[아이티비즈 김문구 기자] 트렌드마이크로(지사장 김진광)가 글로벌 정보보호 행사 ‘블랙햇(Black Hat) USA 2023’에서 자사의 ‘제로데이 이니셔티브(ZDI; Zero Day Initiative)’ 프로그램을 통해 올해 상반기 1,000개 이상의 고유한 보안상 취약점에 대한 권고사항을 공개했다고 17일 발표했다.
이와 같은 취약점들이 사이버 공격에 악용될 경우, 사전 예방 조치 비용의 10배 이상에 달하는 금전·시간적 피해가 발생할 수 있다.
트렌드마이크로는 취약점과 패치에 대한 공개와 문서화를 늦추거나 희석하는 ‘사일런트 패치(Silent Patch)’의 중단을 촉구하고 있다. 사일런트 패치는 사이버 범죄 대처에 있어 장애 요소로 작용하고 있지만 주요 벤더와 클라우드 제공업체 사이에서 매우 보편적으로 사용되고 있다.
블랙햇 USA 2023에서 트렌드 리서치(Trend Research)는 클라우드 제공업체 사이에서 사일런트 패치가 보편화됐음을 밝혔다. 기업들은 점차 공개 문서에 ‘CVE(Common Vulnerability and Exposure, 보안 취약점 공통식별자 목록)’ ID를 할당하지 않고, 대신 비공개로 패치를 발행하는 경우가 많아지고 있다. 클라우드 서비스에 대한 미흡한 투명성과 버전 번호의 부재는 위험 평가를 방해하며 보안 커뮤니티가 생태계의 전반적 보안 수준을 강화하는 데 필요한 귀중한 정보의 습득 기회를 박탈한다.
트렌드마이크로는 지난해 블랙햇 행사에서 불완전하거나 결함이 있는 패치가 증가하고 있으며 벤더들이 패치에 대한 정보를 명확하게 제공하는 것을 꺼리는 경향이 늘어나고 있다고 경고한 바 있다. 이후 일부 기업들이 패치 적용의 우선순위를 완전히 낮춰 고객과 산업이 불필요한 위험에 노출되도록 방치하기도 하는 등 이러한 문제는 더욱 심화됐다.
이와 같은 이유로, 클라우드 기반 서비스를 강화하고 잠재적 위험으로부터 사용자를 보호하기 위해 패치 적용을 우선시하고, 취약점을 해결하고, 연구원·사이버 보안 벤더·클라우드 서비스 제공업체 간의 협력체계를 강화하기 위한 조치가 긴요한 상황이다.
트렌드마이크로는 ZDI 프로그램을 통한 취약점 패치의 투명성 제고와 업계 전반의 보안 수준 향상을 위해 노력하고 있으며, 그 일환으로 새로운 제로데이 취약점에 대한 권고사항을 발표했다.
케빈 심저 트렌드마이크로 최고운영책임자(COO)는 “트렌드마이크로는 매년 취약점 연구와 구매에 수백만 달러를 선제적으로 투자해 고객과 산업이 부담해야 할 사이버 공격 피해 복구 비용을 수십억 달러 절감하고 있다”며 “취약점 공개와 제공하는 패치에 대한 투명성이 부족한 기업들의 우려스러운 동향이 확인되고 있으며, 이는 디지털 보안에 위협요인으로 작용하고 있다”고 말했다.
