중요한 CISA 지침의 의미는 무엇이며 어떻게 대응해야 하나요?

현실을 직시하세요. 누구나 충분히 겪어봤을 것입니다. 익스플로잇은 도처에 널려 있으며, 완벽한 수준으로 문제를 해결하는 것은 거의 불가능합니다.

일부 조직은 취약점의 영향을 최소화하기 위해 최첨단 취약점 관리 솔루션을 배포하고 실시간 패치를 적용하는 등 꾸준히 노력하지만, 많은 조직이 어려움을 겪고 있으며 일부 조직은 전혀 노력하지 않고 있습니다.

이러한 조치의 부족은 악의적인 공격자들에게 기회를 제공하며, 사이버 보안 및 인프라 보안국(CISA)은 성공적인 익스플로잇을 너무 많이 목격하여 선을 그어야 한다고 느꼈고, 권한이 있는 기관에 조치를 취하도록 강요했습니다.

그렇기 때문에 11월 3일, CISA는 민간 연방 기관이 공격 성공으로 이어지는 306개의 중요한 취약점을 해결하도록 강제하는 새로운 지침을 발표했습니다.

CISA란 누구이며 CISA 지침이란 무엇인가요?

사이버 보안 및 인프라 보안 기관은 미국 연방 정부 기관이 직면한 사이버 보안 위험을 감독하고 관리하기 위해 미국 국토안보부 감독 하에 설립된 연방 기관입니다.

CISA는 그날의 중요한 사이버 보안 주제를 다루는 구속력 있는 지침을 발행하며, 연방 기관은 이러한 지침에 따라야 합니다. 즉, CISA가 지침을 발행하면 수많은 정부 기관은 취약점을 수정하는 등의 조치를 취해야 할 의무가 있습니다.

또한 CISA에서 지침을 발행하면 해당 시스템이 기관에서 호스팅하든 타사 공급업체에서 제공하든 연방 정보 시스템에 사용되는 모든 소프트웨어 및 하드웨어에 적용되므로 CISA 지침의 묵시적 범위가 넓어진다는 점도 주목할 필요가 있습니다.

최신 CISA 지침은 무엇을 말하나요?

이 글의 서두에서 언급했듯이, 복잡한 사이버 보안 환경의 결과에 모두가 지쳐가고 있습니다. 그리고 무대책의 결과는 매일 커지고 있습니다. 그렇기 때문에 CISA는 최근 지침에서 연방 기관이 특정 기한 내에 수정해야 하는 306개의 취약점 목록을 발표했습니다.

CISA가 이 목록을 발표한 이유는 특정 취약점들이 사이버 공격 성공의 상당 부분을 차지한다는 사실을 발견했기 때문입니다. 연방 기관이 이러한 취약점을 개선하여 정부 기관에 대한 전체 사이버 공격 성공 건수를 크게 줄이도록 하려는 의도였습니다.

이 지침에는 이 글의 범위를 벗어나는 다양한 검증 및 보고 요건도 포함되어 있지만, CISA가 당면한 문제를 얼마나 심각하게 받아들이고 있는지 알 수 있습니다. 최근의 CISA 지침은 가장 위험한 익스플로잇을 해결함으로써 불완전한 상황을 최대한 개선하려는 노력의 일환입니다.

CISA 지침에 포함된 취약점 예시

이제 CISA 지침이 무엇인지 알았으니 어떤 취약점이 포함되는지, 그리고 왜 중요한지 살펴봅시다. 여기에는 서버 인프라(예: Linux 및 Apache)에서부터 Microsoft 및 SAP의 애플리케이션에 이르기까지 광범위한 취약점이 포함되며, 심지어 널리 사용되는 모바일 운영 체제의 취약점도 포함됩니다. Sophos, SonicWall, Trend Micro의 보안 도구에 대한 목록도 포함되어 있어 그 사이의 모든 것도 다룹니다.

예를 들어, 상업 및 정부 기업 모두에서 널리 사용되는 협업 도구인 Atlassian Confluence의 위젯 커넥터 매크로 취약점을 살펴보세요. 이 취약점을 통해 공격자는 서버 측 템플릿 인젝션을 활용하여 원격 코드 실행 및 경로 가로지르기 공격을 원격으로 수행할 수 있습니다.

또 다른 예는 널리 사용되는 Apache HTTP 서버와 관련된 것으로, 여러 Apache 릴리스 2.4 버전에 스코어보드 취약점이 포함되어 있습니다. 공격자는 권한이 낮은 하위 프로세스에서 코드를 실행하고 임의의 코드 실행을 전체 시스템 권한이 있는 상위 프로세스로 에스컬레이션할 수 있습니다. 이 Apache 취약점은 다음과 같이 나열됩니다. CVE-2019-0211 로 등록되어 있으며, 야생에서 일반적으로 사용되는 위험한 익스플로잇이기 때문에 CISA가 목록에 포함시켰습니다.

이는 CISA 지침에서 다루는 취약점의 범위가 얼마나 광범위한지 보여주며, 사이버 보안 위협이 얼마나 광범위한지, 즉 위협이 도처에 숨어 있으며 이러한 위협을 포괄적으로 관리하는 것은 의심할 여지없이 어려운 일이라는 것을 보여줍니다.

잠깐만요, CISA가 우리와 무슨 관련이 있나요?

CISA 지침은 미국 전역의 연방 기관을 대상으로 합니다. 미국 정부의 지침이 다른 나라에 있는 기업은 말할 것도 없고 영리 기업과 무슨 관련이 있는지 궁금하실 수도 있습니다.

CISA의 최신 지침이 미국 연방 정부 외부의 조직에 대한 권한은 없지만, 몇 가지 가치 있는 교훈을 제공합니다.

먼저, CISA는 사이버 보안 사고에 대한 데이터를 수집하여 가장 일반적으로 피해를 유발하는 취약점을 나열했습니다. 조직은 이 목록(계속 변경될 수 있음)을 모니터링하여 이 요약본에 나열된 애플리케이션, 서비스 또는 디바이스에 의존하고 있는지 확인해야 합니다. 해당되는 경우 가능한 한 빨리 패치를 적용하거나 대체 솔루션으로 전환하는 것을 고려하세요. CISA에서 제공한 설명에 따르면 이러한 취약점은 현재 악용되고 있는 것으로 알려진 취약점이므로 언젠가 악용될 수 있는 것을 패치하는 것이 아니라 현재 악용되고 있는 버그를 패치하는 것이 중요하다는 점을 지적하는 것이 중요합니다.

하지만 더 큰 문제가 있습니다. 이 글의 서두에서 지적했듯이 취약점과 이와 관련된 사이버 공격은 너무 널리 퍼져 있어 모두가 지쳐가고 있습니다. 완화는 효과가 있지만 어느 정도까지만 가능합니다.

CISA가 만든 이 표적 목록은 가장 해로운 취약점에 대한 관심을 끌기 위한 시도이지만, 암시적으로 일반적인 취약점 관리 노력만으로는 충분하지 않다는 것을 인정하는 것입니다. 무언가 변화가 필요합니다.

기존 전략은 도전적입니다.

따라서 CISA 지침에 첨부된 목록은 중요하고 즉각적인 수정을 가리키지만, 이는 불완전한 위험 관리 전략 때문에 존재할 뿐입니다. 더 구체적으로 말하자면, 이는 일반적인 패치 체계가 얼마나 불완전한지를 보여줍니다. CISA 목록에 있는 많은 취약점은 결국 간단한 패치로 쉽게 해결할 수 있습니다.

CISA 목록은 지속적인 취약성 평가와 패치를 대체하는 것이 아니라 사이버 보안 위험 전략이 완벽하지 않다는 사실에 대한 대응책일 뿐입니다. 근본적인 메시지는 조직이 사이버 보안 위험 관리를 강화해야 한다는 것이며, 이는 CISA의 적용을 받든 받지 않든 마찬가지입니다.

물론 제한된 시간과 리소스, 그리고 완화 전략의 실질적인 의미로 인해 그렇게 하는 것은 간단하지 않습니다. 예를 들어 패치를 살펴보세요. 패치가 중요하다는 것은 누구나 알고 있지만 실제로는 패치를 소홀히 하는 경우가 많습니다. 패치가 무시되는 이유는 시스템 관리자가 패치를 철저히 수행할 시간이 없기 때문이며, 패치가 중단되어 다운타임이 발생하여 이해 관계자를 실망시킬 수 있기 때문입니다.

재정적으로 압박을 받는 정부 부처의 경우 예산과 자원이 부족할 수 있고 최종 책임자가 없을 수도 있습니다. 하지만 이는 민간 조직에서도 마찬가지입니다.

패치 관리 개선은 시작입니다

패치는 난제입니다. 패치를 수행할 리소스가 있더라도 관련 중단으로 인해 문제가 발생할 수 있습니다. 광범위한 계획에 의존하는 것이 도움이 될 수 있으며, 부하가 분산된 이중화 시스템도 패치의 영향을 최소화하는 데 도움이 될 수 있습니다. 그러나 최선의 노력에도 불구하고 패치는 여전히 불완전하며 공격자에게 기회를 제공합니다.

다행히도 최첨단 기술은 어려운 상황에서 벗어나는 습관이 있습니다. 패치의 경우에도 마찬가지입니다. 시스템 관리자는 라이브 패칭이라는 기능 덕분에 서비스를 다시 시작할 필요 없이 중요한 서비스에 패치가 적용되도록 할 수 있습니다.

라이브 패칭은 일반적으로 사용되는 중요 서비스를 즉시 패치하는 간단하고 자동화된 방법입니다. 실시간 패치는 패치에 소요되는 시간을 줄여주므로 시스템 관리자는 보다 철저하게 패치를 적용하는 동시에 다른 긴급한 작업에 시간을 할애할 수 있습니다.

운영 중단을 제한하고 보안을 강화하세요

그러나 가장 중요한 것은 실시간 패치를 통해 운영 중단을 방지할 수 있다는 점입니다. 즉, 라이브 패치 덕분에 기술팀은 서비스를 일시 중지하거나 유지 관리 기간을 계획하거나 이해 관계자의 협조를 조정할 필요 없이 패치가 일관되고 효율적으로 이루어지도록 할 수 있습니다. 즉, 패치에 방해가 되는 요소가 줄어듭니다.

패치가 릴리스되는 속도만큼 빠르게 패치가 적용되면 공격자의 공격 기회를 최소화할 수 있다는 점에서 일관된 패치 적용의 이점은 누구나 잘 알고 있습니다. 패치가 릴리스되는 속도보다 더 빠르게 패치를 적용할 수는 없으며, 제로데이와 패치 릴리스 사이에는 항상 공백이 존재합니다.

그러나 공격자가 취약점을 탐색하고 공격 대상을 찾는 데는 시간이 걸리며, 일반적으로 패치는 대부분의 공격자를 막을 수 있을 만큼 빠르게 배포됩니다. 패치 적용 시기를 놓치면 공격의 기회가 더 커집니다. 하지만 패치가 출시되는 즉시 적용하면 기회의 창이 최소화됩니다.

CISA 지침의 핵심 교훈

패치를 비롯한 기타 사이버 보안 완화 방법은 일관성 있게 적용되지 않습니다. 이로 인해 악의적인 공격자들이 공격할 수 있는 기회가 넓게, 때로는 무한정 주어집니다. CISA가 지침을 발표하게 된 동기는 바로 이 때문입니다. CISA 목록에는 연방 기관이 패치를 적용하지 않고 있는 것으로 알려진 공격이 자주 발생하는 취약점이 포함되어 있습니다.

물론 교훈은 패치가 개선되어야 하며 다른 사이버 보안 조치도 마찬가지로 개선되어야 한다는 것입니다. CISA나 다른 누구도 해결해야 할 패치에 대한 알림을 게시할 필요가 없어야 합니다.

불완전한 패치가 실제로는 너무 심각해서 미국 연방 기관에서 지침을 내려야 하는 상황입니다. 해답은 무엇일까요? 더 나은 패치 관리와 전반적인 보안 관리입니다. 다행히도 필요한 도구가 서서히 등장하고 있으며, 패치에 있어서는 실시간 패치가 가장 빠른 방법이며 이보다 더 빠르게 시스템을 패치할 수 있는 방법은 없습니다.