범위 참고: 지난 한 해 동안 Recorded Future 에서는 다음과 같이 조사했습니다. 출판 속도, 임무, 및 유틸리티 두 국가(중국과 미국)의 국가 취약점 데이터베이스(NVD)에 대한 것입니다. 우리는 러시아의 취약점 데이터베이스에 동일한 분석 기술을 적용하여 어떤 정보를 얻을 수 있는지 확인하기로 결정했습니다. 이 보고서는 러시아 연방 기술 및 수출 통제 서비스(FSTEC)가 공개한 취약점 분석, 러시아 정부 공식 문서, Recorded Future 데이터, 및 공개 소스 정보(OSINT)를 포함한 상세한 분석을 포함합니다. 이 보고서에 분석된 데이터는 2018년 3월 30일에 수집되었습니다.

Executive Summary

러시아의 취약성 데이터베이스는 매우 집중적입니다. 그러나 이는 불완전하고 느리며 기술 기업과 사용자에 대한 러시아 국가의 통제를 지원하기 위한 것일 가능성이 높습니다. 일반적으로 러시아는 알려진 취약점의 10%만 공개하고, 중국의 국가 취약점 데이터베이스(NVD)보다 평균 83일, 미국 NVD보다 50일 느리며, 다루는 몇 가지 기술도 불완전하기 때문에 취약점을 공개하는 속도가 느립니다.

주요 판단

• 러시아의 취약성 데이터베이스는 러시아 연방 기술 및 수출 통제 서비스(FSTEC)에서 운영합니다. FSTEC은 국가 기밀을 보호하고 방첩 및 첩보 작전을 지원하는 군사 조직입니다.
• FSTEC의 취약점 데이터베이스는 BDU(Банк данных угроз безопасности информаци)로도 알려져 있습니다. BDU는 NVD가 보고한 107,901개의 CVE 중 약 10%에 해당하는 11,036개의 취약점만 공개했습니다.
• FSTEC은 러시아 국가 지원 위협 그룹이 악용한 취약점의 61%를 공개했습니다. 이는 기준치인 10%를 크게 상회하는 수치이지만, 러시아 정보기관이 FSTEC 발행에 미친 영향을 판단하기에는 데이터가 불충분합니다.
• FSTEC은 주로 러시아 국가 정보 시스템에 위협이 되는 취약점으로 BDU 데이터베이스를 채웁니다. 이를 통해 연구자들은 러시아 정부 네트워크에서 어떤 기술, 하드웨어 및 소프트웨어가 사용되는지에 대한 정보를 얻을 수 있습니다.

배경

러시아 연방 기술 및 수출 통제 서비스(FSTEC)는 2004년에 설립되었으며 국방부 (MOD)에 소속되어 있습니다. FSTEC는 모스크바에 본사를 두고 있으며, 7개의 지역 본부 및 정보 보안 연구 및 테스트 기관인 FSTEC 기술 정보 보호 문제 국가 과학 연구 실험소( GNIII PTZI FSTEC)를 운영하고 있습니다.

FSTEC 본사는 모스크바에 위치해 있으며, 주소는 105066, 모스크바, 스타라야 바스만나야 거리 17번지입니다.

총리의 공식 웹사이트에서는 FSTEC을 "정부 정책을 시행하고, 부서 간 협력과 상호 작용을 조직하며, 국가 안보 분야에서 특별 및 통제 기능을 행사하는 연방 집행 기관"이라고 설명합니다.

2016년에 발표된 추가 공식 문서에 따르면 FSTEC은 국가 정책을 실행하고 부서 간 협력을 조직하며 다음과 같은 분야에서 국가 안보의 특수 기능을 수행합니다:

• 정보 시스템 보안
• 러시아에 대한 해외 기술 위협 대응
• 국가 기밀의 보안
• 수출 관리

조직의 명칭에서 알 수 있듯이 처음 세 가지 영역은 기술 관리 임무에 속합니다. FSTEC 문서를 광범위하게 검토한 결과, 수출 통제는 기술 통제를 받는 모든 업무와 기능보다 훨씬 적은 비중을 차지할 가능성이 높습니다. 기술 통제 임무는 내부 통제, 국가 정보 시스템 및 러시아에서 판매되는 외국 기술을 다룹니다.

국방부(MOD)의 소속 기관이지만, FSTEC는 특히 기술 통제 및 국가 기밀의 보안 분야 등에서 훨씬 더 길고 광범위한 권한 목록을 보유하고 있습니다. FSTEC 웹사이트에 게시된 문서에 따르면, 해당 기관은 화학 및 핵무기 제조에 사용될 수 있는 재료와 관련된 상업 활동을 규제하며, 기술 정보 수집 활동을 차단하고, 러시아 영토를 외국 과학 연구에 활용하는 것에 대한 의견을 제시하며, 다양한 유형의 시스템 및 장치에서 방출되는 방사선 연구에 대한 연구를 자금 지원합니다.

FSTEC는 또한 직위에 따라 임명된 고위 정부 관료들로 구성된 이사회를 보유하고 있습니다. 이 위원회에는 러시아 군 총참모부 제1부참모장, 내무부 부장관, 연방보안국(FSB) 산하 경제보안국장, SVR 부국장 등이 포함되어 있습니다. 이 이사회의 주요 기능은 FSTEC 예산의 수립 및 집행이며, 부서 간 업무 협조를 조정하는 것입니다.

FSTEC의 네 가지 주요 기능 하에서 수행되는 다양한 업무 중에서도 해당 기관은 국가 기밀 보호를 위해 FSB와 협력하며, 기술적 반간첩 및 반첩보 활동을 지원하며,¹ 국가 기밀을 다루는 정부 관료들의 통신을 감시할 권한을 보유하고 있습니다.

FSTEC는 현재 2011년 5월부터 해당 직위에 재직 중인 Vladimir Selin 이사가 이끌고 있습니다. 셀린은 1명의 부국장인 세르게이 야키모프와 4명의 부국장들로 지원받고 있습니다. FSTEC의 이사직 외에도 셀린은 국방부 이사회 멤버이며, 국가 기밀 위원회 부위원장으로도 재직 중입니다(이 위원회에는 러시아 군 총참모장 발레리 게라시모프 장군이 함께 참여하고 있습니다).

공식 국가 문서에 따르면, 2015년 FSTEC에는 보안, 보호, 또는 유지보수 인력을 제외하고 총 1,111명의 직원이 배정되었습니다. 1,111명의 직원 중 225명은 모스크바 본사에 근무하고 있으며, 나머지 886명은 FSTEC의 7개 지역 사무소에 분산되어 있습니다.

기술 통제에 중점을 두는 임무를 고려할 때, 1,111명의 직원 중 대다수는 이 의무와 관련된 문제를 다루고, 훨씬 적은 수의 직원이 FSTEC의 수출 통제 업무를 지원할 가능성이 높습니다.

FSTEC의 취약점 공개 프로세스

FSTEC는 취약점 공개 데이터베이스를 운영하며, 해당 데이터베이스에 대한 공개 접근을 웹사이트 bdu.fstec.ru/vul을 통해 제공합니다. 홈페이지에는 이 데이터베이스의 목적이 "정보 보안 시스템에 대한 기존 위협에 대한 관련자들의 인식을 높이는 것"이며, 다양한 고객층, 운영자, 개발자, 정보 보안 전문가, 테스트 실험실, 인증 기관 등을 대상으로 설계되었다고 명시되어 있습니다.

FSTEC은 또한 데이터베이스에 "정보 보안에 대한 주요 위협과 취약성, 주로 국가 정보 시스템과 중요 시설의 생산 및 기술 프로세스 관리를 위한 자동화 시스템의 특징에 대한 정보가 포함되어 있습니다^.2"라고 명시하고 있습니다.

FSTEC의 보안 위협 데이터베이스 홈페이지로, 해당 데이터의 목적과 대상 사용자를 설명합니다.

FSTEC은 이 데이터베이스가 완전하다고 주장하지 않습니다. 대신 국가가 사용하는 정보 시스템과 "중요 시설"의 취약점을 공개하는 데 중점을 둡니다. 이러한 사명은 FSTEC의 7개 지역 부서의 책임과 활동에서도 잘 드러납니다. 각 지역 본부에 부과된 업무의 대부분은 해외 기술 정보에 대응하고 각 지역 내 국가 정보 시스템과 데이터를 보호하는 데 압도적으로 집중되어 있습니다. 각 지역 본부에 부과된 10~11개 과제 중 상위 7개는 모두 해외 기술 정보 수집 대응과 국가 정보 시스템 보호에 관한 것이며, 나머지는 수출 통제와 관련된 것입니다.

데이터베이스에 대한 위협 또는 취약점(BDU라고 함)을 보고하는 것은 비교적 간단합니다. FSTEC은 취약점 항목 자체와 거의 일치하는 제출 양식을 제공합니다.

FSTEC 취약점 제출 양식.

FSTEC BDU 항목 ( CVE-2018-8148)

FSTEC은 전체 데이터베이스를 Excel 또는 XML 파일로 검색할 수 있는 간단한 다운로드 링크도 제공합니다. 이러한 다운로드에는 내부 ID, 해당 CVE 식별자, 영향을 받는 기술, 지원 문서 링크, 심각도 평가 등 다른 취약성 데이터베이스의 일반적인 필드가 포함되어 있습니다. 이번 발표에 포함되지 않은 것은 FSTEC이 취약점을 처음 공개한 날짜입니다. 2017년 1월 1일 이후 FSTEC에서 공개한 취약점에 대해 독점적인 기술을 사용하여 이 날짜를 설정했습니다.

FSTEC은 공공 서비스 기관이 아닙니다.

FSTEC는 국방부(MOD)의 소속 기관으로, 국방부 산하에서 운영되며 행정적으로 국방부에 속해 있습니다. 현재 FSTEC의 모든 고위 경영진, 즉 이사, 부이사 및 지역^본부3의 모든 책임자는 전직 군인 출신이며, 이 중 많은 이들은 FSTEC 내 이전 직위에서 장교 또는 예비역 직위를 겸임한 경험이 있습니다.

FSTEC 볼가 지역 사무소의 책임자인 파벨 막시야코프의 약력 스크린샷.

FSTEC의 주요 임무는 명확히 규정되어 있으며, 법령과 명령을 통해 반복적으로 명시되어 있습니다. 국가 안보는 그 핵심 임무입니다. 다른 국가의 "자매" 기관들과 달리, 예를 들어 중국 CNITSEC ( CNNVD를 운영하는 기관)과 달리, FSTEC는 공공 서비스 임무를 주장하지 않으며, 대신 취약점 데이터베이스(BDU)에 주로 국가 정보 시스템에 위협을 가하는 취약점을 등록합니다. 그러나 FSTEC는 CNITSEC와 달리 명시적인 군사 조직이며, 명시적인 국가 기밀 보호 임무를 가지고 있습니다.

2014년 리커창 중국 총리와 드미트리 메드베데프 러시아 총리의 회담에 따르면 러시아 정부는 중국 상무부를 CNITSEC이나 국가안보부가 아닌 FSTEC의 실질적인 중국 대응 기관으로 간주하고 있습니다. 이는 아마도 FSTEC이 국내 정보 및 기술 환경의 기술적 통제에 중점을 두고 있기 때문일 것이며, 이는 CNITSEC보다 훨씬 더 광범위한 임무입니다.

FSTEC은 명백한 군사 조직이기 때문에, FSTEC의 취약점 데이터베이스에 대한 질문은 주로 FSTEC이 몇 가지 취약점을 공개하는 이유에 집중되어 있습니다. 아래 문서에 설명된 대로 BDU는 매우 느리고 포괄적이지 않습니다. 공개된 몇 가지 취약점은 러시아 군의 공격적인 사이버 작전 의도보다는 FSTEC의 임무와 러시아 국가 정보 시스템에 대해 더 많은 것을 알려줍니다.

위협 분석

FSTEC는 2014년부터 취약점 데이터를 공개하기 시작했으며, 이는 미국 국가 취약점 데이터베이스(NVD) 가 설립된 지 약 15년 후입니다. 아래에서 볼 수 있듯이, FSTEC 취약점은 연도별 공개 현황을 보면 2014년에는 초기 공개 건수가 적었으며, 2015년에 급증한 후 2016년부터 2018년까지는 공개 건수가 감소하는 추세를 보였습니다.

연도별로 발표된 러시아 취약점.

2015년에는 어떤 일이 있었나요?

FSTEC의 BDU 식별자와 NVD의 CVE 식별자의 매핑을 조사하는 과정에서 매핑이 항상 일대일로 일치하지 않는 것을 관찰했습니다. FSTEC은 때때로 여러 CVE를 단일 BDU 취약점으로 연결하기도 하고, 단일 CVE에 취약한 여러 운영 체제에 대해 여러 BDU 식별자를 만들기도 했습니다. 러시아 BDU는 NVD가 보고한 107,901개의 CVE 중 11,036개(약 10%)를 차지합니다. 이러한 차이는 단순히 FSTEC이 늦게 시작되었기 때문만은 아닙니다. FSTEC에서 다루는 CVE의 약 25%가 FSTEC이 운영되기 몇 년 전에 발생한 것이기 때문입니다.

BDU와 CVE 식별자 간의 비선형적 상관관계에도 불구하고, FSTEC가 2015년에 다른 어떤 해보다 훨씬 더 많은 취약점을 공개했다는 것은 분명합니다. 이는 아마도 2015년이 BDU 데이터베이스의 실험적 해였기 때문일 것입니다. 이 기간 동안 FSTEC은 해당 데이터베이스의 기능성과 실용성을 평가했습니다. 2015년 FSTEC 연간 활동 보고서(2016년 3월 발행)에는 BDU 실험의 결과에 대해 언급되지 않았지만, 데이터에서 명확히 드러나듯이 취약점 공개의 범위와 수를 대폭 축소하기로 결정된 것으로 보입니다. 더 좁은 범위는 데이터베이스의 공공 임무와도 더 잘 부합합니다. 이 데이터베이스의 공공 임무는 국가가 사용하는 정보 시스템 또는 "핵심 시설"에서 발견된 취약점을 보고하는 것입니다.

또한 FSTEC이 가장 빠르게 발표한 취약점 중 75%는 브라우저 또는 산업 제어 관련 소프트웨어에 대한 취약점이었습니다.

이전 보고서에서 중국과 미국의 국가 취약점 데이터베이스 간 취약점 공개 공개 비율의 차이를 평가한 결과, 중국이 미국보다 평균적으로 취약점 공개 속도가 훨씬 빠르다는 사실을 알게 되었습니다. 2017~2018년에 발표된 취약점 중 세 국가 취약점 데이터베이스에서 공통적으로 발견되는 취약점을 조사한 결과, 러시아의 취약점 공개가 미국과 중국의 공개보다 크게 뒤처지는 것을 확인했습니다. 러시아의 취약점 공개는 불완전할 뿐만 아니라 매우 느립니다.

여러 국가 취약점 데이터베이스에서 취약점 공개 지연 일수.

FSTEC이 공개할 취약점을 어떻게 선정했는지 더 잘 이해하기 위해 FSTEC이 전체 커버리지 수준인 10%를 고려했을 때 예상보다 높은 비율로 커버한 기술 공급업체를 조사했습니다. 아래 두 차트에서 검은색 선(10의 값)은 FSTEC에서 발표하는 전체 취약점 중 10%를 나타냅니다. 보장 범위가 10% 미만인 모든 공급업체는 "보장 범위 미달"로 간주되며, 보장 범위가 10%를 크게 초과하는 모든 공급업체는 "보장 범위 초과"로 간주됩니다.

FSTEC이 적용되는 공급업체 CVE의 비율.

FSTEC이 적용되는 공급업체 CVE의 비율.

비슷한 분석 결과, FSTEC은 모든 기술에서 기본 적용 범위 수준에 비해 콘텐츠 관리 시스템(예: 워드프레스, 줌라, 드루팔)과 IBM 및 화웨이의 적용 범위가 크게 부족한 것으로 나타났습니다.

러시아 APT 취약점 커버리지

2016년 Recorded Future 간행물에서는 러시아 APT가 사용하는 취약점, 특히 가장 널리 사용되는 공급업체에 대한 분석을 제공한 바 있습니다.

레코디드 퓨처 블로그의 이미지, "공직 출마: 러시아 APT 툴킷 공개."

이러한 모든 기술에 대한 공급업체는 FSTEC이 집중하는 분야에 나열되어 있습니다. 즉, FSTEC은 각 공급업체에서 발견된 취약점의 10% 이상을 공개했습니다. 그러나 이러한 각 공급업체는 전 세계에서 가장 널리 사용되는 소프트웨어를 생산하고 있으며 러시아 APT 그룹이 이러한 기술을 표적으로 삼을 것이라고 예상하는 것이 합리적입니다.

이 점을 더 자세히 살펴보기 위해 지난 4년간 러시아 APT 그룹이 악용한 모든 취약점에 대한 최신 분석도 수행했습니다. CVE 번호가 있는 취약점과 미국 NVD 및 CNNVD에서도 발표한 취약점만을 활용하여 해당 기간 동안 러시아 APT 그룹이 활용했던 취약점 49개를 확인했습니다.

49개의 취약점 중 30개(61%)는 FSTEC에 의해 공개되었습니다. 이 수치는 FSTEC의 평균 10%보다 현저히 높습니다. 또한, 공개된 30개의 취약점 중 18개가 러시아 군의 주간첩국(GRU)으로 추정되는 APT28에 의해 악용되었습니다. 이것은 FSTEC가 러시아 군대가 악용한 취약점의 60%를 공개한 것을 의미합니다. 이 수치는 FSTEC의 통계적 평균인 10%를 훨씬 초과합니다.

다시 말하지만, 이러한 취약점 중 상당수는 전 세계에서 가장 널리 사용되는 소프트웨어에 대한 취약점입니다. 그러나 소프트웨어 공급업체와 취약점 자체에 대한 보고율이 비정상적으로 높다는 것은 두 가지 가능성을 제기합니다. 첫째, FSTEC의 임무가 러시아 정부 정보 시스템을 보호하는 것이기 때문에 러시아 정부 시스템도 이러한 프로그램을 활용하고 있으며 그 자체도 이러한 취약점에 노출되어 있음을 나타냅니다. 이는 FSTEC 간행물을 검토하면 러시아 정부 정보 시스템에 대한 통찰력을 얻을 수 있다는 것을 다시 한 번 확인시켜 줍니다.

둘째, FSTEC는 군사 조직으로, 이사회에 여러 군사 정보 요원이 있으며, 기밀 시스템을 보호하기 위해 군사 정보 기관과 정기적으로 협력합니다. 군사 정보 기관이 보유한 취약점 관련 정보를 바탕으로 러시아 국가 정보 시스템을 보호해야 할 의무가 있을 수 있으며, 또는 러시아 군사 해커들이 FSTEC이 공개한 취약점을 자신들의 작전에 활용할 수 있습니다.

공개 기록과 이용 가능한 데이터만으로는 FSTEC과 러시아 국가가 후원하는 사이버 작전 간의 관계를 파악하기에 아직 충분하지 않습니다. 그러나 FSTEC의 취약성 데이터베이스는 러시아 정보기관이 중국 정보기관이 사용하는 CNNVD와는 다른 방식으로 활용한다는 것은 분명합니다. 중국에서는 CNNVD가 정보 기관이 사용하는 취약점의 공개를 지연하거나 숨기는 반면, 러시아에서는 정보 기관이 사용하는 취약점을 보호하기 위해 FSTEC이 이를 공개할 가능성이 있습니다.

FSTEC의 적용을 받지만 위에 나열되지 않은 유일한 높은 커버리지의 공급업체는 Novell입니다.

오버커버리지 분석 결과, FSTEC은 전체 Adobe 취약점의 거의 절반을 커버함으로써 다른 어떤 개별 공급업체보다 Adobe에 더 집중하고 있는 것으로 나타났습니다. 하지만 FSTEC에서 다루지 않은 Adobe 취약점을 자세히 살펴본 결과, FSTEC은 CVSS 점수가 10점인 Adobe 취약점 386개와 8점 이상인 871개의 취약점을 공개하지 않은 것으로 확인되었습니다. FSTEC은 데이터에서 가장 많은 관심을 보이는 기술 영역에 대한 취약점 공개에 대해서도 포괄적이지 않습니다.

FSTEC가 취약점 정보의 신뢰할 수 있는 자료로 기능하려면 더 빠르고 포괄적이어야 합니다. FSTEC의 기업 파트너들도 BDU 데이터베이스를 독점적으로 사용한다고 주장하지 않습니다. 우리는 FSTEC가 왜 그렇게 적은 수의 취약점을 공개하는지에 대한 세 가지 가설을 아래에서 살펴봅니다.

기술 라이선싱

FSTEC의 기술 감독 업무의 주요 부분은 러시아에서 제품을 판매하려는 기업들에게 제품 검토를 실시하고 라이선스를 발급하는 것입니다. 2017년 6월 로이터 통신 보도에 따르면, FSB와 FSTEC는 외국 기술에 대한 검토를 진행하며, 이에는 "방화벽, 안티바이러스 애플리케이션, 암호화 기능을 포함한 소프트웨어의 소스 코드"가 포함되며, 해당 제품이 해당 국가에 수입 및 판매되기 전에 검토를 진행합니다. FSB는 일부 검토 작업을 수행하기 위해 인증된 파트너 기업들을 활용하고 있으며, 이 중에는 BDU 데이터베이스 관리에서 FSTEC의 파트너로도 활동하는 Echelon이라는 기업도 포함되어 있습니다.

에체론(Echelon) 및 기타 인증된 FSTEC 파트너들의 웹사이트에 따르면,⁴ FSB는 암호화 및 암호화 도구 검토를 담당하며, FSTEC는 "기밀 정보"의 개발 또는 생산 및 기술적 보호를 위한 라이선스를 발급합니다. FSTEC 라이선스는 러시아에서 소프트웨어의 생산 및 판매에 널리 요구됩니다.

FSTEC의 BDU 운영 파트너 중 디지털 보안, V.P. 이반니코바 러시아 과학 아카데미 시스템 프로그래밍 연구소, Rusbitech, All-Tech-Soft, 및 Perspective Monitoring을 포함해, Echelon만이 FSTEC, FSB, 및 MOD 검토와 관련해 고객 지원을 제공할 수 있다고 주장합니다.

그러나 FSB와 달리 FSTEC은 파트너나 중개자를 통해 검토를 수행하지 않습니다. 2016년 10월, FSTEC은 웹사이트에 해명문을 발표하여 FSTEC은 "중개자"와 상호 작용하지 않으며 "라이선싱을 위한 정부 서비스 제공"에 있어 어떠한 민간 기관과도 협력하지 않는다고 명시했습니다.

FSTEC은 발급하는 각 인증에 대한 라이선스 사용자 레지스트리를 게시합니다. 2018년에는 개발 및 생산 레지스트리에 대해 14개의 라이선스가 발급되었으며, 올해에는 66개의 기술 보호 라이선스가 발급되었습니다(2018년 7월 9일 기준). 이는 2017년에 140개의 개발 및 생산 라이선스와 293개의 기술 보호 라이선스가 발급된 것과는 대조적인 수치입니다.

하니웰, 알카텔-루슨트, 카스퍼스키, 화웨이, 휴렛팩커드, 봄바디어, 아토스, 시만텍 등 많은 유명 글로벌 기업이 이러한 인증을 받았습니다.

FSTEC에서 수행한 해외 기술 검사 일정.

FSTEC 라이선스 취득 기준이 너무 광범위하여 소프트웨어 회사의 어떤 정보가 승인 절차에 불필요한 것으로 간주되는지 평가하기 어렵습니다. 또한 인증 제도와 자격 증명은 다르지만, 기업이 FSTEC과 공유해야 하는 정보는 FSB에서 라이선스 취득을 위해 요구하는 정보와 매우 유사합니다. 여기에는 인력, 시설, 제품, 소프트웨어 생산 및 테스트 등에 대한 광범위한 데이터가 포함됩니다.

전망

FSTEC은 왜 취약점을 거의 발표하지 않나요?

위의 연구에서도 알 수 있듯이 FSTEC은 알려진 취약점 중 약 10%만 공개하고 있습니다. 더 큰 질문은 "왜?"입니다. 사용자를 위한 취약점의 90%를 해결하지 못하는 취약점 공개 데이터베이스에 리소스를 낭비하는 이유는 무엇일까요? 세 가지 가능성이 있는 가설이 있습니다:

1. FSTEC은 자원이 턱없이 부족하며 러시아 사용자를 위한 핵심 기술과 이러한 기술의 주요 취약점에만 집중할 수 있습니다.
2. FSTEC은 군사 조직이며 국가 취약성 데이터베이스로서 신뢰할 수 있는 '충분한' 콘텐츠를 게시하고 있습니다. 러시아 정부는 외국 소프트웨어에 대한 검토를 요구하는 등 FSTEC의 다른 기술 통제 책임을 위한 기준으로서 취약성 연구가 필요합니다.
3. FSTEC은 공격과 정보 보안이라는 두 가지 임무를 수행하며 경쟁 요구 사항을 기반으로 게시합니다. 이는 중국의 NVD(CNNVD)가 작동하는 방식과 유사합니다.

이전 연구에서 우리는 NIST 정보 기술 연구소 (ITL)가 약 400명의 과학 및 기술 인력을 고용하고 있으며 연간 약 $120백만 달러의 예산을 보유하고 있음을 밝혔습니다. ITL은 7개 부서로 구성되어 있으며, 미국 NVD를 포함한 다양한 데이터베이스와 시스템을 운영하고 있습니다. 반면 러시아의 FSTEC는 보안, 보호, 유지보수 인력을 제외하고 1,111명의 직원을 보유하고 있으며, 관료적 구조와 임무 범위는 유사하거나 약간 더 큰 규모입니다. NIST ITL과 FSTEC는 유사한 조직이 아니지만, 이 느슨한 비교는 FSTEC가 그 임무를 수행하기 위해 자원이 극히 부족하지 않다는 점을 보여줍니다. 또한, 공개된 취약점의 10%만을 보고하는 것은 자원 부족 때문이 아니라 선택의 결과입니다.

또한 FSTEC은 가장 중점을 두고 있는 기술에 대한 적절한 커버리지도 제공하지 않습니다. 위의 예에서 볼 수 있듯이 FSTEC은 전체 Adobe 취약점의 약 절반을 발표했지만, CVSS가 "심각" 또는 "높음"인 1,000개 이상의 Adobe 취약점을 여전히 누락하고 있습니다. Adobe가 정말 그렇게 중요하게 생각했다면 FSTEC은 이러한 취약점을 가능한 가장 높은 심각도 점수로 공개하지 않았을 것입니다. 이는 단순히 몇 가지 핵심 기술에만 집중하여 FSTEC의 공개 필요성을 판단할 수 없다는 결론으로 이어집니다. 이는 또한 FSTEC의 자원이 턱없이 부족하고 NVD를 따라잡을 인력이나 자본이 없다는 가설 1을 배제합니다.

둘째, FSTEC이 공개와 공격적인 사이버 임무의 균형을 맞추기 위해 CNNVD의 모델을 따르고 있다는 가설 3번을 뒷받침할 증거를 찾지 못했습니다. FSTEC은 공공 서비스 기관이 아니며, 데이터베이스가 포괄적이거나 시의적절하지 않고 광범위한 보호 임무를 지원하기에는 충분한 취약점을 공개하지 않습니다. 대신 FSTEC의 임무는 매우 집중적이고 구체적입니다. 러시아의 국가 및 중요 인프라 시스템을 보호하고 방첩 활동을 지원하는 것입니다.

또한 FSTEC은 러시아 국가가 후원하는 위협 그룹이 악용한 취약점에 대한 보고서를 발표하는 반면, CNNVD는 중국 정보기관이 악용한 취약점에 대한 발표를 지연하거나 숨기고 있습니다. 오히려 FSTEC이 발표하는 몇 가지 취약점을 통해 러시아 정부의 우선순위와 소프트웨어에 대한 통찰력을 얻을 수 있기 때문에 러시아 국가 정보 시스템을 지원하는 데 너무 집중하고 있는 것일 수도 있습니다.

마지막으로, 우리는 높은 신뢰도로 두 번째 가설이 러시아의 NVD의 임무와 의도를 정확히 설명한다고 평가합니다. 이 목적은 FSTEC의 취약점 데이터베이스가 국가 정보 시스템의 기준점을 제공하고 외국 기술 검토에 대한 합법적인 근거를 제공하는 것입니다. 2017년 2월 FSTEC 문서의 개정안에 따르면, 국가 정보 시스템의 검사 및 요구사항과 관련하여 BDU 데이터베이스의 취약점은 국가 정보 시스템의 보안 기준을 설정하기 위한 것이며, 포괄적인 취약점 목록을 제공하는 것이 아닙니다. 이는 2015년 취약점 공개의 급증으로 더욱 명확히 드러났습니다. 이 해는 데이터베이스의 미래 기능에 대한 실험적 단계였으며, 이는 이후 취약점 공개 감소로 이어졌습니다. 우리의 연구 및 데이터에 따르면 BDU 데이터베이스는 포괄적인 것을 목적으로 하지 않으며, 단순히 정부 정보 시스템 보안 및 소프트웨어 검사를 위한 기준점 역할을 합니다.

FSTEC와 FSB 사이의 기능적, 관리적, 비공식적 중복으로 인해, BDU 데이터베이스가 러시아 APT 그룹이 선호하는 것으로 알려진 특정 기술에 초점을 맞춘 일부 내용은 FSB가 자체 운영에 대한 지식과 이러한 기술의 취약점을 활용할 수 있다는 점에서 파생된 것일 수 있습니다. 이 이론을 뒷받침하는 증거는 거의 없습니다. FSTEC가 다루는 취약점과 러시아 APT 그룹이 가장 자주 사용하는 취약점 사이의 중복을 제외하면 말이죠.

이를 위해 FSTEC이 공개하는 취약점은 러시아 정부 기관이 공격적인 사이버 작전에서 어떤 취약점을 노릴지보다 네트워크에서 사용하는 하드웨어 및 소프트웨어에 대한 더 많은 정보를 전달합니다.

¹

국가 반첩보 및 보안 센터(NCSC)의 반첩보 용어 사전(Counterintelligence Terms Glossary)에 따르면, 반첩보(CE)는 반첩보의 독특한 하위 분야로, "반첩보의 공격적 또는 적극적인 측면"을 의미합니다. "CE는 공격적 작전으로, 적의 작전을 활용하거나 — 더 일반적으로는 활용하려고 시도함으로써 — 적에 대한 정보를 획득하는 수단입니다."

^2이내용은 Google 번역을 사용하여 기계 번역되었습니다.

각 지역 책임자의 ^약력은 https://fstec.ru의“Территориальные органы” 탭에서 확인할 수 있습니다.

4http://rusbitech.ru/about/certificate/ 참조. 그리고 https://www.altx-soft.ru/license.htm.