[보안뉴스 문가용 기자] 보안 업계 내의 오랜 권고 사항을 의심케 하는 연구 결과가 발표됐다. 조직 내에서 발견된 모든 소프트웨어 업데이트를 부지런히 적용하는 기업들과, 공개된 특수한 취약점 몇 가지만 패치하는 기업들이나 모두 비슷한 수준으로 사이버 정찰 캠페인에 노출될 수 있다는 것이다. 이러나 저러나 위험한 건 비슷하다는 뜻.
[이미지 = utoimage]
이는 이탈리아 트렌토대학의 연구원들이 2008년에서 2020년 사이에 발생한 350건의 APT 공격을 분석해 얻어낸 결과다. “능동적으로 모든 취약점을 찾아 패치하는 조직들과, 취약점 소식이 공개된 후에야 몇 가지를 골라서 패치하는 조직들의 피해 가능성은 비슷한 수준이었습니다. 심지어 전체 취약점의 12%만 패치한 조직이더라도 100%에 가깝게 패치한 조직과 위험이라는 측면에서는 비슷했습니다.” 물론 이는 APT 공격에 한정된 이야기다.
왜 조금 늦은, 선택적 패치도 효과를 보는 것인가?
이 연구 결과는 능동적 패치의 무용성을 말하는 것처럼 보이지만, “절대 그렇지 않다”는 것이 트렌토대학 연구원들의 강조점이다. “APT 공격에 한정된 연구라는 것을 기억해야 합니다. 조금 패치가 늦더라도 APT 공격자들 막기에 충분할 수 있다는 의미의 결과가 이번 조사를 통해 나온 것은 APT 공격자들도 대부분의 경우 취약점이 공개된 이후에 움직일 때가 많기 때문입니다. 그러므로 취약점을 많이 패치하는 것보다 공개 이후 최대한 빨리 패치하는 것이 훨씬 더 중요하다는 걸 알 수 있습니다.”
2008년부터 시작된 350건의 APT 공격 캠페인을 분석한 결과 연구원들은 APT 단체들이 대대적으로 공개된 취약점들을 제로데이 취약점보다 훨씬 많이 활용한다는 것을 알아낼 수 있었다고 한다. 또한 APT 단체들 사이에서 자주 공략되는 취약점이나 익스플로잇 방법은 APT 단체들 사이에서 곧잘 공유된다는 사실도 알아냈다. “2008~2020년 사이 캠페인을 벌인 APT 그룹은 총 86개며, 이들은 118개의 고유한 취약점들을 익스플로잇 했습니다. 이 중 자신들만의 고유한 취약점을 익스플로잇 한 APT 단체는 8개뿐이었습니다.”
이 8개 단체는 스텔스팔콘(Stealth Falcon), APT17, 이퀘이젼(Equation), 드래곤플라이(Dragonfly), 엘더우드(Elderwood), 핀8(FIN8), 다크하이드러스(DarkHydrus), 랭커(Rancor)다. “결국 APT 단체라고 해서 매번 기발한 방법으로 제로데이 취약점을 공략하는 게 아니라는 뜻이 됩니다. 아니, 심지어 이들 역시 이미 다른 경로로 공개된 취약점을 선호한다는 걸 알 수 있습니다. 결국 보안 관리자들에게 어느 정도 대비의 시간이 주어진다는 뜻이 되죠.”
위험 수준, 대략적으로 비슷하다
물론 취약점 업데이트가 나오는 즉시 패치하는 조직들일수록 위험에 노출될 확률이 낮은 건 사실이다. 하지만 처음에 패치를 하면 할수록 회귀 테스트를 꼼꼼하게 해야 하고, 그렇기 때문에 처음에 업데이트를 진행하면 나중에 업데이트를 진행하는 경우보다 시간이 훨씬 오래 걸린다. 바로 이 문제 때문에 능동적으로 모든 취약점을 패치하는 것이나, 약간은 수동적으로 일부 취약점만 골라서 패치하는 것이나 큰 차이가 없다는 것이다.
“예를 들어 취약점 소식을 받고 한 달 이내에 모든 취약점을 패치하는 조직 A가 있다고 합시다. 그리고 곧바로 패치를 적용하는 조직 B가 있고요. A가 침해당할 확률은 B보다 5~6배 높습니다. 여기에 C라는 기업을 더해봅시다. 이 C는 취약점 정보가 널리 공개된 이후 선택적으로 패치를 진행하는 기업입니다. C는 B보다 얼마나 더 위험할까요? 저희 연구에 의하면 5.5~7배 높습니다. 즉 A나 C나 큰 차이가 없다는 것이죠. 결국 가장 안전한 건 취약점 소식이 나오자마자 패치하는 조직입니다. 취약점 공개 시점과 패치 시점 사이가 안 벌어질수록 안전하다는 뜻이겠죠.”
눈여겨 봐야 할 지점은 모든 취약점을 업데이트 하는 조직들보다 선택적으로 업데이트 하는 조직들이 다루는 취약점이 꽤나 적다는 것이다. “CVE 번호와 기술 정보가 공개되기까지 기다렸다가 특정 취약점만 골라서 패치하는 조직들은 모든 취약점을 패치하는 조직들에 비해 평균적으로 8배 적은 취약점을 패치합니다. 그러므로 APT 공격이 우려되는 조직이라면, 취약점 정보가 온전히 공개되기를 기다렸다가 선택적으로 패치를 해도 모든 패치를 다 적용하는 것과 비슷한 효과를 누릴 수 있습니다.”
심각한 문제
취약점 관리 문제는 최근 몇 년 동안 보안 업계의 중요한 화두였다. IT 및 보안 부서 모두 시간과 스케줄이 부족하기 때문이다. 취약점을 어떤 식으로 해결하느냐에 대해서는 아직도 속시원한 정답이 나오지 않고 있고, 그런 와중에 취약점의 절대적 수량은 계속해서 늘어나는 중이다. 2021년 한 해 동안 공개된 취약점은 총 20175개인데, 이는 하루에 취약점이 수십~수백 개씩 발견된다는 뜻이 된다. 전부 패치를 하는 게 물리적으로 불가능해지고 있다.
그런 맥락에서 트렌토대학의 연구원들은 패치 전략의 효율성을 알아보기 위해 연구를 시작한 것이라고 한다. 특히 기업용 소프트웨어로서 널리 사용되는 제품들을 기준으로 삼아 이번 연구가 진행됐는데, 이 제품들은 오피스, 아크로뱃 리더, 에어, JRE, 플래시플레이어(윈도용)이다.
“패치는 최대한 빨리 할수록 실질적인 효과를 나타냅니다. 그렇지 않다면 아무리 많은 취약점을 패치한다고 하더라도 그리 놀라운 효과를 거두기는 힘들다는 게 이번 저희 연구의 기본적 결론입니다. 오히려 취약점 정보가 공개된 이후(예를 들어 CVE 데이터베이스에 등록된 이후) 필요한 취약점 몇 가지만 골라서 패치하는 게 비용적인 면에서는 크게 유리합니다.”
3줄 요약
1. APT 공격자들도 취약점 공개 이후 움직이는 사례가 많기 때문에 방어 역시 그렇게 해도 됨.
2. 즉각적으로 패치를 적용하는 게 아닌 이상 전체를 패치하든 일부만 패치하든 별 차이가 없음.
3. 그렇다면 취약점 정보가 나온 이후 일부 취약점만 골라서 패치하는 게 경제적.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>