점점 더 많아지는 공개 취약점으로 인해 보안팀의 피로도가 높아지면서 취약점 해결 작업이 심각한 타격을 입고 있다.
S&P 글로벌과 사이버 리스크 분석 기업 가이드와이어(Guidewire)의 공동 사업부인 S&P 글로벌 레이팅스 분석에 따르면, 조직의 약 70%가 시스템의 취약점을 간헐적으로 또는 드물게 해결하고 있다.
S&P 글로벌 레이팅스의 수석 사이버 리스크 전문가인 폴 알바레즈는 “분석에 따르면 일부 조직에서 주요 사이버 취약점 해결이 지연되고 있다. 이로 인해 컴퓨터 시스템이 침해될 위험이 증가하고 있다”라고 설명했다.
이번 보고서는 2023년 가이드와이어가 금융 및 일반 기업 7,000여 곳의 인터넷 연결 시스템을 스캔한 취약점 데이터를 기반으로 했다.
느린 해결 속도
인터넷에 연결돼 있고 쉽게 공격당할 수 있는 ‘공격 표면’ 내 시스템의 2023년 취약점 스캔을 분석한 결과, 조직의 30%가 이러한 취약점을 ‘간헐적’으로만 해결했으며, 40% 이상이 ‘드물게’ 패치를 수행하는 것으로 나타났다. 다시 말해 조직 10곳 중 7곳이 최대 위험을 초래하는 취약점의 패치를 제대로 하지 않고 있다는 의미다.
보고서에 따르면 발견되는 취약점 빈도가 증가하면서 무엇을 수정해야 할지 결정하기가 어려워지고 있다. 또한 기존의 공통 취약점 평가 시스템(CVSS)에 기반한 우선순위 지정이 해결을 지연시켜 보안을 악화시킬 가능성이 있다.
우선순위 지정의 문제 가능성
CVSS 시스템은 취약점을 분류하는 표준화된 방법을 제공하며, 취약점의 악용 방법, 악용 난이도, 필요 권한, 사용자 상호작용 요구 사항, 악용 영향도 등의 요소를 고려한다.
이 과정에서 CVSS는 우선순위를 더 정확하게 지정할 수 있는 추가 지표가 부족할 수 있다. 보고서는 사고 대응 및 보안 전문가 그룹인 ‘퍼스트’(FIRST, Forum of Incident Response and Security Teams)가 만든 악용 예측 보안 점수(EPSS) 시스템을 고려할 것을 제안했다.
알바레즈는 “EPSS는 취약점이 악용되고 있다는 증거와 함께 가능한 한 많은 취약점 정보를 수집한다. 여기에는 취약점 자체에 대한 정보, 악용 코드의 가용성, 소셜 미디어에서의 취약점 언급, 공격적 보안 도구 및 스캐너 데이터가 포함된다”라고 설명했다.
분석에서 관찰된 취약점은 EPSS 평균 0.33(0~1 척도)일 때 CVSS 점수가 10점 만점에 평균 4.87점을 기록했다. EPSS 시스템이 점수를 낮게 측정하는 것처럼 보일 수 있지만, 알바레즈는 다른 의견을 제시했다.
그는 “CVSS와 EPSS 점수는 취약점을 다르게 평가하기 때문에 단순 비교는 어렵다. CVSS 점수는 실제 위협 데이터를 고려하지 않는다. 따라서 취약점이 높은 CVSS 점수를 가지더라도 낮은 EPSS 점수를 가질 수 있다. 그래서 취약점 해결의 우선순위를 정할 때는 두 점수를 모두 고려해야 한다”라고 조언했다.
오래된 취약점이 현재까지 악용
S&P 보고서는 오래된 취약점에 대한 공격 성공 가능성이 높기 때문에 반복적으로 악용되고 있다고 설명했다.
분석 결과, 발견된 취약점의 28%가 7년 전인 2016년에 발생했다. 이는 매우 심각한 수준이다. 또한 이런 취약점 중 약 75%는 7년보다 더 이전에 공개됐으며, 가장 오래된 취약점은 24년이 넘은 것으로 나타났다.
보고서는 연식이 오래된 취약점이 지속적으로 악용되는 만큼 시기적절하고 효과적인 취약점 관리가 중요하다고 강조했다. 또한 분석에서 드러난 것처럼 취약점 개선이 제대로 이뤄지지 않으면 전반적인 관리 및 거버넌스에 더 심각한 문제가 발생할 수 있다고 덧붙였다.
[email protected]
Read More from This Article: “기업 70%, 취약점 패치 빈도 낮아 위협에 노출” S&P 조사
Source: News