기술 지원
문서
로그인
문의하기
패치에 대한 양가감정이 있으신가요? 모든 증거를 한 곳에서 확인하세요.
2023년 3월 29일 TuxCare 홍보팀
때때로 101가지 원칙을 제대로 지키는 것은 문제를 얼마나 심각하게 받아들이는지, 즉 적절한 수준의 우선순위를 부여하는지에 달려 있습니다. 건강 101을 예로 들면, 패스트푸드를 너무 많이 먹지 말아야 하고 운동을 해야 한다는 것은 알지만 눈앞에 보이는 증거가 없으면 제대로 실천하지 못할 때가 있습니다.
또한 우선 순위의 균형을 맞출 수도 있습니다. 보안을 위해 패치를 적용할 때 어디에 중점을 두어야 하나요? 가용성에 중점을 둘까요, 아니면 보안에 중점을 둘까요?
사이버 보안 취약점에 대한 패치는 사이버 보안의 101가지 항목 중 하나이지만 항상 일관되게 수행되지는 않습니다. 여러분도 패치를 해야 한다는 것을 알고, 저희도 패치를 해야 한다는 것을 알고 있지만, 그럼에도 불구하고 알려진 취약점은 패치되지 않은 채로 남아 있습니다.
TuxCare는 패치 적용이 얼마나 중요한지 잘 알고 있으며 지속적으로 강조하고 있지만, 증거를 살펴보면 패치 적용의 필요성이 더욱 강력해집니다. 이 글에서는 모든 증거를 한 곳에 모았습니다.
숫자 이야기
통계는 우리가 본능적으로 예상하는 것보다 훨씬 더 나쁜 그림을 그릴 수 있으며, 때로는 우리가 어떤 것에 대해 가지고 있는 직감과 대조를 이룰 수 있습니다.
ServiceNow를 위한 Ponemon의 최근 보고서인 오늘날의 취약점 대응 현황. 연구 기간 동안 48%의 기업이 데이터 유출을 경험했으며, 이는 어떻게 보더라도 좋은 소식은 아닙니다.
하지만 정말 놀라운 부분이 있습니다. 보고서에 따르면 다음과 같습니다: "보안 침해를 보고한 응답자의 57%는 패치를 사용할 수 있었지만 적용되지 않은 취약점 때문에 보안 침해를 당했다고 답했습니다. 34%는 침해가 발생하기 전에 취약하다는 사실을 알고 있었다고 답했습니다."
잠시 생각해 보세요.
유명 벤더의 보고서에 따르면 최근 조사 대상 기업의 절반이 해킹을 당했으며, 이 중 대다수가 패치 위생 상태가 좋지 않아 해킹을 당한 것으로 나타났습니다.
이 보고서는 '패치 문제'에 대한 모든 것을 하나의 보고서에 담았습니다.
숫자의 본체
물론 걱정스러운 보고는 한 두 가지가 아닙니다. 실제로 일관된 패치의 필요성을 뒷받침하는 많은 통계가 있으며, 많은 통계가 패치를 수행하지 않았을 때의 결과를 지적하고 있습니다.
예를 들어 Positive Technologies의 연구에서, 의 연구에서 연구원들은 기업의 84%가 외부 네트워크에 고위험 취약점을 가지고 있다는 놀라운 통계를 발견했습니다. 이 보고서는 패치 관리가 제대로 이루어지지 않고 있음을 지적하면서 이러한 취약점의 절반 이상을 업데이트 설치만으로 제거할 수 있다고 밝혔습니다.
패치되지 않은 취약점이라는 주제가 눈에 띄시나요? Positive Technologies의 동일한 보고서에서 이 기관은 26%의 기업이 아직 워너크라이 랜섬웨어가 악용하는 취약점을 패치하지 않아 여전히 취약한 상태라는 사실을 발견했습니다.
여기서 고려해야 할 또 다른 중요한 측면이 있습니다. 취약점은 말 그대로 어디에나 존재한다는 것입니다. 2020년 10월에 발표된 Veracode의 소프트웨어 보안 현황 보고서에 따르면 다음과 같은 사실이 밝혀졌습니다. 애플리케이션의 4분의 3 이상(75.2%)에 보안 결함이 있습니다.. 이 중 24%는 심각도가 높은 결함이 있는 것으로 간주됩니다.
총 취약점 수로 환산하면 얼마나 될까요? 모든 취약점이 목록화되어 있는 것은 아닙니다, 하지만 CVE 세부 정보에 따르면 에 따르면 2023년 3월에 분류된 취약점은 약 198,020개이며, 이 중 19,974개 이상의 취약점은 CVSS 점수가 9.0~10.0으로 매우 중요하다는 것을 나타냅니다.
그리고 여전히... 에 따르면 오토목스에 따르면, "대다수의 CIO와 CISO는 비즈니스 성장에 지장을 주지 않기 위해 보안 패치 적용을 미루고 있다고 답했으며, 25%는 조직이 데이터 보안 법률을 준수하지 않는다고 확신한다고 답했습니다."라고 합니다.
위협 공격자들은 어떻게 대응하고 있나요? 새로운 취약점을 이전보다 훨씬 더 빠르게 이용함으로써.
잘못된 패치 적용과 관련된 인시던트
통계는 걱정스러운 그림을 그려줍니다. 하지만 이는 단지 수치일 뿐... 현실은 그렇게 나쁘지 않을까요? 통계가 실제로 증명하는 증거가 있을까요? 패치되지 않은 취약점으로 인한 사이버 보안 사고가 실제로 발생하고 있을까요? 한번 살펴보겠습니다.
2017년, 세계 최대 신용 보고 기관 중 하나인 Equifax는 사상 최대 규모의 데이터 유출 사고를 겪었습니다. 수억 명의 개인 정보가 노출되었습니다.. 복잡한 침해의 첫 번째 단계는 Apache Struts 프레임워크의 패치되지 않은 취약점으로 인해 발생했습니다.
더 나빴습니다, 기술 인프라의 취약점에 대해 반복적으로 경고를 받았으며 취약성에 대해 반복적으로 경고를 받았으며, Apache Struts 취약성을 비롯한 수많은 다른 IT 취약점도 발견되었습니다. 하지만 에퀴팩스는 이러한 취약점을 패치하지 않았습니다.
보안 패치 미비로 인해 대규모 보안 침해 사고를 겪은 대기업은 에퀴팩스뿐이 아닙니다. 지금은 Marriott의 일부가 된 스타우드 호텔도 같은 일을 겪었습니다. 2014년에는 패치가 적용되지 않은 취약점으로 인해 3억 8,400만 개의 고객 기록이 노출되는 공격을 받았습니다. 이 공격은 최악의 사이버 보안 공격 중 하나.
또한 2017년에 워너크라이가 150개국에서 20만 대 이상의 컴퓨터에 영향을 미쳤습니다. 이 공격은 몇 달 전에 패치가 제공된 취약점을 악용했음에도 불구하고 빠르게 확산될 수 있었습니다. 무엇이 워너크라이를 가능하게 했나요? 간단합니다. 많은 조직이 이터널블루 취약점에 대한 패치를 적용하지 않았기 때문입니다. 워너크라이를 악용하는 위협 공격자들이 자유롭게 활동할 수 있었습니다.
목록은 계속 늘어납니다. 예를 들어 적십자사는 2022년에 해킹으로 50만 명의 취약한 사람들의 개인 정보가 노출되었는데, 이는 조직이 제때 패치를 적용하지 않은 취약점 때문이었다고 밝혔습니다.
이는 크고 작은 기업에 영향을 미치는 리스크입니다. 예를 들어, 영국의 ICO는 소규모 로펌에 다음과 같은 사실을 발견한 후 상당한 액수의 벌금을 부과했습니다. 패치되지 않은 취약점으로 인해 회사가 침해당했다는 사실을 발견한 후 상당한 액수의 벌금을 부과했습니다..
패치되지 않은 취약점으로 인한 공격은 다음과 같이 최악의 상황에서도 발생할 수 있습니다. 뉴욕주의 시스템이 해킹당했습니다. 뉴욕주의 시스템이 해킹당한 것처럼, 패치되지 않은 Citrix 취약점으로 인한 공격은 최악의 상황으로 이어질 수 있습니다.
패치 적용: 권장 및 필수 사항
패치되지 않은 취약점에 대한 통계는 마치 불길한 징조와도 같았는데, 패치되지 않은 취약점이 큰 비용을 초래하는 해킹으로 이어질 것이라는 방향을 가리키고 있었기 때문입니다. 실제로 크고 작은 조직들이 해킹을 당했고, 언론에 공개되거나 언론에 보도될 만큼 뉴스 가치가 있는 사건들만 발생했습니다.
이는 의심할 여지 없이 큰 문제이며 규제 기관이 무언가 조치가 필요하다고 느낀 것은 당연한 일입니다. 그렇기 때문에 전 세계의 사이버 보안 관련 법률과 프레임워크에서 패치에 대한 언급을 찾아볼 수 있습니다.
예를 들어, 의료 기기의 사이버 보안에 대한 빅뱅 이벤트가 발생한 2022년 말 미국 대통령은 의료 기기에 대한 명확한 패치 요건에 법으로 서명했습니다. 입법자 2022년 옴니버스 법안(3,537페이지, 18줄)을 사용하여 을 개정하여 연방 식품, 의약품 및 화장품법 제5장을 개정하여 다른 요건 중에서도 중요한 취약점을 패치하는 데 "가능한 한 빨리"라는 요건을 추가했습니다.
패치가 부족하면 조직이 큰 곤경에 처할 수 있는 또 다른 중요한 표준은 PCI DSS(결제 카드 업계 데이터 보안 표준)입니다. 카드 결제를 허용하는 기업은 안전한 시스템과 네트워크를 유지해야 합니다, 보안 패치에 대한 특정 요구 사항과 함께 에 대한 특정 요구 사항을 준수해야 합니다. 패치를 적용하지 않으면 그 결과에 직면하게 됩니다.
NIST(미국 표준 기술 연구소) 는 패치 관리에 대한 지침(NIST 800-40)을 발표합니다.를 발행하여 정기 패치부터 긴급 패치까지 모든 것에 대한 자세한 사양을 제공합니다.
취약점 수정(패치 포함)은 다른 많은 프레임워크의 핵심 부분입니다. 예를 들어, CISA 는 패치를 FISMA 메트릭의 핵심 부분으로 포함하며에 패치를 포함하며, SOC 2 인증 및 ISO 27001과 같은 표준도 패치에 의존합니다. 그리고 실제로 CIS 컨트롤의 권장 사항.
룩셈부르크의 금융 서비스 규제 기관에서도 2017년 5월에 다음과 같은 구체적인 요구 사항을 발표했습니다. CSSF Circular 17/655가 발표되면서를 발표하여 은행과 투자 회사가 패치 관리와 관련된 통제를 강화하도록 규제 압력을 강화했습니다.
어떻게 생각하시나요? 패치가 중요할까요?
이 통계는 IT 보안 분야의 모든 사람이 이미 알고 있는 사실, 즉 패치가 정말 중요하다는 사실을 입증합니다. 저희가 제공한 인시던트 사례는 이러한 사실을 잘 보여줍니다. 그리고 앞서 설명했듯이 패치 요구 사항이 점점 더 법으로 명시되고 있습니다.
이 증거 자료가 패치의 중요성에 대한 명확한 관점을 제공하기를 바라며, 특히 패치가 중요하다고 생각하지만 그다지 중요하지 않다고 생각하는 조직에 도움이 되기를 바랍니다.
