벤더·CSP, 불투명한 취약점 공개·불완전한 패치로 보안 위협 높여
[데이터넷] 트렌드마이크로는 자체 운영하는 취약점 탐지 프로그램 ‘제로데이 이니셔티브(ZDI)’를 통해 올해 상반기 1000개 이상의 취약점에 대한 권고사항을 공개했다고 17일 발표했다.
ZDI에서 상반기 발표한 새로운 취약점 중 ZDI-CAN-20784 깃허브(Github)는 CVSS 9.9의 심각한 위험을 가진 것으로, 원격 공격자는 이 취약점을 악용해 영향권 내의 마이크로소프트 깃허브 설치 권한을 높일 수 있다. 이 취약점은 데브컨테이너(Dev-Containers)에 존재하며, 권한을 상승시키고 하이퍼바이저컨텍스트에서 코드를 실행할 수 있다. 이 취약점 활용을 위해서는 인증이 필요하다.
마이크로소프트 애저에 있는 ZDI-CAN-20771는 CVSS 4.4로, 원격 공격자는 이 취약점을 이용해 마이크로소프트 애저에서 민감 정보를 노출시킬 수 있다. 이 취약점은 리소스가 잘못된 제어 영역에 노출돼 발생하는데, 공격자는 이를 악용해 저장된 자격증명(credential)을 노출시킬 수 있으며 이로 인해 추가적인 피해가 발생할 수 있다. 이 취약점을 악용하기 위해서는 대상 환경에서 높은 권한 코드를 실행할 수 있는 기능을 확보해야 한다.
취약점이 사이버 공격에 악용되면 사전 예방 조치 비용의 10배 이상에 달하는 금전적·시간적 피해가 발생할 수 있다. 그래서 취약점을 빠르게 파악하고 신속하게 조치하는 것이 매우 중요한데, 중요 벤더와 클라우드 제공업체들은 취약점·패치 공개와 문서화를 늦추거나 희석하는 ‘사일런트 패치(Silent Patch)’를 사용하고 있다. 이는 사이버 범죄 대처에 있어 심각한 장애 요소로 작용하고 있다.
CSP, 사일런트 패치로 취약점 문제 해결 어렵게 해
트렌드마이크로는 클라우드 제공업체들이 사일런트 패치를 보편적으로 사용하고 있다는 사실을 밝히면서 개선을 요구하고 있다. 불완전하거나 결함이 있는 패치가 증가하고 있으며 벤더들이 패치에 대한 정보를 명확하게 제공하는 것을 꺼리는 경향이 늘고 있다.
트렌드마이크로 조사에서 이 사실을 공개하면서 개선을 요구하고 있지만, 일부 기업은 패치 적용의 우선순위를 완전히 낮춰 고객과 산업이 불필요한 위험에 노출되도록 방치하기도 하는 등 문서를 더 악화시키고 있다.
공개 문서에 CVE ID를 할당하지 않고, 비공개로 패치를 발행하는 경우가 점점 늘어나고 있다. 이는 클라우드 서비스에 대한 미흡한 투명성과 버전 번호의 부재는 위험 평가를 방해하며 보안 커뮤니티가 생태계의 전반적 보안 수준을 강화하는 것을 방해한다.
케빈 심저(Kevin Simzer) 트렌드마이크로 최고운영책임자(COO)는 “트렌드마이크로는 매년 취약점 연구와 구매에 수백만 달러를 선제적으로 투자해 고객과 산업이 부담해야 할 사이버 공격 피해 복구 비용을 수십억 달러 절감하고 있다”며 “취약점 공개와 제공하는 패치에 대한 투명성이 부족한 기업들의 우려스러운 동향이 확인되고 있으며, 이는 디지털 보안에 위협요인으로 작용하고 있다”고 말했다.
트렌드마이크로 ZDI는 취약점 연구를 합법적으로 구매해 정보가 공개되기 이전에 영향권 내의 벤더에 제공해 해결할 수 있게 함으로써 사이버 공격을 방해하는 데 초점을 두고 취약점 시장을 개척해왔고, 벤더의 공식 패치 전에 선제적으로 해당 취약점에 대한 공격을 탐지 차단할 수 있도록 트렌드마이크로 제품을 통해 가상 패치 기능을 제공하고 있다.
