취약점 점검과 패치만 잘 해도 공격자의 비용 올라간다
페이지 정보
작성자 게시판관리자 작성일19-11-19 06:39 조회7,763회 댓글0건관련링크
본문
2019년11월19일 보안뉴스에서~
현대 보안에서 가장 중요한 건, 지속적인 관찰과 능동적인 점검
자동화 기술과 주기적인 침투 테스트 통해 취약점 줄이고 심각도 낮춰야
[보안뉴스 문가용 기자] 자동화 기술과 주기적인 침투 테스트를 활용해 보안을 지속적으로 점검하면, 공격자들의 비용을 두 배 늘릴 수 있다는 연구 결과를 보안 업체인 사이낵(Synack)이 發表를 했다.
“RedTeam을 통해 자산을 점검한 뒤 취약점을 찾아내는 기업들의 수가 지난 2년 동안 약 2배(112%) 증가했습니다. 동시에 RedTeam이 찾아낸 취약점들의 평균 심각도는 줄어들고 있습니다. 2016년 CVSS 점수는 평균 6.41점이었지만 2018년에는 5.95점을 기록했습니다.” 이런 결과를 두고 사이낵은 “기업들이 능동적인 보안 점검을 통해 시스템 강화에 성공했다 뜻”이라고 해석하고 있다.
사이낵의 제품 마케팅 책임자인 앤마리 춘 윗(Anne-Marie Chun Witt)은 “취약점들은 점점 줄어들고 있고, 그 심각도도 낮아지고 있으며, 찾아내는 데 걸리는 시간이 더 길어지고 있다”며 “그 동안 보안에 투자를 한 기업들이 전체적인 보안 상황을 유의미하게 향상시켰으며, 공격은 더 힘들어졌다”고 평가했다.
사이낵의 이번 연구 결과는 꽤나 의미가 깊다. 보안을 강화하기 위한 노력이 밑 빠진 독에 물 붓기가 아니라는 게 명확히 드러나는 수치를 제공하기 때문이다. “전반적으로 자동화 기술을 가지고 주기적으로 보안 점검을 하는 기업들이 약 43% 강력한 것으로 나타났습니다.” 43%는 사이낵이 독자적인 기준으로 도출한 값이므로 절대적이지 않다.
능동적이고 재빠른 취약점 대처만으로 침해와 유출의 위험으로부터 벗어날 수 있다는 연구 결과를 발표한 건 사이낵 만이 아니다. 이번 달 초 버그바운티 관리 플랫폼인 해커원(HackerOne)은 네 건의 대형 데이터 유출 사고를 분석하면서 “이미 알려진 취약점들이 익스플로잇 됐다”는 사실을 알게 되었다고 발표했다. “버그바운티를 사용했더라면 훨씬 적은 비용으로 문제를 해결할 수 있었습니다.”
네 건 중 하나는 영국항공(BA)에서 발생한 것으로, 영국항공은 벌금만 2억 3천만 달러를 내야 하는 상황이다. “그 천문학적인 손해가 하나의 자바스크립트 취약점 하나 때문에 발생한 겁니다. 이 취약점은 버그바운티 시장에서 통상 5천~1만 달러 정도에 거래될 수 있는 것입니다. 극심한 손해죠.”
포네몬의 경우 ‘사이버 범죄 비용 연구(Cost of Cybercrime Study)’를 통해 보안에 대한 투자가 범죄자들의 비용에 어떠한 영향을 주는지 연구하기도 했다. 그러면서 네 가지 기술이 공격자의 비용은 높이고 방어자의 비용은 낮출 수 있다고 발표했다.
1) 보안 첩보와 위협 공유
2) 자동화, 인공지능, 머신러닝
3) 고급 아이덴티티 및 접근 관리
4) 사용자 행동 분석
사이낵은 “제조업과 사회 기반 시설 분야가 ‘의외로’ 괜찮다는 것이지, 지금 상태 그대로 양호하다는 뜻은 절대 아니”라고 강조했다. “게다가 그 두 분야를 노리는 해커들은 보다 악의적이고 동기부여가 충실한 편이기도 합니다. 따라서 지속적인 점검과 능동적인 패치 전략만 갖춰지는 게 중요합니다.”
3줄 요약
1. 공격자의 비용 높이려면, 능동적으로 취약점 찾아내고 관리해야 함.
2. 제조업이나 사회 기반 시설 분야, 공격자가 강력하기 때문에 더 위험.
3. 기술 산업, 애플리케이션 보안에 강력하기 때문에 공격 비용 높일 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
원본출처 : https://www.boannews.com/media/view.asp?idx=84574&kind=
댓글목록
등록된 댓글이 없습니다.