트렌드마이크로, '보안 패치 품질 하락이 기업에 비용 발생 초래' 경고
트렌드마이크로, '보안 패치 품질 하락이 기업에 비용 발생 초래' 경고
  • 김문구 기자
  • 승인 2022.08.31 11:05
  • 댓글 0
이 기사를 공유합니다

제로 데이 이니셔티브, 벤더에 공개 정책 개정 통한 적극적 개선 강조
트렌드마이크로 로고
트렌드마이크로 로고

[아이티비즈 김문구 기자] 트렌드마이크로(지사장 김진광)가 불완전하거나 결함이 있는 보안 패치가 증가하면서 업데이트 시 기업에게 최대 40만 달러(약 5억 4천만원)의 비용이 발행할 수 있다고 31일 밝혔다.

이와 함께 트렌드마이크로 제로 데이 이니셔티브(ZDI) 관계자는 글로벌 정보보안 행사인 블랙햇 USA 2022에서 보안 패치 품질 및 벤더-고객 간 커뮤니케이션의 현저한 감소를 해결하기 위해 수립한 정책 변화를 공개했다.

브라이언 고렝크 트렌드마이크로 ZDI 취약점 리서치 시니어 디렉터는 “ZDI가 벤더에게 2005년부터 10,000개 이상의 취약점을 공개하면서 산업 전반의 보안 패치 현황에 대해 이렇게 우려한 적은 없었다”며 “벤더가 부적절한 패치와 복잡한 권장사항을 제공함으로써 기업의 시간과 비용이 낭비되고, 불필요한 비즈니스 리스크가 가중되고 있다”고 말했다.

ZDI는 결함이 있거나 기타 미완성된 패치를 제공하는 벤더로부터 파생된 세 가지 주요 문제를 △부족한 벤더 서비스로 인해 기업들이 자사 네트워크에 미치는 실질적 위험에 대한 뚜렷한 가시성을 가질 수 없고 △불완전 또는 결함이 있는 업데이트로 인해 기업들이 동일한 패치를 반복하게 하며 추가 시간과 비용을 소모하게 하며 △업데이트가 완료됐다는 착오로 인해 기업들의 잘못된 패치가 패치 이전보다 더 큰 위험을 초래한다고 정의했다.

이와 같은 문제는 단일 취약점을 개선하기 위한 추가 업데이트로 이어져 기업자원 낭비와 위험을 가중시킴으로써 패치 비용을 배로 증가시킨다.

또한 벤더들이 패치 관련 인증 정보를 평문으로 제공하는 것을 꺼리는 추세로 인해 네트워크 방어자들이 위험 노출을 정확히 측정할 수 없게 됐다.

따라서 ZDI는 업계 전반을 개선시키기 위해 비효율적 패치에 대한 공개 정책을 변경하고 있으며 더 나아가 기본 120일로 설정된 타임라인을 우회된(Bypassed) 보안 패치 결과로 추정되는 버그를 잡기 위해 △취약점 공격이 예상되는 최고 ‘위급(Critical)’ 등급의 경우 30일 △‘위급’ 및 ‘높은’ 심각도 버그이나 패치가 일부 보호기능을 제공하는 경우 60일 △즉각적인 공격이 없을 것으로 예상되는 기타 등급의 경우 90일 등과 같이 단축했다.

대부분의 기업에서 침해 발생에 걸리는 시간이 해당 취약점 패치에 소요되는 시간보다 짧기 때문에 패치가 적절하게 설계된 경우라도 패치 자체가 위협행위자들에게 잠재적 취약점을 알리게 되면서 위험을 증가시킬 수 있다. 패치가 불완전하거나 결함이 있는 경우라면 기업의 손상위협은 곱으로 커진다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.