비디오: ë´ì ë ì¸ë¯¸ì»¨ëí¸, ì ê³ ìµì´ ê³ ì ì°ì AD컨ë²í° ê°ë°ãìë£Â·ì°ì ì© ì¥ë¹, ë°°í°ë¦¬ ìëª ëë ¸ë¤ã (십월 2024)
도둑이 보석상 창문을 통해 벽돌을 던지고 주식으로 돈을 벌 때 그의 이익은 보석상 손실보다 실질적으로 적습니다. 도둑은 물건이 뜨겁기 때문에 물건을 실제 가치 아래로 떨어 뜨려야합니다. 보석상은 상품의 가치를 잃어 버렸을뿐만 아니라 새로운 창구를 지불해야합니다. 마찬가지로, 백만 개의 신용 카드 번호를 훔치는 사이버 사기꾼이 수천 달러를 팔 수도 있습니다. 백만 명의 고객에게 알리고 새 카드로 설정하면 카드 발급 비용이 훨씬 더 많이 듭니다.
이 차이는 NSS Labs의 부사장 Stefan Frei에게 아이디어를 촉발 시켰습니다. 대부분의 사이버 공격은 운영 체제 또는 기타 소프트웨어의 일부 유형의 취약성을 악용하여 대상 회사의 보안을 약화시킵니다. 도구를 도둑에서 빼낼 수 있다면 어떨까요? 자세한 연구 논문에서 Frei와 동료 분석가 인 Francisco Artes는 도둑이 감당할 수있는 것보다 취약점에 더 많은 비용을 지불하는 IVPP (International Vulnerability Purchase Program)를 만드는 대담한 아이디어를 제시합니다.
숫자를 실행
각기 다른 전문가들은 사이버 범죄로 인해 전 세계적으로 다양한 재정 손실 추정치를 제공하지만 그 범위는 수백억에서 수십억에 이릅니다. Frei는 2012 년에 발표 된 취약점에 대한 수치를 기록한 결과, 150, 000 달러에 각각 구매하는 비용이 재정적 피해보다 훨씬 낮을 것임을 발견했습니다.
먼저 가장 높은 비용과 가장 낮은 수익을 살펴 보겠습니다. IVPP가 관련 소프트웨어의 심각성 또는 유병률에 관계없이 모든 취약점에 대해 15 만 달러를 지불하여 100 억 건의 재정 손실을 피했다고 가정합니다. 최악의 시나리오에서 구매 비용은 손실의 8 %에 불과합니다.
그러나 악용 된 취약점의 3 분의 1이 상위 10 개 공급 업체의 프로그램에서 발견되었습니다. 비용을 지불하고 손실에 대해 1, 000 억 건의 비용을 수용하면 비용은 손실 가치의 0.3 %로 낮아집니다. 심각도에 따라 단계적으로 지불하는 규모도 비용을 절감합니다. 이에 비해 미국의 소매 업체는 연간 매출의 1.5 ~ 2.0 %를 훔치거나 "재고 축소"로 잃을 것으로 예상했다.
보고서는 2012 년 모든 취약점을 구매하는 비용이 미국 GDP 또는 유럽 연합 GDP의 약 0.005 %, 소프트웨어 산업의 총 수익의 0.3 % 미만인 것으로 나타났습니다.
보안 구멍은 여기에 있습니다
이 문서의 일부는 소프트웨어 취약점과 관련하여 현재 상황을 검토합니다. 간단히 말해, 결함이없는 소프트웨어를 작성하는 것이 가능하더라도 수익성이 없습니다. 데이터 유출의 큰 비용은 결함이있는 소프트웨어의 공급 업체가 아니라 침해 된 회사에 있습니다. 비즈니스 측면에서 볼 때이 비용은 소프트웨어 공급 업체에게 "부정적인 외부 효과"이며 "수익 중심 비즈니스는 부정적인 외부 효과를 제거하는 데 투자하지 않습니다."
사용자는 보안 허점이있는 소프트웨어 공급 업체의 소프트웨어 구매를 거부함으로써 문제를 강제 할 수 있습니다. 그러나 실제로는 취약점이 표준입니다. 우리 모두는 그들을 기대하지만 멀리 가지 않습니다. 이 보고서는 "소프트웨어의 품질에 대한 법적 책임은 없으며 조만간 변경되지 않을 것"이라고 지적했다.
새로운 보안 허점을 발견 한 연구원은이를 자동으로 공급 업체에 제출하거나 공개적으로 발표하거나 최고 입찰자에게 판매 할 수 있습니다. 초기 NSS Labs 연구에 따르면 암시장 익스플로잇에 대한 재판매 사업이 번창하고 있습니다. 이 보고서는 상황이 훨씬 나빠질 것이지만 많은 보안 연구원들이 암시장에 판매하는 것을 이타 적으로 삼가고 있다는 사실을 지적합니다.
사기꾼은 경쟁 할 수 없습니다
수요와 공급의 세계에서, 사기꾼은 좋은 사람들과 경쟁하여 새로운 취약점에 대해 더 많이 입찰 할 것이라고 생각할 수 있습니다. 보고서는 사기꾼에 대한 작은 이익과 피해자에 대한 큰 손실 사이의 동일한 불균형은 사기꾼이 단순히 경쟁 할 수 없음을 의미한다고 지적합니다. 그들은 최대 예상 수입 이상을 제공 할 수 없지만 IVPP는 막대한 손실을 피하기 위해 훨씬 더 많은 돈을 지불 할 수 있습니다.
실제로 새로 발견 된 보안 허점에 대한 실질적인 보상은 더 많은 발견으로 이어질 것입니다. 잠재적 인 보상이 뒷면, 티셔츠 또는 수백 달러에 불과한 연구원은 동기 부여가되지 않습니다. 놋쇠 반지를 움켜 쥐면 150, 000 달러가 나옵니다. 그것은 다른 이야기입니다.
큰 계획
전체 보고서는 국제 취약점 구매 프로그램의 작동 방식에 대한 자세한 제안을 제공합니다. 여기에는 지불 대상자, 보고 방식, 전체 조직 구조 등 모든 것이 포함됩니다.
일어날까요? 여전히 볼 수 있습니다. 그러나 매우 철저히 검토 된 보고서는 그것이 실제로 작동 할 수 있음을 확신시켜줍니다.
