헤드라인에서 사라진다고 사태가 해결된 게 아니라 쌓여 있어
[보안뉴스 문가용] 2014년 9월 24일, 쉘쇼크(Shellshock)라는 버그가 처음 공개되었고 오픈소스, 리눅스, OS X, 임베디드 시스템, 유닉스 등이 모두 영향권 아래 들어갔으며 해당 제조사들에는 비상경보가 발령됐다. 1994년에 나온 버전부터 2014년 버전까지 전부 포함이었으니 그럴 만도 했다. 그러고 나서 12개월이 지난 지금, 대부분의 패치가 이루어지긴 했으나 아직 쉘쇼크가 완전히 사라졌다고 할 수는 없는 상태다. 플랫폼 하나 패치한다고 한 취약점에 대한 문제가 모두 해결되는 게 아니기 때문이다.
쉘쇼크가 나타난지 1년이 지난 지금, 우리는 어떤 점에서 향상되었고 어떤 점에서 그대로 머물러 있을까? 시간이 지나면서 과거의 취약점들이 현재에도 유효한지 꼼꼼히 점검하는 것이 점점 어려워지고 있다. 실제로 여러 헤드라인에 대대적으로 이름을 올린 취약점과 패치 소식들로 해결된 듯한 다양한 버그들은 굉장히 많은 수가 ‘여전히 유효하다’. 미디어 헤드라인에서 사라졌다고 네트워크에서도 사라진 게 아니라는 것이다. 특히 시스템과 직접 연결이 된 취약점들은 대단히 치명적인 문제로 작용한다. 쉘쇼크도 마찬가지다. 여전히 무섭고 치명적이며 유효한 취약점인 것이다.
작년에 나온 쉘쇼크도 이런데, 다른 오래된 취약점들은 어떨까. 윈도우 XP 서비스가 종료된 시점에 발견된 취약점이 200개도 넘었다는 사실을 떠올려본다면 지금 패치가 부지런히 이루어지고 있는 네트워크와 OS라 하더라도 그다지 좋은 사정이 아닐 것은 기정사실이다.
취약점들이 가지고 있는 또 다른 문제는 ‘제대로 박멸하지 않으면 오랫동안 축적된다’는 뜻. 이런 특성은 새로운 취약점이 발견될 때마다 가중되며, 네트워크 전체를 더 약화시킨다. 쉘쇼크는 발견 당시에도 굉장히 큰 문제였지만 ‘말끔히 사라졌다’고 많은 이들이 착각하는 지금에 그 심각성이 낮아졌다고 말하기도 어렵다. 문제가 드러나면 패치하는 사람들이라도 생기는데, 없어졌다고 생각하면 쉘쇼크가 어떤 작용을 하든 말든 아무도 관심을 갖지 않기 때문이다. 이렇게 다양한 문제들이 중첩되고 쌓이기 시작하면 실제 공격이 일어났을 때 추적하는 것이 복잡하고 어렵게 변한다.
‘문제가 쌓이면 해결이 더 어렵다’는 건 지극히 당연한, 상식 수준의 문제제기다. 그러나 여기서 필자가 묻고자 하는 건 ‘문제의 진정한 해결은 어디까지인가?’이다. 얼마나 어떻게 해결을 해야 우린 그 문제에서부터 완전히 자유로울 수 있을까?
일단 패치가 곧 문제해결과 동의어가 될 수는 없다. 패치를 다운로드 받고 적용하는 것보다, 그 취약점이 어떤 사태로 발발할 수 있는지 예상하고 그 후폭풍의 싹까지도 다 잘라내야 한다. 단지 쉘쇼크만 해당하는 건 아니다. 모든 취약점에 다 이런 치료가 필요하다. 수술하는 것도 중요하지만 상처가 아물고 정상의 컨디션으로 돌아오는 데에 더 많은 시간이 필요한 것과 같은 이치다. 시간이 드는 만큼 비용이 들긴 하지만 이 회복기간을 무성의하게 보내다가 반복해서 수술하는 것만큼의 비용이 들지는 않는다.
그렇다면 이런 ‘축적의 문제’를 어떻게 해결해야 할까? 기초적이면서도 간단한 몇 가지 방법을 제안하고자 한다.
* 조직 내에서 취약점 평가 절차와 패치 후 조치를 취하는 과정을 먼저 수립하라. 패치를 빨리 하고 오류가 발견되었을 때 재빠르게 닫을 건 닫고 꺼둘 건 끄는 식의 가이드라인을 마련해야 한다. 문제가 쌓이지 않게 하려면 ‘완전히’ 해결하는 것도 필요하지만 ‘재빨리’ 대처하는 것도 중요하다.
* 기술 지원을 해줄 파트너 업체를 선정할 때 보안 및 꾸준한 패치를 해줄 곳을 찾는 것도 중요하다. 또한 OS의 서비스 종료일 관리나 임베디드 서비스 추가 등도 유연하게 해줄 수 있는 곳이 좋다. 그렇게 해야 지금 가지고 있는 리소스 및 자산들을 최대한 효율적으로 사용할 수 있게 된다.
* 취약점 평가 기술도 오늘날에는 큰 발전을 이뤘다. 단순히 스캐닝만 하던 시절에 비하면 대단한 발전이 아닐 수 없다. IDS/IPS 시스템을 위한 보안 툴, 엔드포인트 에이전트, 차세대 방화벽, 스니퍼 등 다양한 것들이 등장했다. 그러면 하나만 고집할 필요가 전혀 없다. 여건이 되는 한 여러 검사를 받던가 해보는 편이 이 시대 위협 환경에 더 적합한 건 당연지사. 최대한 많이 찾아내고, 최대한 많이 연결해서 패턴을 찾아내라.
* 네트워크 평가 기술 및 장비를 도입할 때는 네트워크 인프라 관리 및 구축 팀과 함께 하는 것이 좋다. 그래야 표적에 가장 가까이에(물리적으로가 아니라 전기적으로) 스캐너를 위치시킬 수 있기 때문이다. 스캔을 할 때는 방화벽과 같은 보안 센서들을 통하여 하지 말고, 스캐너의 화이트리스팅은 필요할 때만 하라.
등잔 밑이 어둡다는 말이 있다. 우리의 가장 가깝고도 어두운 부분은 아마 우리가 알고도 지나쳐버린 ‘축적된 문제’들일 지도 모른다.
글 : 모리 하버(Morey Harber)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
