CERT 코디네이션 센터

CERT 코디네이션 센터(CERT Coordination Center, CERT/CC)는 비영리 미국 연방 기금 연구 개발 센터인 소프트웨어 공학 연구소 (SEI)의 컴퓨터 비상 대응팀 (CERT) 코디네이션 센터이다. CERT/CC는 소프트웨어 및 인터넷 보안에 영향을 미치는 소프트웨어 버그를 연구하고, 그 연구 결과 및 정보를 게시하며, 기업 및 정부와 협력하여 소프트웨어 및 인터넷 전반의 보안을 향상시킨다.

CERT 코디네이션 센터

형태	FFRDC (소프트웨어 공학 연구소의 일부)
창립	1988
산업 분야	소프트웨어 및 네트워크 보안
본사 소재지	미국 피츠버그
핵심 인물	US AF Brigadier General (ret) Gregory J. Touhill Director
웹사이트	sei.cmu.edu/about/divisions/cert/index.cfm

역사

이러한 종류의 첫 번째 조직인 CERT/CC는 모리스 웜 사건에 대응하여 DARPA의 지시에 따라 1988년 11월 피츠버그에서 설립되었다.^[1] CERT/CC는 현재 소프트웨어 공학 연구소의 CERT 부서 소속이며, 이 부서에는 시스템 보안에 대한 사전 예방적 접근 방식을 취하는 프로젝트에 150명 이상의 사이버 보안 전문가가 근무하고 있다. CERT 프로그램은 정부, 산업계, 법 집행 기관 및 학계와 협력하여 대규모의 정교한 사이버 위협에 대응하기 위한 고급 방법 및 기술을 개발한다.

CERT 프로그램은 카네기 멜런 대학교 피츠버그 본교에 있는 연방 기금 연구 개발 센터(FFRDC)인 소프트웨어 공학 연구소 (SEI)의 일부이다. CERT는 카네기 멜런 대학교의 등록 상표이다.^[2]

US-CERT 및 기타 CERT와의 혼동

2003년, 미국 국토안보부는 카네기 멜런 대학교와 US-CERT를 설립하기 위한 협약을 체결했다.^[3] US-CERT는 미국 국가 컴퓨터 보안 사고 대응팀(CSIRT)이다. 이러한 협력은 종종 CERT/CC와 US-CERT 간의 혼동을 야기한다. 관련되어 있긴 하지만, 두 조직은 별개의 독립체이다. 일반적으로 US-CERT는 미국 국가 안보와 관련된 사례를 처리하는 반면, CERT/CC는 더 일반적인 사례를, 종종 국제적으로 처리한다.

CERT/CC는 US-CERT 및 기타 컴퓨터 보안 사고 대응팀과 정보를 조율하며, 이들 중 일부는 "CERT"라는 이름을 사용할 수 있는 라이선스를 가지고 있다.^[4] 이들 조직은 카네기 멜런 대학교로부터 "CERT" 이름을 라이선스 받지만, 이들 조직은 자국에 설립된 독립적인 법인이며 CERT/CC에 의해 운영되지 않는다.

CERT/CC는 다양한 국가 CERT와 민간 제품 보안 사고 대응팀 (PSIRT) 간의 협력 및 정보 교환을 촉진하는 조직인 FIRST를 설립했다.

역량

CERT/CC의 연구 작업은 여러 다른 작업 영역으로 나뉜다.^[5] 몇 가지 주요 역량 및 제품은 다음과 같다.

조정

CERT/CC는 민간 부문의 소프트웨어 공급업체뿐만 아니라 정부 기관과 직접 협력하여 소프트웨어 취약점을 해결하고 대중에게 수정 사항을 제공한다. 이 과정을 조정이라고 한다.

CERT/CC는 책임 있는 조정된 공개(Responsible Coordinated Disclosure)라고 알려진 특정 조정 프로세스를 촉진한다. 이 경우, CERT/CC는 공개 보고서가 발행되기 전에 공급업체와 비공개로 협력하여 취약점을 해결하며, 일반적으로 공급업체 자체 보안 권고와 공동으로 이루어진다. 공급업체가 문제를 해결하려 하지 않거나 연락이 닿지 않는 극단적인 경우, CERT/CC는 첫 접촉 시도 후 45일 후에 정보를 공개적으로 공개한다.^[6]

CERT/CC에 의해 조정되는 소프트웨어 취약점은 내부 연구 또는 외부 보고에서 비롯될 수 있다. 외부 개인 또는 조직에 의해 발견된 취약점은 CERT/CC의 취약점 보고 양식을 사용하여 CERT/CC에 보고될 수 있다.^[7] 보고된 취약점의 심각도에 따라 CERT/CC는 취약점을 해결하고 소프트웨어 공급업체와 조율하기 위해 추가 조치를 취할 수 있다.

지식 베이스 및 취약점 노트

CERT/CC는 CERT 지식 베이스에 정기적으로 취약점 노트를 발행한다.^[8][9] 취약점 노트에는 최근 연구되고 조정된 취약점에 대한 정보와 개인 및 조직이 그러한 취약점을 완화할 수 있는 방법이 포함되어 있다.

취약점 노트 데이터베이스는 포괄적이지 않다.

취약점 분석 도구

CERT/CC는 보안 연구 커뮤니티에 여러 무료 도구를 제공한다.^[10] 제공되는 일부 도구는 다음과 같다.

• CERT Tapioca - 중간자 공격 수행을 위한 사전 구성된 가상 어플라이언스. 소프트웨어 애플리케이션의 네트워크 트래픽을 분석하고 소프트웨어가 암호화를 올바르게 사용하는지 등을 판단하는 데 사용될 수 있다.
• BFF (Basic Fuzzer Framework) - Linux용 변이 파일 퍼저
• FOE (Failure Observation Engine) - Windows용 변이 파일 퍼저
• Dranzer - 마이크로소프트 ActiveX 취약점 발견

교육

CERT/CC는 연구원 또는 자체 PSIRT를 설립하려는 조직을 위한 교육 과정을 주기적으로 제공한다.^[11]

논란

2014년 여름, 미국 연방 정부가 자금을 지원한 CERT 연구는 Tor의 익명성 해제에 핵심적인 역할을 했으며, FBI가 CERT로부터 소환한 정보는 그 해 가을 실크로드 2.0을 폐쇄하는 데 사용되었다. FBI는 CMU에 사용자 익명성을 해제하기 위해 비용을 지불했다는 사실을 부인했으며,^[12] CMU는 정부의 소환장 준수에 대한 자금 지원을 받았다는 사실을 부인했다.^[13]

수많은 불법 웹사이트를 폐쇄하고 최소 17명의 용의자를 체포하는 데 간접적으로 기여했음에도 불구하고, 이 연구는 여러 가지 문제를 제기했다.

• Tor 커뮤니티^[14] 및 기타^[15] 사람들에게 컴퓨터 보안 연구 윤리에 대한 우려
• 미국 수정 헌법 제4조에 보장된 것과 관련하여 온라인에서 부당한 검색에 대한 우려^[14]
• SEI/CERT가 자체 임무와 상반되는 행위를 했다는 우려. 여기에는 발견한 취약점을 소프트웨어 구현자 및 대중에게 공개하지 않은 행위가 포함된다.^[15]

CMU는 2015년 11월 성명에서 "...대학은 때때로 수행한 연구에 대한 정보를 요청하는 소환장을 받는다. 대학은 법의 지배를 따르고, 합법적으로 발행된 소환장을 준수하며, 준수에 대한 자금 지원을 받지 않는다"고 밝혔다. 하지만 마더보드는 FBI도 CMU도 당국이 처음에 연구에 대해 어떻게 알게 되었고 적절한 정보에 대한 소환장을 발부했는지 설명하지 않았다고 보도했다.^[13] 과거에 SEI는 언론의 문의에 대해 이 특정 연구의 성격을 설명하는 것을 거부하며 "문의해 주셔서 감사하지만, 법 집행 조사 또는 법원 절차에 대해서는 언급하지 않는 것이 우리의 관행이다"라고 말한 바 있다.^[16]

같이 보기

• CERT C 코딩 표준
• 컴퓨터 비상 대응팀
• 컴퓨터 보안