새로운 악성코드가 발견되면 대개 어떠한 약점을 이용하여 만들어졌는지가 함께 발표됩니다. 예를 들면 이번 ‘워너크라이(WannaCry) 랜섬웨어’는 Windows의 SMBv2 취약점을 악용해 만들어졌다’는 것처럼요.

사실 보안 전문가 여러분에게는 ‘약점’보다는 ‘취약점’이란 말이 더 익숙하시겠지만, 이 둘은 사전적으로는 다른 의미입니다. ‘약점’은 개발 단계에서 발생하는 보안 관련 오류이고, ‘취약점’은 운영 단계에서 발생하는 보안 관련 오류이기 때문입니다. 물론 현장에서는 엄격하게 구분해서 쓰지는 않습니다.

한 보안전문가는 “보안 약점은 weakness로 ‘공격에 활용될 여지가 있는 오류’ 즉, 이론상 존재하는 위험 요소를 말하고, 보안 취약점은 vulnerability로 ‘실제로 공격 구현이 가능한 오류’ 즉, 구현이 실제적으로 가능한 것”이라고 설명했습니다.

‘위협(threat)’과 ‘위험(risk)’은 어떨까요? ‘위협’은 위험을 일으킬 소지가 다분한 요소를 말하며, ‘위험’은 위협 요소가 일으킬 수 있는 피해를 말합니다.

또 다른 보안 전문가는 이렇게 설명했습니다. “위협은 보통 제어가 되지 않는다는 게 가장 큰 특징입니다. 위험은 줄일 수 있습니다. 즉, 관리가 가능하다는 겁니다. 취약점(약점)은 조치가 가능합니다. 취약점이 무엇인지 찾아내고 그걸 없애는 게 중요하다는 것이죠.”

이렇게 기본 개념을 구분하는 것이 중요한 건 이제 남녀노소 모두가 보안에 참여해야 하는 때이고, 서로가 같은 말을 사용하고 이해해야 ┖보안 전략┖이 최대의 효과를 발휘할 수 있기 때문입니다. 기본 개념이 톱니바퀴처럼 튼튼히 맞물려야 더욱 안전할 수 있겠죠?
[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>