KISA, 정보공유분석센터, 개발사 등 통해 취약점 정보 및 대응방안 공유
취약점 발견 후 패치 개발까지 통상 한 달...방화벽 정책 등으로 임시 대응해
정보 공유부터 패치 배포까지 시간이 너무 오래 걸린다는 문제도 제기
[보안뉴스 이상우 기자] 올해 하반기 들어 시큐위즈의 SSL VPN, 지니언스의 네트워크 접근제어(NAC) 제품 Genian, 드림시큐리티의 MagicLine 등 보안 강화를 위해 사용하는 솔루션에서 취약점이 연이어 발견되면서 기업·기관 보안담당자들의 고충이 커지고 있다.
특히, 일부 취약점의 경우 국가주요시설을 노린 공격에 활용된 것으로 알려졌으며, 또 일부 취약점을 통해 관리자 권한까지 탈취될 수 있었던 만큼 대규모 피해 우려도 제기된 바 있다. 이 때문에 기업·기관 보안담당자들은 이러한 취약점 발견 소식을 예의주시하고, 발생할 수 있는 보안위협에 대응하기 위해 다양한 노력을 기울이고 있다.
▲KISA가 공지한 보안 제품의 보안 취약점[자료=한국인터넷진흥원]
이같은 취약점은 버그바운티 등의 프로그램이나 화이트해커 혹은 보안담당자를 통해 발견돼 해당 제품 개발사 및 사용자들에게 전파된다. 대부분의 경우 취약점을 해결한 패치가 출시된 이후 해당 취약점이 발표되지만, 사이버 공격자에 의해 발견된 알려지지 않은 취약점은 ‘제로데이 공격’에 쓰이기도 한다. 뿐만 아니라 취약점 패치가 완료된 이후에도 기업 내부에서 여러 가지 이유로 보안 패치를 진행하지 않았을 경우 사이버 공격자가 이를 악용할 수도 있다.
보안 솔루션을 비롯해 기업·기관에서 사용하는 장비나 솔루션 등의 취약점은 한국인터넷진흥원(KISA) 등의 기관이나 정보공유분석센터(ISAC) 혹은 개발사를 통해 이를 사용하고 있는 기업 및 기관에 전파된다. 또한, 대기업의 경우 자체적인 정보공유체계를 갖추고 이러한 취약점이 발표되면 계열사 전체에 해당 취약점 정보나 대응방법 등을 알리기도 한다.
물론 취약점이 알려진 이후, 보안 패치 공급이 늦어질 수도 있다. 현직 보안 전문가는 취약점 정보를 확인한 이후, 실제 패치가 공급되기까지 통상 30일 정도 소요된다고 설명했다. 패치가 적용되기 전까지는 해당 장비를 사용하지 않는 것이 최선이지만, 현재 사용하는 장비를 중단하는 것은 또 다른 보안위협을 발생시킬 수 있다. 이에 패치 공급 전까지 방화벽 이나 프록시 설정 등을 통해 해당 취약점을 통한 접근이 걸러질 수 있도록 정책을 추가해 대응해야 한다고 설명했다.
일각에서는 이러한 취약점 공유가 너무 더디게 진행되고 있으며, 취약점이 발견된 솔루션 개발사 역시 보안 패치를 너무 늦게 제공한다는 의견도 제기된다. 가령, 올해 4월부터 적대국이 국내 주요 국가기관 해킹에 악용된 취약점 정보는 3개월이나 지난 이후에야 민간에 공개된 것으로 알려졌다. 이와 관련 사이버 보안을 담당하는 정부기관의 한 관계자는 취약점 악용 사례가 발견됐을 때 ‘해당 제품을 사용하지 말라’는 보안 공지사항을 발표하면 개발사에서 6개월 걸릴 것이라는 패치 작업을 1주일 안에 완료하기도 한다고 언급했다.
▲VPN 보안권고문과 관련한 보안담당자의 반응[자료=보안뉴스]
한 중앙행정기관에서는 지난 8월 발견된 지니언스 NAC 제품의 취약점 정보 공유가 지나치게 느렸다는 지적도 나왔다. 해당 취약점의 경우 KISA 보안공지를 통해 8월 13일 처음 알려졌으나, 보안조치 권고가 상급기관에서 예하기관으로 전파된 것은 열흘이나 지난 8월 23일이었던 것으로 드러났기 때문이다.
▲취약점 보안 패치와 관련한 [자료=보안뉴스]
취약점이 발견되는 것은 해당 솔루션을 만든 개발사의 실책으로 볼 수만은 없다. 개발 단계에서 시큐어코딩 등 보안을 위한 설계를 하지 않아 발생한 취약점이라면 개발사의 분명한 잘못이지만, 상당수 인지하지 못한 곳에서 취약점이 발견되기도 하기 때문이다. 실제로 이러한 신규 취약점에 대응하기 위해 구글이나 마이크로소프트 등의 글로벌 기업은 취역점을 찾아내고 해결책을 제시하는 전담 팀을 운영하기도 한다.
이처럼 올해 하반기 들어 국내 보안 솔루션의 취약점을 악용한 공격이 늘어나고 있으며, 이로 인해 관리자 권한 탈취 등 심각한 보안 문제로 이어지고 있다. 하지만 사용자는 이러한 취약점을 알기가 쉽지 않으며, 취약점을 알고 있더라도 개발사에서 패치를 만들어 제공하지 않는 이상 뚜렷한 해결책도 없는 상황이다. 이러한 과정에서 개발사가 업체 이미지 때문에 취약점을 숨기거나 기업이 운영 효율성의 문제로 보안 패치를 미루는 등 잘못된 관행으로 인해 사이버 공격에 대응할 수 있는 골든타임을 놓치지 않도록 개발사와 사용자 모두 철저한 관리와 대응이 필요하다.
[이상우 기자(boan@boannews.com)]
취약점 발견 후 패치 개발까지 통상 한 달...방화벽 정책 등으로 임시 대응해
정보 공유부터 패치 배포까지 시간이 너무 오래 걸린다는 문제도 제기
[보안뉴스 이상우 기자] 올해 하반기 들어 시큐위즈의 SSL VPN, 지니언스의 네트워크 접근제어(NAC) 제품 Genian, 드림시큐리티의 MagicLine 등 보안 강화를 위해 사용하는 솔루션에서 취약점이 연이어 발견되면서 기업·기관 보안담당자들의 고충이 커지고 있다.
특히, 일부 취약점의 경우 국가주요시설을 노린 공격에 활용된 것으로 알려졌으며, 또 일부 취약점을 통해 관리자 권한까지 탈취될 수 있었던 만큼 대규모 피해 우려도 제기된 바 있다. 이 때문에 기업·기관 보안담당자들은 이러한 취약점 발견 소식을 예의주시하고, 발생할 수 있는 보안위협에 대응하기 위해 다양한 노력을 기울이고 있다.
▲KISA가 공지한 보안 제품의 보안 취약점[자료=한국인터넷진흥원]
이같은 취약점은 버그바운티 등의 프로그램이나 화이트해커 혹은 보안담당자를 통해 발견돼 해당 제품 개발사 및 사용자들에게 전파된다. 대부분의 경우 취약점을 해결한 패치가 출시된 이후 해당 취약점이 발표되지만, 사이버 공격자에 의해 발견된 알려지지 않은 취약점은 ‘제로데이 공격’에 쓰이기도 한다. 뿐만 아니라 취약점 패치가 완료된 이후에도 기업 내부에서 여러 가지 이유로 보안 패치를 진행하지 않았을 경우 사이버 공격자가 이를 악용할 수도 있다.
보안 솔루션을 비롯해 기업·기관에서 사용하는 장비나 솔루션 등의 취약점은 한국인터넷진흥원(KISA) 등의 기관이나 정보공유분석센터(ISAC) 혹은 개발사를 통해 이를 사용하고 있는 기업 및 기관에 전파된다. 또한, 대기업의 경우 자체적인 정보공유체계를 갖추고 이러한 취약점이 발표되면 계열사 전체에 해당 취약점 정보나 대응방법 등을 알리기도 한다.
물론 취약점이 알려진 이후, 보안 패치 공급이 늦어질 수도 있다. 현직 보안 전문가는 취약점 정보를 확인한 이후, 실제 패치가 공급되기까지 통상 30일 정도 소요된다고 설명했다. 패치가 적용되기 전까지는 해당 장비를 사용하지 않는 것이 최선이지만, 현재 사용하는 장비를 중단하는 것은 또 다른 보안위협을 발생시킬 수 있다. 이에 패치 공급 전까지 방화벽 이나 프록시 설정 등을 통해 해당 취약점을 통한 접근이 걸러질 수 있도록 정책을 추가해 대응해야 한다고 설명했다.
일각에서는 이러한 취약점 공유가 너무 더디게 진행되고 있으며, 취약점이 발견된 솔루션 개발사 역시 보안 패치를 너무 늦게 제공한다는 의견도 제기된다. 가령, 올해 4월부터 적대국이 국내 주요 국가기관 해킹에 악용된 취약점 정보는 3개월이나 지난 이후에야 민간에 공개된 것으로 알려졌다. 이와 관련 사이버 보안을 담당하는 정부기관의 한 관계자는 취약점 악용 사례가 발견됐을 때 ‘해당 제품을 사용하지 말라’는 보안 공지사항을 발표하면 개발사에서 6개월 걸릴 것이라는 패치 작업을 1주일 안에 완료하기도 한다고 언급했다.
▲VPN 보안권고문과 관련한 보안담당자의 반응[자료=보안뉴스]
한 중앙행정기관에서는 지난 8월 발견된 지니언스 NAC 제품의 취약점 정보 공유가 지나치게 느렸다는 지적도 나왔다. 해당 취약점의 경우 KISA 보안공지를 통해 8월 13일 처음 알려졌으나, 보안조치 권고가 상급기관에서 예하기관으로 전파된 것은 열흘이나 지난 8월 23일이었던 것으로 드러났기 때문이다.
▲취약점 보안 패치와 관련한 [자료=보안뉴스]
취약점이 발견되는 것은 해당 솔루션을 만든 개발사의 실책으로 볼 수만은 없다. 개발 단계에서 시큐어코딩 등 보안을 위한 설계를 하지 않아 발생한 취약점이라면 개발사의 분명한 잘못이지만, 상당수 인지하지 못한 곳에서 취약점이 발견되기도 하기 때문이다. 실제로 이러한 신규 취약점에 대응하기 위해 구글이나 마이크로소프트 등의 글로벌 기업은 취역점을 찾아내고 해결책을 제시하는 전담 팀을 운영하기도 한다.
이처럼 올해 하반기 들어 국내 보안 솔루션의 취약점을 악용한 공격이 늘어나고 있으며, 이로 인해 관리자 권한 탈취 등 심각한 보안 문제로 이어지고 있다. 하지만 사용자는 이러한 취약점을 알기가 쉽지 않으며, 취약점을 알고 있더라도 개발사에서 패치를 만들어 제공하지 않는 이상 뚜렷한 해결책도 없는 상황이다. 이러한 과정에서 개발사가 업체 이미지 때문에 취약점을 숨기거나 기업이 운영 효율성의 문제로 보안 패치를 미루는 등 잘못된 관행으로 인해 사이버 공격에 대응할 수 있는 골든타임을 놓치지 않도록 개발사와 사용자 모두 철저한 관리와 대응이 필요하다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
