한국에서 발견한 소프트웨어(SW) 보안취약점에 국제표준 식별체계인 '공통보안취약점공개항목(CVE)' 번호를 부여할 길이 열렸다. 이를 위해 과학기술정보통신부 산하 한국인터넷진흥원(KISA)이 최근 CVE번호부여권한(CNA)을 취득한 것으로 확인됐다.
CVE는 발견된 SW의 보안취약점 관련 정보를 명세화하기 위해 어떤 지역이나 조직에든 통용 가능한 일련번호를 부여하는 체계다. 세계 각국의 산업계와 당국의 담당자들은 CVE 번호를 단일 식별체계로 삼아 보안취약점 문제를 추적 및 관리할 수 있다.
실제로 마이크로소프트(MS) 윈도, 구글 안드로이드, 애플 맥OS와 iOS 등 PC와 모바일 기기 사용자에게 친숙한 SW와, 세계 시장에서 개발, 공급되고 있는 기업용 및 산업용 SW, 주요 오픈소스SW 프로젝트의 보안취약점이 모두 CVE로 식별, 관리되고 있다.
CVE 번호를 부여할 수 있는 권한을 갖는 조직을 CNA라고 부른다. CVE 번호체계 관리와 CNA 자격 부여 권한을 미국의 마이터(MITRE)가 갖고 있다. 마이터는 1958년 설립돼 미국 연방정부에 기술지원 및 시스템 운영업무를 수행해온 비영리법인으로, 1999년 CVE 관리체계를 출범시켰다.
KISA는 지난해(2017년) 5월부터 CVE번호부여권한 취득을 추진했고, 올해(2018년) 2월초 CNA 활동자격을 공식 확보했다. 20일 현재 마이터의 CNA 명단에 국내 SW보안취약 및 사이버위협 동향 업무를 맡고 있는 '침해사고대응팀(KrCERT/CC)' 이름으로 KISA가 등재돼 있다. KISA는 이로써 세계 84번째 CNA 자격 취득 조직이 됐다.
이제까지는 국내 업체의 SW에서 발견된 보안취약점을 내부 용도로만 관리했을뿐, 표준 식별체계가 없었다. 산업계에서 중요한 보안취약점 발생여부를 대외 공지하고 관련 정보를 일관되게 파악할 수 없었다는 뜻이다. KISA가 CVE번호부여권한인 CNA자격을 취득함에 따라, 국내서 발견된 SW보안취약점에 직접 CVE 악용하는 악성코드나 공격의 확산과 이를 막는 패치 배포 등 전과정을 효율화할 수 있게 됐다.
KISA 측은 "국내 취약점정보 일련번호는 해당 기관에서만 독자적으로 부여해왔기 때문에, 취약점 정보 공지와 공유에 일관된 체계가 부재했다"며 "CVE를 통해 국내는 물론 해외까지 취약점 정보공유에 단일 식별체계를 사용할 수 있는 장점이 있다"고 설명했다. 다만 KISA의 CVE 표준화 작업은 과거 발견돼 해당 기관이 독자적으로 일련번호를 부여한 취약점이 아니라 새로 발견된 취약점 정보를 대상으로 한다.
■ "국내 SW제품 취약점에 CVE 부여…한컴과 시범과제 수행중"
KISA는 CVE 번호 부여 권한을 활용해 '한컴오피스' 개발업체인 한글과컴퓨터와 관련 시범과제를 수행하고 있다. 이에 따라 한글과컴퓨터에서 개발한 SW제품에서 새로 발견된 SW보안취약점에 CVE 번호가 부여될 것으로 보인다. 한글과컴퓨터는 앞서 KISA가 운영해 온 'SW보안취약점 신고포상제' 참여업체 중 한 곳이었다.
KISA는 관련 질의에 "(한글과컴퓨터뿐아니라 다른) SW보안취약점 신고포상제 공동운영사와 CVE 표준화에 관한 협의를 진행하고 있다"면서 "KISA는 CNA 자격을 통해 SW보안취약점 신고포상제 참여기업에서 개발한 제품에 한정하지 않고, 국내 생산 제품의 취약점을 식별하고 CVE 번호를 부여할 계획"이라고 답했다.
하지만 국내 SW보안취약점 정보공유 방식이나 업무환경이 당장 확 뒤바뀌는 건 아니다. 국내 기업이 해외 SW보안 업계처럼 기업 스스로 제품의 취약점정보를 공개하지 않으면 모처럼 확보한 CVE 식별체계도 무용지물이 될 수 있다. 이는 근본적으로 민간의 참여와 인식변화가 함께 이뤄져야하는 부분이다.
KISA의 김도원 취약점분석팀장은 "국내 민간기업들이 대외 이미지나 불이익 때문에 SW보안취약점 정보를 공개하는 것을 꺼리는 경향을 보인다"며 "CVE 표준화 환경에서 SW취약점정보를 적극 공개하고 대처하도록 하는 것이 SW보안문제를 빠르게 해결하고 사용자와 기업 고객의 신뢰성을 높일 수 있는 길이라는 인식이 확산될 필요가 있다"고 설명했다.
■ "민간 CVE 식별체계 활성화 필요…추후 발전 방향 구상"
KISA는 CVE 활성화 이후 장기적인 발전방향도 구상 중이다. 하나는 일반 CNA를 하위 조직으로 두고 더 광범위한 활동을 수행하는 루트CNA 자격을 취득하는 것이다. 또 하나는 범정부차원의 사이버보안 업무 공조 과정에 CVE 번호를 도입하는 것이다.
첫째로 KISA는 이미 침해사고대응이나 취약점정보 관련 분석업무를 위해 경찰청 사이버안전국이나 국가정보원 국가사이버안전센터같은 조직과 공조해 왔다. 그간 이를 위한 소통과정에서 CVE라는 표준화된 식별체계는 쓰이지 않았다.
KISA는 CVE가 활성화될 경우, 경찰청이나 국정원과의 공조절차에도 이를 도입해 업무효율을 높일 수 있을 것으로 기대 중이다. 다만 CNA자격을 취득한지도 얼마 되지 않아, 이같은 협의를 시작하기엔 시기상조라 판단하고 있다. 앞서 지적한대로 민간의 CVE 식별체계 활성화가 먼저라 보고 있다. 이를 위해 SW보안취약점 신고포상제 등 기존 사업을 활용하고, 상급부처인 과학기술정보통신부와도 협의할 예정이다.
관련기사
- 수천만줄 SW 보안결함 클릭 몇번으로 찾아2018.02.20
- 안랩, KISA SW 취약점 신고포상제 참여2018.02.20
- 카카오뱅크, KISA 취약점 신고포상제 참여2018.02.20
- 보안 구멍난 인텔CPU, 예견된 사고였다2018.02.20
둘째로 KISA의 CNA권한은 다양한 CNA 유형 가운데 '국가 및 산업 침해사고대응팀(National and Industry CERTs)'으로 분류된다. 이름처럼 국가 및 산업내 침해사고 대응과 취약점 공개 업무를 수행하는 조직에 주어지는 권한이다. 애플, MS, 구글 등은 각자 개발하는 SW제품의 CVE를 다루는 '벤더 및 프로젝트' 권한을 갖는다. 제로데이이니셔티브(ZDI)같은 프로젝트는 '버그바운티프로그램' 권한으로 분류된다.
KISA는 향후 "국내 민간기업들과 CVE 체계 정착 및 활성화를 위해 협의를 진행한 이후 '루트CNA(Root CNA)' 권한 확보를 추진할 예정"이라고 밝혔다. 일반 CNA는 취약점 정보를 보고, 관리하는 SW제품이나 커뮤니티 대상의 범위가 한정돼 있는데, 이런 CNA를 하위CNA(Sub-CNA)로 둘 수 있는 권한이 루트CNA에 있다. 현재 일본의 침해사고대응팀(JPCERT/CC)이 세계 유일한 루트CNA 권한 보유 조직이다.
