보안 전문가들, 일반 사용자 교육하기 전에 스스로 실천부터
취약점을 판매하는 시장의 구조, 과연 바람직한가
[보안뉴스 문가용] 치명적인 제로데이라면 암시장에서 아주 높은 가격에 판매되거나 만인에게 공개된다. 여기서 만인이란 해커들도 포함이다. 유료든 무료든 치명적인 취약점을 손에 넣은 해커들은 이를 여러 익스플로잇 킷에 넣어 다시 세상에 풀어놓는다. 이것 역시 풀리는 방식은 두 가지다. 유료이거나 무료이거나. 이번 주 이탈리아의 해킹팀 해킹 사고를 통해 드러난 보안업계의 단면도 두 가지로 정리가 된다. 유료 서비스처럼 수준 높은 공격에 무료라도 안 가질 정도로 수준 낮은 방어.
아직 공격 수단이나 주체가 정확히 밝혀지지는 않은 상태이긴 하지만, 해킹팀이라는 회사의 보안수준은 만천하에 공개되었다. 특히 너무나 기본적인 암호 설정 실태에, 그것도 일반 직원뿐 아니라 보안부서 직원들까지도 포함되는 해이함에, 업계 많은 이들이 경악했을 정도였다. 공격 당할만 했네, 라는 반응까지 나왔으니 이번 해킹 사건이 이와 무관하지 않은 것으로 보인다.
인식 제고니 교육에 대한 목소리가 일주일에도 몇 건씩이나 나오는 마당에 아직까지도 이런 기본적인 부분부터 제대로 지켜지지 않고 있으니, 과연 해킹 사고라는 걸 막는 게 가능하기는 한 것일까 하는 회의감이 드는 대목이 아닐 수 없다. 그래도 이 사건을 복기해보자.
유출사고
일단 해킹팀(Hacking Team)은 밀라노에 있는 업체로 감시 소프트웨어를 판매하는 사업을 하고 있다. 해킹팀에 따르면 감시 소프트웨어는 정부들에게만 판매한다고 한다. 이번에 드러난 바 이는 일정 부분 사실이었음이 드러났다. 다만 미국, 유럽연합, UN, NATO, ASEAN의 블랙리스트에 오른 정부가 대부분이었다는 게 비판을 받고 있긴 하다.
이번 해킹 사고로 이들의 가장 중요한 아이템인 원격 제어 시스템(RCS)의 소스코드가 유출되었다. 해킹 사고 발발 직후 해킹팀에서는 고객들에게 사용을 중단할 것을 촉구하고 경고 메시지들을 날렸다.
하지만 해킹팀에서 그 동안 팔아왔던 건 RCS만이 아니었다. 자신들이 발견한 취약점과 익스플로잇 코드도 팔고 있었던 것. 이중에 어도비 플래시 플레이어의 치명적인 취약점도 있었다. 인터넷 익스플로러, 파이어폭스, 크롬, 사파리, 윈도우, 맥, 리눅스 등 플랫폼도 다양했다. 구글 프로젝트 제로가 발견해 CVE-2015-5119라고 이름이 붙었던 그것과 동일한 것이었다. 즉, 해킹팀은 이를 자체적으로 발견해 팔고 있었던 것.
취약점에서 익스플로잇까지
확실히 누군가 CVE-2015-5119를 사가기는 한 것으로 보인다. 이번 해킹사건을 통해 대대적으로 공개되기 전에 이미 누군가 이를 사용한 흔적이 한국과 일본에서 발견되었기 때문이다. 심지어 취약점을 익스플로잇으로 전환하는 데에만 며칠 걸리는 게 통상인데, 이번엔 공개와 거의 동시에 익스플로잇이 떠돌아다니기 시작했다. “확실히 누군가 미리 알고 익스플로잇을 만들어 둔 것일 수밖에 없습니다.”
“이번에 해킹된 자료를 보면 취약점이 무엇인지 설명해주는 것뿐만 아니라 이를 익스플로잇으로 변환시키는 데에 필요한 절차가 아주 친절하게 문서화되어 있습니다. 확실한 ‘상품화’ 및 ‘유료 서비스’의 흔적이라고 볼 수 있습니다. 멀웨어바이츠 수석 분석가인 제롬 세구라(Jerome Segura)의 설명이다. 멀웨어바이츠에 따르면 해킹 사건이 세간에 알려진 바로 그날 취약점 코드가 공개되고 수분 후에는 앵글러 킷, 뉴클리어 익스플로잇 킷에 포함된 채로 돌아다니고 있었다고 한다.
“생각해보면 정말로 이상한 현상입니다. 마치 약속이라도 한 듯한 스케줄이었어요. 내가 해킹팀을 해킹할 테니 뉴스 사이트 잘 봐두었다가 타이밍 맞게 순서대로 익스플로잇 킷을 터트려, 라고 사전조율을 한 것처럼요.” 물론 이런 해커들 사이의 약속이 존재했을 가능성은 무척 낮다. 이에 따라 어도비는 화요일에 권고문을 발표하고 바로 다음날 패치를 배포했다.
조잡한 방어실력
그렇다면 해킹팀은 어떻게 하다가 중요한 기밀을 다 드러냈을까? 남의 취약점을 팔아 장사하던 것에 대한 양심의 가책 때문인지, 자신들도 굉장히 보안에 허술했기 때문이다. 그중 여태까지 드러난 가장 취약한 부분은 암호였다.
물론 해킹 수법이 정확하게 결론지어지지 않았기 때문에 무조건 ‘약한 암호’를 뚫고 해커들이 잠입했을 거라고 단언할 수는 없다. 하지만 이번에 유출된 자료를 보자면, 우선 관리자 계정의 암호가 ‘passw0rd’였다. 사내 모든 네트워크에 대한 관리자 접속 암호 모두가 똑같았다. 기술 관련 부서가 아닌 곳은 더했다. 몇 가지 유출된 암호에는 ‘p4ssword’가 있었는데, 무려 이건 루트 계정에 대한 접속 암호였다. 업체 보안 담당자 및 수석 시스템 엔지니어였던 크리스천 포지(Christian Pozzi)는 회사 내서 사용하는 모든 암호를 p4ssword로 설정하고 사용하고 있기도 했다.
“해킹팀 자체가 해커와 보안 엔지니어들로 구성된 조직입니다. 게다가 거래 상대가 대부분 정보기관이죠. 즉 민감한 고급정보가 득실거릴 수밖에 없는 환경이라는 겁니다. 이건 무슨 말인가요. 누군가 당연히 노릴 수밖에 없는 환경이었습니다. 꿀이 많으면 벌이 꼬이는 것처럼요.” 키퍼 시큐리티(Keeper Security)의 CEO인 다렌 구치오네(Darren Guccione)의 설명이다. “이런 암호의 사용실태가 함께 유출되었다는 게 우습기도 한데, 아무튼 이들이 얼마나 해이하게 스스로를 관리해왔는지를 볼 수 있는 장면이었습니다. 스스로가 대부분 해커인 조직에서요.”
세구라는 보안담당자들이 사용자에게 말로만 교육할 것이 아니라 스스로도 본인들의 말을 실천해야 한다고 강조한다. “멀웨어를 잘 잡아내는 ‘기술력’만이 저희가 보안 전문가가 가져야 할 덕목이 아니라는 게 드러나는 대목입니다. 보안업체들도 해킹을 당하고 저희 제품들 역시 해커들의 손에 의해 쉽게 뚫리는 걸 보면 저희가 진짜 집중할 것에 아직 집중하지 못하고 있다는 생각이 듭니다.”
제로데이 판매에 대하여
이번 사건에 주목한 사이포트(Cyphort)의 펭민 공(Fengmin Gong) CSO는 다른 점을 우려하고 있다. “저는 제로데이를 판매한다는 산업 자체에 대한 고민을 늘 해와서 그런지 이번 사건도 그런 시각에서 보게 되더군요. 이번 해킹 사건으로 인해 공교롭게도 취약점들이 뜻하지 않게 공개되었죠? 패치가 이뤄지기도 전에요. 그리고 어떻게 됐나요? 익스플로잇 킷이 대거 돌아다니고 있죠. 이번 사건으로 무분별한 취약점 공개가 주는 폐해가 드러났다고 봅니다.”
공에 의하면 제로데이를 판매하는 건 암시장이나 해킹팀만의 이야기가 아니다. “사실상 버그바운티 제도도 제로데이 판매를 기반으로 한 것이죠. 화이트해커와 블랙해커가 서로 경쟁해서 누가 먼저 취약점을 찾는가 시합을 하는 겁니다. 그리고 먼저 발견한 사람이 암시장에서든 버그바운티를 통해서건 금전적인 보상을 받지요.”
화이트해커가 항상 이길 거라는 보장이 없기 때문에 이 시합이 위험한 게 아니다. “취약점을 찾으면 돈이 된다는 개념이 보안업계 안에서 자라는 것 자체가 위험합니다. 아직 버그바운티가 모두에게 널리 받아들여진 것도 아니고 국가산업이 될 기미조차 보이고 있지 않은데, ‘취약점=돈’이 되어버리면 어떻게 될까요? 취약점을 먼저 발견한 이는 어떻게든 보상안을 마련할 것이고, 그게 하필 버그바운티로 커버가 되지 않는다면 화이트해커와 블랙해커의 경계가 사라지게 될 겁니다. 혼돈의 시작이죠.”
취약점을 돈으로 산다는 개념 자체가 정말로 안전한 것인지 이제라도 검토해봐야 하는 것 아니냐는 게 그의 주장이다. 하지만 트립와이어(Tripwire)의 분석가인 켄 웨스틴(Ken Westin)은 조금 다른 의견이다. “이번 사건으로 봤듯이 제로데이 판매 시장은 정말로 ‘짭짤’합니다. 정부들도 이미 사이버전에 있어서 ‘공격적인 방어’ 태세로 넘어간 상태이고요. 즉 이제와 돌이키기는 너무 늦었다는 말입니다.”
정부가 공격적인 방어 태세에 들어섰다는 건 무슨 뜻일까? “단도직입적으로 말할 게요. 안보나 국방을 위해 정부가 하는 일이 해커가 하는 일과 본질적으로 전혀 다르지 않다는 말입니다. 멀웨어를 만들고 감시툴을 사들여 스파잉을 하죠. 똑같습니다.” 임퍼바(Imperva)의 CPO인 마크 크레이낙(Mark Kraynak)의 설명이다. “그래서 요즘 시대에 멀웨어를 경계하고 조심하자는 것에는 어쩔 수 없이 ‘정부도 조심하자’라는 기조가 들어가게 됩니다. 이게 참 비극인 거죠.”
하지만 이런 문제제기는 시작에 불과하다. “RCS의 소스코드가 누구 손에 들어갔는지 모르는 상황이 되었습니다. 나쁜 놈도 RCS를 쓸 수 있고 좋은 놈도 쓸 수 있게 되었습니다. 이제 누가 누굴 스파이하고 감시할 지 모르게 되었습니다. 신뢰는 떨어지고 의심은 늘어갑니다. 앞으로 어떤 사건이 벌어질지 걱정되고 두렵습니다.” 공의 솔직한 심정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
