NIST의 중요 사업 중 하나인 데이터베이스가 관리되지 않고 있다. 취약점이 너무 많아서 처리가 불가능한 시점에 이른 것이다. 곧 복구될 거라고 하던 NIST는 외부의 지원을 요청하기까지 했다.
[보안뉴스 문가용 기자] NVD라는 미국 국가 취약점 데이터베이스에 제출되는 취약점이 매년 빠르게 증가한다 싶더니 결국 NIST가 두손 두발을 들었다. 더 이상 지금의 체제로서는 접수되는 취약점을 다 살펴볼 수도 없고, 데이터베이스를 꾸준히 업데이트도 할 수 없다고 공식 인정한 것이다. 그렇다고 취약점 관리를 하지 않을 수도 없는 것이라 현재 민간 부문과 공공 기관들에 도움을 요청한 상태다.
[이미지 = gettyimagesbank]
지난 2월 NVD를 관리하는 미국 국립표준기술연구소(NIST)는 취약점 데이터베이스를 업데이트하는 일에 곤란을 겪고 있음을 알렸다. 이 때만해도 ‘약간의 지연이 발생하고 있는데 곧 정상적으로 운영을 재개할 것’이라는 입장이었다. 하지만 이번 주 NIST의 목소리가 바뀌었다. 처리할 취약점의 절대적 수량이 너무나 많아서 처리할 수 없다는 것이었다. 그래서 가장 우선순위가 높은 취약점들부터 정리하고 있다고 밝혔다.
취약점의 수량이 폭발적으로 늘어난 것에 대하여 NIST는 “여러 가지 이유가 있다”고 설명한다. “소프트웨어의 수가 늘어났고, 그러므로 소프트웨어 취약점도 자연스럽게 늘어났습니다. 게다가 NVD 관리에 협력하는 정부 기관들 간 체계에도 변화가 있었습니다. 이런 모든 요인들이 합해져서 지금의 ‘관리 불가능’ 지경에까지 이른 것입니다.”
현재 NIST는 내부 인력을 총동원하고 순환시켜 취약점 정보를 최대한 빠르게 내보내려 하고 있다고 한다. 어쩌면 지금 당장은 그렇게 해서 현재의 ‘정보 공유가 지연되는 상황’을 타개하는 게 가능할 수도 있다. “하지만 365일 이런 비상 체제를 가동시킬 수는 없습니다. 취약점 관리를 위한 장기 대책이 절실합니다.” 그러면서 NIST는 공공-민간 컨소시엄의 창설을 제안했다. NVD를 공동으로 관리하자는 것이다.
NIST, 새로운 접근법 필요해
NIST의 NVD는 현대 보안 운영에 있어서 반드시 있어야 하는 요소 중 하나로 자리를 잡고 있다. 보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)도 여기에 동의하며 “NVD가 업데이트 되지 않는다는 건 적어도 미국 전역의 보안 전문가들의 업무에 큰 차질이 생기고 있다는 뜻”이라고 경고했다. “이게 그냥 불편한 정도의 차질이 아닙니다. 전 조직을 실질적인 위험에 빠트릴 정도의 차질입니다.”
소로코는 “결국 규모의 문제”라고 말한다. “내부 인력만으로는 감당할 수 없는 시기에 이른 것이죠. 그래서 NIST는 외부 전문 인력들의 도움을 받고자 한 것이고, 그것이 컨소시엄의 이름으로 제안된 것입니다. 취약점 제보를 접수하고 분석하고 평가하고 데이터베이스에 입력할 사람들을 늘려야 한다는 해결법을 제안한 것입니다. 좋은 생각이라고 봅니다.”
보안 업체 퀄리스(Qualys)의 부회장 소미트라 다스(Saumitra Das)는 “CVE는 앞으로도 계속해서 증가하고 또 증가할 텐데 그에 따라 인력을 증가시키는 것만이 답일까 고민이 된다”며 “완전히 다른 접근법이 필요할 수도 있다”는 입장이다.
“취약점 관리라는 면에 있어서 NVD는 모퉁이돌과 같은 역할을 담당하고 있었습니다. 그러나 취약점들의 수적 증가가 너무나 큰 압박을 관리 주체에게 주고 있습니다. 우선순위를 설정하는 방법을 새롭게 구성한다든지, 평가의 기준을 바꾼다든지 하는 식의 새로운 관리 체제가 필요합니다. CVE가 계속해서 폭발적으로 증가할 것을 상정한 관리 체제가 필요하다는 겁니다. 최근 NVD의 예산이 10년 만에 처음으로 삭감됐다고 하는데, 이것 역시 이번 사태와 관련이 있을 거라고 봅니다. 즉 단순하게 수량의 문제만은 아닐 거라는 뜻이죠.”
보안 업체 밤베넥컨설팅(Bambenek Consulting)의 존 밤베넥(John Bambenek)은 “NVD가 그렇게나 중요하다면, 보안 업계가 나서서 도움을 제공하는 게 옳은 방향으로 보인다”는 입장이다. “NVD는 NIST가 국가 안보를 강화한다는 측면에서 가장 실질적이며 구체적으로 진행하고 있는 사업입니다. 보안 업계가 가장 잘 활용하고 있는 국가 자원이기도 하고요. 최대한 빨리 복구되도록 하면서 안정적으로 유지되도록, 시급히 문제를 해결해야 할 것입니다.”
3줄 요약
1. NIST의 취약점 관리 데이터베이스, 관리가 안 되고 있음.
2. NIST 내부 인력만으로는 이제 한계에 도달한 것.
3. 장기적인 데이터베이스 관리 방법이 마련되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] NVD라는 미국 국가 취약점 데이터베이스에 제출되는 취약점이 매년 빠르게 증가한다 싶더니 결국 NIST가 두손 두발을 들었다. 더 이상 지금의 체제로서는 접수되는 취약점을 다 살펴볼 수도 없고, 데이터베이스를 꾸준히 업데이트도 할 수 없다고 공식 인정한 것이다. 그렇다고 취약점 관리를 하지 않을 수도 없는 것이라 현재 민간 부문과 공공 기관들에 도움을 요청한 상태다.
[이미지 = gettyimagesbank]
지난 2월 NVD를 관리하는 미국 국립표준기술연구소(NIST)는 취약점 데이터베이스를 업데이트하는 일에 곤란을 겪고 있음을 알렸다. 이 때만해도 ‘약간의 지연이 발생하고 있는데 곧 정상적으로 운영을 재개할 것’이라는 입장이었다. 하지만 이번 주 NIST의 목소리가 바뀌었다. 처리할 취약점의 절대적 수량이 너무나 많아서 처리할 수 없다는 것이었다. 그래서 가장 우선순위가 높은 취약점들부터 정리하고 있다고 밝혔다.
취약점의 수량이 폭발적으로 늘어난 것에 대하여 NIST는 “여러 가지 이유가 있다”고 설명한다. “소프트웨어의 수가 늘어났고, 그러므로 소프트웨어 취약점도 자연스럽게 늘어났습니다. 게다가 NVD 관리에 협력하는 정부 기관들 간 체계에도 변화가 있었습니다. 이런 모든 요인들이 합해져서 지금의 ‘관리 불가능’ 지경에까지 이른 것입니다.”
현재 NIST는 내부 인력을 총동원하고 순환시켜 취약점 정보를 최대한 빠르게 내보내려 하고 있다고 한다. 어쩌면 지금 당장은 그렇게 해서 현재의 ‘정보 공유가 지연되는 상황’을 타개하는 게 가능할 수도 있다. “하지만 365일 이런 비상 체제를 가동시킬 수는 없습니다. 취약점 관리를 위한 장기 대책이 절실합니다.” 그러면서 NIST는 공공-민간 컨소시엄의 창설을 제안했다. NVD를 공동으로 관리하자는 것이다.
NIST, 새로운 접근법 필요해
NIST의 NVD는 현대 보안 운영에 있어서 반드시 있어야 하는 요소 중 하나로 자리를 잡고 있다. 보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)도 여기에 동의하며 “NVD가 업데이트 되지 않는다는 건 적어도 미국 전역의 보안 전문가들의 업무에 큰 차질이 생기고 있다는 뜻”이라고 경고했다. “이게 그냥 불편한 정도의 차질이 아닙니다. 전 조직을 실질적인 위험에 빠트릴 정도의 차질입니다.”
소로코는 “결국 규모의 문제”라고 말한다. “내부 인력만으로는 감당할 수 없는 시기에 이른 것이죠. 그래서 NIST는 외부 전문 인력들의 도움을 받고자 한 것이고, 그것이 컨소시엄의 이름으로 제안된 것입니다. 취약점 제보를 접수하고 분석하고 평가하고 데이터베이스에 입력할 사람들을 늘려야 한다는 해결법을 제안한 것입니다. 좋은 생각이라고 봅니다.”
보안 업체 퀄리스(Qualys)의 부회장 소미트라 다스(Saumitra Das)는 “CVE는 앞으로도 계속해서 증가하고 또 증가할 텐데 그에 따라 인력을 증가시키는 것만이 답일까 고민이 된다”며 “완전히 다른 접근법이 필요할 수도 있다”는 입장이다.
“취약점 관리라는 면에 있어서 NVD는 모퉁이돌과 같은 역할을 담당하고 있었습니다. 그러나 취약점들의 수적 증가가 너무나 큰 압박을 관리 주체에게 주고 있습니다. 우선순위를 설정하는 방법을 새롭게 구성한다든지, 평가의 기준을 바꾼다든지 하는 식의 새로운 관리 체제가 필요합니다. CVE가 계속해서 폭발적으로 증가할 것을 상정한 관리 체제가 필요하다는 겁니다. 최근 NVD의 예산이 10년 만에 처음으로 삭감됐다고 하는데, 이것 역시 이번 사태와 관련이 있을 거라고 봅니다. 즉 단순하게 수량의 문제만은 아닐 거라는 뜻이죠.”
보안 업체 밤베넥컨설팅(Bambenek Consulting)의 존 밤베넥(John Bambenek)은 “NVD가 그렇게나 중요하다면, 보안 업계가 나서서 도움을 제공하는 게 옳은 방향으로 보인다”는 입장이다. “NVD는 NIST가 국가 안보를 강화한다는 측면에서 가장 실질적이며 구체적으로 진행하고 있는 사업입니다. 보안 업계가 가장 잘 활용하고 있는 국가 자원이기도 하고요. 최대한 빨리 복구되도록 하면서 안정적으로 유지되도록, 시급히 문제를 해결해야 할 것입니다.”
3줄 요약
1. NIST의 취약점 관리 데이터베이스, 관리가 안 되고 있음.
2. NIST 내부 인력만으로는 이제 한계에 도달한 것.
3. 장기적인 데이터베이스 관리 방법이 마련되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
