늘어나는 SW 보안사고 취약점 관리체계 급선무

입력: 2010-11-30 02:28 김지선 기자

폰트

한국인터넷진흥원 보고서

스마트폰, RFID, IPTV 등 신기술이 등장하고 서비스 이용이 증가하면서 새로운 보안 취약점을 악용한 보안사고 발생에 대비해 정보기술 취약점에 대한 관리체계 구축이 필요하다는 지적이다.

한국인터넷진흥원이 최근 발표한 보고서(정보신기술 취약점 관리체계 구축안)에 따르면, 우리나라는 정보기술 취약점에 대한 관리체계가 미흡해 기존뿐 아니라 새로운 보안 위협과 침해사고에 따른 피해가 커질 수 있다.

소프트웨어 취약점 관리는 국가정보원 산하 국가사이버안전센터(NCSC), 한국인터넷진흥원의 인터넷침해사고대응센터(KrCert), 국방부 산하 국방정보전대응센터, 행정안전부의 시도 사이버침해대응지원센터 등이 주관하고 있지만 기관별로 독립적인 취약점 관리 체계를 갖고 있어 통합된 DB가 없고 취약점 관리에 대한 공유가 잘 되지 않고 있다.

이로 인해 동일한 취약점에 대해 서로 다른 위험 등급을 설정하거나, 대응책이 다를 수 있고, 취약점 관리의 업무가 중복되는 등 비효율적인 취약점 관리가 이뤄질 수 있어 침해사고 발생시 신속한 대응이 어렵다는 지적이다.

이를 개선하려면 정보 신기술에 대한 보안 취약점을 체계적으로 관리하고 정보신기술의 특징을 효과적으로 반영한 기관간 체계적, 단일화된 보안취약점 관리체계 개발과 구축이 필요하다고 보고서는 설명했다. 이를 위해 미국, 일본의 취약점 관리 체계를 벤치마킹하고, 국내 실정과 정보신기술의 특성을 고려한 관리 체계를 구축하는 것이 필요하다고 덧붙였다.

미국, 일본, 유럽 등 선진국은 우리나라보다 한 발 앞서 소프트웨어 취약점 점검 및 데이터베이스(DB) 구축 등을 강화하고 있다.

1990년대부터 취약점 관리에 앞장선 미국은 국토안보부 산하의 NVD(National Vulnerabilities Database)를 통해 소프트웨어 벤더들로부터 취약점 정보 및 자금 지원을 받으며, 취약점 관리 자동화 서비스를 제공하고 있다.

또 NVD이외의 취약점 DB가 생겨나자, 서로 다른 취약점 DB가 상이한 분석을 내놓을 수 있다는 우려 때문에 사이버보안 정보 공유 프로젝트(CSISP)를 추진, 정보공유 모델인 CVE(Common Vulnerabilities and Exposures)를 만들었다. 이를 바탕으로 적합한 취약점 관리 체계와 통합 취약점 DB를 구축했으며, 최근 이를 프로토콜로 규정하고 일본, 중국, 유럽과의 연계체계를 통해 취약점 관련 정보 등을 제공하고 있다.

일본은 2000년대부터 미국의 취약점 분류체계, 평가체계와 전반적인 취약점 정보를 활용해 다양한 서비스를 민간이나 기업 등에 제공하고 있다.

중국은 최근 약 2만7600개의 취약점 정보를 제공하는 통합 취약점 DB를 구축하는 등 보안 취약점 관리 체계를 구축했고 유럽도 EU의 각 회원국 컴퓨터비상대응팀(CERT)이 취약점 관리체계를 구축하고 있는 것으로 나타났다.

보고서는 해외사례뿐 아니라 국외 관련 기관들과 커뮤니케이션 해 취약점을 수집 및 공유하고 취약점 통합 관리 체계를 만들어 신기술 SW 취약점에 적극 대응할 필요가 있다고 지적했다.

김지선기자 dubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

늘어나는 SW 보안사고 취약점 관리체계 급선무

이 시간 핫클릭

핫 이슈!