Canonical
on 26 September 2023
CVE 우선순위 지정을 통한 오픈 소스 보안
최근 연구에 따르면 엔터프라이즈 시장의 애플리케이션 중 96%가 오픈 소스 소프트웨어를 사용합니다. 오픈 소스 환경이 점점 더 세분화됨에 따라 조직에 대한 잠재적인 보안 취약점의 영향을 평가하는 작업이 엄청날 수 있습니다. 우분투는 가장 안전한 운영 체제 중 하나로 알려져 있습니다. 하지만 그 이유는 무엇일까요? 우분투 보안팀은 매일 알려진 취약점에 대해 업데이트된 소프트웨어 패키지를 수정하고 릴리스하기 때문에 우분투는 보안의 선두 주자입니다. 실제로 평균적으로 팀은 매일 3개 이상의 업데이트를 제공하고 있으며 가장 필수적인 업데이트는 24시간 내에 준비되어 테스트되고 릴리스됩니다. 이러한 결과를 달성하기 위해 Canonical은 가장 중대한 소프트웨어 취약점을 먼저 검토하고 우선순위를 지정하고 수정하는 강력한 프로세스를 설계했습니다. 소프트웨어 취약점은 CVE(공통 취약점 및 노출) 시스템의 일부로 추적되고 우분투 보안팀이 게시한 거의 모든 보안 업데이트(우분투 보안 공지 – USN을 통해)는 주어진 공개 CVE에 대응한 것입니다.
강력한 분류 프로세스
우분투 보안팀은 자체 CVE 데이터베이스를 관리하여 우분투 아카이브 내의 소프트웨어 패키지에 대해 다양한 CVE를 추적합니다. 이 프로세스의 일부로 팀은 매일 MITRE, NIST NVD 등을 비롯한 다양한 소스에서 최신 공개 취약점을 분류합니다. 이 분류 프로세스에는 공개적으로 발표된 모든 새로운 CVE를 평가하고 영향을 받을 수 있는 우분투의 소프트웨어 패키지(있을 경우)를 결정하고 패키지 패치(업스트림 패치 포함)에 필요한 정보를 수집하고 취약점에 대한 잠재적인 완화 조치를 기록하는 작업이 포함됩니다. 적용 가능한 소프트웨어 패키지에 대해 CVE가 분류되면 무시할 수 있음, 낮음, 중간, 높음, 위급의 범위에서 우선순위가 지정됩니다. 그런 다음 우분투 보안팀에서 이 우선순위를 사용하여 먼저 해결해야 하는 취약점을 보여 줍니다.
보안 및 안정성
소프트웨어에 어떤 변경 사항을 제공하게 되면 항상 기능 퇴행을 유발할 위험이 발생합니다. Canonical은 변경 사항을 테스트하고 검증하기 위해 노력하지만 모든 사용자의 모든 사용 사례를 다루는 것은 불가능하므로 기능에 영향을 미칠 위험이 내재되어 있습니다. 따라서 어떤 보안 문제를 수정함으로써 얻은 가치는 항상 발생 가능한 퇴행의 위험과 비교하여 따져 보아야 합니다. 이러한 균형 조정 작업은 과학보다는 기술에 가깝고 명확한 규칙을 파악하기 어렵지만 특히 우선순위가 낮거나 중간인 취약점의 경우 퇴행 위험을 매우 신중하게 고려해야 합니다. 코드의 사용 기간, 백포트용 코드 구조의 차이, 영향을 받는 기능의 범위, 패키지의 사용자 기반과 같은 요소가 모두 고려됩니다. 이런 식으로 Canonical은 모든 우분투 사용자에게 가능한 가장 안전하고 안정적인 플랫폼을 제공하는 것을 목표로 합니다.
확장된 CVE 검토
CVE의 심각도를 평가하는 일반적인 방법은 CVSS(공통 취약점 등급 시스템)입니다. 이것은 특정 취약점의 심각도에 대한 수치를 제공하고 이를 취약점 간에 비교할 수 있도록 설계되었습니다. 주어진 CVE에 대한 CVSS 점수는 여러 가지 입력 사항을 사용하여 계산되며 이를 통해 취약점의 다양한 측면을 고려할 수 있는 반면 주어진 취약점이 나타내는 위험을 파악하지는 않습니다. 특히 CVSS는 취약점의 기술적 심각도를 평가하도록 설계되었지만 취약점 우선순위 지정 또는 위험 평가 수단으로 오용되는 경우가 많습니다. 특히, 주어진 소프트웨어 패키지가 설치되었거나 사용 중일 가능성, 패키지의 기본 구성이 취약점을 완화할 수 있는지 여부, 취약점에 대한 알려진 익스플로잇 존재 여부를 포함하여 CVSS에 의해 파악되지 않는 주어진 취약점에 대해 고려해야 할 중요한 많은 측면이 있습니다. 따라서 취약점을 비교하고 우선순위를 지정하기 위해 CVSS만 단독으로 사용하면 불완전한 리스크 프로파일로 이어질 수 있습니다.
올바른 CVE 우선순위 지정
반대로 우분투 보안팀이 할당한 우선순위 값은 우분투의 각 소프트웨어 패키지에 대한 다양한 개별 컨텍스트를 파악하도록 설계되어 서버, 데스크톱, 클라우드, IoT를 포함한 모든 우분투 인스턴스를 고려하여 보안 소프트웨어 업데이트의 우선순위를 지정하는 효과적인 방법으로 사용할 수 있습니다. 가장 많은 수의 우분투 설치에 영향을 미치고 가장 큰 위험을 나타내는(사용자 입력 등이 없이 원격으로 악용될 수 있음) 취약점은 위급 또는 높음으로 우선순위가 지정됩니다. 소수의 사용자에게만 영향을 미치고 사용자 입력이 필요하거나 서비스 거부와 같은 작은 영향만 유발할 수 있는 것들은 중간, 낮음 또는 무시할 수 있음으로 우선순위를 지정할 수 있습니다. 이 우선순위 지정은 각 취약점에 대해 사례별로 이루어지며, 주어진 취약점이 우분투 아카이브에 있는 둘 이상의 패키지에 적용될 수 있으므로 패키지당 취약점에 따라 추가로 할당할 수도 있습니다. 이렇게 하면 주어진 CVSS 점수에 관계없이 위험과 영향이 가장 크고 가장 많은 우분투 설치에 영향을 줄 수 있는 취약점이 먼저 수정되어 알려진 소프트웨어 취약점에 의한 악용 위험이 가능한 한 많이 제한됩니다.
각 취약점에 할당된 우선순위와 각 우선 순위 할당에 사용된 기준에 대한 자세한 내용은 우분투 CVE 트래커를 참조하십시오.
