연이어 발견된 보안 솔루션 취약점, 정보 공유·패치 배포에 문제 없나

KISA, 정보공유분석센터, 개발사 등 통해 취약점 정보 및 대응방안 공유
취약점 발견 후 패치 개발까지 통상 한 달…방화벽 정책 등으로 임시 대응해
정보 공유부터 패치 배포까지 시간이 너무 오래 걸린다는 문제도 제기

올해 하반기 들어 시큐위즈의 SSL VPN, 지니언스의 네트워크 접근제어(NAC) 제품 Genian, 드림시큐리티의 MagicLine 등 보안 강화를 위해 사용하는 솔루션에서 취약점이 연이어 발견되면서 기업·기관 보안담당자들의 고충이 커지고 있다.

특히, 일부 취약점의 경우 국가주요시설을 노린 공격에 활용된 것으로 알려졌으며, 또 일부 취약점을 통해 관리자 권한까지 탈취될 수 있었던 만큼 대규모 피해 우려도 제기된 바 있다. 이 때문에 기업·기관 보안담당자들은 이러한 취약점 발견 소식을 예의주시하고, 발생할 수 있는 보안위협에 대응하기 위해 다양한 노력을 기울이고 있다.

이같은 취약점은 버그바운티 등의 프로그램이나 화이트해커 혹은 보안담당자를 통해 발견돼 해당 제품 개발사 및 사용자들에게 전파된다. 대부분의 경우 취약점을 해결한 패치가 출시된 이후 해당 취약점이 발표되지만, 사이버 공격자에 의해 발견된 알려지지 않은 취약점은 ‘제로데이 공격’에 쓰이기도 한다. 뿐만 아니라 취약점 패치가 완료된 이후에도 기업 내부에서 여러 가지 이유로 보안 패치를 진행하지 않았을 경우 사이버 공격자가 이를 악용할 수도 있다.

보안 솔루션을 비롯해 기업·기관에서 사용하는 장비나 솔루션 등의 취약점은 한국인터넷진흥원(KISA) 등의 기관이나 정보공유분석센터(ISAC) 혹은 개발사를 통해 이를 사용하고 있는 기업 및 기관에 전파된다. 또한, 대기업의 경우 자체적인 정보공유체계를 갖추고 이러한 취약점이 발표되면 계열사 전체에 해당 취약점 정보나 대응방법 등을 알리기도 한다.

물론 취약점이 알려진 이후, 보안 패치 공급이 늦어질 수도 있다. 현직 보안 전문가는 취약점 정보를 확인한 이후, 실제 패치가 공급되기까지 통상 30일 정도 소요된다고 설명했다. 패치가 적용되기 전까지는 해당 장비를 사용하지 않는 것이 최선이지만, 현재 사용하는 장비를 중단하는 것은 또 다른 보안위협을 발생시킬 수 있다. 이에 패치 공급 전까지 방화벽 이나 프록시 설정 등을 통해 해당 취약점을 통한 접근이 걸러질 수 있도록 정책을 추가해 대응해야 한다고 설명했다.

일각에서는 이러한 취약점 공유가 너무 더디게 진행되고 있으며, 취약점이 발견된 솔루션 개발사 역시 보안 패치를 너무 늦게 제공한다는 의견도 제기된다. 가령, 올해 4월부터 적대국이 국내 주요 국가기관 해킹에 악용된 취약점 정보는 3개월이나 지난 이후에야 민간에 공개된 것으로 알려졌다. 이와 관련 사이버 보안을 담당하는 정부기관의 한 관계자는 취약점 악용 사례가 발견됐을 때 ‘해당 제품을 사용하지 말라’는 보안 공지사항을 발표하면 개발사에서 6개월 걸릴 것이라는 패치 작업을 1주일 안에 완료하기도 한다고 언급했다.

출처: https://www.boannews.com/media/view.asp?idx=100263

문제가 될시 삭제하도록 하겠습니다.