미국, NIST 중심으로 CVE 취약점 체계 운영…한국은 공식 논의 없어
최근 방위사업체 해킹 사태에서도 드러났듯 국내 솔루션 취약점 공개 꺼려…K-CVE 논의 필요
최근 마이크로소프트가 프린트나이트메어(PrintNightmare) 취약점으로 골머리를 앓고 있습니다. CVE-2021-1675 취약점인줄 알고 패치를 공개했는데, 완벽하게 패치가 안 되어 알고 보니 새로운 취약점이었기 때문입니다. 마이크로소프트는 이 새로운 취약점에 CVE-2021-34527을 부여했습니다.
▲CVE 홈페이지[자료=보안뉴스 캡처]
여기에서 말하는 CVE는 ‘Common Vulnerabilities and Exposure’의 약자로 우리가 흔히 사용하는 공개된 소프트웨어의 보안 취약점을 나타내는 표기입니다. 원래 각 기관이나 기업이 각자 표기했지만 일관성이 없어 혼란이 커진 상황에서 미국 비영리 기업인 MITRE가 1999년 처음 만들어 도입했고, 이후 미국 국립표준기술연구소(NIST)가 국가 취약성 데이터베이스(NVD)를 만들어 협력 체계를 구축하면서 체계화됐습니다.
CVE는 NIST가 지정한 기관 및 기업인 ‘CNA(CVE Number Authority)’만이 번호를 부여할 수 있으며, 대부분 번호를 부여하기 전 해당 소프트웨어 제조사에 취약점을 알려줘 패치를 마련한 후 공개합니다. 물론 일부 해커나 연구자들은 패치가 나오기 전에 미리 공개를 하는 경우도 있으며, 기업에 해당 취약점을 알려줘도 기업이 반응을 보이지 않을 경우 공개해 버리는 경우도 있습니다.
물론 CVE가 만능은 아닙니다. 미국에서도 CVE에만 너무 치중하고 있다며, CNA가 아닌 보안전문가들이 블로그나 깃허브, 트위터 등 다양한 사이트를 통해 취약점을 공개하는 문제를 지적하는 전문가들도 많습니다.
문제는 우리나라는 이러한 CVE조차 시도하고 있지 않다는 점입니다. 특히, 우리나라는 보안은 ‘감춰야 한다’는 인식과 함께 세계 유일의 분단국가라는 특성 탓에 북한 추정 사이버 공격과 관련된 ‘취약점’을 언급하는 걸 꺼리는 경우가 많습니다.
[이미지 = freepik] 최근 연이어 발생한 방위사업체 해킹 사건에서 해킹 통로로 언급되는 VPN 취약점에 대해서도 사건 발생 한 달이 다 되어 가는 이 순간에도 아무도 언급하지 않고 있습니다. 해당 VPN은 많은 공공기관 및 민간기업에서 사용하고 있는 제품입니다. 물론 제조사는 모든 제품에 취약점 패치가 끝났다고 밝혔으며, 한국인터넷진흥원(KISA) 역시 이를 확인해 주었지만, 취약점이 알려지고 패치를 하는 사이에 피해를 입은 사용자가 있을 수 있기 때문에 아직 안심할 수 없습니다. 실제로 국가정보원은 해당 취약점이 알려진 후 국가주요시설을 대상으로 취약점 패치 권고를 진행했고, 한국원자력연구원 해킹 피해가 알려진 이후 자신도 모르게 피해를 입은 기관이 있는지 다시 한번 확인하도록 했습니다. 한국항공우주산업(KAI) 역시 이러한 과정에서 피해사실을 확인한 것으로 알려졌습니다.
하지만 기관이나 기업의 보안담당자 역시 해당 VPN과 취약점에 대해 자세하게 모르는 경우가 대부분입니다. 공개를 안 하기 때문입니다. KISA에서 운영하는 ‘krCERT’의 보안공지만 봐도 우리나라 소프트웨어 취약점은 찾아보기 힘듭니다. 실제로 한 보안전문가는 “4년 전만 해도 한국 보안 솔루션의 제로데이 취약점이 나오면 바로 알려졌는데, 최근에는 언급조차 되지 않고 있다”면서, “올해만 벌써 3번째 제로데이 취약점이 나와 악용되고 있는데 이에 대한 주의 경고나 보안 권고문 하나 나오지 않고 있다”고 지적했습니다.
문제는 우리나라가 여러 ‘이슈’ 때문에 공공기관에서 사용하는 보안제품을 대상으로 자체 규격인 ‘국내용 CC인증’과 같은 별도의 기준을 요구하면서, 글로벌 보안 브랜드들이 국내용 CC인증을 받지 않는 일이 생긴다는 것입니다. 이 때문에 공공기관에서 사용하는 많은 수의 보안 솔루션은 국내 제품이 차지하고 있습니다. 즉, 우리나라 보안 솔루션에서 제로데이 취약점이 나올 경우 공공기관이 가장 위험할 수 있다는 얘기입니다.
최근 국제사회에서는 전쟁을 방불케 할 정도로 사이버전이 계속 발생하고 있으며, 코로나19로 대두된 비대면 환경 등 변화된 ICT 환경을 노린 사이버 공격도 늘고 있습니다. 우리나라는 ICT 강국임은 물론 최근 발표한 국제 정보보호지수에서도 4위(조사대상 194개 국)에 오를 정도로 보안에서도 인정받고 있는 국가입니다. 정부 역시 최근 ‘K-사이버방역 추진전략’을 비롯해 ‘국가 사이버 안보전략’과 ‘제2차 정보보호산업 진흥계획’ 등 정보보호 강화를 위한 노력을 아끼지 않고 있습니다. 이러한 상황에서 K-CVE와 같은 취약점 개선책을 마련한다면 국가 사이버보안 강화에도 충분한 효과를 거둘 수 있는 것은 물론 정보보호산업 발전에도 큰 도움이 될 것이라 생각합니다.
출처 : 보안뉴스