2023년은 이전 해에 비해 보안잇슈 보고가 증가하는 경향을 보이는 데 다음은 Foxit과 Adobe에 보고된 보안 잇슈를 제품 출시 싯점과 연관지어 요약해본 것입니다.
| 보안 문제 수 Foxit PDF 편집기 및 리더 VS. 어도비 아크로뱃 DC 및 리더 | |||||||
|---|---|---|---|---|---|---|---|
| Foxit | 2023년 출시일 | 2023/2/21 | 2023/4/19 | 2023/7/19 | 2023/9/12 | 2023/11/22 | 합계 |
| 보안 문제 수 | 4 | 7 | 27 | 14 | 25 | 77 | |
| Adobe | 2023년 출시일 | 2023/1/10 | 2023/4/11 | 2023/8/8 | 2023/9/12 | 2023/11/14 | 합계 |
| 보안 문제 수 | 18 | 16 | 30 | 1 | 17 | 82 | |
Foxit이 전체 77건, Adobe가 82건으로서 거의 유사한 수준입니다. 마찬가지로 다른 PDF 업체들도 이정도 수준의 보안 잇슈가 있었다고 보는 것이 정상이겠습니다.
두 벤더는 보안 패치를 부지런히 하여 각각 다섯 차례의 릴리즈를 한 기록이 다음 표에 나타나 있습니다.
Foxit의 Security Bulletin: https://www.foxit.com/support/security-bulletins.html
Adobe의 Security Bulletin: https://helpx.adobe.com/kr/security/security-bulletin.html#acrobat
이외에 NitroPDF가 2회, 영국의 PDFX-change제품이 8회 업데이트를 하였습니다. https://www.pdf-xchange.com/support/security-bulletins.html
한편 국내 공공기관 정부 24 싸이트나 대법원, 국회에서 사용중인 유니닥스의 ezPDF는 어떤 취약점이 보고되고 언제 보안패치를 하였을까요? 지난 2021년에 정부24 싸이트에서 다운받을 수 있는 ezPDF열람기에서 취약점이 발견되어 급히 보안패치를 릴리즈한 것 이외에는 별도로 Security Bulletin에서 언급하지 않고 있는 것으로 보입니다. (관련 기사: 무료 PDF 뷰어 ‘ezPDF’ 일부 버전 취약점 발견… 삭제 및 최신 버전 설치 권고 (boannews.com)
알PDF 역시 별도의 보안 잇슈 보고나 수정 공지 싸이트를 운영하고 있지 않습니다.
접수되는 보안 잇슈는 CVE 번호로 관리되는데 다음 표는 연도별 각 벤더에게 보고된 CVE 숫자입니다.
| CVE 번호 | ||||||||||
| 2015 | 2016 | 2017 | 2018 | 2019 | 2020 | 2021 | 2022 | 2023 | 합계 | |
| Foxit 리더/PDF 편집기 | 6 | 17 | 66 | 324 | 83 | 68 | 92 | 74 | 12 | 742 |
| Adobe Reader/Acrobat | 134 | 227 | 216 | 385 | 343 | 96 | 121 | 103 | 82 | 1707 |
Foxit과 Adobe의 CVE 수에 차이가 나는 데에는 세 가지 주요 요인이 있습니다:
- 브랜드 인지도: Adobe는 브랜드 인지도가 높기 때문에 많은 보안 연구자들이 제품의 취약점을 파악하는 데 집중하고 있습니다. 이러한 관심과 면밀한 조사는 더 많은 취약점을 발견하고 보고하는 결과로 이어집니다. 반면, Foxit은 브랜드 인지도가 낮기 때문에 제품의 취약점을 적극적으로 검색하는 보안 연구원의 수가 적을 수 있습니다.
- CVE 할당 프로세스: Adobe는 CNA(CVE 번호 부여 기관)로서 자사 제품의 취약성에 CVE 번호를 할당할 수 있는 권한을 가지고 있습니다. 이 중앙 집중식 프로세스를 통해 각 취약점을 추적하고 CVE를 할당할 수 있습니다. 반면, Foxit은 신고자가 자체적인 필요성 또는 취약점의 중요도에 따라 CVE를 신청합니다. 따라서 모든 보안 문제에 CVE가 할당되는 것은 아니며, Foxit에서 확보한 CVE의 수가 제품의 전체 취약점을 대표하지 않을 수도 있습니다.
- 지연된 공개: 2023년에 발견된 취약점의 대부분은 아직 CVE에 공개되지 않았는데, 이는 보안 기관의 CVE 공개가 지연되고 있기 때문일 수 있습니다. 반면, Adobe는 CNA로서 새 버전이나 업데이트를 출시할 때마다 CVE를 공개하는 관행을 따르고 있기 때문에 2023년에 보고된 CVE의 수에서 Adobe와 상당한 차이가 발생할 수 있습니다.
CVE의 수만으로는 브랜드 또는 제품의 보안 상태를 종합적으로 파악할 수 없다는 점에 유의해야 합니다. 취약성 관리 관행, 사전 예방적 보안 조치, 시기적절한 패치 또는 업데이트와 같은 다른 요소도 제품의 전반적인 보안을 평가할 때 고려해야 합니다. 취약점을 신속하게 해결하고, 보안 조치의 우선순위를 정하며, 제품의 전반적인 안전성과 복원력을 보장하는 데 중점을 두어야 합니다.
보고된 보안 잇슈는 트렌드마이크로 Zero Day Initiative에서는 120일, Cisco Talos에서는 90일을 수정기간을 부여하고 있는 데 기간내 해결하지 않는 경우도 있습니다. 이렇듯 커뮤니티와 보안 벤더간에 제품 보안 사고를 막기 위해 연구협력을 하고 있습니다만, 회사의 보안을 책임지고 있는 담당자라면 한번쯤 자사의 PDF 프로그램이 적절하게 보안패치되고 있는 지 점검해 볼 필요가 있습니다.