[데이터넷] 트렌드마이크로(지사장 김진광)가 불완전하거나 결함이 있는 보안 패치가 증가하면서 업데이트 시 기업에게 최대 40만 달러(약 5억4000만원)의 비용이 발행할 수 있다고 30일 밝혔다.
트렌드마이크로 제로 데이 이니셔티브(ZDI)는 글로벌 정보보안 행사인 블랙햇(Black Hat) USA 2022에서 보안 패치 품질 및 벤더-고객 간 커뮤니케이션의 현저한 감소를 해결하기 위해 수립한 정책 변화를 공개했다.
브라이언 고렝크(Brian Gorenc) 트렌드마이크로 ZDI 취약점 리서치 시니어 디렉터는 “ZDI가 벤더에게 2005년부터 1만개 이상의 취약점을 공개하면서 산업 전반의 보안 패치 현황에 대해 이렇게 우려한 적은 없었다”며 “벤더가 부적절한 패치와 복잡한 권장사항을 제공함으로써 기업의 시간과 비용이 낭비되고, 불필요한 비즈니스 리스크가 가중되고 있다”고 말했다.
ZDI는 결함이 있거나 기타 미완성된 패치를 제공하는 벤더로부터 파생된 세 가지 주요 문제로 ▲ 부족한 벤더 서비스로 인해 기업들이 자사 네트워크에 미치는 실질적 위험에 대한 뚜렷한 가시성을 가질 수 없음 ▲불완전 또는 결함이 있는 업데이트로 인해 기업들이 동일한 패치를 반복하게 하며 추가 시간과 비용을 소모하게 함 ▲업데이트가 완료됐다는 착오로 인해 기업들의 잘못된 패치가 패치 이전보다 더 큰 위험을 초래함 ▲이와 같은 문제는 단일 취약점을 개선하기 위한 추가 업데이트로 이어져 기업자원 낭비와 위험을 가중시킴으로써 패치 비용을 배로 증가시킨다는 점을 들었다.
또한 벤더들이 패치 관련 인증 정보를 평문으로 제공하는 것을 꺼리는 추세로 인해 네트워크 방어자들이 위험 노출을 정확히 측정할 수 없게 됐다.
대부분의 기업에서 침해 발생에 걸리는 시간이 해당 취약점 패치에 소요되는 시간보다 짧기 때문에 패치가 적절하게 설계된 경우라도 패치 자체가 위협행위자들에게 잠재적 취약점을 알리게 되면서 위험을 증가시킬 수 있다. 패치가 불완전하거나 결함이 있는 경우라면 기업의 손상위협은 곱으로 커진다.
대기업뿐만 아니라 중소기업도 매월 10만 달러(약 1억3500만원) 이상을 패치 비용으로 지출하는 것이 이제는 흔한 일이다. 앞서 패치 비용을 측정하기 위해 사용된 공식을 떠나 동일한 취약점에 여러 차례 업데이트를 적용하는 것은 기업을 불필요한 위험에 노출하면서 시간과 비용을 소모하게 한다.
기업이 이러한 위험을 이해하고 완화하기 위해 트렌드마이크로는 다음과 같은 권고사항을 전한다.
- 엄격한 자산 검색 및 관리 프로그램 개발
- 책정된 예산 범위에서 가능한 한 가장 신뢰할 수 있는 벤더 선정
- 보안 기업의 주요 패치 일정인 ‘패치 화요일(Patch Tuesday)’에 관계없이 지속적으로 패치 수정사항 모니터링 및 면밀한 위협환경 변화 관찰 등의 위험평가 실행
한편 ZDI는 전 세계 최대 규모의 벤더 불문 버그 보상 프로그램으로 2021년 한 해 발견된 전체 취약점 중 약 64%를 탐지했다.
