하트블리드보다 약하다 : 광범위 공격 불가, 이미 패치
하트블리드만큼 강하다 : 잠재 위험 광범위, 사용자 제어 불가

[보안뉴스 문가용] 어제 발견된 베놈(VENOM) 취약점에 대한 의견이 분분하다. 누구는 하트블리드보다 최악의 사태로 발전할 가능성이 높다고 하고 누구는 별거 아니니 과장하지 말라고 한다. 별거 아니라고 하는 사람들이 내세우는 이유는 ‘익스플로잇 자체가 어렵기 때문’이다. 또한 타깃형 공격에 더 적합한 취약점이며, 그렇기 때문에 하트블리드 때처럼 다량의 피해자가 발생할 수가 없다는 것이다.

베놈은 ‘가상 환경을 무시하는 운영 조작(Virtualized Environment Neglected Operations Manipulation)’ 취약점의 약자로 오픈소스 QEMU 하이퍼바이저와 그와 비슷한 센(Xen), KVM 등의 하이퍼바이저에서 발견된 치명적인 취약점이다. 이를 악용할 경우 공격자들은 가상기기 상태를 빠져나와 호스트 시스템과 가상기기에 연결된 다른 시스템에서 코드를 실행할 수 있게 된다. 크라우드스트라이크(CrowdStrike)의 전문가들이 이 취약점을 발견하고 발표했다. 아직 실제 피해사례는 없는 것으로 밝혀졌다.

사실 크라우드스트라이크가 베놈의 존재를 처음부터 공표한 것은 아니었다. QEMU 측에만 알렸고, QEMU를 통해서 영향 범위 내에 있는 벤더들과 제품 제조사들에게만 위험 사항을 전달했을 뿐이었다. 그렇기 때문에 베놈의 존재가 시끄럽게 커뮤니티를 돌아다닐 무렵엔 이미 패치가 끝난 상태였다. 애초에 베놈이 하트블리드처럼 커다란 위협거리가 되지 못한다는 주장은 이런 ‘해결 과정’에도 기인하고 있다.

“제2의 하트블리드인가, 라고 묻는다면 아니라고 답하겠습니다.” 사이낵(Synack)의 연구원인 패트릭 워들(Patrick Wardle)의 말이다. “하트블리드의 피해 범위는 훨씬 광범위했습니다. 패치의 책임은 최종 사용자에게 모조리 전가되었고요. 베놈은 하이퍼바이저 단계에서 한 번의 패치로 수습이 됐죠. 클라우드 환경에서 패치의 책임은 클라우드 제공업체에게 있습니다. 이 두 개가 어떻게 비교가 가능한지 이해가 안 갑니다.”

하트블리드와 비슷한 수준임을 주장하는 측에서는 ‘가능성’의 측면에서 베놈의 위험도를 높이 평가하고 있다. “베놈이 가진 잠재력이 무시무시합니다. 일단 실제 피해가 없다고는 해도 취약점의 영향권 아래 놓인 제품의 범위가 광범위합니다. 잠재 피해 규모가 무시 못할 수준이라는 것이죠.” 이는 베라코드(Veracode)의 부회장인 크리스 엥(Chris Eng)의 설명이다.

하지만 그 역시 굳이 비교하자면 하트블리드 수준까지는 아니라는 데에는 전체적으로 동의한다. “일단 다량의 공격이 가능하지가 않아요. 특정 대상을 향한 타깃형 공격만이 가능한 것이죠. 또한 취약점을 공략하기 전에 해커가 베놈 취약점이 존재하는 시스템에 미리 접속이 가능한 상태여야 합니다. 대중 클라우드 서비스 환경에서 불가능한 일은 아니지만 간단한 일도 아니죠.”

하트블리드는 수백 만개의 시스템을 한 번에 탐색하고 검색하는 걸 가능하게 해주는 취약점이었다. 베놈과 가장 큰 차이가 바로 여기에 있다는 게 전문가들의 공통된 의견이다. “베놈은 특정 기업을 노린 산업 스파이들이 주로 활용할 법한 취약점입니다. 혹은 국가 간 사이버전에서나요. 범위에 있어서는 하트블리드보다 못할지 몰라도 깊이, 즉 피해의 중대함 자체는 비슷하거나 더할 지도 모릅니다. 하트블리드보다 세건 아니건 패치는 필수입니다.”

“이 취약점은 해커들보다는 버그바운티 헌터들에게 더 유용할 거 같습니다. 가상기기 관련된 취약점들은 대부분 그래왔어요. 다만 이번 취약점이 다른 건 임의 코드 실행이 가능하다는 것입니다.” 테너블 네트웍스 시큐리티(Tenable Network Security)의 크리스 토마스(Chris Thomas)의 설명이다. “다행히 6개 대형 벤더들 중 3개만이 영향권 아래 있지만요.”

크리스는 또한 베놈 취약점을 익스플로잇 하는 것도 굉장히 어렵다고 설명을 이어갔다. “공격을 하려면 관리자 혹은 루트 권한을 먼저 탈취해야 합니다. 그래서인지 이번 베놈 취약점으로 실제 피해가 발생한 예는 아직 단 한 건도 없지요. 위험에 대한 잠재력은 분명 작다할 수 없는 취약점이지만 현실적인 피해를 과연 입히는 게 가능한가 라고 한다면, 갸우뚱 거릴 수밖에 없습니다.”

이런 의견들이 있는 한편 거의 패닉에 빠진 전문가들도 없지 않다. “감당하기 힘들 정도의 문제로 발전할 가능성이 있습니다. 아마 제대로 터진다면 하트블리드보다도 더할 게 분명합니다. 특히 인기가 높은 클라우드 서비스 제공업체에게는요.” 라드웨어(Radware)의 부회장인 칼 허버거(Carl Herberger)가 바로 이런 부류다.

“이 취약점 공략법이 퍼진다는 건 어떤 특정 기업이나 단체에 앙심을 품고 있거나 엄청난 금전 보상을 약속받은 사람 입장에서는 심각한 피해를 입힐 수 있는 효과적이니 수단이 하나 더 생긴 거나 다름이 없습니다. 게다가 패치를 했다고는 하는데, 이미 피해가 생긴 상황에서 수정하는 게 쉬울 지와는 별개의 문제라고 봅니다.”

트렌드 마이크로(Trend Micro)의 크리스토퍼 버드(Christopher Budd)도 비슷한 심정이다.  “광역으로 피해를 끼칠 수 없는 취약점이라는 데에는 동의합니다. 그렇지만 애초부터 가상기기를 빠져나오도록 하는 취약점입니다. 그것도 디폴트 환경설정 상태에서요. 가상환경을 사용하는 시스템 사용자 입장에서는 이보다 더 나쁜 일은 드물 겁니다.”

퀄리스(Qualys)의 CTO인 울프강 칸덱(Wolfgang Kandek)은 “패치만으로 안심할 수 없다”는 입장이다. “아마 스캔만으로 이 취약점을 발견할 수 있는 시스템이나 사용자는 거의 없을 겁니다. 왜냐하면 결국 하이퍼바이저를 운영하는 건 아마존이나 랙스페이스 같은 벤더들이거든요. 제어권이 없는 고객들은 뭘 할 수도 없는 것이죠. 최종 사용자의 행동 범위가 무척이나 좁다는 것 역시 보안 사고의 가능성을 높입니다. 실제 사고 발생 시 대처 효율도 떨어질 것이고요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>