그동안 겪은 보안에 대해 느낀 생각을 풀어내려고 합니다.
Mythos Shock
반년동안 가장 핵심인 키워드를 꼽자면 바로 Mythos Shock를 말할 수 있을꺼 같습니다.
엔트로픽에서 개발한 고성능 보안 특화 AI 모델(Mythos)이 스스로 제로데이 취약점을 찾아내고, exploit 가능하게 만들어 보안 업계가 비상이 걸렸습니다.
이에 금융위에서 미토스 쇼크에 대처하기 위해 망분리 규제를 완화를 하기 위해 우선 1차 테스트로 10개의 회사를 선정하여 보안 목적의 AI & SaaS를 활용할 수 있도록 하고 금융감독원은 비조치의견서를 발급 했습니다.
취약점은 항상 존재했다.
오펜시브 업무를 하는 입장에서는 과거에도 취약점은 항상 존재했고, 기술이 발전한 지금도 역시 취약점은 존재합니다.
다만 AI 발전으로 인해 발견되는 취약점이 과거에 비해 급속도로 증가했고, 앞으로 더 많아지고 빨라질 것으로 예상합니다.
이에 맞춰 망분리 규제 완화를 하려는 움직임은 좋은 방향이라고 생각합니다.
다만 AI & SaaS를 허용한다고 그동안의 문제가 해결될 수 있을까 라는 질문에 대한 답은 NO라고 생각합니다.
그동안 대부분의 기업들은 자사 시스템의 취약점을 찾고 분석하고 패치하는 사이클을 반복해 왔습니다.
그럼에도 불구하고 사고는 발생하고 뉴스를 보면 개인정보 유출되었다는 뉴스를 마주칩니다.
해킹 사고 원인을 보면 많은 이유가 있겠지만 패치 미흡에 대해서 얘기하고자 합니다.
이중 패치 미흡에 대해서 얘기하고자 합니다.
패치는 왜 어려울까?
취약점에 대한 근본적인 대응 방안은 취약한 시스템을 즉시 패치하는 것입니다.
패치가 어려운 이유에 대해서 이전 글에서 언급했습니다.
AI로 인해 발견되는 취약점이 빨라진만큼 패치하는 사이클이 빨라져야합니다.
여러 이유로 패치가 되지 않으면 지금 당장은 큰 문제는 없을지라도 피해가 생겼을 때 더 큰 피해를 야기할 수 있는 주된 이유가 될 것입니다.
CISA의 BOD 26-04
CISA에서는 BOD 26-04 지침을 업데이트 했습니다.
위험도에 기반한 보안 업데이트 우선순위 지정을 위한 구현 지침으로 신속한 취약점 대응 조치를 실행하기 위한 단계를 분류합니다.
조치 우선순위를 지정하기 위해서 4개의 요소를 조합합니다.
- Exposure : 자산이 공개적으로 노출되어 있는가?
- KEV : CVE 취약점이 KEV에 등재된 취약점인가?
- Automatable : 공격자가 해당 취약점을 악용하는데 필요한 모든 단계를 자동화할 수 있는가?
- Technical Impact : 공격자가 취약점을 악용한 후 취약한 자산에 대한 부분적 또는 완전한 제어권을 획득 가능한가?
여기서 말하는 용어를 정리하면 다음과 같습니다.
- 자산 : 정보 시스템을 구성하는 하드웨어 또는 소프트웨어 항목
- 공개적으로 노출됨 : 인터넷과 같은 공용 네트워크를 통해 인증되지 않았거나 신뢰할 수 없는 주체가 접근할 수 있는 기관 소유 또는 관리 IT 자원
- 부분적 제어 : 소프트웨어의 동작에 대한 제한적인 제어 권한을 갖거나 해당 동작에 대한 정보를 노출할 수 있는 경우, 또는 공격자가 완전한 제어 권한을 획득할 확률이 낮은 경우
- 공격자는 소프트웨어의 동작을 완전히 제어할 수 있는 경우
이를 통해 위험도에 따라 3일 이내 조치 + 포렌식 부터 다음 업그레이드 시 조치까지 차등을 두었습니다.
단순 CVSS 점수로 평가하는 체계가 아닌 위험도에 따른 리스크 관리를 하겠다라고 보여집니다.
Conclusion
패치가 점점 중요해지는 시기가 오는데 (원래도 중요했지만), 프로세스가 잡혀있지 않으면 앞으로는 더 힘들어지지 않을까 생각합니다.
그나저나 크리티컬한 취약점이 나오면 3일이내 조치 및 포렌식도 해야되는게 피로도가 상당할 꺼 같네요.