마이크로소프트 보안대응센터 보안게시판 위험도 등급 체계 (개정, 2002년 11월)
마이크로소프트 보안대응센터(Microsoft Security Response Center, MSRC)의 임무는 고객이 시스템과 네트웍을 안전하게 운용하는 것을 돕는데 있습니다. 이 임무중 주요한 부분은 고객으로부터 마이크로소프트 제품의 취약성이라고 의심되는 제보에 대한 평가및 필요할 경우 패치를 만들고 보안게시판을 통해 고객에게 널리 알리는 일입니다.
MSRC는 마이크로소프트의 모든 제품의 취약성에 대해 그것이 다수의 사용자에게 영향을 줄 소지가 있다고 판단될 경우, 악용될 가능성이 아무리 낮거나 영향이 제한적일지라도 보안게시판을 통해서 공지합니다. 그러나 취약성을 파악하고 대응하는 마이크로소프트의 이러한 신중한 정책으로 인하여, 많은 고객들이 특히 위험도가 높은 취약성을 선별하는 일에 어려움이 따를수도 있습니다.
정보산업의 과거 경험으로 볼때, 고객의 시스템에 영향을 주는 공격은, 공격자가 이전까지 알려지지 않은 새로운 취약성을 발견하여 이루어지는 경우는 거의 없었습니다. 오히려 Code Red나 Nimda 웜 바이러스에서 보듯이, 패치가 오래전부터 만들어 있었지만 그것을 설치하지 않았을 경우의 알려진 취약성을 악용하는 것이 전형적인 공격형태였습니다.
모든 취약성이 모든 사용자에게 동일한 영향이 있는 것은 아닙니다. 이 문서는 MSRC의 보안게시판의 위험도 등급에 대한 설명입니다. 2002년 11월에 고객의 의견을 수용하여 개정한 이 등급의 목적은, 고객이 스스로의 현황을 고려할때 영향을 피하기위해서는 어떤 패치를 설치해야하며, 얼마나 신속하게 대응해야 하는지에 대한 판단을 돕기 위한 것입니다. 여러 고객들로 부터 이러한 등급 정보를 보안게시판에 포함하여 위험도 판단에 도움이 될수 있도록 하자는 제안이 있어왔습니다.
위험도 등급 체계는 각각의 취약성에 대해 단 한개의 등급을 정합니다. 그 정의는 다음과 같습니다.
| 등급 | 정의 |
|---|---|
| 긴급* | 악용으로 인하여 사용자 개입없이 인터넷 웜의 전파를 허용할 가능성이 있는 경우 |
| 중요 | 악용으로 인하여 정보를 변조할 가능성이 있는 경우 |
| 보통 | 기본 설정값이나 검사을 통하여 그 위험도가 크게 줄어들거나, 악용이 어렵게되는 경우 |
| 낮음 | 악용이 지극히 어렵거나 영향이 매우 적은 경우 |
* 높음에서 긴급으로 등급 명칭이 변경되었습니다.
MSRC는 취약성의 위험도가 시스템 환경이나 사용방법에 따라 달라지는 경우에는 이에 대한 언급을 할 것입니다. 위험도 등급은 취약성이 알려졌고 이것을 악용하는 코드나 스크립트가 널리 유포되어 있다는 최악의 상황를 가정하고 신중하게 정하게 됩니다.
위험도 등급의 이용
이 등급체계는 현시점부터 발행되는 새로운 문제점에 대한 보안게시에 사용할 것입니다. 다수의 취약성을 제거하는 패치에 대해서는 그 중 가장 심각한 취약성에 준하여 등급을 정합니다. 그리고 해당 패치에 대한 게시판의 내용에는 각각의 취약성에 대한 개별적인 등급 정보도 볼 수 있습니다.
긴급이나 중요 등급에 관련된 제품을 사용하고 있을 경우에는 거의 항상 해당 패치를 설치할 것을 권장합니다. 긴급 등급에 대해서는 신속한 적용을 권장합니다. 보통이나 낮음 등급일 경우는 현재 환경에서 영향을 받을 것이지를 게시판의 내용을 읽고서 판단해야 합니다. 낮음 등급일 경우는 대부분의 고객에게 영향이 거의 없을 것으로 예상합니다.
이 위험도 등급은 각각의 문제에 대하여 광범위한 관점에서 객관적인 평가를 하기 위한 의도이며, 모든 고객은 각각 현재의 특정한 환경을 평가하고 어떤 패치가 필요한지에 대한 결정을 하는 것이 바람직합니다.
최종 수정일 : 2006. 4. 19