미국 통신정보관리청, 보안 전문가들과 개발 전문가 따로 조사
취약점 마음껏 연구하게 해주는 법적 장치 부족해
[보안뉴스 문가용 기자] 미국의 통신정보관리청(NTIA)이 취약점 공개 문제에 대한 연구를 실시해, 그 결과를 발표했다. 특히 이 문제를 둘러 싼 소프트웨어 개발사와 보안 전문 업체 사이의 미묘한 신경전에 대한 연구가 집중적으로 이루어졌다.
.jpg)
먼저 취약점 공개 자체에 대해 NTIA의 사이버 보안국장인 알란 프라이드만(Allan Friedman)은 “취약점을 더 많이 공개한다고 해서 우리의 사이버 세상이 더 안전해지는 건 아니다”라고 분명히 말한다. 그러나 “취약점을 올바르게 공개함으로써 유기적인 협력관계를 만들어나갈 수 있고, 이는 사이버 세상을 안전하게 만드는 데에 대단히 중요한 요소”라고 덧붙였다.
NTIA는 414명의 보안 전문가들과 285명의 소프트웨어 개발자들을 대상으로 연구를 실시했다. 보안 전문가들 중 92%는 보안 취약점 발굴 및 공개에 어떤 방식으로든 기여를 하고 있다고 답했으나, 60%는 법적인 문제가 발생할까봐 소프트웨어 제작사와 제대로 협업하기가 꺼려질 때가 있다고 답하기도 했다. 소프트웨어 제조사들 중 76%는 취약점을 찾아내고 고치는 데에 있어 내부 인원들만으로도 충분하다고 답했고, 1/3은 외부 업체에 맡긴다고 답했다.
즉, 아직 제대로 된 취약점 공개를 위한 표준 절차나 정서적인 합의를 위해 더 많은 일들을 해결해야 한다는 것이다. 이에 NTIA가 공개한 연구 결과를 요약해서 정리해본다.
1. 보안 전문가들 대부분은 취약점을 알리고 있다
일단 이번 조사에 참가한 보안 전문가들 중 67%는 취약점을 찾아내 공개하기 위해 소프트웨어 제조사들과 연락을 주고받는다고 답했다. 25%는 제 3자를 가운데에 놓고 취약점을 찾고 또 보고한다고 말했다. 4%는 법정 싸움 등에 휘말릴까봐 절대 남에게 알리지 않고 혼자만의 지식으로 간직한다고 답했다.
2. 취약점을 제조사에 알리는 건 그다지 유쾌한 일이 아니다
보안 전문가들 중 95%가 ‘취약점을 해결했다면 그 사실을 알려줬으면 좋겠다’고 답했다. 32%는 취약점에 대해 알려줬는데도 별다른 조치가 없거나 너무 늦장 대응을 해 대대적으로 공개할 수밖에 없었다고 답했다. 20% 역시 제조사에서 늦장 대응을 했을 때 대대적으로 공개할까 말까 심각하게 고민한 적이 있었다고 답했다. 즉 취약점과 관련하여 제조사들로부터 제대로 된 피드백을 받는 경우가 그리 많지 않다는 것이다.
3. 법정 싸움이 제일 무서운 보안 전문가들
보안 전문가들 대다수가 취약점을 발견하면 알린다는 건 위에 언급됐다. 그러나 취약점을 알리는 마음이 다 똑같은 건 아니다. 약 60%가 좋은 의도로 시작한 일 때문에 범죄자가 될까봐 무섭다고 답했으며, 보안 전문가들이 취약점을 자유롭게 찾아낼 수 있도록 보장해주는 정책이 필요하다는 의견에 대부분 동의했다.
4. 버그바운티 늘어나고 있지만 충분히 퍼져있진 않다
취약점 발견에 대한 보상 문제에 대해 20%는 아무런 보상을 바라지 않는다고 답했고 14%는 자신의 이름이 공개되는 걸 원치 않는다고 답했다. 53%는 최소 감사하다는 메시지 정도는 개발사로부터 받았으면 좋겠다고 답했고, 70%는 개발사와 좋은 인연을 계속 이어나가길 바란다고 답했다. 이런 측면에서 버그바운티 제도가 확산되는 건 좋은 소식이나, 아직 충분치 않다는 게 일반적인 의견이었다.
5. 개발사들도 취약점 발견, 패치에 민감하다
소프트웨어 개발자들 중 76%는 취약점과 관련한 내부 정책을 잘 알고 있다고 답했다. 59%는 같은 산업에 속해 있는 경쟁사나 파트너사의 취약점 관리 방법 및 정책에 주의를 기울인다고 했다. 41%는 ISO 표준을 학습한다고 답하기도 했다. 즉 개발사들도 보안 강화에 필요한 노력을 기울이고는 있는 것으로 나타난 것. 다만 충분하지 않다는 것이 문제다.
6. 고객들은 취약점이 공개되기를 바란다
취약점 공개가 정보보안을 전체적으로 향상시킬지는 아무도 확신할 수 없는 가운데, 소프트웨어 개발사 중 80%는 고객들이 원하기 때문에 취약점을 공개한다고 답했다. 66%는 사회적 책임 차원에서 취약점을 공개한다고 답했다. 54%는 취약점을 공개하면 소프트웨어 제품 및 서비스 개발 비용이 줄어든다고 답했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
취약점 마음껏 연구하게 해주는 법적 장치 부족해
[보안뉴스 문가용 기자] 미국의 통신정보관리청(NTIA)이 취약점 공개 문제에 대한 연구를 실시해, 그 결과를 발표했다. 특히 이 문제를 둘러 싼 소프트웨어 개발사와 보안 전문 업체 사이의 미묘한 신경전에 대한 연구가 집중적으로 이루어졌다.
먼저 취약점 공개 자체에 대해 NTIA의 사이버 보안국장인 알란 프라이드만(Allan Friedman)은 “취약점을 더 많이 공개한다고 해서 우리의 사이버 세상이 더 안전해지는 건 아니다”라고 분명히 말한다. 그러나 “취약점을 올바르게 공개함으로써 유기적인 협력관계를 만들어나갈 수 있고, 이는 사이버 세상을 안전하게 만드는 데에 대단히 중요한 요소”라고 덧붙였다.
NTIA는 414명의 보안 전문가들과 285명의 소프트웨어 개발자들을 대상으로 연구를 실시했다. 보안 전문가들 중 92%는 보안 취약점 발굴 및 공개에 어떤 방식으로든 기여를 하고 있다고 답했으나, 60%는 법적인 문제가 발생할까봐 소프트웨어 제작사와 제대로 협업하기가 꺼려질 때가 있다고 답하기도 했다. 소프트웨어 제조사들 중 76%는 취약점을 찾아내고 고치는 데에 있어 내부 인원들만으로도 충분하다고 답했고, 1/3은 외부 업체에 맡긴다고 답했다.
즉, 아직 제대로 된 취약점 공개를 위한 표준 절차나 정서적인 합의를 위해 더 많은 일들을 해결해야 한다는 것이다. 이에 NTIA가 공개한 연구 결과를 요약해서 정리해본다.
1. 보안 전문가들 대부분은 취약점을 알리고 있다
일단 이번 조사에 참가한 보안 전문가들 중 67%는 취약점을 찾아내 공개하기 위해 소프트웨어 제조사들과 연락을 주고받는다고 답했다. 25%는 제 3자를 가운데에 놓고 취약점을 찾고 또 보고한다고 말했다. 4%는 법정 싸움 등에 휘말릴까봐 절대 남에게 알리지 않고 혼자만의 지식으로 간직한다고 답했다.
2. 취약점을 제조사에 알리는 건 그다지 유쾌한 일이 아니다
보안 전문가들 중 95%가 ‘취약점을 해결했다면 그 사실을 알려줬으면 좋겠다’고 답했다. 32%는 취약점에 대해 알려줬는데도 별다른 조치가 없거나 너무 늦장 대응을 해 대대적으로 공개할 수밖에 없었다고 답했다. 20% 역시 제조사에서 늦장 대응을 했을 때 대대적으로 공개할까 말까 심각하게 고민한 적이 있었다고 답했다. 즉 취약점과 관련하여 제조사들로부터 제대로 된 피드백을 받는 경우가 그리 많지 않다는 것이다.
3. 법정 싸움이 제일 무서운 보안 전문가들
보안 전문가들 대다수가 취약점을 발견하면 알린다는 건 위에 언급됐다. 그러나 취약점을 알리는 마음이 다 똑같은 건 아니다. 약 60%가 좋은 의도로 시작한 일 때문에 범죄자가 될까봐 무섭다고 답했으며, 보안 전문가들이 취약점을 자유롭게 찾아낼 수 있도록 보장해주는 정책이 필요하다는 의견에 대부분 동의했다.
4. 버그바운티 늘어나고 있지만 충분히 퍼져있진 않다
취약점 발견에 대한 보상 문제에 대해 20%는 아무런 보상을 바라지 않는다고 답했고 14%는 자신의 이름이 공개되는 걸 원치 않는다고 답했다. 53%는 최소 감사하다는 메시지 정도는 개발사로부터 받았으면 좋겠다고 답했고, 70%는 개발사와 좋은 인연을 계속 이어나가길 바란다고 답했다. 이런 측면에서 버그바운티 제도가 확산되는 건 좋은 소식이나, 아직 충분치 않다는 게 일반적인 의견이었다.
5. 개발사들도 취약점 발견, 패치에 민감하다
소프트웨어 개발자들 중 76%는 취약점과 관련한 내부 정책을 잘 알고 있다고 답했다. 59%는 같은 산업에 속해 있는 경쟁사나 파트너사의 취약점 관리 방법 및 정책에 주의를 기울인다고 했다. 41%는 ISO 표준을 학습한다고 답하기도 했다. 즉 개발사들도 보안 강화에 필요한 노력을 기울이고는 있는 것으로 나타난 것. 다만 충분하지 않다는 것이 문제다.
6. 고객들은 취약점이 공개되기를 바란다
취약점 공개가 정보보안을 전체적으로 향상시킬지는 아무도 확신할 수 없는 가운데, 소프트웨어 개발사 중 80%는 고객들이 원하기 때문에 취약점을 공개한다고 답했다. 66%는 사회적 책임 차원에서 취약점을 공개한다고 답했다. 54%는 취약점을 공개하면 소프트웨어 제품 및 서비스 개발 비용이 줄어든다고 답했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
