제멋대로인 보안 등급, 「CVSS」로 표준화

IT 업체들이 자체적으로 제공하는 보안 등급을 표준화하는 방안이 추진되고 있다. 대부분의 업체들이 보안 취약점의 등급을 결정할 때 자체 기준을 사용하고 있어, 소비자들에게 심각한 혼란을 주고 있기 때문이다.업계 공통의 취약점 등급시스템인 CVSS(Common Vulnerability Scoring System)는 소프트웨어의 보안 취약점에 대해 업계 표준 등급을 적용한 시스템이다. 침해사고대응 및 보안팀 포럼 FIRST 회장 마이크 카우딜은 “혼란스러운 보안 등급에 질서를 만들고 싶다. 궁극적인 목표는 사용자가 취약점에 적절하게 대처할 수 있도록 지원하는 시스템을 제공하는 것”이라고 밝혔다. FIRST(Forum of Incident Response and Security Teams)는 새로운 보안 표준 방식인 CVSS의 채용을 적극적으로 추진하고 있는 기관이다.CVSS는 부시 대통령에게 중요한 인프라스트럭처 관련 정보시스템 보안 자문을 제공하는 국가 인프라스트럭처 자문회의(NIAC : National Infrastructure Advisory Council)의 지원 하에 개발됐다. FIRST는 미 컴퓨터 비상대응센터(United States Computer Emergency Readiness Center) 등 보안사고 대응팀들의 전 세계적인 컨소시엄으로 더 많은 CVSS 개발에 관여할 계획이다.포괄적인 지지 받는 CVSS또한 지난 19일에는 CVSS의 광범위한 채용을 적극적으로 추진하겠다고 발표하기도 했다.CVSS 지지자들은 새로 개발된 등급 시스템이 1년 6개월의 기간을 거쳐 좀 더 일반적으로 적용될 수 있는 준비가 완료됐다고 확신하고 있다. CVSS 프로젝트는 30여개 기업들의 시스템 테스트가 시작된 지난 2월 처음 발표됐다.CVSS의 등급 구조 설계자로 참여하고 있는 취약점 관리 업체 퀄리스(Qualys) CTO 제럴드 에스첼벡은 “지금은 CVSS를 실질적으로 구현하고, 더 많은 업체들의 참여를 유도해야 하는 시점이다”고 지난 16일 밝혔다.CVSS는 MS의 보안 게시판에서 자주 볼 수 있는 개념인 ‘긴급’, ‘중요’ 등 현재 사용하고 있는 보안 등급 이상을 표현할 수 있도록 설계돼 있다. 1~10까지의 숫자를 사용한 새로운 등급 시스템으로 기업들이 IT 시스템과 관련된 정보를 추가하고, 자체 시스템 환경에 대해서도 특정 위험을 예측할 수 있도록 해주는 것이다. 또한 패치에 대한 우선순위도 설정할 수 있다.이밖에도 기업이 위험 밸런스에 대한 자체 환경 측정을 추가할 수 있을 뿐 아니라 취약점으로 인해 위험이 발생할 수 있는 공격코드와 보안 패치의 가용성 등의 요소들도 고려할 수 있도록 돼 있다.현재의 등급 시스템은 공격자가 원격으로 시스템을 손상시킬 수 있는지, 결함이 어떤 방식으로 쉽게 이용될 수 있는지 등 취약점의 일부 측면으로만 제한돼 있다.체계적인 위험 평가카우딜은 CVSS가 광범위하게 채용되면 기업의 위험 관리자나 보안 전문가들이 어떤 결함을 우선적으로 수정해야 하는지를 결정할 수 있다고 밝혔다.그는 “CVSS를 통해 기업 조직은 다양한 제품 공급업체, 다중 플랫폼, 그리고 조직의 서로 다른 부분에 잠재적으로 영향을 끼치는 취약점을 비교할 수 있고, 위험을 판단할 때도 일반적인 기준을 가질 수 있다”고 주장했다.시스코의 제품 보안 사고 대응팀 팀원이기도 한 카우딜은 FIRST가 소프트웨어 업계에 대해서도 보안 권고시 CVSS를 포함하도록 요청하고 있다며, “모든 업체들이 같은 보안 등급을 사용하도록 권고하고 있다”고 밝혔다. 이어 시스코의 경우 MySDN 시큐리티 사이트에서 CVSS 등급을 이미 제공하고 있으나 자체 권고로 사용하지는 않고 있다고 덧붙였다.시만텍, ISS, 퀄리스 등 일부 보안 솔루션 업체들도 현재 CVSS를 지원하고 있으며, 향후 자사 제품에도 이 시스템을 적용할 계획이다.시만텍 보안대응 부문 수석 이사 빈센트 위퍼는 “이 분야의 개방형 표준을 적극적으로 지지한다. CVSS가 개발되기 전에는 각 업체들마다 자체 등급 시스템을 적용했기 때문에 기업들이 패치 우선 순위를 결정할 때 상당히 혼란스러웠다”고 지적했다.퀄리스의 에스첼벡도 “사용자들이 CVSS 등급을 신뢰하고 있기 때문에 이런 부담에서 벗어날 수 있게 됐다”고 밝혔다.따로 노는 MS, 자체 보안 등급 고수그러나 MS 보안 대응센터 이사 케빈 킨에 따르면 MS는 자체 등급시스템을 고수할 방침이다. 킨은 “관련 업계의 일부 공급업체와 보안 기관들이 보안 등급 시스템을 서로 다르게 적용하고 있다는 점을 알고 있다. MS 고객들은 2002년에 구현한 MS의 엄격한 등급 시스템을 통해 자체적으로 위험 수준을 판단하고, 시스템 보호를 위해 우리가 구축한 자원을 이용하는것도 상당히 유용하다고 말하고 있다”고 언급했다.그러나 킨은 CVSS를 채용해달라는 요청이 들어오면 이를 수용하겠다고 덧붙였다.가트너 부사장 존 페스캐토레는 현재 MS가 CVSS를 적극적으로 채용하고 있지 않기 때문에 CVSS가 광범위하게 채용되기까지는 시간이 걸릴 것이라고 전망했다.그는 “데스크톱 PC의 취약점 부분은 MS의 역할이 가장 크다. 따라서 MS가 채용을 연기하면 다른 업체들도 CVSS를 사용하지 않을 것이다. 그러나 보안 서비스와 툴 제공업체들은 조만간 사용할 것으로 생각한다”고 밝혔다.페스카토레는 CVSS가 일부 장점을 갖고 있기는 하지만 IT 관리자들이 어떤 패치를 우선적으로 수행해야 하는지를 결정하는 데도 도움을 준다는 점은 다소 과장된 측면이 있다고 지적했다. 그는 “패치 등급의 우선순위를 결정할 수 있는 시스템은 존재하지 않는다. 그러나 대부분의 공급업체들이 이용하는 표준 등급 시스템이 있다면 IT 시스템에도 도움이 될 수 있을 것”이라고 강조했다.이어 “사용자들이 새로운 등급 시스템의 가치를 인정한다면 소프트웨어 업체들에게도 CVSS를 채용하라고 압력을 가할 수 있을 것이다. 대략 2007년 정도가 될 것으로 보이지만 시스코 같은 대기업이 일부 CVSS를 채용하기 시작하면 MS의 고객들도 MS에 채용을 요구하고 나설 것”이라고 밝혔다. @