갑자기 NVD가 마비됐다. 취약점 정보가 가뭄에 콩나기 식으로 띄엄 띄엄 올라오는데, 그나마도 온전치 않다. 그래서 이래 저래 말들이 나오는데, NVD를 관리하는 주체들은 계속 침묵을 유지하고 있다.
[보안뉴스 = 데이비드 스트롬 IT 칼럼니스트] 2005년부터 미국 정부는 ‘국가 취약점 데이터베이스(NVD)’라는 걸 운영해 왔다. 이곳에서 보안 전문가들은 각종 취약점 정보를 상세하게 확인할 수 있었다. 취약점 정보가 궁금할 때 전 세계 대부분 보안 전문가들이 꼭 한 번 검색해보는 곳이 바로 이 NVD였다. 하지만 지난 달부터 NVD의 운명이 조금 달라졌다.
[이미지 = gettyimagesbank]
NVD를 관리하던 미국 표준기술연구소(NIST)는 지난 달 아리송한 공지 사항을 기관 공식 웹사이트에 올렸다. “취약점 분석에 일시적으로 지연이 있을 것”이라는 내용이었다. “보다 향상된 도구와 방법을 새롭게 도입하려 하기 때문”이라고 설명하기도 했다. 하지만 공지는 거기서 끝났고, 상세한 설명은 지금까지 나오지 않고 있다. 그러면서 취약점과 관련된 정보가 데이터베이스에 추가되는 일도 중단됐다.
물론 그때부터 지금까지 CVE가 단 하나도 추가되지 않았다는 건 아니다. 간헐적으로 일부 CVE들이 더해지는 중이다. 그러나 기존 NVD에 CVE들이 추가되는 속도와는 비교과 되지 않을 정도로 느리다. 그렇기 때문에 각 취약점 담당자들이 크게 곤란해지고 있다.
취약점을 CVE로 분류하는 체계에는 365개의 파트너들이 참여하고 있다. 이들은 위협 요소들을 파악하고, 수집하고, 분석하고, 분류한다. 이들 중 절반 정도가 미국에 있다. 소프트웨어 기업들도 있고 사설 연구 기관도 있고 버그바운티 운영 대행 플랫폼도 있다. 이들은 규정에 따라 취약점을 연구하고, CVE 번호를 붙이고, 내용을 공유한다. 이렇게 해서 올해에만 NVD에 추가된 CVE들은 6천 개가 넘는다.
그런데 그 6천 개의 CVE들 중 대략 절반 정도에는 상세 내용이 기입되어 있지 않았다. 이 상세 내용이 있어야 취약점에 대한 대처가 되는 건데, 중요한 부분이 빠져 있었던 것이다. 왜 갑자기 NVD에 올라오는 취약점 정보들이 이렇게 부실해진 것인지는 누구도 설명하지 않았었다. 이 세부 내용들이 사라지자 NVD를 기반으로 작동하던 취약점 관리 도구들도 제대로 작동하지 않게 됐다.
보안 업체 체인가드(Chainguard)의 CEO인 댄 로렝크(Dan Lorenc)는 지난 달 소셜미디어 게시글을 통해 “최근 등록되는 CVE 정보들에는 메타데이터도 없고, 어떤 소프트웨어들이 영향을 받는지도 표시되지 않는다”며 “취약점을 관리해야 하는 입장에서 이건 대단히 심각한 문제”라고 썼다. 여기에 또 다른 보안 전문가인 조시 브레서즈(Josh Bressers)도 동의하며 “이건 국가적인 문제이니 좀 더 명확하고 분명한 설명이 있어야 할 것”이라고 덧붙였다.
하지만 NIST 측에서는 아직까지 침묵을 지키고 있으며, 이 침묵의 기간은 두 달째로 넘어가는 중이다. 그러자 보안 커뮤니티에서는 누군가 NIST가 하던 일을 대신해야 한다는 이야기도 나오고 있다. 보안 업체 모피섹(Morphisec)의 경우, 자사 블로그 게시글을 통해 현재의 NVD 관련 상황을 알리기도 했다. 이곳의 CTO인 마이클 고렐릭(Michael Gorelik)은 “규모가 작은 조직들은 NVD의 취약점 정보에 크게 의존하는 편”이라며, “NVD의 정보만 활용해도 보안 예산을 아낄 수 있기 때문”이라고 설명했다. “즉 NVD가 잠시 중단된 것 때문에 적잖은 조직들이 더 많은 예산을 써야 하는 상황이 될 것이라는 뜻입니다.”
또 다른 보안 업체 넷라이즈(Netrise)의 CEO 톰 페이스(Tom Pace)도 지금의 상황이 매우 심각하다는 데 동의한다. “취약점 정보라는 게, 있으면 좋은 줄 몰랐다가 없어지면 역체감이 심합니다. 우리 모두 갑자기 눈 앞이 어두워진 느낌입니다. 무슨 취약점이 어떤 상황을 야기하고 있는지 알 수가 없다는 건 보안 담당자들을 긴장케 합니다. 패치 개발과 배포 역시 느려질 수밖에 없으니, 이건 단순 ‘느낌’의 문제가 아니기도 합니다.”
마이터가 나서면 어떨까?
사실 NVD만 생각하면 NIST가 책임이 있는 조직이 맞다. 하지만 NVD를 구성하는 CVE들을 생각한다면 마이터(MITRE)가 먼저 떠오른다. 마이터가 CVE 수집과 관리의 총 책임을 맡고 있기 때문이다. NVD의 운영을 NIST의 이름으로 하고 있었을 뿐, 그 내용을 실질적으로 채우는 건 마이터였다는 것이다. 그래서 페이스는 “마이터가 지금의 공백을 충분히 채울 수 있는데 왜 나서지 않는 건지 궁금하다”는 의견을 내비친다. “NIST가 실제적으로 하는 일은 원래 그렇게 많지 않았어요. 실질적인 역할은 마이터가 다 했죠.”
하지만 마이터는 NIST와 마찬가지로 이 문제에 대하여 언급하지 않고 있다. 일부 외신들이 취재를 요청했을 때에도 별 다른 답변을 하지 않고 있는 것으로 알려져 있다.
그래서 민간 기업들은 NVD를 대체할 만한 것을 스스로 찾고 있다. 정부가 나서서 문제를 해결할 것이라고 기대하기 힘들다고 판단한 것이다. 후보들은 이미 존재한다. 예를 들어 테너블(Tenable)이나 퀄리스(Qualys), 이반티(Ivanti)와 같은 기업들은 이미 독자적인 취약점 체계를 수년 전부터 갖추고 있다. 이들의 취약점 분석 자료에도 메타데이터 등의 자료가 풍부히 녹아들어 있다.
그 외에도 오픈소스 데이터베이스들도 몇 존재한다. 그 중 하나는 벌체크(VulnCheck)다. 이들은 NVD++라는 이름으로 취약점을 수집한다. OVD(Open Vulnerability Database)도 있는데, 여기에 구글, 소나소스(SonarSource), 깃허브, 스나이크(Snyk) 등 여러 기업들이 참여한다. 하지만 벌체크나 OVD 등으로 취약점 관리 체제의 기반을 옮긴다는 게 기술적으로 간단하지 않다고 전문가들은 말한다. 적잖은 프로그래밍 및 실험을 거쳐야 한다는 게 중론이고, 업체들 중 이 옵션을 선택하는 게 불가능한 곳도 있을 것으로 예상된다.
중국 정부도 취약점을 따로 관리하는 것으로 알려져 있으나 이를 공개하지 않고 있고, 중국 보안 전문가들과 세계 보안 전문가들 간 교류가 적었기 때문에 실제 활용은 어려울 것으로 보인다.
페이스는 “일부 기업들 사이에서 컨소시엄을 새롭게 구성해야 한다는 이야기가 나오고 있다”고 말한다. 다만 아직 구체적인 계획은 없는 상황이다. “그저 취약점을 나열한 데이터베이스가 필요한 게 아니라, 활용이 쉽고 효과가 좋은 취약점 데이터베이스가 필요한 것이라, 선뜻 나서서 ‘우리가 해봅시다’라고 하기 어려울 겁니다. 취약점 데이터베이스를 구성한다는 건 난이도가 높은 일이라는 걸 보안 전문가들이라면 다 알죠. 그래서 ‘컨소시엄을 하자’고 말은 해도 아직 구체적인 뭔가가 등장하지 않은 겁니다.”
그래서 현재 취약점 관리 체제는 아무런 해결책도 없이 표류되어 있다. 이 상황이 어떤 식으로 발전하게 될지는 아무도 모른다.
글 : 데이비드 스트롬(David Strom), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 = 데이비드 스트롬 IT 칼럼니스트] 2005년부터 미국 정부는 ‘국가 취약점 데이터베이스(NVD)’라는 걸 운영해 왔다. 이곳에서 보안 전문가들은 각종 취약점 정보를 상세하게 확인할 수 있었다. 취약점 정보가 궁금할 때 전 세계 대부분 보안 전문가들이 꼭 한 번 검색해보는 곳이 바로 이 NVD였다. 하지만 지난 달부터 NVD의 운명이 조금 달라졌다.
[이미지 = gettyimagesbank]
NVD를 관리하던 미국 표준기술연구소(NIST)는 지난 달 아리송한 공지 사항을 기관 공식 웹사이트에 올렸다. “취약점 분석에 일시적으로 지연이 있을 것”이라는 내용이었다. “보다 향상된 도구와 방법을 새롭게 도입하려 하기 때문”이라고 설명하기도 했다. 하지만 공지는 거기서 끝났고, 상세한 설명은 지금까지 나오지 않고 있다. 그러면서 취약점과 관련된 정보가 데이터베이스에 추가되는 일도 중단됐다.
물론 그때부터 지금까지 CVE가 단 하나도 추가되지 않았다는 건 아니다. 간헐적으로 일부 CVE들이 더해지는 중이다. 그러나 기존 NVD에 CVE들이 추가되는 속도와는 비교과 되지 않을 정도로 느리다. 그렇기 때문에 각 취약점 담당자들이 크게 곤란해지고 있다.
취약점을 CVE로 분류하는 체계에는 365개의 파트너들이 참여하고 있다. 이들은 위협 요소들을 파악하고, 수집하고, 분석하고, 분류한다. 이들 중 절반 정도가 미국에 있다. 소프트웨어 기업들도 있고 사설 연구 기관도 있고 버그바운티 운영 대행 플랫폼도 있다. 이들은 규정에 따라 취약점을 연구하고, CVE 번호를 붙이고, 내용을 공유한다. 이렇게 해서 올해에만 NVD에 추가된 CVE들은 6천 개가 넘는다.
그런데 그 6천 개의 CVE들 중 대략 절반 정도에는 상세 내용이 기입되어 있지 않았다. 이 상세 내용이 있어야 취약점에 대한 대처가 되는 건데, 중요한 부분이 빠져 있었던 것이다. 왜 갑자기 NVD에 올라오는 취약점 정보들이 이렇게 부실해진 것인지는 누구도 설명하지 않았었다. 이 세부 내용들이 사라지자 NVD를 기반으로 작동하던 취약점 관리 도구들도 제대로 작동하지 않게 됐다.
보안 업체 체인가드(Chainguard)의 CEO인 댄 로렝크(Dan Lorenc)는 지난 달 소셜미디어 게시글을 통해 “최근 등록되는 CVE 정보들에는 메타데이터도 없고, 어떤 소프트웨어들이 영향을 받는지도 표시되지 않는다”며 “취약점을 관리해야 하는 입장에서 이건 대단히 심각한 문제”라고 썼다. 여기에 또 다른 보안 전문가인 조시 브레서즈(Josh Bressers)도 동의하며 “이건 국가적인 문제이니 좀 더 명확하고 분명한 설명이 있어야 할 것”이라고 덧붙였다.
하지만 NIST 측에서는 아직까지 침묵을 지키고 있으며, 이 침묵의 기간은 두 달째로 넘어가는 중이다. 그러자 보안 커뮤니티에서는 누군가 NIST가 하던 일을 대신해야 한다는 이야기도 나오고 있다. 보안 업체 모피섹(Morphisec)의 경우, 자사 블로그 게시글을 통해 현재의 NVD 관련 상황을 알리기도 했다. 이곳의 CTO인 마이클 고렐릭(Michael Gorelik)은 “규모가 작은 조직들은 NVD의 취약점 정보에 크게 의존하는 편”이라며, “NVD의 정보만 활용해도 보안 예산을 아낄 수 있기 때문”이라고 설명했다. “즉 NVD가 잠시 중단된 것 때문에 적잖은 조직들이 더 많은 예산을 써야 하는 상황이 될 것이라는 뜻입니다.”
또 다른 보안 업체 넷라이즈(Netrise)의 CEO 톰 페이스(Tom Pace)도 지금의 상황이 매우 심각하다는 데 동의한다. “취약점 정보라는 게, 있으면 좋은 줄 몰랐다가 없어지면 역체감이 심합니다. 우리 모두 갑자기 눈 앞이 어두워진 느낌입니다. 무슨 취약점이 어떤 상황을 야기하고 있는지 알 수가 없다는 건 보안 담당자들을 긴장케 합니다. 패치 개발과 배포 역시 느려질 수밖에 없으니, 이건 단순 ‘느낌’의 문제가 아니기도 합니다.”
마이터가 나서면 어떨까?
사실 NVD만 생각하면 NIST가 책임이 있는 조직이 맞다. 하지만 NVD를 구성하는 CVE들을 생각한다면 마이터(MITRE)가 먼저 떠오른다. 마이터가 CVE 수집과 관리의 총 책임을 맡고 있기 때문이다. NVD의 운영을 NIST의 이름으로 하고 있었을 뿐, 그 내용을 실질적으로 채우는 건 마이터였다는 것이다. 그래서 페이스는 “마이터가 지금의 공백을 충분히 채울 수 있는데 왜 나서지 않는 건지 궁금하다”는 의견을 내비친다. “NIST가 실제적으로 하는 일은 원래 그렇게 많지 않았어요. 실질적인 역할은 마이터가 다 했죠.”
하지만 마이터는 NIST와 마찬가지로 이 문제에 대하여 언급하지 않고 있다. 일부 외신들이 취재를 요청했을 때에도 별 다른 답변을 하지 않고 있는 것으로 알려져 있다.
그래서 민간 기업들은 NVD를 대체할 만한 것을 스스로 찾고 있다. 정부가 나서서 문제를 해결할 것이라고 기대하기 힘들다고 판단한 것이다. 후보들은 이미 존재한다. 예를 들어 테너블(Tenable)이나 퀄리스(Qualys), 이반티(Ivanti)와 같은 기업들은 이미 독자적인 취약점 체계를 수년 전부터 갖추고 있다. 이들의 취약점 분석 자료에도 메타데이터 등의 자료가 풍부히 녹아들어 있다.
그 외에도 오픈소스 데이터베이스들도 몇 존재한다. 그 중 하나는 벌체크(VulnCheck)다. 이들은 NVD++라는 이름으로 취약점을 수집한다. OVD(Open Vulnerability Database)도 있는데, 여기에 구글, 소나소스(SonarSource), 깃허브, 스나이크(Snyk) 등 여러 기업들이 참여한다. 하지만 벌체크나 OVD 등으로 취약점 관리 체제의 기반을 옮긴다는 게 기술적으로 간단하지 않다고 전문가들은 말한다. 적잖은 프로그래밍 및 실험을 거쳐야 한다는 게 중론이고, 업체들 중 이 옵션을 선택하는 게 불가능한 곳도 있을 것으로 예상된다.
중국 정부도 취약점을 따로 관리하는 것으로 알려져 있으나 이를 공개하지 않고 있고, 중국 보안 전문가들과 세계 보안 전문가들 간 교류가 적었기 때문에 실제 활용은 어려울 것으로 보인다.
페이스는 “일부 기업들 사이에서 컨소시엄을 새롭게 구성해야 한다는 이야기가 나오고 있다”고 말한다. 다만 아직 구체적인 계획은 없는 상황이다. “그저 취약점을 나열한 데이터베이스가 필요한 게 아니라, 활용이 쉽고 효과가 좋은 취약점 데이터베이스가 필요한 것이라, 선뜻 나서서 ‘우리가 해봅시다’라고 하기 어려울 겁니다. 취약점 데이터베이스를 구성한다는 건 난이도가 높은 일이라는 걸 보안 전문가들이라면 다 알죠. 그래서 ‘컨소시엄을 하자’고 말은 해도 아직 구체적인 뭔가가 등장하지 않은 겁니다.”
그래서 현재 취약점 관리 체제는 아무런 해결책도 없이 표류되어 있다. 이 상황이 어떤 식으로 발전하게 될지는 아무도 모른다.
글 : 데이비드 스트롬(David Strom), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
