새 기관 설립한 영국 NCSC, 취약점 관리 수순 밟나

영국의 국가사이버보안센터(NCSC)가 취약점 연구를 전문으로 하는 기관을 새로 설립했다. 이를 통해 보안 취약점을 집중적으로 연구하는 것은 물론, 외부 보안 전문가들과의 인적 네트워크를 강화하는 게 목표다. NCSC는 영국 전체의 사이버 보안을 전담하는 국가 기구로, 첫 번째로는 국가 기관, 두 번째로는 민간 사이버 환경 보호를 목표로 한다.

이 기관을 통해 유지되는 프로그램의 이름은 ‘취약점연구이니셔티브(Vulnerability Research Initiative, VRI)이다. NCSC는 보도자료를 통해 “내부적으로는 연구에 집중하고, 그 결과 발견된 정보와 통찰을 보안 커뮤니티 전체와 신속하게 공유하도록 하겠다”고 발표했다. 여기서 ‘보안 커뮤니티’는 영국 국내 보안 전문가들만이 아니라 해외 파트너들까지 의미한다.

“취약점 연구에 집중하고, 그 결과를 외부 전문가들과의 네트워크를 통해 공고히 하는 것은 결국 영국이라는 국가 자체의 취약점 연구 및 대응 능력을 강화하기 위한 것입니다. 취약점을 보다 깊이 있게, 다양한 각도에서 이해하는 것이 그 지름길이라고 봅니다.” 

취약점 연구가 NCSC 내부에서만 진행되고, 외부 파트너들은 그 결과를 일방적으로 고지 받는 형태의 관계가 형성될 예정은 아니다. 양쪽에서 연구를 동일하게 진행하고, 그 결과를 서로 주고 받는 방식으로 교류를 이어갈 것이라고 NCSC는 발표했다. “특정 관심 제품에 대한 취약점 연구는 외부 연구자들에게 의뢰함으로써 조사를 이어갈 계획입니다. 즉, 외부에서의 취약점 연구도 독려하기 위해 VRI를 설립하는 것이기도 합니다.”

NCSC가 가장 먼저 이뤄내고자 하는 성과는 취약점 연구, 보고, 보고서 제출, 공개에 대한 절차를 수립하는 것이다. “모든 절차와 관행을 세부적으로 연구해 새롭게 구성하려고 합니다. 취약점은 연구 그 자체만이 아니라 공개와 패치에까지 효과적으로 완료되어야 할 것이기 때문입니다. 즉 취약점이라는 것의 ‘생애주기’ 전반을 어떻게 다룰 것인지를 제안하는 게 저희의 시급 과제라고 할 수 있습니다.”

인공지능 역시 NCSC의 현 관심사다. 인공지능 기술 그 자체는 물론 구현 단계에서의 취약점이 자꾸만 발견되고 있고, 그 취약점 하나하나가 큰 영향을 미치기 때문이다. “인공지능 분야에서 취약점 연구를 진행할 인재를 적극 모집하고 있습니다. 자기가 여기에 적합하다고 생각된다면 저희에게 이메일을 보내주시기 바랍니다.”

취약점, 국가가 관리?

취약점 분석과 연구만이 아니라 공유와 공개의 문제에까지 국가가 개입해 올바른 절차를 구현한다는 건 처음 있는 시도다. 미국에서 ‘국가 취약점 데이터베이스(NVD)’라는 걸 마련해 운영하고 있지만, 취약점의 기술 세부 내용을 파악해 고지하는 것에 집중돼 있다. 여기서 공개된 취약점들이 어떤 의미를 갖고, 어떤 식으로 공개되며 패치되어야 하는지까지 관여하지 않는다.

이런 허점을 메우는 게 미국 CISA의 KEV다. KEV는 ‘이미 익스플로잇 되는 것으로 알려진 취약점(Known Exploited Vulnerability)’의 약자다. NVD의 취약점이 발견된 모든 취약점을 총망라한다면, KEV는 정말 시급히 패치해야 하는 취약점을 추려서 정리해둔 것이라고 할 수 있다. 그럼에도 아직 취약점 공개 절차나 시기에 대해서는 정하지 않고 있다.

취약점 공유와 공개는 민감한 문제다. 취약점 정보라는 건 방어하려는 보안 담당자들은 물론, 공격하려는 해커들에게도 유용한 정보가 되기 때문이다. 취약점 공개가 일종의 출발 신호탄이 되며, 그 다음부터는 누가 먼저 익스플로잇 코드를 개발하느냐의 싸움이 된다. 해커가 먼저 하면 공격이 발생하고, 방어자가 먼저 개발하면 방어에 도움이 된다. 여기서 방어자는 패치를 개발해 사용자들이 적용하도록 설득까지 해야 하기 때문에 대부분의 경우 공격 코드 개발만 하면 되는 해커들이 유리한 싸움을 이어간다. 이 문제 때문에 취약점 정보를 전부 국가가 먼저 입수해 관리하도록 해야 한다는 주장도 나오고 있다.

하지만 국가가 취약점을 독점적으로 관리할 경우, 힘의 균형이 국가 쪽으로 불필요하게 쏠릴 수 있다는 우려도 나오고 있다. 일부 장비나 소프트웨어에서 발견된 제로데이 취약점을 특정 업체 혼자 가지고 있으면서 각종 스파이웨어를 개발한 사례들이 이미 존재하기 때문에 이 우려는 괜한 것이 아니다. 게다가 그런 스파이웨어의 고객들은 대부분 국가 기관이었다. 취약점 관리를 맡길 정도로 정부 기관들이 충분한 신뢰를 쌓지 못한 게 사실이다.

NCSC가 그런 취약점 독점 관리 단계까지 내다보고 VRI를 설립한 것인지는 아직 확실치 않다. 하지만 발표문을 통해 취약점의 공개 문제까지 다루겠다고 한 것을 보면, 장기적 계획 혹은 복안이 있을 가능성이 높다. 한국의 경우 아직 국가 차원에서의 취약점 연구나 관리가 본격적으로 이뤄지고 있지는 않다. 그 필요에 대해서도 논란이 있다. 일각에서는 “너무 많은 취약점 관리 체계는 오히려 혼란을 가중시킨다”고 하고, 다른 편에서는 “사이버 주권을 위해 한국도 정부 차원의 취약점 관리 기능이 있어야 한다”는 목소리를 내고 있다.