중요한 CISA 지침은 무엇을 의미하며 어떻게 대응해야 하나요?

현실을 직시하세요. 누구나 충분히 겪어봤을 것입니다. 익스플로잇은 도처에 널려 있으며, 완벽한 수준으로 문제를 처리하는 것은 거의 불가능합니다.

일부 조직은 취약점의 영향을 최소화하기 위해 최첨단 취약점 관리 솔루션을 배포하고 실시간 패치를 적용하는 등 꾸준히 노력하지만, 많은 조직이 어려움을 겪고 있으며 일부 조직은 전혀 노력하지 않습니다.

이러한 조치의 부족은 악의적인 공격자들에게 기회를 제공하고, 사이버보안 및 인프라 보안국(CISA)은 성공적인 익스플로잇을 너무 많이 목격하여 선을 그어야 한다고 느꼈고, 권한이 있는 기관에 조치를 취하도록 강요했습니다.

그렇기 때문에 11월 3일, CISA는 민간 연방 기관이 일반적으로 공격 성공으로 이어지는 306개의 중요한 취약점을 해결하도록 하는 새로운 지침을 발표했습니다.

CISA란 누구이며 CISA 지침이란 무엇인가요?

사이버보안 및 인프라 보안국은 미국 연방 정부 기관이 직면한 사이버 보안 위험을 감독하고 관리하기 위해 미국 국토안보부 감독 하에 설립된 연방 기관입니다.

CISA는 오늘날의 중요한 사이버 보안 주제를 다루는 구속력 있는 지침을 발행하며, 연방 기관은 이러한 지침에 대응해야 합니다. 즉, CISA가 지침을 발표하면 수많은 정부 기관은 취약점을 수정하는 등의 조치를 취할 의무가 있습니다.

또한 CISA에서 지침을 발행하면 해당 시스템이 기관에서 호스팅하든 타사 공급업체에서 제공하든 관계없이 연방 정보 시스템에 사용되는 모든 영향을 받는 소프트웨어 및 하드웨어에 적용되므로 CISA 지침의 묵시적 범위가 넓어진다는 점도 주목할 필요가 있습니다.

최신 CISA 지침은 무엇을 말하나요?

이 글의 서두에서 언급했듯이, 복잡한 사이버 보안 환경의 결과에 모두가 지쳐가고 있습니다. 그리고 무대책의 결과는 매일 커지고 있습니다. 그렇기 때문에 CISA는 최근 지침에서 연방 기관이 특정 기한 내에 해결해야 하는 306개의 취약점 목록을 발표했습니다.

CISA는 특정 취약점이 사이버 공격 성공의 상당 부분을 차지한다는 사실을 발견하여 이 목록을 발표했습니다. 연방 기관이 이러한 취약점을 개선하여 정부 기관에 대한 사이버 공격 성공 건수를 전반적으로 크게 줄이도록 하자는 취지입니다.

이 지침에는 이 글의 범위를 벗어나는 다양한 검증 및 보고 요건도 포함되어 있지만, CISA가 당면한 문제를 얼마나 심각하게 받아들이고 있는지를 알 수 있습니다. 최근의 CISA 지침은 가장 위험한 익스플로잇을 해결함으로써 불완전한 상황을 최대한 개선하기 위한 노력입니다.

CISA 지침에 포함된 취약점 예시

이제 CISA 지침이 무엇인지 알았으니 어떤 취약점이 포함되는지, 왜 중요한지 살펴보겠습니다. 여기에는 서버 인프라(예: Linux 및 Apache)에서부터 Microsoft 및 SAP의 애플리케이션에 이르기까지 광범위한 취약점이 포함되며, 심지어 널리 사용되는 두 모바일 운영 체제의 취약점도 포함됩니다. Sophos, SonicWall, Trend Micro의 보안 도구에 대한 내용도 포함되어 있어 그 사이의 모든 것을 다룹니다.

예를 들어, 상업 및 정부 기업 모두에서 사용하는 인기 있는 협업 도구인 Atlassian Confluence의 위젯 커넥터 매크로 취약성을 살펴보겠습니다. 이 취약점을 통해 공격자는 서버 측 템플릿 인젝션을 활용하여 원격 코드 실행 및 경로 횡단 공격을 원격으로 수행할 수 있습니다.

또 다른 예는 널리 사용되는 apache HTTP 서버와 관련된 것으로, 여러 apache 릴리스 2.4 버전에 스코어보드 취약점이 포함되어 있습니다. 공격자는 권한이 낮은 하위 프로세스에서 코드를 실행하고 임의 코드 실행을 전체 시스템 권한이 있는 상위 프로세스로 에스컬레이션할 수 있습니다. 이 Apache 취약점은 다음과 같이 나열됩니다. CVE-2019-0211 로 등록되어 있으며, 야생에서 일반적으로 사용되는 위험한 익스플로잇이기 때문에 CISA는 이 취약점을 목록에 포함시켰습니다.

이는 CISA 지침에서 다루는 취약점의 범위가 얼마나 광범위한지 보여주며, 사이버 보안 위협이 얼마나 광범위하게 퍼져 있는지 보여줍니다. 위협은 도처에 숨어 있으며 이러한 위협을 포괄적으로 관리하는 것은 의심할 여지없이 어려운 일입니다.

잠깐만요, CISA가 우리와 무슨 관련이 있나요?

CISA 지침은 미국 전역의 연방 기관을 대상으로 합니다. 미국 정부의 지침이 다른 나라에 있는 기업은 말할 것도 없고 영리 기업과 무슨 관련이 있는지 궁금하실 수도 있습니다.

CISA의 최신 지침은 미국 연방 정부 외부의 조직에 대한 권한은 없지만, 몇 가지 가치 있는 교훈을 제공합니다.

먼저 CISA는 사이버 보안 사고에 대한 데이터를 수집하여 가장 일반적으로 피해를 유발하는 취약점을 나열했습니다. 조직은 이 목록(계속 변경될 수 있음)을 모니터링하여 요약본에 나열된 애플리케이션, 서비스 또는 디바이스에 의존하고 있는지 확인해야 합니다. 해당 사항이 있다면 최대한 빨리 패치를 적용하거나 대체 솔루션으로 전환하는 것을 고려하세요. 한 가지 중요한 점은 CISA에서 제공한 설명에 따르면 이러한 취약점은 현재 악용되고 있는 것으로 알려진 취약점이기 때문에 언젠가 악용될 수 있는 취약점을 패치하는 것 이상의 의미가 있으며, 이러한 버그는 현재 활발히 악용되고 있다는 것입니다.

하지만 더 큰 문제가 있습니다. 이 글의 서두에서 지적했듯이 취약점과 이와 관련된 사이버 공격은 너무 널리 퍼져 있어 모두가 지쳐가고 있습니다. 완화는 효과가 있지만 어느 정도까지만 가능합니다.

CISA가 만든 이 표적 목록은 가장 해로운 취약점에 대한 관심을 끌기 위한 시도이지만, 암시적으로 일반적인 취약점 관리 노력만으로는 충분하지 않다는 것을 인정하는 것입니다. 무언가 변화가 필요합니다.

기존 전략은 도전적입니다.

따라서 CISA 지침에 첨부된 목록은 중요하고 즉각적인 수정을 가리키지만, 이는 불완전한 위험 관리 전략으로 인해 존재할 뿐입니다. 더 구체적으로 말하자면, 일반적인 패치 체계가 얼마나 불완전한지 보여줍니다. CISA 목록에 있는 취약점 중 상당수는 간단한 패치로 쉽게 해결할 수 있습니다.

CISA 목록은 지속적인 취약성 평가 및 패치의 대안이 아니라 사이버 보안 위험 전략이 완벽하지 않다는 사실에 대한 대응책일 뿐입니다. 근본적인 메시지는 조직이 사이버 보안 위험 관리를 강화해야 한다는 것이며, 이는 CISA의 적용을 받든 받지 않든 마찬가지입니다.

물론 시간과 리소스가 제한되어 있을 뿐만 아니라 완화 전략의 실질적인 의미도 고려해야 하기 때문에 그렇게 하는 것은 간단하지 않습니다. 예를 들어 패치를 살펴보겠습니다. 패치가 중요하다는 것은 누구나 알고 있지만 실제로는 패치를 소홀히 하는 경우가 많습니다. 패치가 무시되는 이유는 시스템 관리자가 패치를 철저하게 수행할 시간이 없기 때문이며, 패치가 중단되어 다운타임이 발생하여 이해관계자를 실망시킬 수 있기 때문입니다.

재정적으로 압박을 받는 정부 부처의 경우 예산과 자원이 부족할 수 있고 최종적인 책임이 있는 사람이 없을 수도 있습니다. 하지만 이는 민간 기업도 마찬가지입니다.

패치 관리 개선이 시작입니다.

패치를 수행할 리소스가 있더라도 관련 중단으로 인해 문제가 발생할 수 있습니다. 광범위한 계획에 의존하는 것이 도움이 될 수 있으며, 부하가 분산된 이중화 시스템도 패치로 인한 영향을 최소화하는 데 도움이 될 수 있습니다. 하지만 최선의 노력에도 불구하고 패치는 여전히 불완전하며 공격자에게 기회를 제공합니다.

다행히도 최첨단 기술은 어려운 상황에서 벗어날 수 있도록 도와주는 습관이 있습니다. 패치를 적용할 때도 마찬가지입니다. 시스템 관리자는 라이브 패치가라는 기능 덕분에 서비스를 다시 시작할 필요 없이 중요한 서비스에 패치가 적용되도록 할 수 있습니다.

라이브 패치는 일반적으로 사용되는 중요 서비스를 즉시 패치하는 간단하고 자동화된 방법입니다. 라이브 패치는 패치에 소요되는 시간을 줄여주므로 시스템 관리자는 패치를 더욱 철저하게 수행하면서 다른 긴급한 작업에 시간을 할애할 수 있습니다.

운영 중단을 제한하고 보안을 강화하세요

그러나 가장 중요한 것은 라이브 패치를 통해 업무 중단이 발생하지 않는다는 점입니다. 즉, 라이브 패치 덕분에 기술 팀은 서비스를 일시 중지하거나 유지 보수 기간을 계획하거나 이해 관계자의 협조를 조정할 필요 없이 일관되고 효율적으로 패치를 수행할 수 있습니다. 즉, 패치에 방해가 되는 요소가 줄어듭니다.

패치가 릴리스되는 속도만큼 빠르게 패치를 적용하면 공격자가 공격할 수 있는 기회를 최소화할 수 있다는 점에서 패치를 지속적으로 적용하는 것의 이점은 누구나 잘 알고 있습니다. 패치가 릴리스되는 속도보다 더 빠르게 패치를 적용할 수는 없으며 제로데이와 패치 릴리스 사이에는 항상 공백이 존재합니다.

그러나 공격자가 취약점을 탐색하고 공격 대상을 찾는 데는 시간이 걸리며, 일반적으로 패치는 대부분의 공격자를 막을 수 있을 만큼 빠르게 배포됩니다. 패치 적용 시기를 놓치면 공격의 기회가 더 커집니다. 하지만 패치가 출시되는 즉시 패치를 적용하면 기회의 창이 최소화됩니다.

CISA 지침의 핵심 교훈

패치를 비롯한 기타 사이버 보안 완화 방법은 일관성 있게 적용되지 않습니다. 이로 인해 공격자들은 악의적인 공격자들이 공격을 감행할 수 있는 넓은, 때로는 무한한 기회의 창을 갖게 됩니다. 그렇기 때문에 CISA는 연방 기관이 패치를 적용하지 않고 있다는 것을 알고 있는 자주 공격당하는 취약점 목록이 포함된 지침을 발표해야겠다고 생각했습니다.

물론 교훈은 패치가 개선되어야 하며 다른 사이버 보안 조치도 마찬가지로 개선되어야 한다는 것입니다. CISA나 다른 누구도 해결해야 할 패치에 대한 알림을 게시할 필요가 없어야 합니다.

불완전한 패치로 인해 실제로는 미국 연방 기관에서 지침을 내려야 할 정도로 상황이 심각해졌습니다. 해답은 무엇일까요? 더 나은 패치 관리와 전반적인 보안 관리입니다. 다행히도 필요한 도구가 서서히 등장하고 있으며, 패치에 관해서는 실시간 패치가 가장 빠르며 이보다 더 빠르게 시스템을 패치할 수 있는 방법은 없습니다.