[Security News] 취약점 관리, 미식축구의 쿼터백처럼 전사적으로 진행해야···.

※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.

원래 취약점 완화 및 복구 작업은 아무도 모르는 세상에서 혼자서 몰래 진행됩니다. 보안 팀들이 내부적으로 취약점을 파악하고, 이를 분류해 가장 먼저 패치해야 할 것을 선별한 후 이를 담장 너머 IT 운영이 이뤄지고 있는 또 다른 세상으로 전달해 줍니다. 모두가 각자의 역할에 충실했고, 업무 영역은 철저하게 분리됐었습니다.

[이미지 = utoimage]

하지만 이런 방식들은 점점 낡은 것이 되어가고 있습니다. 거기에는 여러 가지 요인이 있지만 가장 근본적으로는 취약점이 발견되는 속도가 너무 빠르고, 따라서 그 수가 기하급수적으로 늘어나는 추세이기 때문입니다. 그러니 위에서 묘사한 것처럼 각자도생하는 방법으로는 도무지 해결되지 않습니다. 취약점을 찾아내고 분석하는 등 ‘관리자’ 역할을 하는 보안 부서가 취약점이 끝까지 해결될 때까지 모든 부서와의 연계를 이끌어내야 합니다. 미식축구로 치면 ‘쿼터백’의 역할을 해야 한다는 것입니다. 터치다운 성공 가능성이 가장 높은 우리 편에게 공을 곧장 던져주어 공동의 목적을 달성하는 그런 역할 말입니다.

취약점 관리는 한 조직의 보안을 튼튼히 한다는 점에서 반드시 있어야 하는 일입니다. IT 인프라로 들어오는 사이버 공격은 매일 발생하고, 이 공격들 전부 홍수처럼 쏟아지는 취약점과 관련이 있기 때문입니다. 이런 때에 상황과 환경에 따라 어떤 취약점이 가장 큰 리스크를 동반하는지 제대로 파악하는 게 반드시 필요합니다. CVSS 점수가 높다고 반드시 리스크가 더 큰 건 아니고, 유명한 취약점이라고 해서 무명의 취약점보다 더 위험한 것도 아닙니다.

가트너(Gartner)에 의하면 보안 전문가들이 취약점에 대해 인지하는 건 99% 침해가 발생하고 나서라고 합니다. 포네몬(Ponemon)은 2019년 발생한 데이터 취약점의 60%가 취약점 익스플로잇을 통해 발생한다고 발표하기도 했었습니다. 이렇게 취약점 관리가 보안의 핵심 요소가 되어가는 때에, 그것도 코로나와 같은 현상 때문에 재택 근무 체제가 급격히 도입되는 때에, 취약점은 더 이상 특정 한 부서가 전담해서는 안 될 것이 되었습니다. 전사적인 차원에서의 협동이 필요하며, 그러니 보안 부서는 공을 쥐고 필드 전체를 살피는 쿼터백이 되어야 합니다.

취약점이 복잡한 특성을 가지고 있든 단순하게 고칠 수 있는 것이든, 해결해야 하는 조직의 입장에서는 복잡한 문제가 되기는 매한가지입니다. 왜냐하면 취약점이 발견되는 IT 자산 및 자원 대부분 IT 구조에 복잡하게 얽혀 있고, 여러 사람들이 사용 및 관리하고 있기 때문입니다. 그래서 ‘취약점을 관리한다’는 게 말처럼 쉬운 문제가 아니게 됩니다. 누군가는 이 과정 전체를 처음부터 끝까지 지켜봐야 한다는 것입니다.

취약점 관리는 모든 과정이 의미를 갖습니다. 무슨 말이냐면, 탐지와 분석, 우선순위를 아무리 잘 정한다 한들(즉 보안 부서가 기존의 기능을 아무리 뛰어나게 발휘한다 한들) 해당 취약점들을 정작 실제로 해결하는 데에 너무나 오랜 시간이 걸린다면 말짱 도루묵이라는 것입니다. 쿼터백이 시야가 넓고 필드 분석력이 뛰어나봐야, 공을 길게 던지지 못한다면 소용이 없는 것과 마찬가지이며, 취약점 관리를 전사적으로 진행해야 하는 이유입니다.

쿼터백이 바쁜 눈으로 전황을 살피듯 보안 부서는 취약점의 특성, 가장 위협을 받게 되는 자산, 기업 전체에 미칠 영향, 패치 개발 현황, 필요한 설정 변경 내용 등을 분석하고 정보를 취득해야 합니다. 이러한 지식을 바탕으로 이제 실제로 공을 가지고 달릴 플레이어들을 선정해야 합니다. IT 부서에서 적합한 담당자를 선택하고, 필요한 픽스들을 공수해 오고, 패치 및 설정을 위해 알맞은 부서와 합의하여 공지를 만들고 전파합니다. 이렇게 조직적으로, 전사적인 협조 아래 취약점 완화 및 패치가 진행될 때 문제가 생겨도 빨리 해결됩니다. 소통의 창구가 활짝 열린 상태에서 맞는 위기 상황과 그렇지 않을 때의 위기 상황은 무게감부터 다릅니다.

때론 이 총합적인 대응에 서드파티 업체들이 엮이기도 합니다. 우리 회사 홈페이지를 만들고 관리하는 대행 업체, 웹 개발사, 보안 관제 대응 센터 등이 좋은 사례입니다. 이들과의 협조 체계를 구축하면 나중에 대단히 복잡한 취약점이 나타났을때도 빠른 대응이 가능하게 됩니다. 사건 대응에서만이 아니라 지속적인 관리와 예방에 있어서도 서드파티와의 협조 체계가 유용할 수 있습니다.

또 하나, 아무리 뛰어난 쿼터백이라도 감독과 코치 없이 독단적으로 움직이며 팀을 이끌어 갈 수는 없습니다. 필드 바깥에서만 보이는 것들은 이들만이 볼 수 있고, 게임에서 이기기 위해서는 이러한 외부 요소들에 대한 정보도 필요합니다. 보안 부서가 회사 전체의 취약점에 대한 가시성을 확보하고 싶어도 윗선에서 협조해 주지 않으면 해결되지 않습니다. 취약점을 해결할 때도 마찬가지입니다. 쿼터백이 볼 수 있는 것들이 있고, 감독이 볼 수 있는 것들이 있는 법입니다. 이를 조합해서 게임 실행으로 이끌어내는 것이 쿼터백입니다.

쿼터백은 공을 어디론가 패스해 놓고 필드를 걸어나가지 않습니다. 공이 제대로 날아가는지, 팀 동료가 잘 받아내는지, 얼마나 전진했고, 어디서 막혔는지를 끝까지 살핍니다. 보안 담당자들도 마찬가지입니다. 우린 문제점을 지적해놓고 손을 놓지 않습니다. 끝까지 지켜보고 최상의 해결책이 실제 적용되어 효과를 발휘할 때까지 자리를 지킵니다. 이번 턴에 실패했다면 그 원인을 파악하고 다음 공격 차례에 적용하는 것 역시 쿼터백의 몫입니다.

출처 : 보안 뉴스 (글 : 탈 모건스턴(Tal Morgenstern), Vulcan Cyber)