대중의 전폭적인 사랑을 짝사랑으로 폄하시킨 이베이의 행동
그렇게 해결하기 어렵지 않은 취약점을 두고 1년 넘는 시간 소요

[보안뉴스 주소형] 인터넷을 기반으로 한 기업 가운데 가장 성공적인 케이스로 꼽히는 이베이(eBay)가 일 년이 넘도록 이미 알려진 취약점을 그대로 사이트에 방치했다는 사실이 드러났다. 지난해 이맘때쯤 이베이는 Html 태그를 악용하여 웹브라우져를 통해 스크립트언어를 가지고 공격이 가능한 크로스 사이트 스크립팅 XSS (cross site scripting) 취약점이 있다는 사실을 사용자이자 보안 전문가에게 이메일을 통해 제보 받았다.

 


 

하지만 이베이는 해당 사실을 인지하고도 취약점을 일 년이 넘는 시간 동안 방치하고 있다. 미국의 권위 있는 시장조사 기관인 넬슨연구소에 따르면 이베이는 전 세계 전자상거래 사이트 가운데 하루 평균 접속자 수 탑 5 안에 든다. 그 정도로 이베이는 이용자가 많은 공간이다. 그렇게 대중의 사랑을 받고 있음에도 불구하고 이베이는 해결하기 어렵지 않은 취약점을 12개월 넘게 그대로 놔두고 있는 것이다.

이와 대조적으로 시스코(Cisco)라는 네트워크 솔루션 기업은 테슬라크립트(TeslaCrypt)라는 랜섬웨어 피해자들을 돕기 위한 복호화 툴을 무료로 배포한다. 테슬라크립트는 작년에 세계적으로 악명을 떨쳤던 크립토락커(CryptoLocker)라는 랜섬웨어와 연관이 있어 보이는 신종 랜섬웨어로 시스코에 따르면 “다행히 대칭형 AES 암호화 방식을 사용하고 있어 리버스 엔지니어링으로 복호화 툴을 만드는 게 가능”했던 멀웨어다. 재미있는 건 테슬라크립트는 ‘우리는 비대칭형 암호화 방식을 사용하고 있기 때문에 그 어떤 복구 노력도 소용없을 것이니 순순히 포기하는 게 서로 편할 것이다’라는 식의 경고메시지를 발한다는 것. “사실무근의 허세죠.”

이와 비슷한 랜섬웨어 복호화 툴 개발 노력이 이전에 없었던 건 아니다. 카스퍼스키만해도 코인볼트(CoinVault)라는 랜섬웨어를 풀어주는 툴을 개발해 배포하고 있다. 다만 카스퍼스키의 경우 네덜란드의 법 집행 기관들과 함께 작업을 했기 때문에 복호화에 필요한 개인 키(private key)를 공격자들의 서버로부터 다수 확보할 수 있었고, 그래서 카스퍼스키의 툴은 랜섬웨어 자체를 해부한 뒤에 개발된 게 아니라 사실상 이 개인 키를 데이터베이스에 담아 피해자의 시스템을 복구시켜주는 것으로, 이 데이터베이스에 있는 개인 키 외에 다른 키가 적용된 시스템은 복구시킬 수가 없다는 한계를 가지고 있다.

이는 크립토락커 때와도 비슷하다. 크립토락커를 잡아내는 작전을 세계 여러 법 집행 기관이 공모하고 실제 실행했을 때도 공격자들로부터 개인 키를 다수 확보하는 게 가능했고, 이를 바탕으로 크립토락커의 피해자들을 도울 수 있었던 것이다. 이때 역시 ‘툴’의 기능은 사실상 복호화를 위한 개인 키를 배포하는 것이나 다름없었다. 크립토월(CryptoWall)의 경우, 비대칭형 암호화 방식을 사용하고 있어서 아예 대처 자체가 불가능했다.

그렇다고 툴을 전격 해부한 후 탄생한 시스코의 툴이 완벽한 건 아니다. 시스템에 마스터 키가 반드시 남아있어야만 복호화가 가능하며, 마치 우리 몸이 아주 작은 차이가 나는 감기 바이러스에 대해 전혀 면역 체계를 갖추지 못하듯, 같은 테슬라크립트라고 하여도 작은 차이를 가지고 있는 변종에 대해서는 무용지물이 되기 때문이다. 랜섬웨어란 건 애초에 변종들이 무수히 생겨나는 멀웨어이기도 하고 말이다.

그래서 시스코의 전문가들을 비롯한 업계의 전문가들은 랜섬웨어 복구 툴은 아직까지는 임시방편이 될 수밖에 없다고 입을 모은다. 랜섬웨어라는 걸 근본부터 예방하려면 사용자의 보안 습관 역시 근본으로 거슬러 올라가야 한다는 것이다. “즉, 보안 규정을 준수하고 주기적인 백업을 하며 시스템 보호를 위해 여러 겹의 보호막을 마련하는 것만으로도 웬만한 랜섬웨어에는 대처할 수 있습니다.”
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>