경제협력개발기구(OECD) "소스코드는 곧 취약점…쉬쉬해선 안돼"

취약점 대응 체계 활성화 필요성 강조

 

■ 취약점 알려줘도 고소·고발로 받아치는 경우 허다

 

케이스 1 : 핀란드 온라인 게임 플랫폼 하보의 경우 취약점을 신고한 10대 청소년을 형사고발했다.

 

케이스 2: 글로벌 컨설팅 업체 PwC에 취약점을 신고한 보안 연구자들은 침해중지요구서를 전달받았다.

 

케이스 3 : 치과 SW가 환자 2만2천여명의 건강정보를 암호화하지 않는 사실을 제보한 화이트해커는 미국 연방수사국(FBI)의 압수수색을 받기도 했다. 

 

■ "취약점 제보자에 '면책' 필요"…화이트해커-SW회사 공조 체계 활성화해야

 

보고서는 "버그 바운티는 제품 또는 제품 라인의 기본 설계 상 보안 한계점을 개선할 수 없는 사후 대응적 조치"라며 "코드 검토, 감사, 네트워크 침투 테스트 등의 위험을 줄이기 위한 많은 다른 도구 중 하나로 사용돼야 한다"고 조언했다.

 

- 디지털 트랜스포메이션 사회의 가장 큰 위협은 보안 취약점이다.

 

- IoT기기의 취약점이 개인의 안전을 위협하고 있다.

 

- 모든 코드(소프트웨어)는 항시 취약점을 지니고 있다.

 

- 그러나 현재까지 정책적인 조명을 받지 못하고 있다.

 

- 취약점 관리의 Key Best Practice는 CVD (Co-ordinated Vulnerability Disclosure) 이다.

 

- CVD는 Vuln Owner와 Researcher간의 취약점 공개과정에서 발생하는 위험을 줄이기 위한 절차다.

 

- 취약점 관리 국제표준으로 ISO/IEC 29147:2018 (vuln disclosure), ISO/IEC 30111:2019 (vuln handling) 참고. https://doi.org/10.1787/0e2615ba-en

 

또한 미국 CISA는 민간 기관에게도 VDP(Vulnerability Disclosure Policy)의 개발을 통해 취약점을 공개하는 것이,

결국 모든 시스템과 네크워크를 더욱 안전하게 한다는 인식을 확장시키고 있다.

https://cyber.dhs.gov/bod/20-01/

cyber.dhs.gov - Binding Operational Directive 20-01

OECD iLibrary | Encouraging vulnerability treatment: Overview for policy makers

 

zdnet.co.kr/view/?no=20210317165712

OECD "소스코드는 곧 취약점…쉬쉬해선 안돼"