보안업체인 Kenna Security(켄나 시큐리티)의 수석 데이터 과학자 Michael Roytman(마이클 로이트만)과 Cyentia Institute(사이엔시아 인스티튜트)의 Jay Jacobs(제이 제이콥스)는 "취약점 그 자체보다 취약점 관리가 더 악독한 문제"라며, "현재의 관리체제는 지금 발견되고 있는 취약점의 수량을 감당하지 못한다."고 주장했다.
"이론 상 어떤 취약점이 가장 큰 문제가 되는가부터 파악한 후에, CVSS 점수체계로서 판단을 빠르고 효율적으로 할 수 있어야 하며, 점수가 높으면 높을수록 빨리 처리해야 하는 취약점이다."
하지만 이렇게 산정된 점수가 7점을 넘어갈 정도로 위험한 취약점이라 해도 실제 Exploit에 활용되는 건 2~5%에 불과하기 때문에 7점을 넘어가는 취약점을 모두 패치하기에는 오히려 시간이 낭비된다는 게 이들의 주장이다.
그리하여 만든 것이 "이름은 EPSS(Exploit Prediction Scoring System; 익스플로잇 예측 점수 체계)로, 10가지가 넘는 요소들을 반영해 취약점이 실제 공격에 활용될 가능성을 점치는 겁니다. 결국 패치가 시급한 취약점부터 정리가 되는 것입니다."
점수에 반영되는 요소들은 CVE, CVSS 점수, 개념증명용 코드 유무 및 심각성, 해커들이 사용하는 Exploit의 존재 유무, 호환되는 OS 등이다. 사용 가능한 요소들을 이 점수 체계에 집어넣었을 때 나오는 값은 %단위로 표시되며, 100에 가까울수록 Exploit이 될 가능성이 높다는 뜻이다. 점수를 산출할 수 있는 온라인 계산기는 현재 URL이 공개된 상태지만, 활성화되어 있지는 않다.
'Security Trend Report > Issue & Trend' 카테고리의 다른 글
| Adobe, 119개 취약점 정기 패치 통해 해결 (0) | 2019.08.16 |
|---|---|
| 또... 견적요청 메일? 악성메일 유포 (0) | 2019.08.14 |
| 입사지원서... 또?, '소디노키비 랜섬웨어' 재유포 (0) | 2019.08.12 |
| Flash Player 공격하는 새로운 Exploit Kit, Lord (0) | 2019.08.10 |
| IBM과 Chainyard, TYS(Trust Your Supplier) 구축 발표 (0) | 2019.08.09 |
댓글