트렌드마이크로(지사장 김진광)가 불완전하거나 결함이 있는 보안 패치가 증가하면서 업데이트 시 기업에게 최대 40만 달러(약 5억 4천만원)의 비용이 발행할 수 있다고 밝혔다.

이와 함께 트렌드마이크로 제로데이 이니셔티브(ZDI) 관계자는 글로벌 정보보안 행사인 블랙햇 USA 2022에서 보안 패치 품질 및 벤더-고객 간 커뮤니케이션의 현저한 감소를 해결하기 위해 수립한 정책 변화를 공개했다.

브라이언 고렝크(Brian Gorenc) 트렌드마이크로 ZDI 취약점 리서치 시니어 디렉터는 “ZDI가 벤더에게 2005년부터 10,000개 이상의 취약점을 공개하면서 산업 전반의 보안 패치 현황에 대해 이렇게 우려한 적은 없었다”라며 “벤더가 부적절한 패치와 복잡한 권장사항을 제공함으로써 기업의 시간과 비용이 낭비되고, 불필요한 비즈니스 리스크가 가중되고 있다”라고 말했다.

ZDI는 결함이 있거나 기타 미완성된 패치를 제공하는 벤더로부터 파생된 세 가지 주요 문제를 다음과 같이 정의했다.

◇부족한 벤더 서비스로 인해 기업들이 자사 네트워크에 미치는 실질적 위험에 대한 뚜렷한 가시성을 가질 수 없다.

◇불완전 또는 결함이 있는 업데이트로 인해 기업들이 동일한 패치를 반복하게 하며 추가 시간과 비용을 소모하게 한다.

◇업데이트가 완료됐다는 착오로 인해 기업들의 잘못된 패치가 패치 이전보다 더 큰 위험을 초래한다.

이와 같은 문제는 단일 취약점을 개선하기 위한 추가 업데이트로 이어져 기업자원 낭비와 위험을 가중시킴으로써 패치 비용을 배로 증가시킨다.

또한 벤더들이 패치 관련 인증 정보를 평문으로 제공하는 것을 꺼리는 추세로 인해 네트워크 방어자들이 위험 노출을 정확히 측정할 수 없게 됐다.

따라서 ZDI는 업계 전반을 개선시키기 위해 비효율적 패치에 대한 공개 정책을 변경하고 있으며 더 나아가 기본 120일로 설정된 타임라인을 우회된(Bypassed) 보안 패치 결과로 추정되는 버그를 잡기 위해 아래와 같이 단축했다.

◇취약점 공격이 예상되는 최고 ‘위급(Critical)’ 등급의 경우 30일

◇‘위급’ 및 ‘높은’ 심각도 버그이나 패치가 일부 보호기능을 제공하는 경우 60일

◇즉각적인 공격이 없을 것으로 예상되는 기타 등급의 경우 90일

대부분의 기업에서 침해 발생에 걸리는 시간이 해당 취약점 패치에 소요되는 시간보다 짧기 때문에 패치가 적절하게 설계된 경우라도 패치 자체가 위협행위자들에게 잠재적 취약점을 알리게 되면서 위험을 증가시킬 수 있다. 패치가 불완전하거나 결함이 있는 경우라면 기업의 손상위협은 곱으로 커진다.

패치 비용은 기업들마다 다르지만 트렌드마이크로는 다음과 같은 공식을 통해 결함이 있는 패치에 대한 비용을 측정했다. 총 비용 = f (T, HR, S, PF)로, T는 패치 관리에 소요되는 시간, HR은 패치 관리 전문가에 대한 인적 관리 비용, S는 패치가 적용되는 애플리케이션의 수, PF는 애플리케이션마다 2주에서 3주 정도가 해당되는 패치 빈번도를 의미한다.

대기업뿐만 아니라 중소기업이라도 매월 10만 달러(약 1억3500만원) 이상을 패치 비용으로 지출하는 것이 이제는 흔한 일이다. 앞서 패치 비용을 측정하기 위해 사용된 공식을 떠나 동일한 취약점에 여러 차례 업데이트를 적용하는 것은 기업을 불필요한 위험에 노출하면서 시간과 비용을 소모하게 한다.

기업이 이러한 위험을 이해하고 완화하기 위해 트렌드마이크로는 다음과 같은 권고사항을 전한다.

◇엄격한 자산 검색 및 관리 프로그램 개발

◇책정된 예산 범위에서 가능한 한 가장 신뢰할 수 있는 벤더 선정

◇보안 기업의 주요 패치 일정인 ‘패치 화요일(Patch Tuesday)’에 관계없이 지속적으로 패치 수정사항 모니터링 및 면밀한 위협환경 변화 관찰 등의 위험평가 실행

한편 ZDI는 전 세계 최대 규모의 벤더 불문 버그 보상 프로그램으로 2021년 한 해 발견된 전체 취약점 중 약 64%를 탐지했다. 제로 데이 이니셔티브(ZDI) 정책 변화에 대한 내용은 웹사이트에서 확인 가능하다.

★정보보안 대표 미디어 데일리시큐!★