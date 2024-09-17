2024년 9월 24일 업데이트
2월에는 미국 국립표준기술연구소(NIST)의 국가 취약성 데이터베이스(NVD)에서 처리하고 보강하는 취약성 수가 감소하기 시작했습니다. 다른 한편으로는 VulnCheck의 연구에 따르면 5월까지 새로운 취약점의 93.4%, 이미 파악되고 악용된 취약점의 50.8%가 여전히 분석을 기다리고 있는 것으로 나타났습니다.
3개월이 지난 후에도 문제는 계속됩니다. NIST는 정상 궤도로 복귀하기 위한 계획을 가지고 있지만, 공통 취약점 및 노출(CVE) 현황 분석은 현재 새로운 취약점 탐지 속도에 맞춰 진행되지 못하고 있습니다. 백로그의 원인, CVE가 더 이상 IT 방어의 성배가 아닌 이유, 보안 팀이 공격자보다 앞서 나갈 수 있는 방법을 살펴보세요.
예산 삭감으로 인해 CVE 분석 문제가 부분적으로 발생했습니다. Security Magazine이 언급했듯이, 올해는 NIST의 예산이 12% 삭감되어 CVE를 강화하기가 더 어려워졌습니다. 실제로 NVD는 사실상 CVE 데이터의 다운스트림 소비자입니다. 발견되고 보고된 CVE의 수는 꾸준히 유지되는 반면, 이러한 취약점을 평가하고 보강하는 NIST의 역량은 크게 감소했습니다.
보고된 취약점의 수가 너무 많은 것도 분석을 어렵게 만듭니다. Flashpoint 연구에 따르면 NIST는 2023년에 보고된 취약점은 33,137개였습니다. 수치 증가는 부분적으로 능력 향상과 관련이 있습니다. 기업이 클라우드 기반 기술과 AI 지원 툴을 통해 보안 활동을 확장해서 잠재적인 위협을 더 잘 찾아낼 수 있게 되었습니다. 결과적으로 수치가 클수록 위험이 증가하는 것은 아니지만 잠재적인 공격 경로가 점점 많아지고 있다는 의미이기는 합니다.
NIST는 백로그를 정리할 계획을 수립했습니다. USASpending.gov에 따르면 정부는 Analygence에 사이버 보안 분석 및 이메일 지원을 위한 86만 달러 규모의 계약을 수여했습니다. 분석 작업은 6월 3일부터 시작될 예정이며 NIST는 2024년 9월까지 정상 궤도에 오를 수 있기를 바라고 있습니다. 계약은 2024년 12월에 종료될 예정이지만 기관은 2025년 7월까지 서비스를 연장할 수 있는 옵션이 있습니다.
NVD 백로그에 대한 우려는 충분히 이해할 수 있습니다. NIST가 CVE를 분석하고 효과적인 대응책을 제안하는 데 걸리는 시간이 길어질수록 기업이 감당해야 할 위험은 커집니다.
그러나 Cybersecurity Dive가 언급했 듯 사이버 보안 환경이 변화하고 있습니다. Gartner Security and Risk Management 온라인 서밋에서 수석 분석가 Mitchell Schneider는 취약점 합계가 계속 증가하고 있지만 중대 CVE는 악용 정도의 높음, 중간, 낮음 수준을 능가하지 않는다고 언급했습니다.
더군다나 공격자는 CVE 심각도를 침해 기준으로 사용하지 않습니다. “취약성과 위협 행위자가 해당 취약성의 심각도를 악용하는지 여부 사이에는 본질적인 상관관계가 없습니다.” Schneider는 말합니다. 대신 공격자는 가장 악용하기 좋은 취약점을 우선으로 생각하며, 이러한 취약점은 심각도가 보통 또는 낮음으로 분류되는 경우가 많습니다.
실제로는 기업이 중대 CVE에 너무 치중하면 공격자가 네트워크 접근 권한을 얻은 다음 더 중요한 시스템으로 수평적 이동하는 중간 공격을 놓칠 수 있습니다.
그 결과는 어떨까요? 공통 취약점 데이터베이스는 효과적인 보안을 위해 여전히 중요한 부분이지만 만병통치약은 아닙니다. 사이버 위협 전술이 변화하고 있으므로 보안 팀은 이에 대응하여 변화에 대비해야 합니다.
그렇다면 이러한 변화는 실제로 어떤 모습일까요?
기업이 NVD 추가가 지연되는 세상에서 더 나은 방어 체계를 구축하는 데 도움이 되는 4가지 방안을 소개합니다.
공격 방법과 패턴이 다양해지는 상황에서 기업은 IT 가시성을 우선시해야 합니다. 핵심 데이터는 온프레미스 스토리지에 저장하고 테스트와 개발에는 퍼블릭 클라우드를 사용하고, 쉽게 확장 가능한 애플리케이션 리소스에는 프라이빗 클라우드를 사용한다고 생각해 봅시다.
새로운 위협 환경에서는 언제든 모든 소스에서 공격이 발생할 수 있습니다. 공격을 탐지하지 못하면 공격자가 때를 기다리며 데이터를 수집하고 이상적인 공격 경로를 정확히 찾아낼 수 있습니다. 따라서 완전한 가시성이 매우 중요합니다. 기업이 환경 전반에서 무슨 일이 일어나고 있는지 잘 파악하고 있어야 공격 탐지, 식별, 완화를 준비할 수 있습니다.
Gartner가 분명히 밝혔듯 악용 가능성은 이제 공격자의 최우선 과제입니다. 단기적으로는 취약도가 심각할 수록 좋은 표적이 될 수 있지만, 악용 가능하고 심각도가 중간 또는 낮음 수준인 취약점을 활용해도 공격자는 지속적인 성공을 거둘 수 있습니다.
예를 들어 악의적인 행위자가 비즈니스 네트워크의 엣지에서 중간 정도의 심각도 취약점을 악용할 수 있다면, 기업 시스템에 영구적으로 접근할 수 있는 백도어를 만들어 두고 정찰을 하면서 보안팀이 다른 취약점에 집중할 때까지 시간을 끌 수 있습니다.
보안팀은 가장 심각한 취약점이 아니라 가장 악용하기 좋은 취약점을 공략해서 공격 성공 가능성을 줄일 수 있습니다.
보안은 더 이상 IT 팀의 전유물이 아닙니다. 운영, 재무, 마케팅, 영업 및 고객 서비스 팀 모두 기업의 안전을 유지하는 데 중요한 역할을 합니다. 보안에 대한 궁극적인 책임은 여전히 기술 전문가에게 있지만, 여러 팀이 짐을 나누면 탐지율을 높이고 식별에서 조치까지 걸리는 시간을 줄일 수 있습니다.
NVD가 백로그된 상황에서 보안 팀은 대체 리소스를 찾아 활용해야 합니다. 활용 가능한 보안 소스는 다음과 같습니다.
NIST는 2024년 9월까지 NVD 백로그를 제거하기를 희망하고 있지만 이러한 노력이 성공한다는 보장은 없습니다. The Record가 언급한 것처럼 Mark Warner 상원의원(D-VA)과 Thom Tillies(R-NC)는 NIST에 대한 자금을 복원하고 AI 기반 위협과 같은 새로운 위험에 대한 집중도를 높이는 법안을 제안했지만, 이 법안은 초기 단계입니다.
즉, 기관과 연방 의원들은 CVE 분석 및 보강의 중요한 영향을 인식하고 있지만, 기업은 최신 취약성 데이터를 제공하는 데 있어 NVD에 의존할 수 없습니다.
그보다는 진화하는 공격자의 노력에 맞춰 기업이 접근 방식을 변경하는 것이 좋습니다. 가시성을 높이고 악용 가능성을 식별하는 데 유용한 도구를 도입하면 고위험 위협의 우선순위를 지정할 수 있습니다. 여러 부서가 보안 부담을 나누고 가용 보안 리소스 사용을 확대하면 변화하는 공격 우선순위에 보다 효과적으로 대응할 수 있습니다.
정정: 이 문서는 NVD와 CVE의 차이점을 명확히 하기 위해 수정되었습니다. CVE 프로그램은 CVE 기록을 통해 공개된 취약점을 분류하며, NVD는 CVE 프로그램 데이터의 다운스트림 소비자입니다.
