취약점 공개에는 ‘언제’가 중요한 변수인데...
작전 위해 비공개로 남겨둔 취약점, 실효성 있을까?

[보안뉴스 문가용] 얼마 전 NSA의 홍보담당 부서에서 NSA가 취약점을 얼마나 많이 발견하고 공개하는지 자랑한 적이 있다. NSA가 내부적으로 찾아내는 취약점 중 무려 91%나 공개한다는 것이었다.



그러나 보안업계는 이 91%라는 높은 숫자가 거짓말을 하고 있다고 보고 있다. 물론 91%라는 수치 자체가 잘못된 것이라거나 조작된 건 아닐 것이다. 다만 91%를 공개하든 100%를 공개하든 ‘공개하는 취약점의 비율’이 NSA가 제로데이 익스플로잇 퇴치와 관련되어서 일을 잘 하고 있다고 평가할 만한 기준이 되지는 않는다는 것이다. 특히 이 숫자에는 타이밍이란 요소가 배제되어 있다는 걸 주목해야 한다고 말한다. 취약점 공개는 ‘언제’ 하느냐도 매우 중요한 요소이기 때문이다.

NSA는 9%를 공개하지 않는 이유에 대해서 1) 이미 다른 제조사나 전문업체가 발견한 취약점인 경우와 2) 첩보작전에 활용하기 위해서라고 밝혔다. 특히 테러리스트들의 동향 파악이나 외국 정부의 자국 내 지적재산 도난 시도를 막는 데 사용되고 있다고 주장했다.

NSA가 취약점을 공개하는 이유에 대해서는 ‘경고’가 가장 주된 목적이라고 밝혔다. “미국 정부는 인터넷을 활짝 열려 있되 안전하고 신뢰할 만한 공간으로 만드는 데 많은 힘을 기울이고 있습니다. 그리고 발견된 취약점을 안전하고 책임감 있게 공개하는 건 국가 이익에 큰 보탬이 됩니다.”

그러나 NSA가 주장하는 것처럼 취약점을 공개하는 것이 국가의 이익이 되려면 ‘타이밍’이란 변수가 굉장히 중요하다는 지적이다. 이해를 돕기 위해 극단적으로라도 예를 든다면, 이미 사건이 터져 피해가 다 발생한 상황에서 91%의 취약점을 공개한다면, 그건 뒷북 그 이상 그 이하도 아닌 행위가 된다는 것. 혹은 대처할 방법도 강구책도 없이 너무 이르게 공개하면 해커들이 오히려 이용하기 좋은 정보가 된다.

“91%나 공개한다고요? 사실 알맹이 하나도 없는 정보입니다. 그 많은 취약점들을 언제 공개하는지도 알려줘야죠.” 록 시큐리티(Rock Security)의 보안 부서장인 톰 고럽(Tom Gorup)의 설명이다. “일단 특수 작전에 비공개 취약점 일부를 사용한다는 것은 어느 정도 이해가 가능합니다. 하지만 그것조차 ‘차라리 가능한 빠르게 대중에게 공개하는 게 국가적으로 더 큰 이익이 아닐까’하는 생각입니다. 사실 제로데이 취약점을 세상에서 나 혼자만 알고 있다는 것만큼 커다란 착각은 없거든요.”

고럽은 취약점을 혼자서만 알고 있는 것이 얼마나 어리석은 짓인지 해킹팀(Hacking Team)을 예로 들어 설명한다. “해킹팀 사건으로 우린 뭘 배웠나요? 세상엔 취약점이 많다는 것이 하나, 우리가 모르는 취약점이 물밑에서 엄청나게 거래되고 있다는 사실 하나 아니던가요? 그런데 현실은 어떻습니까? 자기 회사에서 만든 소프트웨어에 대한 취약점을 제3자가 알려준다는 사실에 대해 거부감부터 갖고 두려워합니다. 심지어 고소하기도 하죠. 포춘 2000대 기업 중 94%가 취약점 공개 프로그램을 전혀 갖고 있지 않다고 합니다.”

즉 NSA가 비공개한다고 한다지만 분명 어느 누군가는 이미 알고 있을 확률이 높다는 것이며 NSA가 공개하지 않고 비축해둔 취약점 하나하나가 사실은 어떤 전략적 성과를 거둘 상황보다 국민 누군가가 피해를 볼 상황으로 이어질 가능성이 훨씬 높다는 것.

“지금은 공격적인 의도보다 방어에 집중하는 게 더 적합한 때입니다. 즉 NSA가 언제 공개하는지도 모르는 91%의 취약점과 아예 공개하지 않는다는 9%의 취약점에 대해서 다시 한 번 ‘국가적 이익’ 차원에서 제고하고 기준을 다시 정했으면 합니다. 일단 지금 NSA의 발표만으로는 ‘현재 당신의 네트워크에는 제로데이 취약점이 존재하고 있다’는 뜻밖에 되지 않거든요.”



Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>