Offcanvas

CSO / How To / 개발자 / 데브옵스 / 애플리케이션

보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

2022.06.16 Mary K. Pratt  |  CSO
신용 보고 기관 에퀴팩스(Equifax)에서 발생한 2017년의 대규모 데이터 유출을 비롯해, 다수의 유출 사고가 패치 되지 않은 취약성으로 인해 발생했다. 2019년 트립와이어(Tripwire)의 조사에 따르면 전체 유출 중 27%는 패치 되지 않은 취약성에 의해 발생했으며, 2018년 포네몬(Ponemon)의 조사에서는 60%라는 엄청난 수치를 기록했다.

보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다.

베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.
 
Image Credit : Getty Images Bank


임원의 지원 확보 실패
좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다.

즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다.

취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다.

하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다.

공동 책임감 조성하지 않기
언더 아머(Under Armour)의 CISO 알렉스 아투말릴리는 “CISO가 VM(취약성 관리) 책임 또는 위험을 안고 있다. 그렇게 해서는 안 된다”라고 말했다.

CISO는 지원하는 시스템이나 비즈니스 기능을 소유하지 않으며, 조직이 특정 위험을 감수할 수 있는지 여부를 단독으로 결정할 권한도 없다.

그는 “CISO에게 회사를 대표하여 위험을 감수할 권한이 없다. 그래서 정보를 제공해야 한다. 이를 위해 위험을 다른 기업 리더들에게 전달하고 비즈니스 위험 측면에서 취약성 관리를 구성하며, 그들이 솔루션에 참여하도록 해야 한다. 그들은 자신의 시스템으로 인해 발생하는 취약성에 대해 책임이 있음을 알아야 한다”라고 말했다.

아투마릴리는 이 접근방식을 통해 다른 임원들이 ‘참여하게 되며’, 패치를 위한 시스템 다운타임 계획 등 취약성 관리 업무와 관련하여 추가적인 지원 및 협업을 구성할 수 있다고 전했다.

포괄적인 위험 우선순위 설정
최근 펄스(Pulse)가 보안 제공업체 불칸 사이버(Vulcan Cyber)의 후원을 받아 진행한 조사에 따르면, 200명 이상의 기업 IT 및 보안 임원 중 대다수가 조직 고유의 위험 프로필을 감안해 취약성의 우선순위를 설정하는 관행을 실행하지 않고 있었다. 86%는 제3자 취약성 심각도 데이터에 의존하여 취약성의 우선순위를 설정하며 70%도 제3자 위협 정보를 사용하는 것으로 나타났다.

베테랑 보안 리더들은 이러한 접근방식에 대해 경고하면서 CISO와 자신의 팀이 잘못된 위협에 부족한 자원을 낭비할 수 있다고 말했다.

미국 방위산업 청부업체에 사이버 보안 자문과 vCISO 서비스를 제공하는 KLC 컨설팅(KLC Consulting)의 사장 겸 CISO 카일 라이는 다른 접근방식을 추천했다. 그는 CISO와 그들의 팀이 조직의 기술 환경을 이해하고 최신 자산 인벤토리를 확보해야 하며, 조직의 위험 수용범위와 위험 감수를 파악하여 기업에 대한 가장 큰 위협을 확인하고 이를 우선적으로 해결해야 한다고 말했다.

그는 “그들은 특정 위협의 영향이 얼마나 큰지 잘 이해해야 하며, 무엇이 더 심각한지 알아야 한다. 조직에 대한 영향에 따라 우선순위를 결정해야 한다”라고 말했다.

교육에 인색
렉스마크 인터내셔널(Lexmark International)의 CISO 브라이언 윌렛은 리눅스(Linux) 시스템 패치 스킬이 윈도우 패치에 필요한 스킬과 다르며, 여타 취약성 관리 프로그램에 요구되는 스킬 또한 다른 영역에 속할 수 있다고 지적했다.

그는 나아가 취약성 관리와 관련해 보안 직원에 필요한 역량과 실제 패치를 수행하는 IT 직원의 노하우가 제각각이라고 언급했다. “그래서 나는 이 팀들이 책임을 다하기 위해 필요한 교육을 받아야 한다고 본”라고 윌렛은 말했다.

전문가들은 그러나 조직이 취약성 관리 작업에 필요한 학습의 양을 과소평가하거나 기업 내의 특정 시스템 또는 도구에 대한 교육해야 할 필요성을 간과하는 경우가 있다고 지적한다.

윌렛은 “직원이 옳은 일을 하고 싶어하지만 우리는 그들이 옳은 일을 할 수 있도록 투자해야 한다는 사실을 모두가 기억해야 한다”라고 덧붙였다.

코드 추적 실패
리눅스 재단(Linux Foundation)의 조사에 따르면 점차 많은 조직들이 시스템 내의 모든 코드를 더욱 잘 파악하기 위해 SBOM을 사용하고 있다. 좀 더 구체적으로, 해당 보고서에서는 47%가 SBOM을 생성 또는 소비하고 있으며 조직 중 78%는 2022년에 SBOM을 생성 또는 소비할 것으로 예상하고 있는 것으로 나타났다(2021년의 66%에서 증가함).

수치상으로 SBOM 사용량 증가가 나타났지만 여전히 많은 조직들이 IT 환경에 있는 모든 코드를 제대로 파악하지 못하고 있을 수 있는 것으로 나타났다. 가시성의 부재로 인해 해결해야 할 취약성이 있는지 여부를 파악하는 능력이 제한된다고 라이가 말했다.

그는 “보유하고 있는 코드와 오픈 소스 구성요소가 무엇인지 파악해야 한다. 그래야 Log4J 같은 문제가 발생하면 그것이 존재하는 모든 위치를 알 수 있다”라고 말했다.

업그레이드 미루기
취약성 관리는 끝이 없지만 기술 부채를 해결하여 효율성을 높일 수 있다고 전문 서비스 기업 PwC의 CPII(Cyber & Privacy Innovation Institute)의 리더 조 노세라가 말했다.

노세라는 “구형 버전을 퇴역시키거나 표준 스택으로 통합할수록 취약성 측면에서 관리할 것이 줄어든다. 그래서 간소화 및 통합이 최고의 전력승수라고 생각한다”라고 설명했다.

노세라는 구형 시스템 퇴역 및 기술 부채 해결로 인해 취약성이 사라지지 않는다는 점을 인정했다. 하지만 구형 시스템을 없애면 일부 작업이 사라지고, 더 이상 패치 할 수 없는 기업의 시스템을 없애 위험을 줄일 수 있다.

그리고 이런 문제를 없앰으로써 보안팀과 IT 부서는 나머지 우선순위를 해결하는 데 집중하여 프로그램의 효과성과 영향력을 높일 수 있다고 그가 말했다.

이 접근방식의 이점에도 불구하고 많은 조직들이 이를 우선순위화 하지 않고 있다. 원격 모니터링 및 관리 클라우드 플랫폼 개발사 액션1(Action1 Corp.)의 ‘2022년 종점 관리 및 보안 트렌드 보고서’에 따르면 응답자 중 34%만이 ‘클라우드 대안으로 대체한 위험한 구형 소프트웨어를 없애는 데’ 집중할 계획이다.

새로운 위협에 대한 뉴스 간과하기
새로운 취약성 또는 위협에 대한 첫 경고는 간략히 공고되는 경우가 많다. 이런 제한된 정보에도 불구하고 라이는 보안팀이 그 중요성을 간과해서는 안 된다고 말했다. 사실, 그는 다양한 보안 소스의 뉴스와 헤드라인을 추적하여 곧 일어날 일을 파악하는 것이 중요하다고 말했다.

그는 “앞으로의 일에 주의를 기울여야 한다. 아무런 세부사항을 제공하지 않을 수 있지만 이런 유형의 정보는 더욱 잘 준비하는 데 도움이 되며, 실행 또는 계획을 시작할 수 있다”라고 말했다.

모든 새로운 위협에 반응하기
그렇다고 CISO가 모든 보안 뉴스에 서둘러 대응하면 안 된다고 포레스터 리서치의 수석 분석가 에릭 노스트가 경고했다. 조직에 영향을 미칠지 여부와 그 수준을 평가해야 한다는 지적이다.

추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.