해마다 빠짐없이 등장하는 코딩 에러
사이버 범죄자들이 가장 쉽게 악용하는 취약점이 무엇인지 혹시 알고 계신가요?
다름 아닌 소프트웨어 제품의 코딩 에러라고 하는데요, 해커들은 이런 코딩 에러를 통해 기업 IT 시스템을 위태롭게 하거나 공격한다고 합니다. 시스코 2015 중기 보안 보고서는 특정 코딩 에러들이 가장 흔한 취약점 리스트에 항상 등장한다고 알려주었고 CWE(Common Weakness Enumeration)위협 분류에 따르면 버퍼 에러(buffer error), 인풋 검증(input validation) 및 리소스 에러(resource error)가 해커들이 흔히 악용하는 코딩 에러에 해당된다고 합니다.
이런 코딩 에러들은 거의 매년 취약점 리스트에 포함되는데도 보안 벤더와 전문가들은 왜 관련해서 적절한 조치를 취하지 않는 걸까요?
시스코 중기 보안 보고서는 제품 개발 과정에서 보안에 충분한 신경을 쏟지 않은 것이 그 원인일 것이라고 설명합니다. 안타깝게도 대부분의 보안 벤더들은 제품이 시장에 출시된 이후에야 보안 취약점을 개선하기 급급해합니다. 하지만 이제부터라도 벤더들은 제품 개발 과정에서부터 보안 보호 장치를 만들어 취약점 테스트를 실시해 고객이 범죄 공격을 받을 가능성을 줄여야 하겠죠?
또한 소프트웨어 개발자들은 정기적인 보안 트레이닝에 참여해 최신 취약점, 트렌드 및 위협에 대한 정보를 파악해야 합니다. 이에 더해 기업들은 제품 개발 주기 전반에 보안 체크 포인트 및 리뷰 과정을 포함시켜 최대한 빨리 취약점을 발견하고 수정해야 합니다. 단, 편파적인 리뷰와 추천을 피하기 위해 제품 개발 팀이 아닌 별도의 부서에서 제품 개발 리뷰를 진행할 필요가 있겠습니다. ^^
이 과정에서 개발자뿐만 아니라 임원들도 전폭적인 지원을 할 수 있습니다! 바로 리스크를 감수해야 하는 개발 수명 주기 정책 및 절차를 승인하는 것인데요. 보안 리뷰 및 수정이 완료될 때까지 중단되는 과정도 여기 포함되어야 합니다.
오픈소스 취약점이라는 새로운 과제!
최근 모두가 관심을 갖는 오픈소스의 경우에는 어떨까요? 그 인기가 점점 많아지면서 보안 전문가들의 특별한 관리가 더욱 요구되는 상황입니다. 시스코 2015 중기 보안 보고서에서는 오프소스 취약점 문제를 해결하는 것은 더 많은 작업을 요구한다고 설명합니다. 개발자들이 빠르게 보안 패치를 개발하더라도 벤더들은 해당 패치를 오픈소스를 기반으로 한 수많은 버전의 제품들에 적용해야 하기 때문이지요. 또한 보안 전문가들이 오픈소스 솔루션이 기업에서 어떻게 사용되고 있는지 이해하려면 소프트웨어의 공급망 관리의 도움을 받아야 합니다.
시스코가 확인한 2015년에 가장 자주 발생하는 오픈소스 취약점은 아래와 같은데, 결코 적은 수치가 아닙니다.
하지만 다행히도 오픈소스 취약점에 발 빠르게 대응하려는 움직임이 활발합니다. 보안 연구원들이 가상화 시스템을 위한 오픈소스 코드에 영향을 미친 VENOM(Virtualized Environment Neglected Operations Manipulation) 취약점을 발견했을 당시 벤더들이 취약점 발표 전에 미리 패치를 제공했을 정도였으니, 전문가들이 오픈소스 보안에 얼마나 많은 힘을 쏟고 있는지 가늠이 되시죠?
이에 더해 시스코를 포함한 몇몇 기술가들은 오픈SSL 인프라 향상을 돕기 위해 꾸준히 리눅스 재단을 후원하고 있습니다. 이런 기업들의 후원은 보안 연구원들이 오픈소스 코드를 리뷰하고 적절한 해결책과 패치를 발표할 수 있도록 지원합니다.
그럼에도 불구하고 오픈소스 코드를 활용하는 프로젝트들은 비오픈소스 프로젝트와 동일하게 철저한 보안 테스트를 진행해서 오픈소스의 보안 체제를 강화하는 데 신경을 써야 합니다. 또 벤더들은 어느 부분에서 정확히 어떻게 오픈소스 코드가 사용되었는지 문서로 기록해 취약점 또는 위협이 발견되었을 때 더욱 빠르게 대응하는 것이 가능하도록 도울 수 있습니다.
인텔리쉴드(IntelliShield) 보안 위협 경고는 소폭 증가
시스코 2015 중기 보안 보고서는 시스코 연구원들이 추적한 보안 위협 경고 및 취약점에 대한 업데이트도 포함하고 있습니다. 2015년의 처음 5개월 동안 추적한 보안 위협 경고 수는 2014년 동기에 비해 살짝 증가한 것으로 나타났는데, 이는 벤더들이 보안 테스트 강화 및 취약점 발견에 더욱 힘을 쏟았기 때문일 것이라고 예측됩니다.
한편, 이처럼 꾸준히 증가하고 수정되고 있는 취약점들을 더욱 효율적으로 관리하는 절차도 필요합니다. 취약점에 대한 최신 정보를 따라가기 위해서 기업들의 재고(inventories), 데이터 상관관계, 기본 분석 및 우선순위 분류(triage) 등이 자동화되는 것이 바람직하지요.
해마다 반복되는 코딩 에러, 그리고 새롭게 등장한 오픈소스와 관련된 취약점은 해결이 어려운 고질적인 문제라고 생각하는 분들도 있으시지만, 걱정하지 마세요!
앞서 언급한 벤더 및 기업들의 노력은 물론, 더욱 안전한 제품 개발 주기와 취약점 관리를 지원하기 위해 시스코와 같은 기술 벤더사, 그리고 ICASI(Industry Consortium for Advancement of Security on the Internet), ISAC 협회(National Council of ISACs), 美 국토안보부 등이 취약점 정보 공유 및 보고를 표준화된 포맷에 맞춰 제공하는 작업도 개선 중이라고 하니까요~^^
