티튜트(Cyentia Institute)의 수석 데이터 과학자인 벤자인 에드워즈(Benjamin Edwards)는 지난 주 열린 RSAC의 한 토론회에서 “지난 20년 동안 CVE의 수가 어마어마하게 늘어났다”며 “99년부터 2004년 사이에는 공개되는 평균 취약점의 수가 1300개였지만, 2005년부터 2016에는 6100개로 늘어났고, 2017년부터 2020년에는 1만 8000개가 됐다”고 설명했다.

“일단 취약점이 최근 들어 빠르게 늘어난 건 취약점을 찾아 보고하고, CVE로 분류하는 과정이 과거보다 훨씬 발전했기 때문이기도 합니다. CVE 번호를 부여할 자격을 가진 조직들도 늘어났고요. 다만 그렇기 때문에 보안 담당자들의 할 일이 불가능할 정도로 팽창했습니다. 최근 저희가 연구해 발표한 자료에 의하면 기업이 한 달에 패치할 수 있는 취약점의 수는 10개 중 하나인 것으로 나타났습니다. 이런 비율이라면 1만 8000개가 불가능한 숫자일 수밖에 없습니다.”

실제로 취약점 패치 혹은 리스크 완화에 걸리는 시간은 평균 100일이고, 취약점의 25%는 평균 1년 넘게 패치되지 않는다고 그는 설명을 이어갔다. “이런 상황에서 중요한 건 패치 전략입니다. 가장 위험한 것부터 순서대로 패치를 하는 것이죠. 다 패치를 해야 하냐고 묻는다면, ‘네, 다 해야 합니다’라고 답하겠습니다. 다만 순서대로, 급한 것부터 말이죠.”

시엔시아의 공동 창립자인 웨이드 베이커(Wade Baker)는 같은 토론회에서 “실제 익스플로잇이 발생하기 전에 취약점을 관리하는 게 가능한가, 라는 질문을 많이 듣는다”며 “취약점이 해커들의 무기가 되는 것이 먼저인 게 현실”이라고 답했다. “다만 그 무기를 ‘당신에게 겨누기 전’에 취약점을 관리하는 건 충분히 가능합니다.”

“일단 CVE를 기준으로 취약점을 관리하고 있다면, CVE가 공개된 시점에 이미 익스플로잇이 어디엔가 존재할 가능성이 높다는 걸 기억해야 합니다. 그렇지 않더라도 CVE가 공개되는 순간 익스플로잇 개발에 박차가 가해집니다.” 시엔시아의 분석 결과에 따르면 CVE 번호가 붙은 취약점의 23%에 대한 익스플로잇 코드가 실존한다고 한다.

“익스플로잇은 점진적으로 나타납니다. CVE가 처음 공개되면 익스플로잇과 관련된 행위가 급격히 증가하다가 어느 순간 안정화가 됩니다. 더 이상 늘지는 않지만 꾸준함이 유지되는 것이죠. 이 기간은 평균 2년 반 정도 유지됩니다. 그러다가 3년차 정도에 접어들면 익스플로잇 행위가 줄어들기 시작합니다.”

패치 관리 전략의 핵심은 어떤 오류들이 가장 시급한지를 이해하는 것이다. “모든 걸 다 패치할 능력은 없더라도, 어떤 취약점이 시급한지 알아내는 능력은 어느 보안 전문가에게나 있습니다. 이미 공격자들이 활용하고 있거나, 자신이 담당하고 있는 환경에서 치명적으로 작용할 수 있거나, 공격자가 얻어갈 이득이 방대하다거나 한 취약점이라면 시급한 편에 속합니다.”

베이커는 “담당하는 환경에 존재하거나 해커들이 실제로 공격에 활용하는 취약점이 가장 시급히 패치해야 하는 취약점으로, 이는 전체 CVE의 5% 정도에 해당한다”고 설명한다. “69%의 취약점은 실제 사용자 환경에서 익스플로잇 되지 않습니다. 즉 대부분은 가만히 놔둬도 공격이 일어나지 않는다는 겁니다. 즉 이미 사용되고 있고 내 환경에 분명히 존재하는 그 5%만 관리하면 된다는 뜻이죠.”

이처럼 실제 위험성을 바탕으로 패치 관리하는 전략을 ‘리스크 기반 취약점 관리’라고도 하는데, 베이커는 “리스크 기반 취약점 관리가 가장 빠른 패치 전략이라고 생각한다”는 의견을 토론회에서 피력했다. “또한 패치 정책이나 IT 환경이 단순하면 단순할수록 보안 담당자가 활동할 수 있는 영역이 넓어집니다. 쓸데없는 절차가 혹시 있다면, 그것을 찾아내 제거하는 것도 패치 관리 전략에서 중요한 요소입니다.”

3줄 요약
1. 취약점, 전부 패치 해야 하는 걸까?
2. 물론. 그렇지만 시급한 순서에 따라서 해야만 함.
3. 위험성을 기본으로 한 패치 전략이 현재는 가장 빨리 패치할 수 있는 방법.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>