ClickCease CVE, 저주받은 CVE 및 통계

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

CVE, 저주받은 CVE 및 통계

by 조아오 코레이아

2024년 9월 30일 기술 에반젤리스트

취약성 스캐너가 Linux 시스템에 아무런 문제를 발견하지 못했나요? 그렇다면 중요한 것을 놓치고 있을 가능성이 높습니다. 반대로 갑자기 수백 개의 취약점이 표시된다면 이 역시 과장된 것일 수 있습니다. 규정 준수 보고서가 깨끗하고 문제가 없어 보인다면? 글쎄요, 정확하지 않을 가능성이 높습니다.

 

취약점 스캐너와 데이터 딜레마

 

취약점 스캐너는 사이버 보안 팀의 무기고에서 중요한 도구입니다. 취약점 스캐너의 목적은 알려진 보안 문제에 대해 시스템을 평가하여 가시성을 확보하고 안심할 수 있도록 하는 것입니다. 보안 전문가는 취약점 스캐너를 통해 잠재적인 위협이 실제 문제가 되기 전에 추적하여 조직의 시스템을 안전하게 보호할 수 있습니다(적어도 이론적으로는).

하지만 이러한 스캐너는 마술과는 거리가 멀다. 교육받은 추측을 하거나 직관적으로 취약점을 탐지하지 않습니다. 대신, 알려진 문제의 사전 정의된 목록에 의존하며, 그 품질과 완성도가 결과에 큰 영향을 미칩니다. 그리고 이러한 결과는 스캐너에 입력되는 데이터에 따라 큰 폭으로 변동될 수 있습니다.

 

Linux 커널 CNA와 그 파급 효과

 

올해 사이버 보안 분야에서 주목할 만한 발전은 Linux 커널 CNA(CVE 번호 지정 기관)의 설립입니다. 자세한 내용은 이전 보고서에서 자세히 설명했지만, 요점은 이제 Linux 커널의 모든 버그에 CVE(공통 취약성 및 노출) 식별자가 부여된다는 것입니다. Linux 커널 메일링 리스트를 팔로우하면 매일 얼마나 많은 버그가 보고되는지 금방 알 수 있습니다(계속 팔로우하세요!). 커널에 수백만 줄의 코드가 있다는 점을 감안하면 이는 당연한 일입니다.

이러한 변화로 인해 Linux 시스템에 영향을 미치는 CVE의 수가 크게 증가했습니다. 현재 생성되는 커널 CVE의 엄청난 양은 다양한 커널 버전을 배포하는 배포판이 불과 몇 달 전보다 훨씬 더 많은 CVE의 영향을 받는다는 것을 의미합니다. 실제로 Linux 커널에 영향을 미치는 CVE의 수는 올해 1월에 비해 급증했습니다.

그렇다면 취약점 스캐너는 어떤 영향을 받을까요? 이제 스캐너는 매주 수백 개의 새로운 CVE에 대해 시스템에 플래그를 지정하거나 새로운 CVE를 완전히 무시하는 두 가지 문제가 발생하는 새로운 CVE의 대량 유입과 싸워야 합니다.

 

점수화되지 않은 CVE의 문제

 

여기서 문제가 발생합니다. CVE가 의미를 가지려면 위험 점수가 필요합니다. 하지만 새로운 CVE가 쏟아져 나오면서 국가 취약성 데이터베이스(NVD)조차도 따라잡을 수 없습니다.. 수백 개의 CVE가 위험 점수 없이 공개되고 있습니다. 즉, 누구나 사용할 수 있도록 공개되어 있지만 얼마나 위험한지 판단하는 데 필요한 컨텍스트가 없는 상태입니다.

잠시 멈춰서 이 사실을 생각해 보세요. 점수가 매겨지지 않고 분류되지 않은 수백 개의 공개 취약점이 떠돌아다니고 있습니다. 점수가 없으면 보안팀이 어떤 취약점을 먼저 해결해야 할지 우선순위를 정하기가 매우 어렵습니다.

일부 Linux 배포판에서는 자체적으로 점수를 부여하고 있지만, 이로 인해 사용 중인 공급업체의 배포판에 따라 위험 등급이 크게 달라질 수 있는 파편화된 환경이 조성되고 있습니다. 통합된 점수 시스템이 없기 때문에 어떤 위협이 실제 위협이고 어떤 위협이 상대적으로 무해한지 판단하기가 어렵습니다.

 

스캐너의 수수께끼: 무시할 것인가, 무시하지 않을 것인가?

 

스캐너에 이러한 점수 미부여 CVE가 공급되면 스캐너는 이를 완전히 무시하거나 최악의 상황을 가정하고 달리 입증될 때까지 가장 높은 위험도를 할당하는 두 가지 옵션이 있습니다. 두 옵션 모두 이상적이지 않습니다. 무시하면 잠재적으로 심각한 취약점이 발견되지 않을 수 있습니다. 위험도가 높은 것으로 평가되면 시스템에 압도적으로 많은 수의 오탐이 발생하여 보안 팀이 아무것도 아닌 일로 정신이 없을 수 있습니다.

따라서 취약성 스캐너가 생성하는 통계는 시스템이 안전한 것으로 표시되든 수백 개의 CVE에 취약한 것으로 표시되든 신뢰할 수 있는 평가라기보다는 최선의 추측에 가까운 경우가 많습니다. 동전을 던져도 비슷한 정확도를 얻을 수 있습니다.

 

그렇다면 취약점 스캐너는 쓸모없을까요?

 

전혀 그렇지 않습니다. 취약점 스캐너는 여전히 유용한 데이터를 제공하며 일부 테스트는 효과적입니다. 하지만 오늘날의 환경에서는 이를 유일한 진실의 원천으로 간주하거나 보안에 대한 결정적인 증거로 의존해서는 안 됩니다. 특히 현재 점수화되지 않은 CVE가 급증하고 있는 상황에서는 그 결과를 신중하게 받아들여야 합니다.

 

해결책이 있나요?

 

단기적으로는 CVE 생성 속도가 느려지거나 취약점 점수를 매기는 더 효율적인 방법이 개발되기 전까지는 불가능합니다. 잠재적인 개선 방안은 OVAL(개방형 취약성 및 평가 언어) 정의를 사용하는 것입니다. OVAL 파일은 시스템에서 취약점을 검사하는 방식을 표준화하여 정확도를 향상시킬 수 있는 큐레이션 수준을 도입하는 데 도움이 됩니다.

그러나 OVAL 파일도 CVE 점수 프로세스의 영향을 받기 때문에 여전히 동일한 결함이 있는 데이터 소스의 다운스트림에 해당합니다. OVAL 정의를 사용하는 취약점 스캐너는 더 신뢰할 수 있지만, 일관되지 않거나 불완전한 점수 부여라는 광범위한 문제에서 자유롭지 못합니다.

한 가지 잠재적인 완화 전략은 여러 취약성 스캐너를 사용하여 위험 점수를 평균화하는 것입니다. 이 접근 방식이 완벽하지는 않지만 통계적 노이즈를 제거하여 정확한 평가에 가까워지는 데 도움이 될 수 있습니다. 현재로서는 확실한 해결책은 없으며 다양한 정도의 문제가 있을 뿐입니다.

 

요약
CVE, 저주받은 CVE 및 통계
기사 이름
CVE, 저주받은 CVE 및 통계
설명
CVE 스캐너에서 Linux 시스템에 아무런 문제가 발견되지 않나요? 그렇다면 중요한 것을 놓치고 있을 가능성이 높습니다. 여기에서 자세히 알아보기
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!