보안관련 용어 - 취약점

취약점(Vulnerability)이란?

국제 표준화 기구(ISO 27005)는 취약점을 "하나 이상의 위협에 의해 익스플로잇될 수 있는 자산 또는 자산 그룹의 약점"(자산 : 정보 자원을 포함하는 비즈니스 전략과 그것의 연속성 뿐만 아니라 조직의 임무를 지원하는 것)이라고 정의하고, 국제 인터넷 표준화 기구(IETF RFC 2828)는 취약점을 "시스템의 디자인, 구현 또는 작업 그리고 관리에서의 결함이나 약점으로서, 시스템의 보안 정책을 침해하기 위해 익스플로잇될 수 있는 것"이라고 정의합니다. 정리하자면, 취약점은 해킹 등 보안 침해 사고의 원인이 되는 시스템/제품/자원의 보안상 허점/결함을 의미하며, 해당 시스템/제품/자원에 내재되어있는 특성입니다.

 

 

취약점을 익스플로잇하기 위해서, 공격자는 반드시 시스템의 약점에 접속할 수 있는 툴이나 기법을 가져야합니다. 이런 방법을 통해 공격에 사용 가능한 취약점들의 집합을 공격 범위(Attack Surface)라고 합니다.

 

 

공격범위는 크게 네트워크, 소프트웨어, 사람 측면으로 분류할 수 있습니다. 네트워크 공격범위는 통신을 위해 사용하는 기반 시설이나 프로토콜에서의 취약점을 의미하며, 소프트웨어 공격범위는 웹서버, 운영체제 등 시스템이 사용하는 소프트웨어에 존재하는 취약점을 의미합니다. 마지막으로 사람 공격범위는 사용자나 관리자의 실수, 피싱들의 공격으로 인해 발생하는 취약점을 의미합니다. 

취약점 관리는 취약점을 확인, 분류, 치료 그리고 완화시키는 주기적인 과정입니다. 취약점 관리에서 이야기하는 취약점은 일반적으로 컴퓨터 시스템에서 소프트웨어 취약점을 나타냅니다. vulnerability scanner, 퍼즈 테스팅 등의 방법을 통해 시스템 상 알려진 취약점 뿐만 아니라 알려지지 않은 제로 데이 취약점을 분석할 수 있습니다. 취약점을 보완하는 방법에는 패치 설치, 네트워크 보안 정책 변경, 소프트웨어 재설정, 소셜 공학 기법에 관련된 교육 이수 등의 방법들이 있습니다.

 

 

취약점과 위험의 의미를 혼동하는 경우가 많습니다. 위험(Risk)은 취약점(vulnerability), 자산(asset), 위협(threat)를 모두 고려하여 발생할 수 있는 손실의 가능성을 의미합니다. 그렇기 때문에 위험이 없는 취약점이 존재할 수 있습니다. 예를 들면, 해당 자산(자원/시스템)에 대한 위협이 없는 경우, 취약점이 존재하더라도 공격의 가능성, 즉 위험이 없습니다.

 

 

대표적인 보안 취약점은 시스템, 네트워크, 응용프로그램 보안 취약점이 존재합니다. 대표적인 시스템 보안 취약점에는 Race Condition, 환경변수, 계정 및 패스워드, 접근권한, 시스템 구성, 네트워크 구성, 버퍼오버플로우, 백도어가 있으며, 네트워크 보안 취약점에는 불필요한 서비스와 정보 제공, 서비스 거부 공격, RPC, HTTP, SMTP, FTP, BIND, FINGER, 버퍼오버플로우가 있습니다. 응용프로그램 보안 취약점에는 웹 서버, 방화벽 서버, IDS 서버, 데이터베이스 서버, 소스코드 취약점이 있습니다.