취약점 평가의 새로운 기준이 지난 주 발표됐고, 이번 주 많은 전문가들이 리뷰를 마쳤다. 많은 이들이 3.0보다 나아졌다는 후기를 내놓고 있다.
[보안뉴스 문정후 기자] 취약점에 점수를 매겨 위험성을 직관적으로 표시할 수 있게 해 주는 시스템인 CVSS의 새로운 버전이 지난 주 발표됐다. CVSS 4.0인데, 현재까지 여러 전문가들이 검토한 바에 의하면 각 기업의 보안 담당자들이 각자의 환경에 맞게 위험 요소들을 평가하고 관리하는 데 도움이 될 수 있을 거라고 한다.
[이미지 = gettyimagesbank]
“이전 CVSS 버전은 보다 ‘평준화 된’ 리스크 평가 기법에 가까웠습니다. 어디 특별히 모나지도 않았지만, 그렇다고 어느 상황에나 다 잘 어울린다고 하기에는 아쉬운 지점들이 있었습니다. 너무 많은 것을 생각했고, 그래서 어느 경우에나 뭔가가 하나씩 빠져 있었지요.” 보안 업체 크리티컬스타트(Critical Start)의 위협 전문가 캘리 궨터(Callie Guenther)의 설명이다.
“그에 반해 이번 버전은 동적이면서 컨텍스트까지 고려한 위험 평가를 가능하게 합니다. 취약점을 절대적인 기준에서 평가하는 게 아니라 여러 환경과 맥락, 시점까지 입체적으로 고려하여 평가하는 것이죠. 같은 취약점이라 하더라도 어떤 환경이냐에 따라 위험성이 달라진다는 것이 드디어 반영된 것입니다.”
새 CVSS의 장점
CVSS 점수 체계를 유지 및 관리하는 건 퍼스트(FIRST)라는 단체다. 올해 6월 몬트리얼에서 해마다 열리는 컨퍼런스를 통해 당시까지 개발된 버전을 선보인 후 지난 주 4.0 버전을 공식 발표했다. 3.0 버전에 비해 가장 크게 다른 점이 있다면 취약점의 순수 기술적 특성만으로 위험도를 평가하지 않게 되었다는 것이다. 위에서 궨터가 설명한 것처럼 보다 많은 요소들을 고려하여 취약점을 평가하도록 되어 있다.
“예를 들어 같은 위험도의 취약점이라 하더라도 개념 증명용 익스플로잇 코드가 공개되어 있느냐 아니냐에 따라 실질적인 위협이 될 가능성이 천차만별로 달라집니다. 이미 공격자들이 익스플로잇에 성공해 해킹 공격을 실행한 사례가 있느냐 없느냐도 중요한 변수가 되지요. 이런 외부 요인들도 CVSS 점수를 계산할 때 포함하도록 되어 있습니다.”
순수하게 기술적인 측면에서만 위험도를 평가한다고 하더라도 CVSS 3.0과 4.0에는 차이가 있다. 두 개의 평가 항목이 추가됐기 때문이다. “실제 해커가 취약점을 통해 공격을 실행한다고 했을 때 어떤 조건이 추가로 성립되어야 하는지도 점수에 반영됩니다. 취약점을 좀 더 입체적으로 파악할 수 있도록 해 둔 것입니다. 따라서 CVSS 지표를 보고서 보다 구체적이고 맞춤형으로 리스크 관리를 할 수 있게 될 거라고 봅니다.”
환경과 맥락이라는 요소
보안 업체 퀄리스(Qualys)의 연구 책임자인 마유레시 다니(Mayuresh Dani)는 기업의 인프라 상태도 고려 대상이 됐다고 설명한다. “이전 CVSS의 경우 기밀성, 무결성, 가용성이라는 요소들을 기준으로 취약점을 평가했습니다. 새로 나온 CVSS는 이 세 가지를 좀 더 세분화하고 있습니다. 취약한 시스템의 기밀성, 무결성, 가용성과 후속 시스템의 기밀성, 무결성, 가용성으로 말이죠. 이 때문에 기업들은 취약한 시스템과 후속 시스템들에 미치는 영향까지도 자연스럽게 생각하게 되었습니다.”
여기에 더해 자동화 기술로 익스플로잇이 가능한지, 물리적인 사고로도 이어질 수 있는지도 취약점 평가의 중요한 고려 대상이 되었다. 이 두 가지 항목을 통해 기업들은 취약점 패치의 우선순위를 보다 효과적으로 수립할 수 있을 것으로 기대된다. 특히 OT 보안이 대두되고 있는 요즘이라 이 두 항목은 절대적으로 필요했다는 지적이 전문가들로부터 나오고 있었다.
그러나 보안 업체 뉴클리어스(Nucleus)의 부회장 패트릭 개러티(Patrick Garrity)는 “CVSS 4.0은 다른 취약점 관리 체제인 KEV나 EPSS 등과 함께 사용할 때 더 효과를 발휘할 것으로 보인다”고 짚는다. “지난 CVSS 버전들의 가장 큰 문제는 사용자들이 CVSS라는 기준 하나만으로 모든 보안 문제를 해결하려 했다는 겁니다. 그 어떤 보안 솔루션도 단 하나로 모든 걸 해결할 수 없다는 걸 알면서도 우리는 CVSS가 그런 역할을 해주길 기대했어요. 그러니 불만들이 나올 수밖에 없었죠. 이번 CVSS 4.0을 통해 그 점이 제대로 강조되기를 희망합니다. CVSS는 여러 기준 및 가이드라인 중 하나일 뿐입니다.”
CVSS 4.0, 어쩌면 취약점 점수 높일지도
재미있는 건 CVSS가 버전을 거듭 높일 때마다 취약점들의 평균 점수는 꾸준히 올라갔다는 것이다. 시스코(Cisco)에서 조사한 3862개의 취약점들은 CVSS 2.0일 때의 평균 점수는 6.5점이었는데, CVSS 3으로 넘어오면서 7.4점이 됐다. 1077개의 취약점들이 저위험군에서 중위험군으로, 중위험군에서 고위험군으로, 고위험군에서 초고위험군으로 올라갔던 것이다. 이런 흐름이 CVSS 4.0에서도 이어질 가능성이 높다고 전문가들은 보고 있다.
개러티는 “고위험군과 초고위험군 취약점이 더 많아질 것”이라며 “이런 상황에 대처할 준비를 갖추는 게 중요하다”고 강조한다. “준비를 갖춘다는 건 자산의 가치, 익스플로잇 난이도 등과 같은 요소들을 취약점 점수와 함께 버무려 평가하는 프로세스를 만들어낸다는 뜻입니다. CVSS 점수라는 단 하나의 기준만으로 일희일비 하지 않을 수 있어야 합니다. 그게 새 CVSS를 맞이하는 가장 중요한 자세라고 할 수 있습니다.”
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 취약점에 점수를 매겨 위험성을 직관적으로 표시할 수 있게 해 주는 시스템인 CVSS의 새로운 버전이 지난 주 발표됐다. CVSS 4.0인데, 현재까지 여러 전문가들이 검토한 바에 의하면 각 기업의 보안 담당자들이 각자의 환경에 맞게 위험 요소들을 평가하고 관리하는 데 도움이 될 수 있을 거라고 한다.
[이미지 = gettyimagesbank]
“이전 CVSS 버전은 보다 ‘평준화 된’ 리스크 평가 기법에 가까웠습니다. 어디 특별히 모나지도 않았지만, 그렇다고 어느 상황에나 다 잘 어울린다고 하기에는 아쉬운 지점들이 있었습니다. 너무 많은 것을 생각했고, 그래서 어느 경우에나 뭔가가 하나씩 빠져 있었지요.” 보안 업체 크리티컬스타트(Critical Start)의 위협 전문가 캘리 궨터(Callie Guenther)의 설명이다.
“그에 반해 이번 버전은 동적이면서 컨텍스트까지 고려한 위험 평가를 가능하게 합니다. 취약점을 절대적인 기준에서 평가하는 게 아니라 여러 환경과 맥락, 시점까지 입체적으로 고려하여 평가하는 것이죠. 같은 취약점이라 하더라도 어떤 환경이냐에 따라 위험성이 달라진다는 것이 드디어 반영된 것입니다.”
새 CVSS의 장점
CVSS 점수 체계를 유지 및 관리하는 건 퍼스트(FIRST)라는 단체다. 올해 6월 몬트리얼에서 해마다 열리는 컨퍼런스를 통해 당시까지 개발된 버전을 선보인 후 지난 주 4.0 버전을 공식 발표했다. 3.0 버전에 비해 가장 크게 다른 점이 있다면 취약점의 순수 기술적 특성만으로 위험도를 평가하지 않게 되었다는 것이다. 위에서 궨터가 설명한 것처럼 보다 많은 요소들을 고려하여 취약점을 평가하도록 되어 있다.
“예를 들어 같은 위험도의 취약점이라 하더라도 개념 증명용 익스플로잇 코드가 공개되어 있느냐 아니냐에 따라 실질적인 위협이 될 가능성이 천차만별로 달라집니다. 이미 공격자들이 익스플로잇에 성공해 해킹 공격을 실행한 사례가 있느냐 없느냐도 중요한 변수가 되지요. 이런 외부 요인들도 CVSS 점수를 계산할 때 포함하도록 되어 있습니다.”
순수하게 기술적인 측면에서만 위험도를 평가한다고 하더라도 CVSS 3.0과 4.0에는 차이가 있다. 두 개의 평가 항목이 추가됐기 때문이다. “실제 해커가 취약점을 통해 공격을 실행한다고 했을 때 어떤 조건이 추가로 성립되어야 하는지도 점수에 반영됩니다. 취약점을 좀 더 입체적으로 파악할 수 있도록 해 둔 것입니다. 따라서 CVSS 지표를 보고서 보다 구체적이고 맞춤형으로 리스크 관리를 할 수 있게 될 거라고 봅니다.”
환경과 맥락이라는 요소
보안 업체 퀄리스(Qualys)의 연구 책임자인 마유레시 다니(Mayuresh Dani)는 기업의 인프라 상태도 고려 대상이 됐다고 설명한다. “이전 CVSS의 경우 기밀성, 무결성, 가용성이라는 요소들을 기준으로 취약점을 평가했습니다. 새로 나온 CVSS는 이 세 가지를 좀 더 세분화하고 있습니다. 취약한 시스템의 기밀성, 무결성, 가용성과 후속 시스템의 기밀성, 무결성, 가용성으로 말이죠. 이 때문에 기업들은 취약한 시스템과 후속 시스템들에 미치는 영향까지도 자연스럽게 생각하게 되었습니다.”
여기에 더해 자동화 기술로 익스플로잇이 가능한지, 물리적인 사고로도 이어질 수 있는지도 취약점 평가의 중요한 고려 대상이 되었다. 이 두 가지 항목을 통해 기업들은 취약점 패치의 우선순위를 보다 효과적으로 수립할 수 있을 것으로 기대된다. 특히 OT 보안이 대두되고 있는 요즘이라 이 두 항목은 절대적으로 필요했다는 지적이 전문가들로부터 나오고 있었다.
그러나 보안 업체 뉴클리어스(Nucleus)의 부회장 패트릭 개러티(Patrick Garrity)는 “CVSS 4.0은 다른 취약점 관리 체제인 KEV나 EPSS 등과 함께 사용할 때 더 효과를 발휘할 것으로 보인다”고 짚는다. “지난 CVSS 버전들의 가장 큰 문제는 사용자들이 CVSS라는 기준 하나만으로 모든 보안 문제를 해결하려 했다는 겁니다. 그 어떤 보안 솔루션도 단 하나로 모든 걸 해결할 수 없다는 걸 알면서도 우리는 CVSS가 그런 역할을 해주길 기대했어요. 그러니 불만들이 나올 수밖에 없었죠. 이번 CVSS 4.0을 통해 그 점이 제대로 강조되기를 희망합니다. CVSS는 여러 기준 및 가이드라인 중 하나일 뿐입니다.”
CVSS 4.0, 어쩌면 취약점 점수 높일지도
재미있는 건 CVSS가 버전을 거듭 높일 때마다 취약점들의 평균 점수는 꾸준히 올라갔다는 것이다. 시스코(Cisco)에서 조사한 3862개의 취약점들은 CVSS 2.0일 때의 평균 점수는 6.5점이었는데, CVSS 3으로 넘어오면서 7.4점이 됐다. 1077개의 취약점들이 저위험군에서 중위험군으로, 중위험군에서 고위험군으로, 고위험군에서 초고위험군으로 올라갔던 것이다. 이런 흐름이 CVSS 4.0에서도 이어질 가능성이 높다고 전문가들은 보고 있다.
개러티는 “고위험군과 초고위험군 취약점이 더 많아질 것”이라며 “이런 상황에 대처할 준비를 갖추는 게 중요하다”고 강조한다. “준비를 갖춘다는 건 자산의 가치, 익스플로잇 난이도 등과 같은 요소들을 취약점 점수와 함께 버무려 평가하는 프로세스를 만들어낸다는 뜻입니다. CVSS 점수라는 단 하나의 기준만으로 일희일비 하지 않을 수 있어야 합니다. 그게 새 CVSS를 맞이하는 가장 중요한 자세라고 할 수 있습니다.”
글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 TH.jpg)
.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
