조직 18% “보안-개발조직 협업 이뤄지지 않아”
[데이터넷] 소프트웨어 취약점을 악용하는 공급망 공격이 성행하고 있는데, 조직의 취약점 대응이 제대로 이뤄지지 않아 이미 해결한 취약점의 절반 이상이 한달 이내 재발하는 경향이 있는 것으로 나타났다. 더 심각한 문제는 개발팀과 보안팀의 협업이 이뤄지지 않아 취약점 대응에 어려움을 겪고 있다는 사실이다.
클라우드 보안 연합(CSA)이 지난 12월 전 세계 IT·보안 전문가를 2037명을 대상으로 한 설문조사에 따르면, 취약점의 절반 정도가 제거 후 한달 이내에 재발해 취약점 대응의 근본적인 문제를 안고 있음에도 불구하고, 18%의 조직은 보안팀과 개발팀의 조직이 전혀 협업하지 않거나 비생산적인 관계인 것으로 나타났다.
“중요한 취약점 해결에 2주 이상 소요”
조사 응답자의 38%는 코드의 21~40%에 취약점이 있다고 추정했으며, 19%는 코드의 41~60%, 13%가 코드의 61~80%에서 취약점을 발견했다고 답했다. 그런데 취약점 해결 후 재발하는 경우가 빈번하게 발생하고 있으며, 이는 제한된 리소스와 불충분한 전문성, 취약점의 내재된 복잡성 등 다양한 요인으로 인해 발생하는 것으로 보인다. 특히 수동으로 취약점을 점검, 해결하기 때문에 근본적으로 해결되지 않는 것으로 분석된다.
상황이 이런데도 개발팀과 보안팀의 협업이 잘 진행되지 않고 있다. 더불어 조직의 보안 준비 상태도 부족하다는 답이 77%에 달했다. 이로 인해 중요한 취약점을 해결하는데 걸리는 시간도 길어져 18%는 중요한 취약점 해결에 4일 이상걸리며, 2주 이상 걸린다는 답도 3% 있었다. 보고서는 취약점 우선순위 지저오가 대응에 잠재적인 공백이 있다고 해석했다.
지난해 말 미국의 인터넷 서비스 기업 엑스인피니티(Xfinity)가 3600만명의 고객정보를 탈취당했는데, 취약점 확인 후 침해 발생까지 6~9일 소요된 것으로 알려졌다. 보고서는 이 사례를 언급하면서 취약점 해결에 소요되는 시간이 길어지면 해결해야 할 취약점 백로그가 증가해 다른 취약점 악용 공격 가능성이 높아진다고 경고했다.
취약점 대응 자동화 기능 제대로 활용 못해
조직은 취약점 탐색과 빠른 대응을 위해 많은 예산을 투입하고 있지만, 중요한 취약점에도 제대로 대응하지 못하는 상황이다. 조사 응답자의 61%가 3~6개의 탐지 도구를 사용하고 있으며, 더 많은 탐지 도구를 도입할 가능성이 있다고 답한 응답자가 절반에 이르는데, 통합된 프로세스 없이 추가 도구를 도입해 사일로화된 문제 해결 노력과 중복되는 취약성, 위협 우선순위 지정에 대한 일관성 없는 접근으로 인해 대응이 더 어려워지고 있다고 밝혔다.
응답자의 75%는 보안 경고 처리에 업무 시간의 20% 이상을 수작업으로 처리하고 있으며, 매일 55개의 보안 취약점을 처리하고 이 중 1~3개는 일반적으로 중요한 취약점으로 분석된다. 한 달 동안 팀에서 해결하는 취약점은 평균 270개이며, 초기 단계에서 해결해야 할 취약점을 해결하는데 1~3시간 소요돼 다른 취약점 대응이 제대로 되지 않고 병목현상이 생기며, 담당자에게 제 때 전달되지 못하는 것으로 분석됐다.
자동화된 취약점 대응 프로세스를 채택하는 조직이 늘고 있지만, 자동화 기능을 제대로 활용하지 못하는 것도 문제다. 자동화는 사전 정의된 위험 기준에 따라 취약성을 신속하게 식별, 분류, 할당하는데, 명확한 역할 정의 등이 이뤄지지 않아 자동화 도입 효과를 제대로 누리지 못하는 것으로 나타났다.
이로 인해 중복되는 경고(63%), 오탐(60%)이 발생해 취약점 대응 효율성을 낮추고, 알림 피로를 높이며 사고 대응 시간을 늦추고 있다. 더불어 클라우드 가시성을 확보하지 못한 조직도 많아 위협 대응에 어려움을 더하고 있다. 응답자의 77%는 가시성 확보 수준이 충분하지 않으며, 컨테이너, 서버리스 아키텍처 통합으로 클라우드 환경이 복잡해지면서 이러한 문제가 더 심화되고 있다고 답했다.
보고서는 보안 도구를 효율화하고 취약성을 줄이는 능력이 조직이 구매한 도구의 수를 넘어 모든 코드, 애플리케이션, 클라우드, 인프라 통합 가시성과 수정에 중점을 두고 평가해야 한다고 설명했다. 자동화와 데이터 상관관계를 통해 취약성 관리 프로세스의 수동 오버헤드를 해결하면서 대응 시간을 단축하고, 문제 재발을 줄이면서 생산성을 향상할 수 있다고 강조했다.
더불어 취약점의 우선순위를 정하고 반복되는 문제의 근본 원인을 해결해야 하며, 보안팀과 개발팀 간의 협업과 워크플로우를 강화해야 한다고 덧붙였다. 마지막으로 ‘코드-클라우드’ 환경에 대한 가시성을 높이고, 문제 해결을 가속화하는 방법을 모색하고, 조직 협업을 강화하며, 프로세스를 간소화하여 위험에 효과적으로 대응함으로써 적응해야 한다고 덧붙였다.
