파블로프의 디지털 하우스: 러시아, 취약점 분석을 위해 내부에 집중하다 [보고서]

전체 분석 내용을 PDF로 다운로드하려면 여기를 클릭하세요.

범위 참고: 지난 1년 동안 Recorded Future는 두 국가의 국가 취약성 데이터베이스(NVD)의 게시 속도, 임무, 유용성을 조사했습니다: 중국과 미국. 우리는 러시아의 취약점 데이터베이스에 동일한 분석 기법을 적용하여 무엇을 배울 수 있는지 알아보기로 결정했습니다. 이 보고서에는 러시아 연방 기술 및 수출 통제 서비스(FSTEC), 러시아 정부 공식 문서, 레코디드 퓨처 데이터, 오픈 소스 인텔리전스(OSINT)에서 발표한 취약점에 대한 자세한 분석이 포함되어 있습니다. 이 보고서를 위해 분석된 데이터는 2018년 3월 30일에 수집되었습니다.

Executive Summary

러시아의 취약성 데이터베이스는 매우 집중적입니다. 그러나 이는 불완전하고 느리며 기술 기업과 사용자에 대한 러시아 국가의 통제를 지원하기 위한 것일 가능성이 높습니다. 일반적으로 러시아는 알려진 취약점의 10%만 공개하고, 중국의 국가 취약점 데이터베이스(NVD)보다 평균 83일, 미국 NVD보다 50일 느리며, 다루는 몇 가지 기술도 불완전하기 때문에 취약점을 공개하는 속도가 느립니다.

주요 판단

• 러시아의 취약성 데이터베이스는 러시아 연방 기술 및 수출 통제 서비스(FSTEC)에서 운영합니다. FSTEC은 국가 기밀을 보호하고 방첩 및 첩보 작전을 지원하는 군사 조직입니다.

• FSTEC의 취약점 데이터베이스는 BDU(Банк данных угроз безопасности информаци)로도 알려져 있습니다. BDU는 NVD가 보고한 107,901개의 CVE 중 약 10%에 해당하는 11,036개의 취약점만 공개했습니다.

• FSTEC은 러시아 국가 지원 위협 그룹이 악용한 취약점의 61%를 공개했습니다. 이는 기준치인 10%를 크게 상회하는 수치이지만, 러시아 정보기관이 FSTEC 발행에 미친 영향을 판단하기에는 데이터가 불충분합니다.

• FSTEC은 주로 러시아 국가 정보 시스템에 위협이 되는 취약점으로 BDU 데이터베이스를 채웁니다. 이를 통해 연구자들은 러시아 정부 네트워크에서 어떤 기술, 하드웨어 및 소프트웨어가 사용되는지에 대한 정보를 얻을 수 있습니다.

배경

러시아 연방 기술 및 수출통제청(FSTEC)은 2004년에 설립되었으며 국방부 (MOD)의 산하기관입니다. FSTEC은 모스크바에 중앙 사무소와 7개의 지역 '본부'를 두고 있으며, 정보 보안 연구 및 테스트 기관인 국가 과학 및 연구 기술 정보 보호 문제 연구소 또는 GNIII PTZI FSTEC으로 알려진 정보 보안 연구 및 테스트 기관을 운영하고 있습니다.

모스크바의 FSTEC 본사, 모스크바 105066, 모스크바, ul. 스타라야 바스만나야, 17.

총리의 공식 웹사이트에서는 FSTEC을 "정부 정책을 시행하고, 부서 간 협력과 상호 작용을 조직하며, 국가 안보 분야에서 특별 및 통제 기능을 행사하는 연방 집행 기관"이라고 설명합니다.

2016년에 발표된 추가 공식 문서에 따르면 FSTEC은 국가 정책을 실행하고 부서 간 협력을 조직하며 다음과 같은 분야에서 국가 안보의 특수 기능을 수행합니다:

• 정보 시스템 보안
• 러시아에 대한 해외 기술 위협 대응
• 국가 기밀의 보안
• 수출 관리

조직의 명칭에서 알 수 있듯이 처음 세 가지 영역은 기술 관리 임무에 속합니다. FSTEC 문서를 광범위하게 검토한 결과, 수출 통제는 기술 통제를 받는 모든 업무와 기능보다 훨씬 적은 비중을 차지할 가능성이 높습니다. 기술 통제 임무는 내부 통제, 국가 정보 시스템 및 러시아에서 판매되는 외국 기술을 다룹니다.

국방부 산하기관이지만 FSTEC은 특히 기술 통제 및 국가 기밀 보안 영역에서 훨씬 더 길고 광범위한 권한을 가지고 있습니다. FSTEC 웹사이트에 등재된 문서에 따르면 이 기관은 화학 및 핵무기에 사용될 수 있는 물질과 관련된 상거래를 규제하고, 기술 정보에 대응하며, 외국 과학 연구를 위한 러시아 영토 사용에 대한 의견을 제시하고, 다양한 유형의 시스템 및 장치에서 방출되는 방사능 연구에 대한 재정 지원을 하고 있습니다.

FSTEC에는 직급별로 임명된 고위 공무원들로 구성된 이사회도 있습니다. 이 위원회에는 러시아군 총참모부 제1차장, 내무부 차관, 연방보안국(FSB) 산하 경제보안국 국장, 소비에트 연방보안국(SVR) 부국장 등이 포함되어 있습니다. 이사회의 주요 기능은 FSTEC 예산을 설정하고 관리하며 부서 간 기능을 조정하는 것입니다.

FSTEC의 네 가지 주요 기능에 따른 수많은 책임 중 국가 기밀 보호를 위해 FSB와 협력하고, 기술 방첩 및 방첩을 지원하며^,1 국가 기밀을 다루는 공무원들의 통신을 감시할 수 있는 권한도 갖고 있습니다.

FSTEC은 현재 2011년 5월부터 그 직책을 맡고 있는 블라디미르 셀린 이사가 운영하고 있습니다. 셀린은 세르게이 야키모프 제1부국장 1명과 부국장 4명의 지원을 받고 있습니다. 셀린은 FSTEC 이사직 외에도 국방부 이사회 위원, 국가기밀위원회 부위원장 ( 발레리 게라시모프 러시아군 총참모장과 함께 위원으로 활동 중)으로도 활동하고 있습니다.

정부 공식 문서에 따르면 2015년 FSTEC에는 보안, 보호 또는 유지보수 인력을 제외한 총 1,111명의 직원이 배치되었습니다. 1,111명의 직원 중 225명은 모스크바 본사에 근무하고 나머지 886명은 FSTEC의 7개 지역 지사에 분산 배치되어 있습니다.

기술 통제에 중점을 두는 임무를 고려할 때, 1,111명의 직원 중 대다수는 이 의무와 관련된 문제를 다루고, 훨씬 적은 수의 직원이 FSTEC의 수출 통제 업무를 지원할 가능성이 높습니다.

FSTEC의 취약점 공개 프로세스

FSTEC은 또한 취약점 공개 데이터베이스를 운영하며, 웹사이트 bdu.fstec.ru/vul을 통해 공개 액세스를 제공합니다. 홈페이지에는 데이터베이스의 목적이 "정보 보안 시스템에 대한 기존 위협에 대한 이해 관계자의 인식을 높이는 것"이며 광범위한 고객, 운영자, 개발자, 정보 보안 전문가, 테스트 연구소 및 인증 기관을 위해 설계되었다고 명시되어 있습니다.

FSTEC은 또한 데이터베이스에 "정보 보안에 대한 주요 위협과 취약성, 주로 국가 정보 시스템과 중요 시설의 생산 및 기술 프로세스 관리를 위한 자동화 시스템의 특징에 대한 정보가 포함되어 있습니다^.2"라고 명시하고 있습니다.

데이터의 목적과 사용 대상을 나열한 FSTEC의 보안 위협 데이터베이스 홈페이지.

FSTEC은 이 데이터베이스가 완전하다고 주장하지 않습니다. 대신 국가가 사용하는 정보 시스템과 "중요 시설"의 취약점을 공개하는 데 중점을 둡니다. 이러한 사명은 FSTEC의 7개 지역 부서의 책임과 활동에서도 잘 드러납니다. 각 지역 본부에 부과된 업무의 대부분은 해외 기술 정보에 대응하고 각 지역 내 국가 정보 시스템과 데이터를 보호하는 데 압도적으로 집중되어 있습니다. 각 지역 본부에 부과된 10~11개 과제 중 상위 7개는 모두 해외 기술 정보 수집 대응과 국가 정보 시스템 보호에 관한 것이며, 나머지는 수출 통제와 관련된 것입니다.

데이터베이스에 대한 위협 또는 취약점(BDU라고 함)을 보고하는 것은 비교적 간단합니다. FSTEC은 취약점 항목 자체와 거의 일치하는 제출 양식을 제공합니다.

FSTEC 취약점 제출 양식.

CVE-2018-8148에 대한 FSTEC BDU 항목.

FSTEC은 전체 데이터베이스를 Excel 또는 XML 파일로 검색할 수 있는 간단한 다운로드 링크도 제공합니다. 이러한 다운로드에는 내부 ID, 해당 CVE 식별자, 영향을 받는 기술, 지원 문서 링크, 심각도 평가 등 다른 취약성 데이터베이스의 일반적인 필드가 포함되어 있습니다. 이번 발표에 포함되지 않은 것은 FSTEC이 취약점을 처음 공개한 날짜입니다. 2017년 1월 1일 이후 FSTEC에서 공개한 취약점에 대해 독점적인 기술을 사용하여 이 날짜를 설정했습니다.

FSTEC은 공공 서비스 기관이 아닙니다.

FSTEC은 국방부(MOD)의 산하기관으로, 국방부가 운영하며 행정적으로 국방부의 일부입니다. 소장, 부소장, 지역본부3의 모든 책임자를^포함한 현재 FSTEC의 고위 경영진은 모두 군 장교 출신이며, 이들 중 상당수는 이전에 FSTEC에서 장교 또는 예비역으로 복무한 경력이 있습니다.

FSTEC 볼가 지역 사무소의 책임자인 파벨 막시야코프의 약력 스크린샷.

FSTEC의 주요 임무는 법률과 명령에 명시적이고 문서화되어 있으며, 국가 안보가 가장 중요한 임무인 만큼 법률과 명령에 반복적으로 명시되어 있습니다. 중국의 CNITSEC ( CNNVD를 운영하는)과 같은 다른 국가의 '자매' 조직과 달리 FSTEC은 공공 서비스 임무를 수행한다고 주장하지 않으며, 대신 취약점 데이터베이스(BDU)에 주로 국가 정보 시스템에 위협이 되는 취약점을 채워 넣습니다. 그러나 FSTEC은 명백한 국가 기밀 임무를 수행하는 명백한 군사 조직이라는 점에서 CNITSEC과 다릅니다.

2014년 리커창 중국 총리와 드미트리 메드베데프 러시아 총리의 회담에 따르면 러시아 정부는 중국 상무부를 CNITSEC이나 국가안보부가 아닌 FSTEC의 실질적인 중국 대응 기관으로 간주하고 있습니다. 이는 아마도 FSTEC이 국내 정보 및 기술 환경의 기술적 통제에 중점을 두고 있기 때문일 것이며, 이는 CNITSEC보다 훨씬 더 광범위한 임무입니다.

FSTEC은 명백한 군사 조직이기 때문에, FSTEC의 취약점 데이터베이스에 대한 질문은 주로 FSTEC이 몇 가지 취약점을 공개하는 이유에 집중되어 있습니다. 아래 문서에 설명된 대로 BDU는 매우 느리고 포괄적이지 않습니다. 공개된 몇 가지 취약점은 러시아 군의 공격적인 사이버 작전 의도보다는 FSTEC의 임무와 러시아 국가 정보 시스템에 대해 더 많은 것을 알려줍니다.

위협 분석

FSTEC은 미국 국가 취약성 데이터베이스(NVD)가 설립된 지 약 15년 후인 2014년부터 취약성 데이터를 발표하기 시작했습니다. 아래에서 볼 수 있듯이, 연도별로 발표된 FSTEC 취약점을 보면 2014년에는 초기 발표량이 적었다가 2015년에 급증한 후 2016년부터 2018년까지 발표량이 감소한 것을 알 수 있습니다.

연도별로 발표된 러시아 취약점.

2015년에는 어떤 일이 있었나요?

FSTEC의 BDU 식별자와 NVD의 CVE 식별자의 매핑을 조사하는 과정에서 매핑이 항상 일대일로 일치하지 않는 것을 관찰했습니다. FSTEC은 때때로 여러 CVE를 단일 BDU 취약점으로 연결하기도 하고, 단일 CVE에 취약한 여러 운영 체제에 대해 여러 BDU 식별자를 만들기도 했습니다. 러시아 BDU는 NVD가 보고한 107,901개의 CVE 중 11,036개(약 10%)를 차지합니다. 이러한 차이는 단순히 FSTEC이 늦게 시작되었기 때문만은 아닙니다. FSTEC에서 다루는 CVE의 약 25%가 FSTEC이 운영되기 몇 년 전에 발생한 것이기 때문입니다.

BDU와 CVE 식별자 간의 비선형적 상관관계에도 불구하고 FSTEC이 2015년에 다른 어느 해보다 훨씬 많은 취약점을 발표했다는 것은 분명합니다. 이는 2015년이 BDU 데이터베이스의 기능 및 유용성을 평가하는 실험적인 해였기 때문일 것입니다. 2015년 FSTEC 연례 활동 보고서(2016년 3월 발행)에서는 BDU 실험의 결과를 다루지 않았지만, 데이터를 통해 공개된 취약점의 범위와 수를 대폭 줄이기로 결정한 것은 분명합니다. 범위를 좁히는 것이 국가 또는 "중요 시설"에서 사용하는 정보 시스템의 취약점을 보고하는 데이터베이스의 공공 임무와도 더 잘 부합합니다.

또한 FSTEC이 가장 빠르게 발표한 취약점 중 75%는 브라우저 또는 산업 제어 관련 소프트웨어에 대한 취약점이었습니다.

이전 보고서에서 중국과 미국의 국가 취약점 데이터베이스 간 취약점 공개 공개 비율의 차이를 평가한 결과, 중국이 미국보다 평균적으로 취약점 공개 속도가 훨씬 빠르다는 사실을 알게 되었습니다. 2017~2018년에 발표된 취약점 중 세 국가 취약점 데이터베이스에서 공통적으로 발견되는 취약점을 조사한 결과, 러시아의 취약점 공개가 미국과 중국의 공개보다 크게 뒤처지는 것을 확인했습니다. 러시아의 취약점 공개는 불완전할 뿐만 아니라 매우 느립니다.

여러 국가 취약점 데이터베이스에서 취약점 공개 지연 일수.

FSTEC이 공개할 취약점을 어떻게 선정했는지 더 잘 이해하기 위해 FSTEC이 전체 커버리지 수준인 10%를 고려했을 때 예상보다 높은 비율로 커버한 기술 공급업체를 조사했습니다. 아래 두 차트에서 검은색 선(10의 값)은 FSTEC에서 발표하는 전체 취약점 중 10%를 나타냅니다. 보장 범위가 10% 미만인 모든 공급업체는 "보장 범위 미달"로 간주되며, 보장 범위가 10%를 크게 초과하는 모든 공급업체는 "보장 범위 초과"로 간주됩니다.

FSTEC이 적용되는 공급업체 CVE의 비율.

FSTEC이 적용되는 공급업체 CVE의 비율.

비슷한 분석 결과, FSTEC은 모든 기술에서 기본 적용 범위 수준에 비해 콘텐츠 관리 시스템(예: 워드프레스, 줌라, 드루팔)과 IBM 및 화웨이의 적용 범위가 크게 부족한 것으로 나타났습니다.

러시아 APT 취약점 커버리지

2016년 Recorded Future 간행물에서는 러시아 APT가 사용하는 취약점, 특히 가장 널리 사용되는 공급업체에 대한 분석을 제공한 바 있습니다.

레코디드 퓨처 블로그의 이미지, "공직 출마: 러시아 APT 툴킷 공개."

이러한 모든 기술에 대한 공급업체는 FSTEC이 집중하는 분야에 나열되어 있습니다. 즉, FSTEC은 각 공급업체에서 발견된 취약점의 10% 이상을 공개했습니다. 그러나 이러한 각 공급업체는 전 세계에서 가장 널리 사용되는 소프트웨어를 생산하고 있으며 러시아 APT 그룹이 이러한 기술을 표적으로 삼을 것이라고 예상하는 것이 합리적입니다.

이 점을 더 자세히 살펴보기 위해 지난 4년간 러시아 APT 그룹이 악용한 모든 취약점에 대한 최신 분석도 수행했습니다. CVE 번호가 있는 취약점과 미국 NVD 및 CNNVD에서도 발표한 취약점만을 활용하여 해당 기간 동안 러시아 APT 그룹이 활용했던 취약점 49개를 확인했습니다.

이 49개의 취약점 중 30개(61%)는 FSTEC에서 발표한 취약점입니다. 이는 FSTEC의 평균인 10%보다 훨씬 높은 수치입니다. 또한, 공개된 30개의 취약점 중 18개는 러시아군 중앙정보국(GRU)의 소행으로 밝혀진 APT28에 의해 악용된 것으로 확인되었습니다. 이는 러시아 군이 악용한 취약점의 60%를 FSTEC이 공개하는 것과 같습니다. 이는 FSTEC의 통계적 평균인 10%를 훨씬 벗어난 수치입니다.

다시 말하지만, 이러한 취약점 중 상당수는 전 세계에서 가장 널리 사용되는 소프트웨어에 대한 취약점입니다. 그러나 소프트웨어 공급업체와 취약점 자체에 대한 보고율이 비정상적으로 높다는 것은 두 가지 가능성을 제기합니다. 첫째, FSTEC의 임무가 러시아 정부 정보 시스템을 보호하는 것이기 때문에 러시아 정부 시스템도 이러한 프로그램을 활용하고 있으며 그 자체도 이러한 취약점에 노출되어 있음을 나타냅니다. 이는 FSTEC 간행물을 검토하면 러시아 정부 정보 시스템에 대한 통찰력을 얻을 수 있다는 것을 다시 한 번 확인시켜 줍니다.

둘째, FSTEC은 군사 조직이며, 이사회에 여러 명의 군사 정보원이 있으며, 기밀 시스템을 보호하기 위해 정기적으로 군사 정보기관과 교류합니다. 군 정보기관이 취약점에 대한 지식을 가지고 러시아 국가 정보 시스템을 보호해야 할 의무가 있거나 러시아 군 해커가 FSTEC에서 발표한 취약점을 작전에 활용하고 있을 가능성이 있습니다.

공개 기록과 이용 가능한 데이터만으로는 FSTEC과 러시아 국가가 후원하는 사이버 작전 간의 관계를 파악하기에 아직 충분하지 않습니다. 그러나 FSTEC의 취약성 데이터베이스는 러시아 정보기관이 중국 정보기관이 사용하는 CNNVD와는 다른 방식으로 활용한다는 것은 분명합니다. 중국에서는 CNNVD가 정보 기관이 사용하는 취약점의 공개를 지연하거나 숨기는 반면, 러시아에서는 정보 기관이 사용하는 취약점을 보호하기 위해 FSTEC이 이를 공개할 가능성이 있습니다.

FSTEC의 적용을 받지만 위에 나열되지 않은 유일한 높은 커버리지의 공급업체는 Novell입니다.

오버커버리지 분석 결과, FSTEC은 전체 Adobe 취약점의 거의 절반을 커버함으로써 다른 어떤 개별 공급업체보다 Adobe에 더 집중하고 있는 것으로 나타났습니다. 하지만 FSTEC에서 다루지 않은 Adobe 취약점을 자세히 살펴본 결과, FSTEC은 CVSS 점수가 10점인 Adobe 취약점 386개와 8점 이상인 871개의 취약점을 공개하지 않은 것으로 확인되었습니다. FSTEC은 데이터에서 가장 많은 관심을 보이는 기술 영역에 대한 취약점 공개에 대해서도 포괄적이지 않습니다.

FSTEC이 취약성 정보에 대한 진지한 리소스라면 더 빠르고 포괄적이어야 합니다. FSTEC의 기업 파트너조차도 BDU 데이터베이스를 독점적으로 사용한다고 주장하지 않습니다. 아래에서 FSTEC이 취약점을 거의 공개하지 않는 이유에 대한 세 가지 가설을 살펴봅니다.

기술 라이선싱

FSTEC의 기술 관리 임무의 주요 부분은 제품 검토를 수행하고 러시아에서 제품을 판매하고자 하는 회사에 라이선스를 발급하는 것입니다. 2017년 6월 로이터 통신 기사에 따르면 FSB와 FSTEC는 "방화벽, 안티바이러스 애플리케이션, 암호화가 포함된 소프트웨어와 같은 보안 제품의 소스코드를 포함한 외국 기술에 대해 해당 제품의 국내 수입 및 판매를 허가하기 전에 검토"를 실시합니다. FSB는 인증된 파트너 회사를 활용하여 일부 검토를 수행하는 것으로 알려졌으며, 여기에는 BDU 데이터베이스 관리에서 FSTEC의 파트너이기도 한 Echelon이라는 회사가 포함되어 있습니다.

에셜론과 다른 여러 인증된 FSTEC 파트너의 웹사이트에 따르면^,4 FSB는 암호화 및 암호화 도구의 검토를 담당하고, FSTEC는 "기밀 정보"의 개발 또는 생산 및 기술 보호를 위한 라이선스를 발급합니다. 러시아에서 소프트웨어를 생산 및 판매하려면 FSTEC 라이선스가 광범위하게 요구됩니다.

디지털 시큐리티 , 러시아 과학아카데미 시스템 프로그래밍 연구소, 루스비텍, 올테크-소프트 , 퍼스펙티브 모니터링 등 FSTEC의 BDU 관리 파트너 중 오직 에클론만이 FSTEC, FSB 및 MOD 검토를 고객에게 지원할 수 있다고 주장하고 있습니다.

그러나 FSB와 달리 FSTEC은 파트너나 중개자를 통해 검토를 수행하지 않습니다. 2016년 10월, FSTEC은 웹사이트에 해명문을 발표하여 FSTEC은 "중개자"와 상호 작용하지 않으며 "라이선싱을 위한 정부 서비스 제공"에 있어 어떠한 민간 기관과도 협력하지 않는다고 명시했습니다.

FSTEC은 발급하는 각 인증에 대한 라이선스 사용자 레지스트리를 게시합니다. 2018년에는 개발 및 생산 레지스트리에 대해 14개의 라이선스가 발급되었으며, 올해에는 66개의 기술 보호 라이선스가 발급되었습니다(2018년 7월 9일 기준). 이는 2017년에 140개의 개발 및 생산 라이선스와 293개의 기술 보호 라이선스가 발급된 것과는 대조적인 수치입니다.

하니웰, 알카텔-루슨트, 카스퍼스키, 화웨이, 휴렛팩커드, 봄바디어, 아토스, 시만텍 등 많은 유명 글로벌 기업이 이러한 인증을 받았습니다.

FSTEC에서 수행한 해외 기술 검사 일정.

FSTEC 라이선스 취득 기준이 너무 광범위하여 소프트웨어 회사의 어떤 정보가 승인 절차에 불필요한 것으로 간주되는지 평가하기 어렵습니다. 또한 인증 제도와 자격 증명은 다르지만, 기업이 FSTEC과 공유해야 하는 정보는 FSB에서 라이선스 취득을 위해 요구하는 정보와 매우 유사합니다. 여기에는 인력, 시설, 제품, 소프트웨어 생산 및 테스트 등에 대한 광범위한 데이터가 포함됩니다.

전망

FSTEC은 왜 취약점을 거의 발표하지 않나요?

위의 연구에서도 알 수 있듯이 FSTEC은 알려진 취약점 중 약 10%만 공개하고 있습니다. 더 큰 질문은 "왜?"입니다. 사용자를 위한 취약점의 90%를 해결하지 못하는 취약점 공개 데이터베이스에 리소스를 낭비하는 이유는 무엇일까요? 세 가지 가능성이 있는 가설이 있습니다:

1. FSTEC은 자원이 턱없이 부족하며 러시아 사용자를 위한 핵심 기술과 이러한 기술의 주요 취약점에만 집중할 수 있습니다.

2. FSTEC은 군사 조직이며 국가 취약성 데이터베이스로서 신뢰할 수 있는 '충분한' 콘텐츠를 게시하고 있습니다. 러시아 정부는 외국 소프트웨어에 대한 검토를 요구하는 등 FSTEC의 다른 기술 통제 책임을 위한 기준으로서 취약성 연구가 필요합니다.

3. FSTEC은 공격과 정보 보안이라는 두 가지 임무를 수행하며 경쟁 요구 사항을 기반으로 게시합니다. 이는 중국의 NVD(CNNVD)가 작동하는 방식과 유사합니다.

이전 연구에서 NIST 정보 기술 연구소 (ITL)는 약 400명의 과학 및 기술 직원을 고용하고 있으며 연간 약 1억 2천만 달러의 예산을 보유하고 있다고 밝힌 바 있습니다. ITL은 7개 부서로 구성되어 있으며 미국 NVD를 비롯한 수많은 데이터베이스와 시스템을 운영합니다. 이에 비해 러시아의 FSTEC은 보안, 경호, 유지보수 인력을 제외한 1,111명의 직원이 근무하고 있으며, 관료적 구조와 임무 범위는 거의 비슷합니다(약간 더 크지는 않더라도). NIST ITL과 FSTEC이 유사한 조직은 아니지만, 이 느슨한 비교는 FSTEC의 임무 수행에 필요한 자원이 크게 부족하지 않으며 발표된 취약점의 10%만 보고하는 것은 자원 제약 때문이 아니라 선택의 기능이라는 것을 보여줍니다.

또한 FSTEC은 가장 중점을 두고 있는 기술에 대한 적절한 커버리지도 제공하지 않습니다. 위의 예에서 볼 수 있듯이 FSTEC은 전체 Adobe 취약점의 약 절반을 발표했지만, CVSS가 "심각" 또는 "높음"인 1,000개 이상의 Adobe 취약점을 여전히 누락하고 있습니다. Adobe가 정말 그렇게 중요하게 생각했다면 FSTEC은 이러한 취약점을 가능한 가장 높은 심각도 점수로 공개하지 않았을 것입니다. 이는 단순히 몇 가지 핵심 기술에만 집중하여 FSTEC의 공개 필요성을 판단할 수 없다는 결론으로 이어집니다. 이는 또한 FSTEC의 자원이 턱없이 부족하고 NVD를 따라잡을 인력이나 자본이 없다는 가설 1을 배제합니다.

둘째, FSTEC이 공개와 공격적인 사이버 임무의 균형을 맞추기 위해 CNNVD의 모델을 따르고 있다는 가설 3번을 뒷받침할 증거를 찾지 못했습니다. FSTEC은 공공 서비스 기관이 아니며, 데이터베이스가 포괄적이거나 시의적절하지 않고 광범위한 보호 임무를 지원하기에는 충분한 취약점을 공개하지 않습니다. 대신 FSTEC의 임무는 매우 집중적이고 구체적입니다. 러시아의 국가 및 중요 인프라 시스템을 보호하고 방첩 활동을 지원하는 것입니다.

또한 FSTEC은 러시아 국가가 후원하는 위협 그룹이 악용한 취약점에 대한 보고서를 발표하는 반면, CNNVD는 중국 정보기관이 악용한 취약점에 대한 발표를 지연하거나 숨기고 있습니다. 오히려 FSTEC이 발표하는 몇 가지 취약점을 통해 러시아 정부의 우선순위와 소프트웨어에 대한 통찰력을 얻을 수 있기 때문에 러시아 국가 정보 시스템을 지원하는 데 너무 집중하고 있는 것일 수도 있습니다.

마지막으로, 우리는 가설 2번이 러시아 NVD의 임무와 의도를 정확하게 설명한다고 높은 확신을 가지고 평가합니다. 이러한 의도는 FSTEC의 취약성 데이터베이스가 국가 정보 시스템에 대한 기준선을 제공하고 외국 기술 검토를 위한 합법적인 커버리지를 제공한다는 것입니다. 국가 정보 시스템에 대한 검사 및 요구 사항에 관한 2017년 2월 FSTEC 문서 개정에 따르면, BDU 데이터베이스의 취약점은 국가 정보 시스템에 대한 포괄적인 취약점 목록이 아닌 보안의 기준선을 제공하기 위한 것입니다. 이는 데이터베이스의 향후 기능에 대한 실험적인 해였던 2015년에 취약점 공개가 급증하고 이후 공개가 감소한 것으로도 알 수 있습니다. 저희의 연구와 데이터에 따르면 BDU 데이터베이스는 포괄적인 것이 아니라 단순히 정부 정보 시스템 보안 및 소프트웨어 검사를 위한 기준이 될 뿐입니다.

또한 FSTEC과 FSB의 기능적, 관리적, 비공식적 중복성을 고려할 때 러시아 APT 그룹이 선호하는 것으로 알려진 정확한 기술에 대한 BDU 데이터베이스의 일부 초점은 자체 운영 및 이러한 기술의 악용 가능성에 대한 FSB의 지식에서 파생된 것일 수 있습니다. 이 이론을 뒷받침할 만한 증거는 FSTEC이 다루는 취약점과 러시아 APT 그룹이 가장 많이 사용하는 취약점이 겹친다는 것 외에는 거의 없습니다.

이를 위해 FSTEC이 공개하는 취약점은 러시아 정부 기관이 공격적인 사이버 작전에서 어떤 취약점을 노릴지보다 네트워크에서 사용하는 하드웨어 및 소프트웨어에 대한 더 많은 정보를 전달합니다.