화상 회의 앱 줌이 새로운 취약점 평가 시스템을 고안했다. VISS라고 하는데, 기존 평가 시스템을 완전히 대체하는 것은 아니다. 다만 한 가지 면에서 새로운 바람을 불어넣기는 했다.

[보안뉴스=로버트 레모스 IT 칼럼니스트] 화상 회의 전문 앱인 줌(Zoom)이 버그바운티 프로그램을 진행하며 한 가지 느낀 게 있었는데, 제보가 들어온 취약점들의 심각성을 적절히 표현할 수단이 없다는 것이었다. 가장 널리 사용되는 CVSS의 경우 너무나 주관적인 요소가 많이 반영되었고, EPSS는 익스플로잇 가능성과 확률에 지나치게 집착하는 느낌이 강했다.

​

[이미지 = gettyimagesbank]

그래서 줌은 자신들만의 단위를 만들기로 결정했다. 그렇게 탄생한 것이 VISS라는 것이다. 줌은 자사 사이트를 통해 이 새로운 취약점 평가 방법의 사양과 점수 계산 솔루션을 공개하고 있기도 하다. 취약점이 가진 잠재적 리스크를 취약점 전문가들과 줌이 똑같은 방식으로 계산함으로써 공정한 상금을 수여할 수 있게 되었다고 줌의 보안 책임자 로이 데이비스(Roy Davis)는 설명한다.

“VISS를 개발할 때, 주관성이 하나도 개입하지 못하도록 했고, 모든 가능성들을 수치로 변환하여 계산하는 데 주안점을 뒀습니다. 현재는 버그바운티 프로그램 진행 시 취약점을 제보한 외부 전문가들에게 얼만큼의 상금을 줘야 하는지 계산하는 데 주로 사용되고 있습니다. 즉 VISS에 취약점을 대입하면 ‘얼마짜리 취약점’이라는 결과가 나온다는 겁니다.”

그렇다고 널리 사용되는 CVSS가 무용지물이라고 생각하는 건 아니라고 데이비스는 강조한다. “여전히 내부적으로는 취약점을 연구 분석할 때 CVSS 점수를 사용합니다. 외부적으로 발표하는 취약점 및 보안 권고문에도 CVSS 점수를 포함시킵니다. 다만 이 CVSS를 가지고 버그바운티 계산을 한다면 회사 측과 제보자 측의 의견이 갈릴 때가 많더라고요. 주관성이 많이 반영되는 점수 체계이기 때문입니다. 그래서 그런 경우에 VISS를 쓰는 거죠. 아무래도 취약점 관련해서 CVSS만큼 보편성을 가진 체계는 없기 때문에 VISS가 CVSS를 대체할 수는 없습니다.”

사실 취약점의 점수를 매기는 데 있어 정확히 정해진 규칙은 없다. CVSS가 가장 보편적이긴 하지만 그렇다고 모든 기업과 전문가들이 이를 따르는 건 아니다. 위에서 언급된 EPSS를 선호하는 사람들도 많다. 그 외에도 SSVC라든가, SEI라든가 하는 여러 ‘덜 유명한’ 점수 체계들도 존재하며, 이들 각자 나름의 특징을 가지고 있다. 이런 점수 체계들을 상호보완적으로 여러 개 사용하는 게 가장 좋다는 주장도 있어, 취약점 점수 평가 방식이 일원화 되는 일은 당분간 없을 것으로 보인다.

그런데 보안 업체 옴디아(Omdia)의 수석 분석가 앤드류 브론버그(Andrew Braunberg)는 “줌이 의도하지는 않았겠지만 VISS가 꽤나 흥미롭고 강력한 취약점 평가 체계로 자리를 잡을 가능성이 낮지 않다”고 보고 있다. “취약점에 가격을 매긴다니, 얼마나 직관적이면서 동시에 충격적입니까? 기존 점수 체계들보다 훨씬 더 취약점 관리의 필요성을 호소할 수 있는 단위가 될 수도 있습니다. 우리 회사에서 사용하는 소프트웨어에 7.5점짜리 취약점이 있다는 소리와 10만 달러짜리 취약점이 있다는 소리 중 어떤 것에 더 빨리 반응하게 될까요? 많은 사람들이 구체적인 액수에 더 재빨리 움직일 겁니다.”

더 나은 취약점을 찾을 수 있도록

VISS는 소프트웨어 오류를 13개 항목들을 기준으로 평가한다. 최종적으로 나오는 점수는 0점에서 100점 사이다. 지난 여럼 해커원(HackerOne)이라는 버그바운티 플랫폼에서 라이브 해킹 행사를 진행했고 줌이 스폰서로 참여한 일이 있었다. 이 때 VISS가 대회 전체적으로 활용됐는데, 그 결과 중위험도와 저위험도 취약점의 수가 크게 줄었다. 대신 고위험군 취약점과 초고위험군 취약점이 각각 12%와 28% 늘어났다.

“이전에는 취약점 제보자들이 ‘이론적 영향력’에 대한 설명을 보고서로 써서 제출했어요. 그리고 회사들은 그런 이론적 가능성에 대해 돈을 지불해야 했지요. 그런데 어느 시점부터 그 위험성이라는 것을 실질적으로 증명해야만 취약점 연구가 인정됐고, 이를 통해 보안 업계가 한 단계 업그레이드 됐습니다. VISS도 비슷한 효과를 냈다고 생각합니다. 많은 전문가들이 자신들의 연구 결과가 금전적으로 얼마 정도의 영향력이 있다는 걸 직관적으로 알게 됐고, 이것이 강력한 동기가 되어 취약점의 위험성을 증명하는 데 더 열과 성을 다하게 됐습니다.” 데이비스의 설명이다.

이 행사에서 줌은 보안 전문가들로부터 VISS에 대한 피드백도 얻을 수 있었다. 해커원의 CTO인 알렉스 라이스(Alex Rice)는 “이런 절차들이 이미 ‘보안 전문가들의 의견을 존중한다’는 줌의 태도를 증명해주기 때문에, VISS의 가치가 덩달아 올라갈 수밖에 없었다”고 설명을 보충한다. “취약점을 찾아낸 것에 대한 보상을 즉각적으로 예상할 수 있게 된다는 것이 얼마나 심리적으로 크게 작용하는지를 실감할 수 있었습니다.”

돈이 근본적인 해결책이 될 수 있을까?

그렇다고 VISS가 취약점 점수 시스템의 궁극적인 형태를 갖췄다고 말할 수는 없다. 그럴 수도 있고 아닐 수도 있다. 하지만 과거 수많은 평가 체계 중 완벽한 것이 단 하나도 없었다는 걸 우리는 알고 있고, 그러므로 VISS도 완벽하다거나 이상적이라고 말하기 힘들 가능성이 더 높다. 하지만 VISS가 ‘금액’이라는 새로운 요소를 도입했다는 것 만큼은 분명한 사실이고, 따라서 한층 더 흥미로울 수 있다는 데에는 보안 업체 플래시포인트(Flashpoint)의 브라이언 마틴(Brian Martin)도 동의한다.

“지금 우리는 취약점 평가 시스템이 부족해서 문제일까요? 아니지만 맞습니다. 어떤 면으로 보면 이미 시장에 존재하는 평가 기준이 너무 많아서 좀 정리될 필요가 있는 것도 사실입니다. CVSS만 하더라도 버전이 4까지 나왔죠. EPSS도 있고요. 점수를 매기는 방법의 수 자체가 적은 건 아니라고 봅니다. 하지만 이런 시스템들이 취약점의 잠재적 위험성을 정확히 나타내느냐라고 묻는다면 선뜻 그렇다고 말하기가 힘든 것도 사실입니다. 다만 점수 시스템들마다 독특한 강점을 가지고 있고, 그 중 VISS가 상금을 책정하는 데 가장 정확한 시스템으로 자리를 잡는다면 시장에 얼마든지 도입되어도 괜찮다고 봅니다.”

보안 업체 베라코드(Veracode)의 부회장 팀 자렛(Tim Jarrett) 역시 VISS를 흥미롭게 지켜보는 쪽이다. 하지만 “액수라는 직관적인 지표로 결과가 나온다고 하지만 도입 역시 직관적이거나 간단하지는 않아 보인다”고 평한다. “계산식이 어렵지는 않습니다만 여전히 여러 가지 지식을 필요로 합니다. 특히 리스크라든가 취약점에 대한 전문성이 있어야 이를 잘 활용할 수 있습니다.”

그러면서 자렛은 “취약점 점수가 취약점 관리의 절대적 기준이 되어서는 안 되는 것이 명확하기 때문에 그 어떤 점수 시스템이라도 정답이 될 수 없다”고 강조한다. “점수 시스템 자체를 잘 이해하고, 그것이 내는 결과와 우리 회사의 상황이 어떤 식의 관계를 갖는지도 잘 이해함으로써 여러 보안 도구 중 하나로 활용할 수 있어야 하지, 점수만 가지고 보안을 편리하게 강화하려고 하면 안 됩니다.”

한편 데이비스는 “앞으로도 줌 내부에서는 CVSS를 계속 활용할 계획”이라고 말한다. “외부와 취약점 내용을 소통할 때 CVSS만큼 유용한 것도 없습니다. 특히 이번에 나온 4번째 버전은 꽤나 많은 부분이 보완되었기 때문에 현재로서는 거의 완벽한 점수 체계라고 봅니다. VISS는 저희가 고안하긴 했지만 지금 상태로는 특정 상황이나 목적 아래 사용될 때 더 알맞아 보입니다.”

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=124956&page=1&mkind=1&kind=1)]​