Skip to main content

Microsoft 악용 가능성 인덱스

게시 날짜: 2008년 10월 10일 | 업데이트 날짜: 2009년 2월 10일

Microsoft 악용 가능성 인덱스는 고객이 Microsoft 보안 업데이트의 배포 우선 순위를 지정할 때 도움이 되는 추가 정보를 제공하기 위해 고안되었습니다. 이 인덱스는 고객에게 Microsoft 보안 업데이트에서 다루는 취약점을 대상으로 해당 업데이트 출시 후 30일 내에 작동하는 공격 코드가 개발될 가능성에 대한 지표를 제공합니다.

Microsoft에서 악용 가능성 인덱스를 개발한 이유

Microsoft 보안 공지를 통해, 그리고 월별 보안 공지 웹캐스트에서 고객은 보안 업데이트 출시 시점에 이 업데이트와 관련된 개념 증명 코드, 공격 코드 또는 활성 공격에 대한 정보를 받습니다.

Microsoft는 고객이 위험을 더 심층적으로 평가하기 위한 추가 정보를 요청함에 따라 악용 가능성 인덱스를 개발했습니다. 이 인덱스는 보안 업데이트가 출시된 후 작동하는 공격 코드가 출현할 가능성에 대한 세부 정보를 제공함으로써 고객이 Microsoft 보안 업데이트의 배포 우선 순위를 지정하는 데 도움을 줍니다.

악용 가능성 인덱스의 작동 원리

Microsoft는 Microsoft 보안 업데이트와 관련된 취약점의 잠재적인 악용 가능성을 평가한 후 월별 Microsoft 보안 공지 요약에서 악용 가능성 정보를 게시합니다. 처음 30일 내에 악용 가능성 인덱스 평가의 변경 사유가 인정되는 경우 Microsoft는 공지 요약의 평가를 변경하고 고객에게 기술 보안 알림을 통해 이를 알립니다. 기존 악용 가능성 정보와 일치하는 공격 코드가 게시되는 경우 공지 요약의 평가는 업데이트되지 않습니다.

이 악용 가능성 정보에는 공지 ID, 해당 공지의 공지 제목, 특정 취약점과 연결된 CVE ID, 악용 가능성 인덱스 평가 및 주요 메모가 포함됩니다.

예를 들어 2008년 4월 보안 공지 보안 업데이트 릴리스에 있는 공지의 악용 가능성 정보 표는 다음과 같습니다.

공지ID공지 제목CVEID악용 가능성 인덱스 평가주요 메모
MS08-021 GDI의 취약점으로 인한원격 코드 실행 문제점(948590) CVE-2008-10871
[일관적인 공격 코드의 출현 가능성 높음]
Windows 2000 Service Pack 4는 가능성 높음. 다른 운영 체제는 가능성 중간


악용 가능성 인덱스는 Microsoft 보안 공지에서 다루는 취약점을 기반으로 다음 세 가지 값 중 하나를 사용하여 작동하는 공격 코드가 나올 가능성을 고객에게 알립니다.

악용 가능성 인덱스 평가짧은 정의
1일관적인 공격 코드의 출현 가능성 높음
2일관적이지 않은 공격 코드의 출현 가능성 높음
3작동하는 공격 코드의 출현 가능성 낮음


1 - 일관적인 공격 코드의 출현 가능성 높음

이 등급은 Microsoft 분석 결과 공격자가 해당 취약점을 일관적으로 악용할 수 있는 공격 코드가 만들어질 수 있는 것으로 나타났음을 의미합니다. 예를 들어 악용으로 해당 공격자의 코드를 반복적으로 원격 실행할 수 있고 공격자가 일관적으로 동일한 결과를 기대할 수 있는 경우가 이에 해당합니다. 즉, 공격자 입장에서는 매력적인 공격 대상이므로 공격 코드가 만들어질 가능성이 높습니다. 따라서 보안 공지를 검토하고 자신의 환경에 해당됨을 확인한 고객은 이 취약점의 우선 순위를 높게 취급할 수 있습니다.

2 - 일관적이지 않은 공격 코드의 출현 가능성 높음

이 등급은 Microsoft 분석 결과 공격 코드가 만들어질 수는 있지만 영향을 받는 제품을 대상으로 하더라도 공격자가 얻는 결과는 일관적이지 않을 가능성이 높은 것으로 나타났음을 의미합니다. 예를 들어 악용을 통해 원격 코드 실행이 가능해질 수 있지만 대상 시스템 상태와 공격 코드의 성격에 따라 10번 중 한 번, 또는 100번 중 한 번만 실행되는 경우가 이에 해당합니다. 공격자는 대상 환경에 대한 이해와 공격 제어를 강화함으로써 결과의 일관성을 높일 수 있지만 공격의 특성 자체가 불안정하므로 공격자 입자에서는 매력이 떨어지는 대상입니다. 즉, 공격 코드가 만들어질 가능성은 높지만 일관적으로 악용 가능한 다른 취약점에 비해 공격의 효과는 떨어질 소지가 큽니다. 따라서 보안 공지를 검토하고 자신의 환경에 해당됨을 확인한 고객은 이 업데이트를 중요한 업데이트로 취급하되, 배포 우선 순위를 지정하는 경우 악용 가능성이 높은 다른 취약점에 비해 우선 순위를 낮게 지정할 수 있습니다.

3 - 작동하는 공격 코드의 출현 가능성 낮음

이 등급은 Microsoft 분석 결과 성공적으로 작동하는 공격 코드가 출현할 가능성이 낮은 것으로 나타났음을 의미합니다. 즉 취약점을 트리거하고 비정상적인 동작을 유발하는 공격 코드가 출현할 수는 있지만 공격자가 취약점의 영향이 완전히 발휘되도록 하는 공격 코드를 만들 수 있을 가능성은 낮습니다. 이 유형의 취약점을 제대로 활용하기 위해서는 공격자가 상당한 노력을 기울여야 함을 감안하면 공격 코드가 만들어지고 사용될 위험은 무척 낮습니다. 따라서 보안 공지를 검토하고 자신의 환경에 해당됨을 확인한 고객은 이 업데이트의 우선 순위를 릴리스 내의 다른 취약점보다 낮게 지정할 수 있습니다.

주요 메모 섹션

표에 제공되는 주요 메모에는 특정 제품 또는 운영 체제에 따라 악용 가능성 예측에 중요한 변화가 있는지 여부에 대한 추가 정보 및 해당 취약점의 악용 가능성과 관련된 기타 중요 정보가 포함됩니다. 위의 예에서 Windows 2000은 다른 운영 체제에 비해 더 위험하므로 고객은 운영 체제 또는 제품 버전별로 릴리스 우선 순위를 지정하는 경우 이러한 점을 고려해야 합니다.

중요한 용어와 정의

공격 코드 – 소프트웨어 프로그램 또는 샘플 코드로, 취약한 시스템을 대상으로 실행될 경우 이 취약점을 이용하여 공격자의 ID를 스푸핑하고 사용자 또는 시스템 정보를 변조하고 공격자 작업을 부인하고 사용자 또는 시스템 정보를 유출하고 유효한 사용자에게 서비스를 거부하거나 공격자의 권한을 상승시킵니다.

작동하는 공격 코드 – 보안에 대한 취약점의 영향을 최대한으로 끌어낼 수 있는 공격 코드입니다. 예를 들어 보안에 대한 취약점의 영향이 원격 코드 실행인 경우 작동하는 공격 코드를 대상 시스템에 대해 실행할 경우 원격 코드가 실행될 수 있습니다.

일관적으로 악용 가능 – 취약점의 악용 가능성 수준으로, 취약한 시스템을 대상으로 하는 공격 코드가 안정적으로 수행됨을 의미합니다.

일관적이지 않게 악용 가능 – 취약점의 악용 가능성 수준으로, 취약한 시스템을 대상으로 하는 공격 코드가 특정 조건에서만 작동하며 전문 지식과 정교한 타이밍을 요구하거나 결과의 편차가 큼을 의미합니다.

취약점 트리거 – 취약한 코드에 도달할 수 있지만 항상 최대한의 영향을 끌어낼 수는 없습니다. 예를 들어 원격 코드 실행 취약점을 트리거하기는 쉽지만 그 결과로 나타나는 효과는 서비스 거부에 그칠 수 있습니다.

악용 가능성 인덱스와 관련된 FAQ(질문과 대답)

질문: Microsoft 악용 가능성 인덱스란 무엇입니까?

대답: Microsoft 악용 가능성 인덱스는 고객이 월별 보안 업데이트의 배포 우선 순위를 지정하는 데 도움이 되는 추가 정보를 제공하는 인덱스입니다. 이 인덱스는 Microsoft 보안 공지에서 다루는 각 취약점을 기반으로 작동하는 악용의 발생 가능성에 대한 지침을 고객에게 제공합니다.

질문: Microsoft에서 악용 가능성 인덱스를 만든 이유는 무엇입니까?

대답: 고객들이 매월 Microsoft 보안 업데이트 배포의 우선 순위를 지정하는 데 도움이 되는 추가 정보를 요청했으며, 특히 보안 공지에서 다루는 취약점에 대한 공격 코드의 발생 가능성에 대한 세부 정보를 요청했습니다. Microsoft는 항상 웹캐스트와 고객 호출을 통해 릴리스 시점에 알려진 공격 코드 또는 공격에 대한 설명으로 이 요청에 응했습니다. 악용 가능성 인덱스는 여기서 한 걸음 더 나아가 취약점이 어떻게 악용될 수 있는지, 그리고 보안 공지가 발표된 후 한 달 내에 공격 코드가 게시될 가능성에 대한 세부 정보를 제공합니다.

질문: 이 인덱스의 등급 시스템은 정말 신뢰할 수 있습니까?

대답: 보안 에코시스템 내의 활동을 예측하기란 항상 어려운 일이지만 이 시스템을 신뢰할 수 있는 이유가 세 가지 있습니다.

첫째, 지난 몇 년에 걸쳐 Microsoft는 많은 보안 연구원들이 보호 기능을 만들고 평가하기 위해 Microsoft의 보안 공지가 발표되는 당일 이와 관련된 업데이트를 분석한다는 사실을 인지했습니다. 이 과정에서 많은 연구원들은 이러한 보호 기능을 테스트하기 위한 공격 코드도 만듭니다. 이 공격 코드를 만드는 데 사용되는 방법은 Microsoft가 공격 코드의 출현 가능성을 확인하는 데 사용하는 방법과 비슷합니다. Microsoft는 업데이트 자체, 취약점의 특성, 그리고 공격이 성공적으로 실행되기 위해 충족되어야 하는 조건을 분석합니다.

둘째, Microsoft 보안 업데이트에 의해 해결되는 취약점 중 일부는 공격 코드로 이어지지 않습니다. 사실 2006년과 2007년 Microsoft 보안 공지에서 해결된 취약점이 작동하는 공격 코드까지 이어진 경우는 30%에 불과했습니다. 공격 코드의 출현을 확인할 수 있는 사회적 요소는 많지만 일부 취약점의 기술적인 특징은 악용을 더욱 어렵게 만듭니다. 예를 들어 Windows Vista에서는 ASLR(Address Space Layout Randomization)과 DEP(데이터 실행 방지)의 조합으로 인해 일부 취약점의 악용이 더 어렵습니다. 또한 일부 취약점의 경우 공격 코드가 성공적으로 작동하려면 시스템 메모리가 예측 가능한 상태여야 합니다. 따라서 위에 언급된 방법을 사용하여 각 취약점을 신중하게 분석하면 일관적으로 작동 가능한 공격 코드를 만드는 일의 난이도를 신뢰할 수 있는 수준으로 파악할 수 있습니다.

마지막으로, Microsoft는 Microsoft Active Protections Program을 통해 보호 기능 공급자와 협력하여 매월 Microsoft의 예측을 검증합니다. 즉, 정보 공유를 통해 보다 높은 정확성을 확보하고자 커뮤니티 중심적인 방식을 사용합니다.

질문: MSRC 공지 심각도 등급 시스템과 어떻게 다릅니까?

대답: MSRC 공지 심각도 등급 시스템은 악용이 성공할 것으로 가정합니다. 악용 가능성이 높은 일부 취약점의 경우 다양한 유형의 공격자에 대해 이 가정이 사실로 이어질 가능성이 매우 높습니다. 악용 가능성이 낮은 다른 취약점의 경우 이 가정은 뚜렷한 목적을 가진 공격자가 성공적인 공격을 위해 많은 리소스를 투입하는 경우에만 사실로 이어집니다. 공지 심각도나 악용 가능성 인덱스 등급에 관계없이 Microsoft는 항상 고객이 적용 및 사용 가능한 모든 업데이트를 배포할 것을 권장합니다. 다만 이 등급 정보는 숙련된 고객이 매월 릴리스에 우선 순위를 지정할 때 도움이 됩니다.

질문: 악용 가능성 인덱스 등급이 잘못된 경우에는 어떻게 됩니까?

대답: 가능한 취약점 악용에 등급을 지정하는 일은 현재 발전 과정에 있는 과학이며, 포괄적인 악용에 대한 새로운 기법 또는 하나의 취약점에 국한된 고유한 기법이 발견될 경우 악용 가능성 인덱스 등급이 변경될 수 있습니다. 그러나 악용 가능성 인덱스의 목적은 고객이 최신 월별 업데이트 릴리스에 우선 순위를 지정할 때 이를 돕는 것입니다. 따라서 보안 릴리스가 나온 첫 달에 해당 평가를 변경시킬 정도의 정보가 입수되는 경우 MSRC는 악용 가능성 인덱스를 업데이트합니다. 그러나 몇 달 후, 즉 대부분의 고객이 우선 순위 지정을 마친 후에 이러한 정보가 입수되는 경우 악용 가능성 인덱스가 업데이트되더라도 고객에게 쓸모가 없으므로 업데이트되지 않을 수 있습니다.

질문: 악용 가능성 인덱스는 CVSS 및 다른 등급 시스템과 어떻게 관련됩니까?

대답: 악용 가능성 인덱스는 다른 등급 시스템과 관계없는 독립적인 인덱스입니다. 그러나 MSRC는 CVSS(Common Vulnerability Scoring System)에 기여하는 구성원이며, Microsoft는 악용 가능성 인덱스를 작성 및 발표하는 과정에서 얻은 경험과 고객 피드백을 CVSS 작업 그룹과 공유하여 CVSS가 효과적이고 실용적인 등급 시스템이 되도록 돕습니다.

질문: 이 인덱스는 대상 지정 공격에 대해 경고합니까?

대답: 악용 가능성 인덱스 자체는 공격자가 어떤 방법으로 공격 대상을 지정하는지에 대해서는 경고하지 않지만 대상 지정 공격에서 주로 어떤 취약점이 사용될 것인지 파악할 수 있도록 고객에게 도움을 제공합니다. 예를 들어 제한된 대상 지정 공격에서 공격자는 공격이 발견될 확률을 낮추기 위해 악용 가능성이 높은 취약점을 선택할 가능성이 높습니다. 따라서 대상 지정 공격이 우려되는 고객은 월별 위험 평가 시 악용 가능성 인덱스를 사용하여 이러한 취약점에 대한 업데이트 및 보호의 우선 순위를 높일 수 있습니다.

Microsoft는 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?