.gif)
정부들만 알고 있는 제로데이 취약점, 공개한다고 해도 이득 소소해
제로데이, 발견과 익스플로잇 어려워 일반 범죄자들은 알려진 취약점 연구
[보안뉴스 문가용 기자] 여러 정부기관들이 대중들에게 알리지 않고 몰래 취약점들을 비축해놓고 있는 게 생각보다 그리 치명적이거나 위험하지 않다는 연구 결과가 나와 주목을 받고 있다. 그 취약점들을 공개해 얻을 수 있는 공익이 너무 사소해, 차라리 숨겨놓고 정부가 활용하는 편이 전략적으로 훨씬 이득이라는 것이 주장의 골자였다. 해당 조사는 랜드코퍼레이션(RAND Corp.)가 실시했다.
.jpg)
랜드코퍼레이션은 특히 국가의 후원을 받고 있는 해커들이 즐겨 사용하는 제로데이 오류 200개 이상을 조사, 분석해 보고서를 발간했다. “정부기관 등이 취약점들을 비공개로 비축하는 것에 반대하는 사람들의 가장 주된 주장은 ‘적국의 첩보기관도 비슷한 지식을 가지고 있을 것이 분명하니 같은 공격을 받을 수 있는 민간인들에게 알려야 하지 않겠느냐’는 것입니다.” 랜드코퍼레이션의 설명이다.
최근 위키리크스를 통해 CIA의 멀웨어 데이터와 해킹 기술들이 만천하에 드러났다. 그러면서 ‘정부는 도대체 얼마나 많은 공격 기술을 보유하고 있는 것인가’하는 우려가 제기되었다. 심지어는 “미국의 민간 기업과 시민들이 당하는 사이버 공격에 미국 첩보기관들도 책임이 있다”는 주장도 나왔다.
하지만 랜드코퍼레이션은 “우리가 정부기관이 알고 있는 걸 적국도 알고 있을 거라는 전제가 크게 과장된 것”이라고 말한다. “제로데이 취약점은 긴 시간 동안 발견되지 않고, 고쳐지지 않은 채 남겨져 있는 게 보통입니다. 저희가 분석해본 결과 제로데이 취약점의 평균 수명은 6.9년인 것으로 나타났습니다. 일단 제로데이 취약점의 이러한 특성 상 모두가 다 알고 있을 거라는 추측은 앞뒤가 맞지 않습니다. 가능성이 0은 아니지만 무척 낮다고 볼 수 있죠.”
두 사람이 같은 제로데이 취약점을 발견할 가능성 자체가 굉장히 낮다면(랜드 측은 이것이 사실이라고 주장한다), ‘적 정부도 같은 공격을 가할 것’이라는 우려는 불식시킬 수 있다. 그리고 한 발 더 나아가 “공개한다고 해서 공공의 보안이 더 좋아진다고 볼 수도 없다”는 결론에도 도달할 수 있다.
“국방의 전략적인 측면에서 봤을 때 ‘우리가 가진 무기를 상대도 가지고 있다’는 전제가 성립한다면 당연히 그 무기에 대한 정보를 우리 국민들에게 공개해 방어를 더 튼튼히 하는 게 좋습니다. 하지만 그 전제가 성립하지 않는다면, 즉, 우리가 가진 무기를 상대가 가지고 있지 않을 가능성이 더 높다면, 괜시리 우리 무기를 공개해 그들의 방어력을 높여줄 이유가 없습니다.”
랜드코퍼레이션은 “취약점은 코드 변경(code churn) 행위 때문에 발견되는 것이 대부분”이라며 “코드 감사를 통해 발견되는 경우는 그 보다 훨씬 적다”고 설명한다. “많은 전문가들과 인터뷰를 진행했는데, 누군가 나만 아는 제로데이 취약점을 익스플로잇 했기 때문에 취약점의 수명이 끝나는 경우는 없다고 입을 모았습니다. 위키리크스 같은 곳이 대량으로 정보를 유출했어도 사실은 그 취약점들이 못 쓸 것이 되는 건 아닙니다.”
제로데이 취약점 발견이 워낙 어려우니, 일반적인 사이버 범죄자들과 해커들은 대부분 이미 알려진 취약점들을 공략하는 것에 더 시간을 투자한다. “제로데이 취약점을 발견하거나 익스플로잇 할 줄 아는 사람들은 정말 소수일 뿐입니다. 굉장한 실력을 요구하는 일이거든요. 제로데이를 공개한다고 해서 사이버 범죄자들의 공격을 효율적으로 막을 수 있는 게 아닙니다.”
그밖에 랜드코퍼레이션은 이번 연구를 통해 200개의 취약점들 중 40%가 아직도 ‘공식적으로는 밝혀지지 않은 것’임을 알아냈다고 밝혔다. 또한 제로데이 오류의 완전한 익스플로잇이 개발되는 데에 필요한 기간은 평균 22일이라고도 설명했다. 또한 전체 제로데이 취약점들 중 25%는 18개월 이내에 발견되지만 25%는 9년 이상 살아남는다고도 밝혔다. “하지만 제로데이의 여러 가지 특성과 수명은 그 어떤 연관성도 갖고 있지 않은 듯 합니다. 그게 굉장히 중요한 문제죠.”
랜드코퍼레이션의 보고서는 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
제로데이, 발견과 익스플로잇 어려워 일반 범죄자들은 알려진 취약점 연구
[보안뉴스 문가용 기자] 여러 정부기관들이 대중들에게 알리지 않고 몰래 취약점들을 비축해놓고 있는 게 생각보다 그리 치명적이거나 위험하지 않다는 연구 결과가 나와 주목을 받고 있다. 그 취약점들을 공개해 얻을 수 있는 공익이 너무 사소해, 차라리 숨겨놓고 정부가 활용하는 편이 전략적으로 훨씬 이득이라는 것이 주장의 골자였다. 해당 조사는 랜드코퍼레이션(RAND Corp.)가 실시했다.
랜드코퍼레이션은 특히 국가의 후원을 받고 있는 해커들이 즐겨 사용하는 제로데이 오류 200개 이상을 조사, 분석해 보고서를 발간했다. “정부기관 등이 취약점들을 비공개로 비축하는 것에 반대하는 사람들의 가장 주된 주장은 ‘적국의 첩보기관도 비슷한 지식을 가지고 있을 것이 분명하니 같은 공격을 받을 수 있는 민간인들에게 알려야 하지 않겠느냐’는 것입니다.” 랜드코퍼레이션의 설명이다.
최근 위키리크스를 통해 CIA의 멀웨어 데이터와 해킹 기술들이 만천하에 드러났다. 그러면서 ‘정부는 도대체 얼마나 많은 공격 기술을 보유하고 있는 것인가’하는 우려가 제기되었다. 심지어는 “미국의 민간 기업과 시민들이 당하는 사이버 공격에 미국 첩보기관들도 책임이 있다”는 주장도 나왔다.
하지만 랜드코퍼레이션은 “우리가 정부기관이 알고 있는 걸 적국도 알고 있을 거라는 전제가 크게 과장된 것”이라고 말한다. “제로데이 취약점은 긴 시간 동안 발견되지 않고, 고쳐지지 않은 채 남겨져 있는 게 보통입니다. 저희가 분석해본 결과 제로데이 취약점의 평균 수명은 6.9년인 것으로 나타났습니다. 일단 제로데이 취약점의 이러한 특성 상 모두가 다 알고 있을 거라는 추측은 앞뒤가 맞지 않습니다. 가능성이 0은 아니지만 무척 낮다고 볼 수 있죠.”
두 사람이 같은 제로데이 취약점을 발견할 가능성 자체가 굉장히 낮다면(랜드 측은 이것이 사실이라고 주장한다), ‘적 정부도 같은 공격을 가할 것’이라는 우려는 불식시킬 수 있다. 그리고 한 발 더 나아가 “공개한다고 해서 공공의 보안이 더 좋아진다고 볼 수도 없다”는 결론에도 도달할 수 있다.
“국방의 전략적인 측면에서 봤을 때 ‘우리가 가진 무기를 상대도 가지고 있다’는 전제가 성립한다면 당연히 그 무기에 대한 정보를 우리 국민들에게 공개해 방어를 더 튼튼히 하는 게 좋습니다. 하지만 그 전제가 성립하지 않는다면, 즉, 우리가 가진 무기를 상대가 가지고 있지 않을 가능성이 더 높다면, 괜시리 우리 무기를 공개해 그들의 방어력을 높여줄 이유가 없습니다.”
랜드코퍼레이션은 “취약점은 코드 변경(code churn) 행위 때문에 발견되는 것이 대부분”이라며 “코드 감사를 통해 발견되는 경우는 그 보다 훨씬 적다”고 설명한다. “많은 전문가들과 인터뷰를 진행했는데, 누군가 나만 아는 제로데이 취약점을 익스플로잇 했기 때문에 취약점의 수명이 끝나는 경우는 없다고 입을 모았습니다. 위키리크스 같은 곳이 대량으로 정보를 유출했어도 사실은 그 취약점들이 못 쓸 것이 되는 건 아닙니다.”
제로데이 취약점 발견이 워낙 어려우니, 일반적인 사이버 범죄자들과 해커들은 대부분 이미 알려진 취약점들을 공략하는 것에 더 시간을 투자한다. “제로데이 취약점을 발견하거나 익스플로잇 할 줄 아는 사람들은 정말 소수일 뿐입니다. 굉장한 실력을 요구하는 일이거든요. 제로데이를 공개한다고 해서 사이버 범죄자들의 공격을 효율적으로 막을 수 있는 게 아닙니다.”
그밖에 랜드코퍼레이션은 이번 연구를 통해 200개의 취약점들 중 40%가 아직도 ‘공식적으로는 밝혀지지 않은 것’임을 알아냈다고 밝혔다. 또한 제로데이 오류의 완전한 익스플로잇이 개발되는 데에 필요한 기간은 평균 22일이라고도 설명했다. 또한 전체 제로데이 취약점들 중 25%는 18개월 이내에 발견되지만 25%는 9년 이상 살아남는다고도 밝혔다. “하지만 제로데이의 여러 가지 특성과 수명은 그 어떤 연관성도 갖고 있지 않은 듯 합니다. 그게 굉장히 중요한 문제죠.”
랜드코퍼레이션의 보고서는 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
