보안 리더가 흔히 범하는 ‘취약성 관리’ 실수 10가지

보안 전문가에게는 전혀 놀라운 이야기가 아닐 것이다. 지난 7년 동안 매년 확인되는 취약성의 수가 증가했다. 이와 동시에 보안팀들은 안전한 재택근무를 지원하고 다른 팬데믹 관련 필요를 해결하면서 인재 채용 문제까지 처리하느라 매우 바쁜 상황이다. 즉 취약성 관리 프로그램 개선이 최우선순위가 아닌 시절이었다.

베테랑 보안 책임자들은 보편적인 실수가 이어지는 가운데 해결할 방안이 있다고 조언하고 있다. 보안 리더가 자주 범하는 10가지 실수를 살펴본다.

임원의 지원 확보 실패
좋은 취약성 관리 프로그램에는 보안팀만으로는 부족하다. 위험 관련 결정에는 임원의 참여가 필요하며, 패치는 IT 전문지식이 필요하다. 업데이트로 인한 다운타임은 여러 비즈니스 기능에 영향을 미친다.

즉 이 작업을 잘 수행하기 위해서는 조직 내 여러 구성원의 지원이 필요하며, 그들은 기업 내 최상위 리더들로부터 이런 노력을 위한 지원을 확보할 때 지원을 받을 가능성이 높다고 관리형 서비스 제공자 쓰라이브(Thrive)의 CTO 마이클 그레이가 말했다.

취약성 관리 노력에 대한 임원 수준의 지원을 받지 못한 CISO는 IT 및 비즈니스 부서의 반발로 인해 방해를 받을 수 있다.

하지만 좋은 소식도 있다. 사이버 보안이 이사회 수준의 우려사항이 되면서 CISO들이 점차 필요한 임원 지원을 확보하고 있다. 실제로 가트너의 2021년 임원 설문조사에 따르면, 이사회 중 88%가 현재 사이버 보안을 비즈니스 위험으로 보고 있었다.

공동 책임감 조성하지 않기
언더 아머(Under Armour)의 CISO 알렉스 아투말릴리는 “CISO가 VM(취약성 관리) 책임 또는 위험을 안고 있다. 그렇게 해서는 안 된다”라고 말했다.

CISO는 지원하는 시스템이나 비즈니스 기능을 소유하지 않으며, 조직이 특정 위험을 감수할 수 있는지 여부를 단독으로 결정할 권한도 없다.

그는 “CISO에게 회사를 대표하여 위험을 감수할 권한이 없다. 그래서 정보를 제공해야 한다. 이를 위해 위험을 다른 기업 리더들에게 전달하고 비즈니스 위험 측면에서 취약성 관리를 구성하며, 그들이 솔루션에 참여하도록 해야 한다. 그들은 자신의 시스템으로 인해 발생하는 취약성에 대해 책임이 있음을 알아야 한다”라고 말했다.

아투마릴리는 이 접근방식을 통해 다른 임원들이 ‘참여하게 되며’, 패치를 위한 시스템 다운타임 계획 등 취약성 관리 업무와 관련하여 추가적인 지원 및 협업을 구성할 수 있다고 전했다.

포괄적인 위험 우선순위 설정
최근 펄스(Pulse)가 보안 제공업체 불칸 사이버(Vulcan Cyber)의 후원을 받아 진행한 조사에 따르면, 200명 이상의 기업 IT 및 보안 임원 중 대다수가 조직 고유의 위험 프로필을 감안해 취약성의 우선순위를 설정하는 관행을 실행하지 않고 있었다. 86%는 제3자 취약성 심각도 데이터에 의존하여 취약성의 우선순위를 설정하며 70%도 제3자 위협 정보를 사용하는 것으로 나타났다.

베테랑 보안 리더들은 이러한 접근방식에 대해 경고하면서 CISO와 자신의 팀이 잘못된 위협에 부족한 자원을 낭비할 수 있다고 말했다.

미국 방위산업 청부업체에 사이버 보안 자문과 vCISO 서비스를 제공하는 KLC 컨설팅(KLC Consulting)의 사장 겸 CISO 카일 라이는 다른 접근방식을 추천했다. 그는 CISO와 그들의 팀이 조직의 기술 환경을 이해하고 최신 자산 인벤토리를 확보해야 하며, 조직의 위험 수용범위와 위험 감수를 파악하여 기업에 대한 가장 큰 위협을 확인하고 이를 우선적으로 해결해야 한다고 말했다.

그는 “그들은 특정 위협의 영향이 얼마나 큰지 잘 이해해야 하며, 무엇이 더 심각한지 알아야 한다. 조직에 대한 영향에 따라 우선순위를 결정해야 한다”라고 말했다.

교육에 인색
렉스마크 인터내셔널(Lexmark International)의 CISO 브라이언 윌렛은 리눅스(Linux) 시스템 패치 스킬이 윈도우 패치에 필요한 스킬과 다르며, 여타 취약성 관리 프로그램에 요구되는 스킬 또한 다른 영역에 속할 수 있다고 지적했다.

그는 나아가 취약성 관리와 관련해 보안 직원에 필요한 역량과 실제 패치를 수행하는 IT 직원의 노하우가 제각각이라고 언급했다. “그래서 나는 이 팀들이 책임을 다하기 위해 필요한 교육을 받아야 한다고 본”라고 윌렛은 말했다.

전문가들은 그러나 조직이 취약성 관리 작업에 필요한 학습의 양을 과소평가하거나 기업 내의 특정 시스템 또는 도구에 대한 교육해야 할 필요성을 간과하는 경우가 있다고 지적한다.

윌렛은 “직원이 옳은 일을 하고 싶어하지만 우리는 그들이 옳은 일을 할 수 있도록 투자해야 한다는 사실을 모두가 기억해야 한다”라고 덧붙였다.

코드 추적 실패
리눅스 재단(Linux Foundation)의 조사에 따르면 점차 많은 조직들이 시스템 내의 모든 코드를 더욱 잘 파악하기 위해 SBOM을 사용하고 있다. 좀 더 구체적으로, 해당 보고서에서는 47%가 SBOM을 생성 또는 소비하고 있으며 조직 중 78%는 2022년에 SBOM을 생성 또는 소비할 것으로 예상하고 있는 것으로 나타났다(2021년의 66%에서 증가함).

수치상으로 SBOM 사용량 증가가 나타났지만 여전히 많은 조직들이 IT 환경에 있는 모든 코드를 제대로 파악하지 못하고 있을 수 있는 것으로 나타났다. 가시성의 부재로 인해 해결해야 할 취약성이 있는지 여부를 파악하는 능력이 제한된다고 라이가 말했다.

그는 “보유하고 있는 코드와 오픈 소스 구성요소가 무엇인지 파악해야 한다. 그래야 Log4J 같은 문제가 발생하면 그것이 존재하는 모든 위치를 알 수 있다”라고 말했다.

업그레이드 미루기
취약성 관리는 끝이 없지만 기술 부채를 해결하여 효율성을 높일 수 있다고 전문 서비스 기업 PwC의 CPII(Cyber & Privacy Innovation Institute)의 리더 조 노세라가 말했다.

노세라는 “구형 버전을 퇴역시키거나 표준 스택으로 통합할수록 취약성 측면에서 관리할 것이 줄어든다. 그래서 간소화 및 통합이 최고의 전력승수라고 생각한다”라고 설명했다.

노세라는 구형 시스템 퇴역 및 기술 부채 해결로 인해 취약성이 사라지지 않는다는 점을 인정했다. 하지만 구형 시스템을 없애면 일부 작업이 사라지고, 더 이상 패치 할 수 없는 기업의 시스템을 없애 위험을 줄일 수 있다.

그리고 이런 문제를 없앰으로써 보안팀과 IT 부서는 나머지 우선순위를 해결하는 데 집중하여 프로그램의 효과성과 영향력을 높일 수 있다고 그가 말했다.

이 접근방식의 이점에도 불구하고 많은 조직들이 이를 우선순위화 하지 않고 있다. 원격 모니터링 및 관리 클라우드 플랫폼 개발사 액션1(Action1 Corp.)의 ‘2022년 종점 관리 및 보안 트렌드 보고서’에 따르면 응답자 중 34%만이 ‘클라우드 대안으로 대체한 위험한 구형 소프트웨어를 없애는 데’ 집중할 계획이다.

새로운 위협에 대한 뉴스 간과하기
새로운 취약성 또는 위협에 대한 첫 경고는 간략히 공고되는 경우가 많다. 이런 제한된 정보에도 불구하고 라이는 보안팀이 그 중요성을 간과해서는 안 된다고 말했다. 사실, 그는 다양한 보안 소스의 뉴스와 헤드라인을 추적하여 곧 일어날 일을 파악하는 것이 중요하다고 말했다.

그는 “앞으로의 일에 주의를 기울여야 한다. 아무런 세부사항을 제공하지 않을 수 있지만 이런 유형의 정보는 더욱 잘 준비하는 데 도움이 되며, 실행 또는 계획을 시작할 수 있다”라고 말했다.

모든 새로운 위협에 반응하기
그렇다고 CISO가 모든 보안 뉴스에 서둘러 대응하면 안 된다고 포레스터 리서치의 수석 분석가 에릭 노스트가 경고했다. 조직에 영향을 미칠지 여부와 그 수준을 평가해야 한다는 지적이다.

그는 “센세이셔널한 뉴스와 조직에 실질적인 위협이 되는 취약성을 자세히 살펴보기가 어려울 수 있다. 그러나 팀이 받은 편지함에 도착하는 모든 것이나 CEO가 뉴스 헤드라인에서 보는 모든 것을 교정하는 것을 우선시하도록 요청하는 것은 적절한 접근방식이 아니다”라고 말했다.

노스트는 코넬대학교(Cornell University)의 최근 분석을 언급했다. 이에 따르면 APT가 제로데이보다 알려진 취약성을 악용할 가능성이 더 높은 것으로 나타났다. 노스트는 “즉 CISO는 위협 활동자를 고려하고 APT가 조직을 표적으로 삼을 가능성이 높은지 고려해야 한다”라고 말했다.

“팀은 시간에 쫓긴다. 트위터에 등장하는 모든 취약성을 해결하려 한다면 감수할 수 있는 위험 수용범위에 대해 조직 고유의 위험을 능동적으로 평가하지 않는 것이 된다. 팀에 위협 평가 절차가 있어야 한다. 수립된 각본, 위험 수용범위, 위협 분석 절차를 고수해야 한다”라고 덧붙였다.

오래된 정보에 의존하기
가트너의 이사 설문조사에서는 대부분의 이사회가 사이버 보안을 위험을 볼 뿐 아니라 과반수(57%)가 2021년부터 2022년까지 위험 수용범위를 증가시켰거나 증가시킬 것으로 나타났다. 이와 동시에 매년 새롭게 확인된 취약성의 수가 지속적으로 증가하고 있다. 그리고 일반적인 기업의 IT 환경은 지속적으로 진화하고 있다.

따라서 CISO는 취약성 완화 및 교정의 우선순위 결정을 위한 공식을 검토할 프로세스를 개발해야 한다고 전문가들이 말했다.

그레이는 “기업들이 취약성의 라이프사이클을 잘 관리하지 못하는 경우가 너무 많다. 항상 발전하고, 항상 변화하며, 지속적인 관심이 필요하다”라고 말했다.

보안을 개발에 통합하지 않기
노세라는 보안과 안전한 설계 원칙을 개발 프로세스에 통합하는 조직이 부족하기 때문에 CISO와 CIO가 조직을 위해 더욱 견고한 취약성 관리 프로그램을 개발할 기회를 놓치고 있다고 말했다.

개발 프로세스 초기에 보안을 적용하면(또는 ‘왼쪽 자리 옮김’) CISO는 코드가 생산에 투입되기 전에 보안 문제를 확인할 수 있다. “따라서 알려진 취약성이 환경에 유입되지 않게 된다”라고 노세라는 말했다.

이를 통해 취약성 관리 업무의 양이 반드시 감소하는 것은 아니지만 노세라는 구형 시스템 및 기술 부채를 없애는 것과 마찬가지로 리소스를 확보하여 팀이 취약성 관리 노력을 최적화할 수 있다고 말했다.

dl-ciokorea@foundryco.com