* 취약성과 버그의 차이

시스템이나 소프트웨어의 결함은 일반적으로 버그라고 부르고 있는데, 이 결함이 어떤 특정 공격에 대해서만 결함으로서 작용하는 경우에 이를 특히 취약성이라고 부른다.

결함으로서 작용한다는 것은 구체적으로 말하면 시스템이나 소프트웨어의 작성자나 소유자가 의도하지 않은 행동을 하는 것을 의미한다.

취약성과 관련된 결함은 시스템의 개발 및 테스트 단계에서는 결함으로서의 행동으로 나타나지 않는 경우가 많기 때문에 일반적인 버그처럼 간단히 검출하는 것은 불가능하다.

이 때문에 사전에 취약성을 없애기 위해 취약성 검사 테스트나 페네트레이션 테스트와 같이 실제 공격에 가까운 데이터를 투입하는 테스트를 실시할 필요가 있다.

그렇게 해도 실제 운용 전에 시스템의 취약성을 완전히 배제하는 것은 불가능에 가깝다.

* 취약성 취급과 관련된 주의점

시중에 나온 소프트웨어나 시스템의 취약성은 발견했다면 바로 모두에게 알리는 것이 세상에 도움이 된다고 생각할 수 있지만, 그리 단순한 문제가 아니다.

대책 방법이 확립되어 있지 않은 취약성을 공개하면 악의를 가진 사람이 그 취약성을 뚫고 공격을 할 가능성이 있다.

이와 같이 미대책 취약성에 대한 공격을 제로데이 공격이라고 한다.

보고된 취약성의 공개 시기에 대해서는 대책 측(개발자)과 조정하여 결정한다.