버그리포트, 3일째 무소식...CVE 자릿수 늘어난 건 이미 5월
문제 해결 과정에 생기는 부산물 바라는 마음으로 국감 보기
[보안뉴스 문가용 기자] 버그리포트 코너가 진행된 지 1년 반이 지났다. 그동안 CVE라는 취약점 관리 시스템에도 큰 변화가 있었다. 대표적인 건 ‘CVE-년도-’ 뒤에 이어지는 4자리 숫자가 5자리와 7자리로 늘었다는 것. 이미 ‘취약점이 너무나 많이 발견되어서 4자리로는 번호를 다 매길 수가 없다’는 이야기가 나온 것은 꽤 오래전 이야기다. 그 주장이 받아들여져서 CVE 시스템이 공식적으로 4자리 이상의 자릿수로 확대된 것은 올해 5월의 일.
.jpg)
▲ 원래 버그는 징글징글하다
CVE 데이터베이스를 보관하고 있는 NVD에서 처음 7자리 CVE가 등장한 건 10월 10일로 본지에서는 10월 11일자 버그리포트를 통해 소개된 바 있다. CVE 자릿수가 늘어났대, 전설처럼 듣기만 했던 일이 실제로 펼쳐진 것인데도, 그 기다란 CVE 숫자들을 처음 봤을 때 떠오른 생각은 ‘NVD가 해킹 당했나?’였다. 위화감 이후에 찾아온 건, 진짜 1년에 9999개 이상의 취약점이 나오는 시대가 되었구나, 하는 위기감이었다.
취약점이 늘어난 건 우리가 인간이라 그런 거라고 생각하고, 심지어 모든 게 완벽하고 딱딱 맞아떨어져가야 할 것만 같은 디지털 시대에 인간성이 남아있다는 희미한 증거처럼 보일 때가 있었다. 왜, 바늘로 찔러도 피 한 방울 안 날 것 같은 사람보다는 조금 헐렁헐렁한 사람에게 정감이 가지 않는가. ‘왜 이렇게 완벽하지 못해 보안 구멍이 숭숭 뚫리는 거야?’라는 논조의 기사들 사이에 꾸준히 올라오는 사람의 실수 소식은 기자의 비밀스런 안도처이기도 했다. 버그리포트 단골기업인 시스코가 주는 것도 없이 반가울 때가 있는 건 아마 그런 이유일 게다.
그러니 현지 시각으로 지난 16일 이후 NVD의 취약점 데이터베이스에 아무런 변화가 없다는 건 여러 생각을 불러일으킬 수밖에. 무려 3일이다. 설마 취약점 발견 속도가 슬슬 줄어드는 시기에 접어든 건가? 우리 인간성은? 아니면 NVD 데이터베이스 담당자가 며칠 휴가 갔나? 그거 매우 인간적인데? 아니, 아니지. 내 일주일 기사 실적도 줄어드는 건데, 나쁜 소식인 걸까? 취약점이 줄어들면 어쨌든 보안으로선 좋은 거니까, 좋은 징조겠지? 아, 근데 그건 너무 인간미가 없어... 아니, 아니지...
물론 마음 한 구석엔 확신 비슷한 게 있다. NVD 취약점 데이터베이스 업데이트가 멈추는 일은 없을 거라는 거, 아마 내일쯤이면 휴가를 갔거나 자리를 비웠거나 다른 일정이 있었던 담당자가 그리스도처럼 3일 만에 부활해 구원이 필요한 CVE 번호들을 산더미처럼 등록하고 있을 거라는 믿음 말이다. 실수로 인한 취약점, 이건 인간이라면 늘 짊어지고 살아야 할 개인의 영원한 과제이자 사회 전체의 유구한 진행 방향이므로 아마 취약점이 줄어드는 것보다 태양의 수소가 더 빨리 바닥날 것이다.
최근 CISO들을 많이 만나고 다닌다. 완벽을 믿는 사람들은 아무도 없다. 뭐, 여기까진 당연하다. 재미있는 건 문제가 생긴다는 것에 대해 잠을 못 이룰 정도로 무서워하거나 긴장 상태를 유지하는 사람이 없다는 거였다. 사고가 나면 가장 위태로운 위치에 처하게 되는 사람들인데 말이다. 한 CISO는 여러 가지 위협 요소 혹은 장애 요소들을 대하는 마음가짐을 미국과 러시아의 예를 들어 설명해줬다.
“러시아와 미국이 한창 우주로 로켓을 보내는 경쟁을 하고 있을 때였어요. 중력 때문에 우주에서 볼펜을 쓸 수 없다는 걸 발견한 거죠. 그때 러시아는 ‘그럼 연필을 쓰면 되잖아?’라며 우주인들에게 연필을 쓰게 했습니다. 그런데 미국은 어떻게 해서든 볼펜을 쓰게 하려고 연구를 했다고 해요. 그리고 그 과정에서 다양한 기술들이 파생되었고요. 문제 해결의 정직한 노력이 굉장한 산물을 낼 때가 있다는 소리입니다.”
각종 국감 소식이 나라를 발칵 뒤집어놓고 있다. 이렇게나 많은 사회적 취약점을 단기간에 접하는 건 1년 중 이맘때가 거의 유일하다. 뭐, 잘못을 수정하는 일이 어디 쉬운 일인가. 발칵 뒤집어지지 않으면 어떤 의미에선 그게 더 이상할 것이다. 그래도 소란을 통해 한 정당의 의원은 이제 MS 워드에 대해 좀 더 자세히 알았을 것이고, 백여 년 만에 역사와 전통을 자랑하는 한 여자 대학의 총장이 일단 바뀔 것으로 보인단다. 그것만 해도 한 걸음이다.
그래봐야 또 어디선가 취약점이 발견된다면, 또 그쪽으로 핸들을 틀어 고치면 된다. 이 나라의 정체성까지 파고드는 이런 저런 속상한 소식들에 화도 났다가 탄식도 나오지만, 어떻게 하겠는가. 그저 취약함을 고치고 보완해오느라 갈지자를 그리며 달려온 과거와 그 방식 그대로 갈 미래를 믿는 수밖에. 그 과정 중에 문제의 해결 자체보다 더 값진 부산물이 나올지도 모른다고 기대하는 수밖에.
내일은 버그리포트가 짜잔 하고 뜨겠지. 또 국회에서도 새로운 소식들이 이정표처럼 나오겠지. ‘고치자’는 말이 상투적이라면 ‘덜 분노하자’고 권하고 싶다. 여성의 인권을 보호하자는 취지는 좋지만, 분노를 동반한 메갈이나 워마드에는 크게들 동의하지 않듯, 분노의 설득력은 길게 가지도 강력하지도 않다. 위험과 위협의 최전선에 노출되어 있는 CISO들처럼, 의외의 부산물을 기대할 줄 알고, 매일 파도 나오는 취약점들에 달관할 필요가 있어 보인다.
[문가용 기자(globoan@boannews.com)]
문제 해결 과정에 생기는 부산물 바라는 마음으로 국감 보기
[보안뉴스 문가용 기자] 버그리포트 코너가 진행된 지 1년 반이 지났다. 그동안 CVE라는 취약점 관리 시스템에도 큰 변화가 있었다. 대표적인 건 ‘CVE-년도-’ 뒤에 이어지는 4자리 숫자가 5자리와 7자리로 늘었다는 것. 이미 ‘취약점이 너무나 많이 발견되어서 4자리로는 번호를 다 매길 수가 없다’는 이야기가 나온 것은 꽤 오래전 이야기다. 그 주장이 받아들여져서 CVE 시스템이 공식적으로 4자리 이상의 자릿수로 확대된 것은 올해 5월의 일.
▲ 원래 버그는 징글징글하다
CVE 데이터베이스를 보관하고 있는 NVD에서 처음 7자리 CVE가 등장한 건 10월 10일로 본지에서는 10월 11일자 버그리포트를 통해 소개된 바 있다. CVE 자릿수가 늘어났대, 전설처럼 듣기만 했던 일이 실제로 펼쳐진 것인데도, 그 기다란 CVE 숫자들을 처음 봤을 때 떠오른 생각은 ‘NVD가 해킹 당했나?’였다. 위화감 이후에 찾아온 건, 진짜 1년에 9999개 이상의 취약점이 나오는 시대가 되었구나, 하는 위기감이었다.
취약점이 늘어난 건 우리가 인간이라 그런 거라고 생각하고, 심지어 모든 게 완벽하고 딱딱 맞아떨어져가야 할 것만 같은 디지털 시대에 인간성이 남아있다는 희미한 증거처럼 보일 때가 있었다. 왜, 바늘로 찔러도 피 한 방울 안 날 것 같은 사람보다는 조금 헐렁헐렁한 사람에게 정감이 가지 않는가. ‘왜 이렇게 완벽하지 못해 보안 구멍이 숭숭 뚫리는 거야?’라는 논조의 기사들 사이에 꾸준히 올라오는 사람의 실수 소식은 기자의 비밀스런 안도처이기도 했다. 버그리포트 단골기업인 시스코가 주는 것도 없이 반가울 때가 있는 건 아마 그런 이유일 게다.
그러니 현지 시각으로 지난 16일 이후 NVD의 취약점 데이터베이스에 아무런 변화가 없다는 건 여러 생각을 불러일으킬 수밖에. 무려 3일이다. 설마 취약점 발견 속도가 슬슬 줄어드는 시기에 접어든 건가? 우리 인간성은? 아니면 NVD 데이터베이스 담당자가 며칠 휴가 갔나? 그거 매우 인간적인데? 아니, 아니지. 내 일주일 기사 실적도 줄어드는 건데, 나쁜 소식인 걸까? 취약점이 줄어들면 어쨌든 보안으로선 좋은 거니까, 좋은 징조겠지? 아, 근데 그건 너무 인간미가 없어... 아니, 아니지...
물론 마음 한 구석엔 확신 비슷한 게 있다. NVD 취약점 데이터베이스 업데이트가 멈추는 일은 없을 거라는 거, 아마 내일쯤이면 휴가를 갔거나 자리를 비웠거나 다른 일정이 있었던 담당자가 그리스도처럼 3일 만에 부활해 구원이 필요한 CVE 번호들을 산더미처럼 등록하고 있을 거라는 믿음 말이다. 실수로 인한 취약점, 이건 인간이라면 늘 짊어지고 살아야 할 개인의 영원한 과제이자 사회 전체의 유구한 진행 방향이므로 아마 취약점이 줄어드는 것보다 태양의 수소가 더 빨리 바닥날 것이다.
최근 CISO들을 많이 만나고 다닌다. 완벽을 믿는 사람들은 아무도 없다. 뭐, 여기까진 당연하다. 재미있는 건 문제가 생긴다는 것에 대해 잠을 못 이룰 정도로 무서워하거나 긴장 상태를 유지하는 사람이 없다는 거였다. 사고가 나면 가장 위태로운 위치에 처하게 되는 사람들인데 말이다. 한 CISO는 여러 가지 위협 요소 혹은 장애 요소들을 대하는 마음가짐을 미국과 러시아의 예를 들어 설명해줬다.
“러시아와 미국이 한창 우주로 로켓을 보내는 경쟁을 하고 있을 때였어요. 중력 때문에 우주에서 볼펜을 쓸 수 없다는 걸 발견한 거죠. 그때 러시아는 ‘그럼 연필을 쓰면 되잖아?’라며 우주인들에게 연필을 쓰게 했습니다. 그런데 미국은 어떻게 해서든 볼펜을 쓰게 하려고 연구를 했다고 해요. 그리고 그 과정에서 다양한 기술들이 파생되었고요. 문제 해결의 정직한 노력이 굉장한 산물을 낼 때가 있다는 소리입니다.”
각종 국감 소식이 나라를 발칵 뒤집어놓고 있다. 이렇게나 많은 사회적 취약점을 단기간에 접하는 건 1년 중 이맘때가 거의 유일하다. 뭐, 잘못을 수정하는 일이 어디 쉬운 일인가. 발칵 뒤집어지지 않으면 어떤 의미에선 그게 더 이상할 것이다. 그래도 소란을 통해 한 정당의 의원은 이제 MS 워드에 대해 좀 더 자세히 알았을 것이고, 백여 년 만에 역사와 전통을 자랑하는 한 여자 대학의 총장이 일단 바뀔 것으로 보인단다. 그것만 해도 한 걸음이다.
그래봐야 또 어디선가 취약점이 발견된다면, 또 그쪽으로 핸들을 틀어 고치면 된다. 이 나라의 정체성까지 파고드는 이런 저런 속상한 소식들에 화도 났다가 탄식도 나오지만, 어떻게 하겠는가. 그저 취약함을 고치고 보완해오느라 갈지자를 그리며 달려온 과거와 그 방식 그대로 갈 미래를 믿는 수밖에. 그 과정 중에 문제의 해결 자체보다 더 값진 부산물이 나올지도 모른다고 기대하는 수밖에.
내일은 버그리포트가 짜잔 하고 뜨겠지. 또 국회에서도 새로운 소식들이 이정표처럼 나오겠지. ‘고치자’는 말이 상투적이라면 ‘덜 분노하자’고 권하고 싶다. 여성의 인권을 보호하자는 취지는 좋지만, 분노를 동반한 메갈이나 워마드에는 크게들 동의하지 않듯, 분노의 설득력은 길게 가지도 강력하지도 않다. 위험과 위협의 최전선에 노출되어 있는 CISO들처럼, 의외의 부산물을 기대할 줄 알고, 매일 파도 나오는 취약점들에 달관할 필요가 있어 보인다.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
