【취약점】 취약점이 발견된 후 공격받기까지의 평균 시간이 5년 전의 1/188로 단축되었다

중앙값에 이르러서는 무한소입니다.

Zero Day Clock이라는 사이트에서, CVE가 공개된 후 실제로 악용이 확인될 때까지의 기간을 나타낸 그래프를 볼 수 있습니다.

이 『악용 확인』은 『3,500건 이상의 공격이 확인되었다』는 기준이라고 합니다.

왜 3,500건인지는 수수께끼입니다.

이 집계가 시작된 2018년에는, 취약점이 공개된 후 악용될 때까지의 평균값은 2.3년, 중앙값은 2.1년이었습니다.

패치(Patch) 적용까지 1년이 걸려도 그렇게까지 문제는 없었다는, 매우 목가적인 페이스군요.

하지만 이 간격은 그 후 놀라운 기세로 단축되어 갑니다.

지금으로부터 5년 전인 2021년에는 평균값은 10개월, 중앙값은 2.2개월까지 짧아졌습니다.

평균값은 절반 정도 줄었지만 중앙값은 1/10이 되었으며, 이는 단기간에 공격받는 취약점이 늘어났음을 의미합니다.

그리고 2026년에는 평균 1.6일, 중앙값은 무려 0입니다.

즉, 취약성의 절반 이상은 제로데이 공격(Zero-day attack)에 사용되고 있으며, 나머지 대부분도 수일 이내에 공격받는다는 뜻입니다.

불과 10년도 안 되는 사이에 경이적인 진보군요.

전혀 반갑지 않은 진보입니다만.

공격이 관측된 취약점 중 제로데이 공격을 받은 비율입니다.

2025년에 50%를 넘었고, 2026년에는 실로 3/4의 취약성이 제로데이 공격을 받고 있습니다.

이 타임스팬(Time span)에서는, CVE가 공개된 후 패치 적용을 시작한다는 기존의 운용 방식으로는 방어가 따라갈 수 없다는 것이 명백해지네요.

공개된 CVE 중 실제로 악용이 확인된 비율입니다.

1~2% 전후로, 진정으로 위험한 취약성의 비율은 그렇게 많지 않은 모양입니다.

비율 자체는 그 정도라고 해도, CVE의 수는 연간 10만 건 이상이므로 수치상으로는 상당히 많은 셈입니다.

2026년의 비율이 적은 것은, 최근의 데이터인 점과 AI에 의해 사소한 취약성까지 리스트업되게 되었기 때문일까요.

데이터는 단순한 사실을 보여주고 있습니다.

2018년에는 취약점이 공개된 후 악용될 때까지의 기간 중앙값은 771일이었다.

조직은 패치를 적용할 때까지 2년이라는 유예를 가질 수 있었다.

2023년에는 그 유예가 6일이 되었고, 2024년은 4시간이 되었다.

그리고 2025년에는, 공개되기도 전에 공격에 사용되고 있었다.

그래프는 지수 함수적 감쇠(Exponential decay)를 따르고 있다.

즉, 이것은 안정화가 아니라 붕괴이다.

근본적인 문제로서, 소프트웨어 벤더(Software vendor)가 보안 패치를 릴리스하면, AI는 수 분 이내에 이를 리버스 엔지니어링(Reverse engineering)하여 수정된 취약점을 특정하고, 수 시간 이내에 공격을 시작한다.

하지만 조직이 패치를 테스트하고 적용하는 데는 20일이 걸린다.

취약점을 수정하는 행위가 오히려 그 악용을 가속화하는 것이다.

그리고 방어 측이 태세를 갖추기 전에 공격이 시작된다.

조직은 라이프사이클(Lifecycle)의 99.9% 기간 동안 취약성에 노출되어 있다.

월례 패치는 더 이상 의미가 없다.

이것은 더 나은 도구가 있다면 해결할 수 있는 기술적인 문제가 아니다.

현대 사회의 모든 것에 악영향을 미치는 구조적 결함이다.

결론적으로, 이제 공격의 대부분이 제로데이이므로 기존의 방어 수법은 쓸모가 없게 되었으며, 지금까지와는 다른 취약점 대책의 프레임워크(Framework)가 필요하다는 것입니다.

다만 대책 항목으로 꼽힌 대책들은 모두 빅테크(Big Tech) 이외에는, 혹은 빅테크조차도 어려운 비현실적인 주장입니다.

예를 들어 가장 먼저 언급된 Hold the Makers Accountable은, 취약점이 있는 제품을 출하했을 경우 제작자에게 법적 책임을 지우라는 주장입니다.

즉, FOSS(Free and Open Source Software)는 사멸할 것입니다.

또한 Stop Patching. Start Rebuilding.은, 머신(Machine)이 침해되었을 경우 내부를 모두 폐기하고 클린 설치(Clean install)를 다시 하라는 주장입니다.

AWS나 Azure 같은 인프라라면 몰라도, 개인이 하기에는 무리겠죠.

과거의 기록이 가득 담긴 개인 PC가 오염되었으니 전부 삭제하라거나, 개인 PC가 오염되었을 때를 대비해 클론(Clone)을 만들어 두라는 식의 말을 들어도 말이죠.

뭐, 대책 항목은 차치하더라도, 취약점 대책은 이제 최우선 사항이며 급박한 과제이므로 열심히 노력해야 하는 것은 틀림없을 것입니다.

그러고 보니 내 집 PC는 아직도 Windows 10 그대로였네.