트렌드마이크로(지사장 김진광)가 글로벌 정보보호 행사 ‘블랙햇(Black Hat) USA 2023’에서 자사의 ‘제로데이 이니셔티브(Zero Day Initiative, 이하 ZDI)’ 프로그램을 통해 올해 상반기 1,000개 이상의 고유한 보안상 취약점에 대한 권고사항을 공개했다고 발표했다. 이와 같은 취약점들이 사이버 공격에 악용될 경우, 사전 예방 조치 비용의 10배 이상에 달하는 금전적·시간적 피해가 발생할 수 있다.
케빈 심저(Kevin Simzer) 트렌드마이크로 최고운영책임자(COO)는 “트렌드마이크로는 매년 취약점 연구와 구매에 수백만 달러를 선제적으로 투자해 고객과 산업이 부담해야 할 사이버 공격 피해 복구 비용을 수십억 달러 절감하고 있다”며 “취약점 공개와 제공하는 패치에 대한 투명성이 부족한 기업들의 우려스러운 동향이 확인되고 있으며, 이는 디지털 보안에 위협요인으로 작용하고 있다”고 말했다.
오늘날 트렌드마이크로는 취약점과 패치에 대한 공개와 문서화를 늦추거나 희석하는 ‘사일런트 패치(Silent Patch)’의 중단을 촉구하고 있다. 사일런트 패치는 사이버 범죄 대처에 있어 장애 요소로 작용하고 있지만 주요 벤더와 클라우드 제공업체 사이에서 매우 보편적으로 사용되고 있다.
블랙햇 USA 2023에서 트렌드 리서치(Trend Research)는 클라우드 제공업체 사이에서 사일런트 패치가 보편화됐음을 밝혔다. 기업들은 점차 공개 문서에 ‘CVE(Common Vulnerability and Exposure, 보안 취약점 공통식별자 목록)’ ID를 할당하지 않고, 대신 비공개로 패치를 발행하는 경우가 많아지고 있다. 클라우드 서비스에 대한 미흡한 투명성과 버전 번호의 부재는 위험 평가를 방해하며 보안 커뮤니티가 생태계의 전반적 보안 수준을 강화하는 데 필요한 귀중한 정보의 습득 기회를 박탈한다.
트렌드마이크로는 지난해 블랙햇 행사에서 불완전하거나 결함이 있는 패치가 증가하고 있으며 벤더들이 패치에 대한 정보를 명확하게 제공하는 것을 꺼리는 경향이 늘어나고 있다고 경고한 바 있다. 이후 일부 기업들이 패치 적용의 우선순위를 완전히 낮춰 고객과 산업이 불필요한 위험에 노출되도록 방치하기도 하는 등 이러한 문제는 더욱 심화됐다.
이와 같은 이유로, 클라우드 기반 서비스를 강화하고 잠재적 위험으로부터 사용자를 보호하기 위해 패치 적용을 우선시하고, 취약점을 해결하고, 연구원·사이버 보안 벤더·클라우드 서비스 제공업체 간의 협력체계를 강화하기 위한 조치가 긴요한 상황이다.
트렌드마이크로는 ZDI 프로그램을 통한 취약점 패치의 투명성 제고와 업계 전반의 보안 수준 향상을 위해 노력하고 있으며, 그 일환으로 새로운 제로데이 취약점에 대한 권고사항을 발표했다.
◆ZDI-CAN-20784 깃허브(Github) (CVSS 9.9)
원격 공격자는 이 취약점을 악용해 영향권 내의 마이크로소프트 깃허브(Microsoft GitHub) 설치에 대한 권한을 높일 수 있다. 이 취약점 활용을 위해서는 인증이 필요하다.
이 결함은 데브컨테이너(Dev-Containers)의 구성 내에 존재한다. 애플리케이션은 데브컨테이너의 구성 내에서 권한 플래그를 강제 적용하지 않는다. 공격자는 이 취약점을 악용해 권한을 상승시키고 하이퍼바이저(Hypervisor)의 컨텍스트에서 코드를 실행할 수 있다.
◆ZDI-CAN-20771 마이크로소프트 애저(Microsoft Azure) (CVSS 4.4)
원격 공격자는 이 취약점을 이용해 마이크로소프트 애저에서 민감 정보를 노출시킬 수 있다. 이 취약점을 악용하기 위해서는 우선 대상 환경에서 높은 권한 코드를 실행할 수 있는 기능을 확보해야 한다.
이 결함은 인증서 처리 내에 존재한다. 이 취약점은 리소스가 잘못된 제어 영역에 노출돼 발생하는데, 공격자는 이를 악용해 저장된 자격증명(credential)을 노출시킬 수 있으며 이로 인해 추가적인 피해가 발생할 수 있다.
트렌드마이크로의 ZDI는 취약점 연구를 합법적으로 구매해 정보가 공개되기 이전에 영향권 내의 벤더에 제공해 해결할 수 있게 함으로써 사이버 공격을 방해하는 데 초점을 두고 취약점 시장을 개척해왔고, 벤더의 공식 패치 전에 선제적으로 해당 취약점에 대한 공격을 탐지 차단할 수 있도록 트렌드마이크로 제품을 통해 가상 패치 기능을 제공하고 있다.
블랙햇 USA 2023에서 진행된 트렌드마이크로의 활동과 트렌드마이크로 ZDI에서 제시한 전체 권고사항 목록에 대한 구체적인 정보는 트렌드마이크로 웹사이트에서 확인할 수 있다.
-ZDI 권고사항 목록: 클릭
◆하반기 최대 정보보호 컨퍼런스 PASCON 2023 개최-보안교육7시간 이수 가능
○ 주최: 데일리시큐
○ 후원: 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회
○ 참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업 정보보호 담당자, 개인정보보호 담당자, IT담당자 등 1,000여 명 참석
(※보안실무자가 아니면 참석금지)
○ 일시: 2023년 9월 5일 화요일(오전9시~오후5시30분)
○ 장소: 더케이호텔서울 2층 가야금홀 전관
○ 솔루션전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션
○ 참가기업 : △좋을 △블랑코코리아 △클라우드네트웍스 △굿모닝아이텍 △노르마 △오픈텍스트 △넥스원소프트 △모니터랩 △옥타코 △트렌드마이크로 △지란지교에스앤씨 △파수 △롤텍 △아이티원 △이지시큐 △엠클라우독 △퓨쳐시스템 △씨디네트웍스 △센티널테크놀로지 △다크트레이스(Darktrace) △지란지교데이터 △에프원시큐리티 △에스에스알 △인스피언 △스콥정보통신 △한국전자인증 △디지서트 △엘세븐시큐리티 △트리니티소프트 △스냅태그 △KISIA
○ 보안교육인증: 공무원 및 기업 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간 수료증 발급
○ 참석문의: 데일리시큐 길민권 기자/ mkgil@dailysecu.com
○ 사전등록: 클릭
○ 공공, 기업 정보보안 및 개인정보보호 책임자/실무자가 아니면 참석이 금지됩니다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
