작성일 : 15-04-15 12:25
[뉴스] 보안 취약점, 2015년 부터 새 이름 얻을 예정
 글쓴이 : 더모아넷
조회 : 1,324  추천 : 0  
현재의 CVE 네이밍 체계로는 취약점 전부 수용하기에 부족
미리 취약점 관련 툴 및 소프트웨어의 코딩 상태 점검 필요

매년 발견되는 취약점이 점점 늘어남에 따라 관리 체제를 다시 정립해야 할 필요가 생겼고, 일이 이루어지고 있다. 바로 지금까지 활용되고 있는 CVE 네이밍 체계다.

CVE를 관리하는 비영리 조직 MITRE는 아직 이에 대한 산업계 인지도가 낮은 편이라며 정보 보안 수석 엔지니어인 스티브 크리스티 콜리(Steve Christey Coley)를 통해 성명을 발표했다. “소비자들과 판매자들 모두 이 취약점 네이밍 방식이 바뀐다는 걸 모르고 있습니다. 현재 CVE 꼬리표가 붙은 취약점은 빠르게 늘고 있고 현재의 CVE 네이밍으로는 다 수용할 수 없는 지경에까지 와있습니다.

보안 업계에서는 이런 변화의 필요성에 동의하고 있다. 또한 이를 1월까지 실제 업무에 적용하는 것이 그다지 까다로운 일이 아니라는 것에도 고개를 끄덕인다. “시대가 변했다는 걸 상징하는 사건입니다. 이제는 한해 취약점이 일만 개를 돌파하는 시점에 왔다는 것이죠. 그걸 MITRE가 빠르게 인지하고 변화를 시도하고 있는 것입니다. 이 다음에 나올 네이밍 체제는 무한대의 취약점을 수용할 수 있는 것이어야 하겠습니다.”

결국 실제 변화는 ‘세부사항’에서 발생하기 마련입니다.  “현재 CVE 네이밍 자릿수에 딱 맞게 코딩을 한 상태라면 아마 이번 변화가 달갑지 않을 것입니다. 지금부터 준비를 조금씩이라도 해나가야 할 것입니다.”

그래서 사실 보안담당자들이 지금 제일 먼저 해야 할 일은 시스템 내 코딩을 면밀하게 검토하는 것이다. “취약점 감지 및 관리 툴, GRC 시스템, 패치 관리, 보안 정보 플랫폼 등 현재의 CVE 네이밍 체제가 적용되는 곳이 새로운 포맷을 지원하는지 알아보라는 것이죠.” 또한 조직 및 회사 차원에서도 시스템 점검에 심혈을 기울여야 한다.

“아마 유명하거나 대중적인 취약점 관련 툴을 사용했다면 큰 준비가 필요 없을 것입니다. 그 툴을 만든 업체에서 이미 한창 업데이트를 준비 중일 테니까요. 다만 회사 내에서 독자적으로 이런 툴을 만들어 운영했다면 일이 좀 커질지도 모르겠습니다.” 팔로알토 네트웍스의 라이언 올슨(Ryan Olson)이 경고한다. 콜리는 “MITRE에서 기술 안내문을 발행했으니 참고하면 도움이 될 것”이라고 팁을 주었다. 안내문은 CVE 홈피( https://cve.mitre.org/cve/identifiers/syntaxchange.html )확인이 가능하다
게시글을 twitter로 보내기 게시글을 facebook으로 보내기 게시글을 Me2Day로 보내기 게시글을 요즘으로 보내기 게시글을 구글로 북마크 하기 게시글을 네이버로 북마크 하기