글로벌 칼럼 | 제로데이 익스플로잇, 보안의 새로운 대세

CSO
그동안 IT 보안 영역에서는 제로데이 익스플로잇이 매우 드물고, 대다수를 차지하는 비-제로데이에 더 신경써야 한다는 것이 통설이었다. 그러나 최근 마이크로소프트의 보안 연구원인 매트 밀러가 마이크로소프트 윈도우 익스플로잇의 진화와 마이크로스프트의 2월 7일의 최신 블루 햇 사건을 다룬 멋진 발표를 통해 이런 통설을 반박했다.



필자 역시 그의 발표를 듣기 전까지 제로데이가 드물다고 생각했다. 그러나 밀러가 수집한 최신 데이터를 보면 제로데이가 사실상 대세이고, 시간이 지나면서 오히려 비-제로데이가 힘을 잃어가고 있음을 알 수 있다. 그는 2017년 적극적으로 악용된 마이크로소프트의 취약점은 모두가 처음에는 제로데이 공격으로 시작됐음을 입증했다. 제로데이 공격 비중은 2012년에 52%였고, 2008년에는 21%에 불과했다.

말한 것도 없이, 밀러의 발표는 수많은 논쟁을 불러 일으켰다. 많은 사람이 대다수 익스플로잇의 패치가 없는 상황에서 패칭이 얼마나 중요한 역할을 하겠냐고 의문을 제기했다. 그러나 이 발표의 진정한 교훈은 방어 체계를 구축하는 데 하나의 정보에만 의존해선 안된다는 것이다. 지금부터 이 주장을 뒷받침하는 몇몇 사례를 살펴보자.

대다수 취약점은 악용되지 않는다 
한 해 새롭게 발견되는 공개적 취약점은 1만 5,000개가 넘지만 대다수는 결코 악용되지 않는다. 밀러의 자료를 보면, 불과 0.02%만이 실제로 악용됐다. 588개의 윈도우 CVE 가운데 12개다. 리스크 관리 업체 케나 시큐리티(Kenna Security)의 데이터가 맥락이 같다. 이 업체에 따르면, 모든 CVE 가운데 불과 0.6%만이 현실에서 악용된다(마이크로소프트 윈도우 CVE에 국한되는 것이 아님).   



이는 매우 중요한 뉴스다. 필자가 여러 해 동안 강조한 사실이기도 하다. 공개된 취약점 대다수는 사실 걱정할 필요가 없다. 현실에서 적극적으로 악용되는 것만 걱정하면 된다. 1만 5,000개가 넘는 취약점을 모두 패치하는 대신 90여 개 취약점만 완벽하게 패치하면 되는 것이다. 마이크로소프트 윈도우만 놓고 보면 600개의 공개된 취약점 가운데 12개에만 집중하면 된다. 공개 익스플로잇 코드가 세상에 노출된 것들이다. 

이 단 하나의 기준이 패치가 적용돼야 하는지를 판가름하는 결정적 표식이다. 한편 컴퓨터월드의 우디 레오나드는 이 매트 밀러의 데이터를 인용해 마이크로소프트 패치를 즉시 적용하지 않아도 된다고 주장한다.  

마이크로소프트 패치가 나온 후 이를 적용하기까지 얼마나 기다려야 하는지 정확한 답은 아무도 모르겠지만, 필자는 될 수 있으면 빨리 패치하라고 말하는 쪽이었다. 그러나 데이터에 따르면 패치가 출시된 후 며칠 내에는 위험이 거의 없음을 보여준다. 따라서 고위험 환경에 있는 것이 아니라면 다른 얼리 어답터가 모든 버그를 발견하고 해소하기를 확인하기까지 며칠 기다려도 무방할 것으로 보인다.

최초의 악용은 악용 수와 다르다 
필자는 밀러와 그의 발표를 언제나 높이 평가하지만, 일부에서는 그의 데이터에 '지나치게' 집착한다. 분명, 밀러의 데이터는 악용된 윈도우 취약점 대부분이 표적 회사에 대한 제로데이로써 처음 시작되는 것을 보여주고 이는 놀라운 결과다. 그러나 제로데이 후 해당 취약점이 얼마나 빈번히 악용되는지는 보여주지 못한다. 그의 정보는 참/거짓에 그친다. 제로데이가 처음 사용된 후 다른 모든 사람에게 줄 수 있는 위험까지 설명하지는 못한다.

실제로 밀러의 데이터는 1일 차 및 처음 30일 이내에 악용된 취약점을 알려줄 뿐이다. 이는 처음 30일 후 무슨 일이 일어나는지 설명하지 않으며, (더 중요하게도) 익스플로잇 수를 알려주지도 않는다. 

예를 들어, 공격 첫날 한 회사와 기기 35대에 대해 표적 제로데이 공격이 있었다고 가정하자. 그러나 일단 익스플로잇 코드가 세상에 알려지면 다음 몇 년 동안 수백만 대 기기에 사용된다. 밀러의 데이터는 이 모든 기간동안 전반적인 기기의 위험성을 보여주지 않는다. 밀러와 마이크로소프트는 이 데이터를 가지고 있고 밀러의 다른 정보를 뒷받침하는 역할도 할 수 있을 것이다. 그러나 현재까지는 새로운 익스플로잇이 공개되더라도 (제로데이, 또는 연관 패칭 사건으로부터) 해당 취약점에 따른 전반적 위험을 알 수 없는 상황이다.

제로데이 비용은 상승 중 
제로데이의 인기(?)에 따른 불리한 정보가 하나 있다. 일반적인 공급-수요 시나리오에서 제로데이가 보편화할수록 이를 만든 사람은 더 적은 수익을 가져간다는 점이다. 반면 제로데이에 지급되는 업체의 포상금은 계속 오르고 있다. 이는 제로데이, 최소한 '탁월한' 제로데이는 시간이 지나면서 점점 드물어질 것임을 의미한다.

사실 취약점은 큰 문제가 아니다 
또 하나 기억해야 할 것은 악성 데이터 유출 대다수가 소프트웨어 취약점 익스플로잇이 아니라 소셜 엔지니어링 때문에 발생한다는 점이다. 구체적인 수치는 설문 시기와 설문 주체에 따라 차이가 있지만, 기기나 네트워크에 가해지는 제1의 악행은 소셜 엔지니어링이다. 특히 피싱이 이미 10여 년 전에 소프트웨어 취약점을 추월했다. 제로데이와 비-제로데이를 토론할 때 소프트웨어와 하드웨어를 패칭하는 것이 전부가 아님을 기억해야 한다. 

필자는 밀러의 데이터와 발표를 높이 평가할 뿐 아니라, 마이크로소프트의 윈도우 보안 노력 역시 훌륭하다고 생각한다. 마이크로소프트는 1999년부터 안전한 윈도우를 향한 여정을 시작했고, 2003년 이후 발매된 모든 버전은 범용 OS에서 할 수 있는 보안을 포괄적으로 구현했다. 보안에 특화된 쿠베스 OS(Qubes OS)만큼 안전하지 않을 수 있지만, 윈도우는 더 이상 오래 된 허술한 OS가 아닌 것이 분명하다. ciokr@idg.co.kr