약점, 취약점, 위협, 위험... 알듯 말듯 모호한 용어들
다가올 위협 요소들에 대비하려면 용어의 명료한 공유 필요
[보안뉴스 문가용] 강력한 전쟁의 신이지만 발꿈치의 작은 약점 하나 때문에 쓰러졌다. 요즘 친인척 고용 논란 때문에 서로에게 스크래치만 내고 있는 정치계의 약점 물고 늘어지기는 세계사 어느 시점, 어느 나라를 선택하더라도 찾아낼 수 있는 고전 전략이며, 역대 최고의 축구선수 후보에 항상 꼽히는 메시는 국가대표 우승컵 하나가 모자라다는 경력의 구멍 때문에 역대 최고 논란에 종지부를 찍지 못하고 있다.
약점은 완벽에 가까이 다가가기 위해서 반드시 넘어야 할 산이지만, 그건 이상론이고 당사자들에게는 결코 쉽지 않은 짐이다. 먼저 약점을 파악하고 전달하는 것 또는 인정하는 것부터가 큰 고통을 수반한다. 보통은 상대의 약점을 알아도 그냥 참고 넘어가고, 나의 약점은 별 거 아닌 것으로 여긴다. 그래서 좋은 게 좋은 거라는 말은 ‘성장하지 않겠다’ 혹은 ‘성장을 방해하겠다’는 뜻이기도 하다.
그런 의미에서 보안업계만큼이나 성장에 가혹한 박차를 가하는 분야가 있을까 싶다. 여기서는 적군이나 아군이나 약점에 대한 연구를 매우 깊이 진행하고 있으며, 근무시간의 대부분을 누군가의 약점을 들춰내고 그걸 또 어떻게든지 의미 있게 악용하려고(exploit) 갖은 수단을 개발하는 데에 할애하는 사람들이 ‘전문가’(혹은 범죄자) 취급을 받는다. 이 약점을 심지어 나라 차원에서 기록하고 보관하기도 한다.
원론이지만 다시 한번 짚기
얼마나 약점 연구가 집요하면 ‘약점’이라는 용어도 다양하며, 세분화되어 있고, 관리 안 한 사슴뿔처럼 무성하게 가지치기를 해서 다른 용어들까지도 끌어들인다. 사실 보안전문가들에게는 약점보다는 ‘취약점’이란 말이 더 익숙한데, 이 둘은 사전적으로 다른 의미다. 쉽게 말해 ‘약점’은 개발 단계에서 발생하는 보안관련 오류이고 ‘취약점’은 운영 단계에서 발생하는 보안관련 오류이기 때문이다. 물론 현장에서는 엄격하게 구분해서 쓰지는 않는다.
코어스넷의 강태욱 이사는 “보안 약점은 weakness라는 단어에 해당하며 ‘공격에 활용될 여지가 있는 오류’를 말하고, 보안 취약점은 vulnerability에 해당하며 ‘실제로 공격 구현이 가능한 오류’를 말한다”고 설명한다. 이론상 존재하는 위험 요소는 약점이고, 구현이 실제적으로 가능한 건 취약점이라는 것. “해외에서도 약점은 CWE라는 네이밍 시스템으로 보관되며 취약점은 CVE로 보관됩니다.”
이 둘을 따로 엄격히 구분해야 하는가, 라는 질문에 “구분이 필요한 때가 있다”라고 답했지만 “사석이나 업계 지인을 만나 편하게 얘기할 때는 ‘취약점’을 일반적으로 사용한다”고 말했다. “약점과 취약점의 엄격한 구분은 시큐어코딩이 얼마나 실제 현장에서 잘 정착하는가에 따라 결정될 문제라고 봅니다. 데브옵스가 해외에서는 활발히 진행되고 있고, 그에 따라 보안도 설계단계부터 고려하자는 움직임이 일고는 있지만, 아직 한국에서는 뚜렷한 변화가 느껴지지 않습니다. 아직은 두 용어를 엄격히 구분함으로써 얻을 수 있는 실효성이나 실익이 없다고 볼 수 있습니다.”
어쩌면 상대적인 개념?
약점이든 취약점이든 이를 통한 공격이 실제 여기저기서 발생하기 때문에 위협(threat), 위험(risk)과 같은 용어도 자연스럽게 등장한다. 위협은 말 그대로 위험을 일으킬 소지가 다분한 요소를 말하며, 위험은 위협 요소가 일으킬 수 있는 피해를 말한다. 이해하기 그리 어려운 단어는 아니지만 취약점과 함께 ‘상대적으로 이해’하는 게 중요하다. 보안업체인 핑커튼(Pinkerton)의 잭 자흐란(Jack Zahran) 회장은 이 셋의 상관성을 명쾌하게 설명한다.
“취약점, 위협, 위험은 상대적인 특성을 이해하는 쪽으로 접근하는 게 도움이 됩니다. 위협은 보통 제어가 되지 않는다는 게 가장 큰 특징입니다. 이것은 마치 허리케인이나 IS와 같은 테러리스트들을 막을 수 없다는 것과 비슷한 차원의 말입니다. 위협을 식별할 수는 있지만 통제권 밖에 있는 게 보통이죠. 위험은 줄일 수 있습니다. 즉, 관리가 가능하다는 겁니다. 피해를 줄이는 노력이 위험을 줄이는 것과 상통하죠. 취약점은 조치가 가능합니다. 취약점이 무엇인지 찾아내고 그걸 없애는 게 중요하다는 것이죠.”(자흐란 회장은 취약점과 약점을 구분 없이 사용했다.)
이렇게 ‘특성을 이해하는 접근법’이 중요한 건 이 셋이 ‘보안전략’의 커다란 톱니바퀴에서 서로 맞물리는 부품이기 때문이다. 즉, 이 셋의 구분이 강태욱 이사가 언급한 “실익, 실효성”이란 측면에서 분명한 ‘플러스’ 요인이 된다는 거다. “셋은 분명히 구분되어야 하고, 서로 대체할 수 없습니다. 하지만 취약점(약점)과 위협은 모두 위험 안에 포함되는 개념입니다. 이런 관계가 결국 현대 정보보안 전략이 그려야 하는 큰 그림입니다.”
피해를 줄이는 것 혹은 받지 않는 것을 목표로 두고 취약점을 파악해서 적당한 조치를 취하는 건 이해가 간다. 하지만 위협은 허리케인이나 IS처럼 통제권 밖에 있다고 하지 않았나? 이건 전략으로 어떻게 할 수 없는 부분 아닐까? “우리 회사의 보안전략이라고는 하지만 바깥 세상의 일들까지도 조망할 수 있어야 한다는 뜻입니다. 지진이나 허리케인을 막을 수는 없지만 국가 차원에서 피해를 최소화하기 위해 대피훈련을 한다든가 건축법을 개정한다든가 하는 노력을 하죠. 대테러 훈련도 하고요. 마찬가지로 정보보안과 관련된 정책을 국가 차원에서 마련하기도 합니다. 이런 커다란 틀의 움직임에 따라 보안전략은 수정될 수 있어야 합니다.”
또한 이는 ‘처리가 가능한’ 취약점을 바라보는 시각도 달리해야 한다는 뜻도 된다. “내부에서 바라보는 우리 회사 시스템과 외부에서 바라보는 회사 시스템은 그 풍경이 전혀 다를 수 있습니다. 안에서 볼 땐 몰랐는데, 바깥에서 보면 비로소 보이는 취약점들도 있고 그 반대도 있습니다. 외부에서 일어나는 커다란 흐름을 파악하다보면 ‘외부자’의 시각으로 안쪽을 바라볼 수 있게 되는데요, 그것도 중요한 보안 전략의 요소입니다.”
톱니바퀴, 처음부터 잘 돌아야
잭 자흐란은 미국의 감옥 시스템을 예로 들었다. “과거에는 철조망, 경보 장치, 레이저, 경비견, 순찰병력 등으로 대부분의 죄수들을 가두는 게 가능했다면, 최근엔 CCTV, 더 나은 조명장치와 감시 장비가 추가됐죠. 그런데 이런 기술이 점점 보편화되고 값이 싸지면서 우회 장비 역시도 발전하고 있습니다. 요즘 한창 뜨고 있는 드론만 잘 사용해도 감옥 안에 있는 사람들과 바깥에 있는 사람들이 뭔가를 공조할 수 있는 발판을 마련할 수 있습니다. 그에 따라 감옥들도 다시 경비체제를 갖추고 있죠.”
중요한 건 위협이 늘어나고 있고, 이는 취약점의 증가로도 이어진다는 것이다. 사정은 사이버 보안 업계도 동일하다. “보안전략 혹은 위험관리 전략의 범위가 점점 넓어져야 해요. 아니, 환경과 기술 개발의 속도에 맞춰 넓어지는 것 자체가 보안전략의 핵심이기도 합니다. 그러려면 기본 개념의 톱니바퀴들이 처음부터 튼튼히 맞물려서 돌아가야 합니다. ‘밑바탕이 되는 용어의 이해’가 공유되어야 한다는 거죠.” 그리고 그것이 4주간 아무 설명 없이 진행해온 이 연재의 의도이기도 하다. 이 사람을 1회에 만났어야 했는데...
누구나 약점의 극복을 통해 성장할 수 있는 것처럼, 보안전략 역시 ‘약점’에 대한 올바른 이해부터 확장의 틀을 다진다. 그리고 이 ┖약점┖은 위기의 총체적인 관리라는 시점에서 다루어야 한다. 보안의 전략은 IoT의 러시와 사이버 냉전의 심화, 다크넷 암시장의 조직화가 예견되는 이 시점에서 팽창 혹은 성장을 반드시 이뤄야 한다. ‘이 여름, 선풍기 앞에 앉아 책 한 권 읽으며 교양을 키워야지’와는 조금 다른 계획과 무게감이 필요하다는 것이다.
[문가용 기자(globoan@boannews.com)]
다가올 위협 요소들에 대비하려면 용어의 명료한 공유 필요
[보안뉴스 문가용] 강력한 전쟁의 신이지만 발꿈치의 작은 약점 하나 때문에 쓰러졌다. 요즘 친인척 고용 논란 때문에 서로에게 스크래치만 내고 있는 정치계의 약점 물고 늘어지기는 세계사 어느 시점, 어느 나라를 선택하더라도 찾아낼 수 있는 고전 전략이며, 역대 최고의 축구선수 후보에 항상 꼽히는 메시는 국가대표 우승컵 하나가 모자라다는 경력의 구멍 때문에 역대 최고 논란에 종지부를 찍지 못하고 있다.
약점은 완벽에 가까이 다가가기 위해서 반드시 넘어야 할 산이지만, 그건 이상론이고 당사자들에게는 결코 쉽지 않은 짐이다. 먼저 약점을 파악하고 전달하는 것 또는 인정하는 것부터가 큰 고통을 수반한다. 보통은 상대의 약점을 알아도 그냥 참고 넘어가고, 나의 약점은 별 거 아닌 것으로 여긴다. 그래서 좋은 게 좋은 거라는 말은 ‘성장하지 않겠다’ 혹은 ‘성장을 방해하겠다’는 뜻이기도 하다.
그런 의미에서 보안업계만큼이나 성장에 가혹한 박차를 가하는 분야가 있을까 싶다. 여기서는 적군이나 아군이나 약점에 대한 연구를 매우 깊이 진행하고 있으며, 근무시간의 대부분을 누군가의 약점을 들춰내고 그걸 또 어떻게든지 의미 있게 악용하려고(exploit) 갖은 수단을 개발하는 데에 할애하는 사람들이 ‘전문가’(혹은 범죄자) 취급을 받는다. 이 약점을 심지어 나라 차원에서 기록하고 보관하기도 한다.
원론이지만 다시 한번 짚기
얼마나 약점 연구가 집요하면 ‘약점’이라는 용어도 다양하며, 세분화되어 있고, 관리 안 한 사슴뿔처럼 무성하게 가지치기를 해서 다른 용어들까지도 끌어들인다. 사실 보안전문가들에게는 약점보다는 ‘취약점’이란 말이 더 익숙한데, 이 둘은 사전적으로 다른 의미다. 쉽게 말해 ‘약점’은 개발 단계에서 발생하는 보안관련 오류이고 ‘취약점’은 운영 단계에서 발생하는 보안관련 오류이기 때문이다. 물론 현장에서는 엄격하게 구분해서 쓰지는 않는다.
코어스넷의 강태욱 이사는 “보안 약점은 weakness라는 단어에 해당하며 ‘공격에 활용될 여지가 있는 오류’를 말하고, 보안 취약점은 vulnerability에 해당하며 ‘실제로 공격 구현이 가능한 오류’를 말한다”고 설명한다. 이론상 존재하는 위험 요소는 약점이고, 구현이 실제적으로 가능한 건 취약점이라는 것. “해외에서도 약점은 CWE라는 네이밍 시스템으로 보관되며 취약점은 CVE로 보관됩니다.”
이 둘을 따로 엄격히 구분해야 하는가, 라는 질문에 “구분이 필요한 때가 있다”라고 답했지만 “사석이나 업계 지인을 만나 편하게 얘기할 때는 ‘취약점’을 일반적으로 사용한다”고 말했다. “약점과 취약점의 엄격한 구분은 시큐어코딩이 얼마나 실제 현장에서 잘 정착하는가에 따라 결정될 문제라고 봅니다. 데브옵스가 해외에서는 활발히 진행되고 있고, 그에 따라 보안도 설계단계부터 고려하자는 움직임이 일고는 있지만, 아직 한국에서는 뚜렷한 변화가 느껴지지 않습니다. 아직은 두 용어를 엄격히 구분함으로써 얻을 수 있는 실효성이나 실익이 없다고 볼 수 있습니다.”
어쩌면 상대적인 개념?
약점이든 취약점이든 이를 통한 공격이 실제 여기저기서 발생하기 때문에 위협(threat), 위험(risk)과 같은 용어도 자연스럽게 등장한다. 위협은 말 그대로 위험을 일으킬 소지가 다분한 요소를 말하며, 위험은 위협 요소가 일으킬 수 있는 피해를 말한다. 이해하기 그리 어려운 단어는 아니지만 취약점과 함께 ‘상대적으로 이해’하는 게 중요하다. 보안업체인 핑커튼(Pinkerton)의 잭 자흐란(Jack Zahran) 회장은 이 셋의 상관성을 명쾌하게 설명한다.
“취약점, 위협, 위험은 상대적인 특성을 이해하는 쪽으로 접근하는 게 도움이 됩니다. 위협은 보통 제어가 되지 않는다는 게 가장 큰 특징입니다. 이것은 마치 허리케인이나 IS와 같은 테러리스트들을 막을 수 없다는 것과 비슷한 차원의 말입니다. 위협을 식별할 수는 있지만 통제권 밖에 있는 게 보통이죠. 위험은 줄일 수 있습니다. 즉, 관리가 가능하다는 겁니다. 피해를 줄이는 노력이 위험을 줄이는 것과 상통하죠. 취약점은 조치가 가능합니다. 취약점이 무엇인지 찾아내고 그걸 없애는 게 중요하다는 것이죠.”(자흐란 회장은 취약점과 약점을 구분 없이 사용했다.)
이렇게 ‘특성을 이해하는 접근법’이 중요한 건 이 셋이 ‘보안전략’의 커다란 톱니바퀴에서 서로 맞물리는 부품이기 때문이다. 즉, 이 셋의 구분이 강태욱 이사가 언급한 “실익, 실효성”이란 측면에서 분명한 ‘플러스’ 요인이 된다는 거다. “셋은 분명히 구분되어야 하고, 서로 대체할 수 없습니다. 하지만 취약점(약점)과 위협은 모두 위험 안에 포함되는 개념입니다. 이런 관계가 결국 현대 정보보안 전략이 그려야 하는 큰 그림입니다.”
피해를 줄이는 것 혹은 받지 않는 것을 목표로 두고 취약점을 파악해서 적당한 조치를 취하는 건 이해가 간다. 하지만 위협은 허리케인이나 IS처럼 통제권 밖에 있다고 하지 않았나? 이건 전략으로 어떻게 할 수 없는 부분 아닐까? “우리 회사의 보안전략이라고는 하지만 바깥 세상의 일들까지도 조망할 수 있어야 한다는 뜻입니다. 지진이나 허리케인을 막을 수는 없지만 국가 차원에서 피해를 최소화하기 위해 대피훈련을 한다든가 건축법을 개정한다든가 하는 노력을 하죠. 대테러 훈련도 하고요. 마찬가지로 정보보안과 관련된 정책을 국가 차원에서 마련하기도 합니다. 이런 커다란 틀의 움직임에 따라 보안전략은 수정될 수 있어야 합니다.”
또한 이는 ‘처리가 가능한’ 취약점을 바라보는 시각도 달리해야 한다는 뜻도 된다. “내부에서 바라보는 우리 회사 시스템과 외부에서 바라보는 회사 시스템은 그 풍경이 전혀 다를 수 있습니다. 안에서 볼 땐 몰랐는데, 바깥에서 보면 비로소 보이는 취약점들도 있고 그 반대도 있습니다. 외부에서 일어나는 커다란 흐름을 파악하다보면 ‘외부자’의 시각으로 안쪽을 바라볼 수 있게 되는데요, 그것도 중요한 보안 전략의 요소입니다.”
톱니바퀴, 처음부터 잘 돌아야
잭 자흐란은 미국의 감옥 시스템을 예로 들었다. “과거에는 철조망, 경보 장치, 레이저, 경비견, 순찰병력 등으로 대부분의 죄수들을 가두는 게 가능했다면, 최근엔 CCTV, 더 나은 조명장치와 감시 장비가 추가됐죠. 그런데 이런 기술이 점점 보편화되고 값이 싸지면서 우회 장비 역시도 발전하고 있습니다. 요즘 한창 뜨고 있는 드론만 잘 사용해도 감옥 안에 있는 사람들과 바깥에 있는 사람들이 뭔가를 공조할 수 있는 발판을 마련할 수 있습니다. 그에 따라 감옥들도 다시 경비체제를 갖추고 있죠.”
중요한 건 위협이 늘어나고 있고, 이는 취약점의 증가로도 이어진다는 것이다. 사정은 사이버 보안 업계도 동일하다. “보안전략 혹은 위험관리 전략의 범위가 점점 넓어져야 해요. 아니, 환경과 기술 개발의 속도에 맞춰 넓어지는 것 자체가 보안전략의 핵심이기도 합니다. 그러려면 기본 개념의 톱니바퀴들이 처음부터 튼튼히 맞물려서 돌아가야 합니다. ‘밑바탕이 되는 용어의 이해’가 공유되어야 한다는 거죠.” 그리고 그것이 4주간 아무 설명 없이 진행해온 이 연재의 의도이기도 하다. 이 사람을 1회에 만났어야 했는데...
누구나 약점의 극복을 통해 성장할 수 있는 것처럼, 보안전략 역시 ‘약점’에 대한 올바른 이해부터 확장의 틀을 다진다. 그리고 이 ┖약점┖은 위기의 총체적인 관리라는 시점에서 다루어야 한다. 보안의 전략은 IoT의 러시와 사이버 냉전의 심화, 다크넷 암시장의 조직화가 예견되는 이 시점에서 팽창 혹은 성장을 반드시 이뤄야 한다. ‘이 여름, 선풍기 앞에 앉아 책 한 권 읽으며 교양을 키워야지’와는 조금 다른 계획과 무게감이 필요하다는 것이다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
