보안자문은 단순한 업데이트가 아니라, 더 포괄적이고 더 중요합니다.
우리는 뉴스 채널과 소셜 미디어 플랫폼에서 ‘보안자문’이라는 말을 자주 듣거나 보게 됩니다. 이는 얼마나 많은 제품과 회사가 영향을 받았는지, 대기업과 많은 기관들이 패치를 작업하고 있는지, 또는 해커들이 디지털 자산과 재정 손실을 초래하고 있는지에 대해 언급합니다.
도대체보안자문이란 무엇인가요?잘 이해하지 못한다면 어떻게 해야 할까요?
간단히 말해,보안자문은 정부, 기업, 조직이 사이버보안정보를 수집하고 컴파일하는 산업 표준 방법입니다. 모든 인터넷 사용자와 관련 사용자에게 잠재적인 보안 위협, 제품, 소프트웨어, 서비스의취약점및 해당 수정 및 복구 조치에 대해 알릴 필요가 있을 때보안자문이 발행됩니다.
보안자문에는 어떤 구체적인 내용이 포함되나요? 일반적으로보안취약점에 대한 상세한 설명, 영향을 받는 제품 및 버전, 해결책 또는 완화 조치, 업데이트 정보가 포함됩니다.보안자문의 목적은 모든 영향을 받는 사용자에게 문제의 심각성과 범위에 대해 신속하게 알리고,보안취약점이 악의적으로 악용되지 않도록 가능한 한 빨리 조치를 취하도록 하는 것입니다. 이를 통해 사용자는 장치와 서비스의데이터및 전체 시스템보안을 보호하여 추가 피해를 방지할 수 있습니다.
그러나 각 공급업체가 서로 다른 형식의 취약한데이터을 가지고 있다면, 내 취약점이 당신의 것과 동일하지 않다는 것을 어떻게 알 수 있을까요?보안위험과취약점에 대해 논의할 때, 모두가 같은 것을 이야기하고 있다는 것을 어떻게 확신할 수 있을까요?
전 세계적으로 인정받는보안취약점 식별 시스템으로, Common취약점and Exposures (CVE) 데이터베이스가 있습니다. 이 데이터베이스는 전 세계의 다양한보안약점과취약점에 번호를 부여하여 사용자가 쉽게 조회하고 볼 수 있도록 합니다.
이렇게 하면 모든 사이버보안장비, 하드웨어 및 소프트웨어 공급업체,바이러스 백신소프트웨어, 엔드포인트 소프트웨어 등이 통일된 사이버 보안 취약점 식별 번호를 가질 수 있습니다. 이는 자동화된 통신 및 보안 콘텐츠 생산의 기초가 됩니다.
모든 CVE는 각 취약점에 대해 고유한 식별 번호를 부여받으며, 형식은 다음과 같습니다:
CVE-YYYY-NNNN
CVE는 고정 접두사이고, YYYY는 그레고리력의 연도이며, NNNN은 연대순을 나타내는 일련 번호입니다. NNNN은 일반적으로 네 자리 숫자입니다. 네 자리보다 적으면 앞에 0을 추가합니다. 필요할 경우 다섯 자리 이상으로 확장할 수 있습니다. 최근 몇 년간 해커 활동이 급증하면서보안연구자 수도 증가하고 더 많은보안취약점이 발견되었습니다. 그 결과, CVE 코드는 일반적으로 다섯 자리로 확장되었습니다.
Common Vulnerability Scoring System (CVSS)란 무엇입니까?
모든 알려진보안취약점을 식별하기 위해 CVE를 사용한 후 다음 단계는 그들의 위험을 평가하는 것입니다. 여기서 Common Vulnerability Scoring System (CVSS)이 등장하며, 이는 각 CVE 취약점의 심각도를 나타내는 점수를 대중에게 제공합니다.
미국 국립 표준 기술 연구소(NIST)는 CVSS의 다양한 버전을 사용하여 계산된 점수와 심각도 순위를 나열하는 국가 취약성 데이터베이스(NVD)를 유지 관리합니다.
CVSS는 미국의 국가 인프라 자문 위원회(NIAC)에 의해 시작되었습니다. 기본 점수는 공격 복잡성, 기밀성, 무결성, 가용성 등취약점의 기술적 세부 사항과 관련 속성뿐만 아니라 시간 및 환경 요인을 고려하여 생성됩니다. 따라서 제시된 전체 점수는 매우 전문적이며 사이버 보안 분야에서 표준 평가 도구로 사용됩니다. 이를 통해 다양한 소프트웨어 및 사이버 보안취약점의 영향을 판단하는 일관된 평가 방법을 제공하며, 적절한 대응 조치를 결정하는 데 도움이 됩니다.
CVE 취약성의 점수가 높을수록 우선적으로 신속하게 패치해야 할 긴급성이 커집니다. 이는 많은 사이버 보안 전문가, 연구원, 소프트웨어 및 하드웨어 개발자가 각자의 분야에서 노력하는 부분이기도 합니다.
ASUS공유기와 관련된보안권고에는 CVSS 점수가 포함되어 있습니다. 일반적으로 7점 이상은 높은 점수로 간주되며 우선적으로 패치해야 합니다. 9점 이상은 매우 심각하여 즉시 패치하여보안을 보장해야 합니다.
취약점에는 다양한 수준이 있습니까?
분야는 앞서 언급한 CVE 및 CVSS에 대한 심각도 수준도 설정했습니다. 이러한 수준은 취약성의 CVSS 점수를 기준으로 할당됩니다. 수준은 V5(치명적)에서 V1(정보)까지 범위가 있으며, 가장 높은 수준은 우선적으로 처리해야 합니다.
마지막으로 상태가 있으며, 각보안취약성의 상태를 정의합니다. 상태는 공급업체의 시간 및 조치에 따라 이러한보안데이터베이스에서 지속적으로 업데이트됩니다. 상태에는 조사 중, 영향 없음, 수정 중, 해결됨, 정보 등 여러 가지가 포함됩니다. 이를 통해 이러한취약점의 위험이 여전히 존재하는지 여부를 식별하고 적절한 조치를 취하기가 더 쉬워집니다.
위의 주요 정보를 바탕으로, 표준보안권고에는 일반적으로 다음 요소가 포함됩니다:
- 취약성 설명: 취약성의 성격과 범위에 대한 자세한 설명.
- 영향을 받는 제품 및 버전: 영향을 받는 모든 소프트웨어 또는 하드웨어 버전 나열.
- 위험 평가: 취약성으로 인한 잠재적 위협 수준 평가.
- 해결책 및 완화 조치: 업데이트 또는 구성 변경을 통해 취약성을 수정하기 위한 권장 사항 제공.
- 업데이트 파일 정보: 패치나 업데이트가 있는 경우 다운로드 링크 및 설치 가이드 제공.
보안주요 국제 공급업체의 권고
Microsoft, Apple, Google과 같은 국제적으로 유명한 공급업체들은 사이버보안보고에 큰 중요성을 부여합니다. 이들은 보통 전담보안팀을 두고 모니터링과 권고 사항을 발행합니다. 예를 들어, Microsoft의 월간 “Patch Tuesday”는 정기적인보안업데이트 주기로, 상세한보안정보와 패치 업데이트를 제공합니다. 이러한보안권고는 단순한 방어 조치가 아니라 사용자보안에 대한 회사의 약속의 일환으로, 전체 네트워크 보안을 강화하는 것을 목표로 합니다.
예를 들어, Google의 Android 플랫폼은 전 세계의 수많은 Android 스마트폰장치, 산업 장치, 엔터테인먼트 장비에서 사용됩니다. 새로운보안버전 정보는 정기적으로 Google’s 웹사이트에 게시됩니다. 여기에는 최근 업데이트에서 Android 시스템의 다양한 버전이 업데이트될 버전 번호, 수정된 버그 요약, 해결된보안취약점, 새로운 기능 등이 포함됩니다. 그러나 수정 내용의 세부 사항은 공개되지 않으며, 이러한 정보는 Google의 개발자 커뮤니티에서만 접근할 수 있습니다. Google은 또한 관련 Android 공급업체에게 버전 업데이트에 대한 상세 정보와 변경된 파일 목록을 제공하여 공급업체가 버전을 업그레이드할 수 있도록 합니다.
주요 글로벌 플랫폼의 주요 유지 관리자로서 Google은 모든 나열된 문제를 사전에 글로벌 Android 파트너에게 통지합니다. 이러한 문제에 대한 소스 코드 패치는 Android 오픈 소스 프로젝트(AOSP) 저장소에 다양한 Android 버전과 함께 릴리스되어 파트너 개발자가 접근, 개발, 테스트 및 패치를 구현할 수 있도록 합니다.
사이버보안분야의 잘 알려진 주요 회사인 Fortinet은 많은 기업, 기관 및 산업 OT 부문에 방화벽 장치,스위치및보안장비를 공급하는 업체로, 이와 유사하게 회사의보안권고는 발생한보안문제를 설명합니다. 예를 들어, 일반적인 SSL-VPN 보안 취약점은 Fortinet이 장비 사용자에게 최신 펌웨어로 업데이트하고 업데이트 기능을 활성화하여 장비와 사용자가 VPN을 통해 회사 네트워크에 더 안전하게 연결할 수 있도록 권장하게 합니다.
각 장치펌웨어 업데이트에는 시스템 프로그램 수정 사항, 기존 문제에 대한 개선 사항 및 잠재적인 미래 문제에 대한 알림이 포함됩니다.
Fortigate 장치는 관련 구성 파일을 백업하고 경고가 나타날 때 업데이트를 수행해야 합니다. 그러나 이러한 작업을 수행하기 전에 공식보안업데이트 권고를 참조하여 어떤 서비스나 기능이 영향을 받을지, 업데이트에 포함된 항목이 무엇인지 이해해야 합니다.
주요스토리지장치 제조업체인 HPE는 장치에 대한 업데이트 공지를 발표하고, 다양한 장치의 버전 이름과 업데이트 및 강화될 내용을 나열합니다. 예를 들어, OpenSSL을 3.0.13으로, OpenSSH를 9.6p1로, curl을 8.4.0으로, busybox를 1.36.1로 업그레이드할 때, 업데이트는 새로운 소프트웨어 버전 번호를 명시합니다.
다른 수정 사항 및 세부 사항은 아래에 나열되어 있습니다. 더 자세한 정보는 고객이 HPE에 직접 요청해야 합니다. 인터넷에 공개된 공지는 일반적으로 상대적으로 간단한 형태로 제공됩니다.
시장에 있는 일반적인 오픈 소스 소프트웨어도 만난 CVE에 대해 소프트웨어 업데이트 알림으로 대응하며, 각 업데이트에서 이루어진 개선 사항을 자세히 설명합니다.
예를 들어, 잘 알려진 FTP 소프트웨어인 FileZilla의 최신 버전은 개인보안키와 관련된보안취약점(CVE-2024-31497 등)을 수정했습니다. 이 업데이트에서도 취약점이 패치되었습니다.
QNAP보안권고란 무엇인가요?
QNAP은 다년간의 글로벌 서비스 및 시장 경험을 보유하고 있으며, 고객의 사이버보안문제에 큰 중점을 둡니다. QNAP의 보안 권고 메커니즘은 다음과 같은 측면을 포함합니다:
정기적인 연간 펌웨어 업데이트 : QNAP은 장치에 대해 지속적으로펌웨어 업데이트를 출시하며, 알려진취약점을 해결하기 위해 관련 운영 체제에 대한보안패치 및 업데이트를 제공합니다.
보안 권고 : QNAP 공식 웹사이트와 사용자가 QTS 시스템에 로그인할 때 기본 홈페이지에서 자동 알림이 제공됩니다. 업데이트 날짜를 클릭하면 잠재적인보안위협 및 대응 조치에 대한 세부 정보를 확인할 수 있습니다. 이러한 정보를 읽음으로써 사용자는 영향 범위와 시스템 업데이트 내용을 대략적으로 이해할 수 있습니다.
전문 팀: QNAP은 QNAP PSIRT와 같은 전담 사이버보안팀을 보유하고 있으며, 최신 보안 위협을 모니터링하고 가능한 한 빨리 대응합니다.
QNAP 사용자가 할 수 있는 일은 무엇인가요?
QNAP NAS 사용자로서, 장치와데이터보안을 보호하기 위해 다음 조치를 취할 수 있습니다:
정기적으로 업데이트 확인: QNAP에서 제공하는 소프트웨어 업데이트 및 패치를 정기적으로 확인하고 설치합니다.
보안설정 활성화: 강력한 비밀번호 설정, 이중 인증 활성화, 외부 접근 제한 등보안조치를 취합니다.
시스템 모니터링: QNAP에서 제공하는 모니터링 도구를 사용하여 장치의 운영 상태 및 잠재적 위협을 파악합니다.
데이터백업: 중요한데이터을 정기적으로 백업하여 공격이나 장애 발생 시 신속한 복구를 보장합니다.
해당펌웨어 업데이트이(가) 있을 때, 클릭하여 버전 정보를 볼 수 있습니다. 업데이트된 내용이 표시되어 사용자가 정보를 유지할 수 있습니다.
중요한 업데이트 내용을 요약한펌웨어 업데이트변경 로그를 클릭하여보안취약점수정 사항 및 시스템 기능 향상을 확인할 수 있습니다.
QTS 시스템펌웨어 업데이트외에도, QNAP은 설치된 애플리케이션에 대한 업데이트가 있을 때도 알림을 제공합니다.
모든 QNAP 사용자가 더 안전한 전체 사용자 경험과 알림을 위해보안센터 앱을 설치하는 것이 좋습니다.
QNAP보안센터 앱은 사용자에게 기본, 중급 및 고급보안정책 권장 사항을 제공합니다. 전체 NAS 장치를 스캔하고 스캔 결과에 따라 권장 사항을 제공합니다. 이러한 권장 사항을 따르면 NAS 장치의보안수준을 크게 향상시킬 수 있습니다.
일관되게 업데이트하고 좋은 습관을 유지하여 안전하게 지내세요.
우리는 주요 국제 기업들이 지속적으로취약점을(를) 발견하고 보고하며 버전 업데이트를 진행하는 것을 볼 수 있습니다. 더 적은 사용자가 피해를 입도록 하기 위해, 일부 공격 방법과 중요한 정보는 대중에게 완전히 공개되지 않습니다. 자세한 내용은 개발자 계정이나 고객과의 계약을 통해 접근할 수 있습니다. QNAP도 이러한 주요 국제 기업들과 유사하게 운영하여 취약점 패치를 적시에 릴리스합니다. 더 자세한 정보가 필요한 경우, 시스템 업데이트 후 설명이 예정되어 있어 가족 중심의 사용자를 보호합니다.
보안취약점을(를) 수정하는 것은 병원 응급실에서 우선 순위를 정하는 것과 비교할 수 있습니다. 가장 중요하고 심각한 문제가 먼저 우선 처리되며, 그 다음으로 덜 중요한 문제가 심각도 순으로 처리됩니다.
문제가 심각하지 않고 해결 방법이 알려져 있다면, 일반적으로 테스트 환경에서 업데이트를 먼저 테스트한 후 프로덕션 환경에 적용하는 것이 허용됩니다. 그러나 문제가 해결하기 어렵고 시스템을 업데이트하지 않고 계속 운영하고자 한다면, 적절한 격리 및 보호 조치를 구현하고 공급업체가 문제 패치를 해결한 수정 업데이트를 릴리스할 때까지 기다려야 합니다. 이는분야에서 때때로 발생하는 타협입니다.
일반 가정 및 소규모 스튜디오 NAS 장치 사용자에게는 시스템을 최신 버전으로 유지하는 것이 일반적으로 권장됩니다. 장치가 인터넷을 통해 파일을 NAS 로 자주 전송해야 하거나 작업 중 또는 여행 중에스마트폰네트워크에서 NAS 의 사진이나데이터에 접근해야 하는 경우, 최신 버전으로 업데이트하고 이전에 제안된보안조치를 구현하여 중요한데이터, 민감한 정보, 가족비디오, 개인 사진이 유출되는 위험을도움말완화하십시오. 그러나 더 중요한 것은 NAS 가 다른 사람에게 공격을 시작하는 스프링보드 장치로 사용되는 것을 방지하는 것입니다. 해커는 종종 불법 활동을 수행하기 위해 손상된 장치를 악용하여 탐지 및 식별을 피합니다.
해커가 다양한 NAS 장치를 공격 플랫폼으로 자주 선택하는 이유는 사용자가 이러한 장치를 인터넷에서 접근 가능하게 만들기 때문이며, 더 중요한 것은 최근 몇 년 동안 NAS 의 기능이 크게 확장되어가상화,컨테이너등을 지원하기 때문에 해커가 손상된 NAS 장치에 준비된 도구를 배포하고 설치할 수 있기 때문입니다. 따라서 NAS 장치에 대한 강력한 보호 및보안조치는 그 어느 때보다 중요하며, 이러한 환경의보안을 유지하기 위해 사용자와 협력해야 합니다.
QNAP NAS 장치를 더 안전하게 만들기 위해 다음과 같은 좋은 습관을 유지하는 것이 좋습니다.
지속적인 학습: 최신 사이버보안동향 및 QNAP보안권고 사항에 대해 정보를 얻어 보안 인식을 높이십시오.
정기적인 점검: 장치의보안설정 및 로그를 정기적으로 점검하여 비정상적인 상황을 신속하게 식별하고 해결하십시오.
앱 선택 신중히: 신뢰할 수 있는 출처에서만 앱을 설치하고 정기적으로 앱을 업데이트하십시오.
안전한 네트워크: 네트워크 환경이 안전한지 확인하고 방화벽 및 VPN과 같은 도구를 사용하여 중요한데이터를 보호하십시오.
위의 조치를 통해 QNAP NAS 장치와데이터를 더 잘 보호할 수 있습니다. 오늘날의 디지털 시대에는 사이버보안위협이 도처에 있습니다. 경계를 늦추지 않고 적절한 보호 조치를 구현하는 것이 장치가 해커의 도구로 사용되는 것을 방지하는 데 중요합니다. QNAP은 또한 QTS 및 QuTS hero 생태계의 전체 정보 보안을 유지하기 위해 노력하여 전 세계 사용자가 가장 안전한 버전으로 신속하게 업데이트할 수 있도록 합니다. 함께 더 안전한 디지털 환경을 구축할 수 있습니다.