파이어아이에 접근한 보안전문가, 조롱과 협박조로 업체 비난
윤리성 갖추지 못한 보안전문가, 해커와 다를 게 무엇인가
[보안뉴스 문가용] 보안 솔루션을 개발하고 파는 업체라고 해서 100% 완벽한 방어 시스템을 두르고 있는 건 아니다. 그들 역시 취약점을 가지고 있고 혹여나 들어올 수 있는 공격에 불안하다. 아니, 사실 항간에 잘 알려졌다 싶은 보안 기업들은 일반 기업들이나 정부 기관만큼이나 해킹을 자주 당한다. 그들의 제품 역시 불순한 의도를 가진 이들에 의해 샅샅이 뜯기고 씹히기 일쑤다. 그런 기업들 중 파이어아이(FireEye)와 카스퍼스키(Kaspersky)가 있다. 지난 주말 이 둘은 각자의 제품에서 발견된 상당히 치명적인 버그가 동시에 공개되는 상황에 처했다.
▲ 일단 웃어봐, 너의 취약점은 내가 쥐고 있으니까.
1. 파이어아이를 분석한 전문가
파이어아이의 경우, 캘리포니아에 있는 보안 전문가인 크리스찬 헤르만센(Kristian Hermansen)이란 인물이 파이어아이의 위협 방지 솔루션 중 하나에서 제로데이 취약점을 발견해 세상에 공개한 것으로 사건이 시작됐다. 헤르만센이 공개한 정보에 따르면 해커들이 해당 취약점을 익스플로잇 할 경우 원격에서 루트 파일에 접근할 수 있다. 문제는 헤르만센이 이 정보를 공개하면서 “아니, 세상에, 보안 전문 기업이란 곳에서 내놓은 제품에 이런 엄청난 취약점이라니! 이래도 보안 전문 회사로서 신뢰를 받을 자격이 있는가?”라는 조롱어린 말까지 함께 섞은 것이다.
또한 헤르만센은 “파이어아이 제품에는 이런 제로데이 오류가 상당히 많다”고 하며 자신은 “적어도 18개월 이상 파이어아이가 알아서 수정해주기를 기다렸다”고 밝혔다. 특히 트위터를 통해 “파이어아이 제품에서 발견한 제로데이 취약점이 최소 세 가지”라며 “원하는 경우 누구에게라도 이 취약점을 팔 의향이 있다”고까지 했다.
이에 대해 파이어아이 측은 강력하게 비판했다. “보안 업계 전체에서도 굉장히 특이한 사건이라고 봅니다. 이런 식으로 무례하게 취약점을 공개한 보안전문가란 여태껏 존재하지 않았거든요. 이는 보안 업계 종사자로서도 굉장히 창피하고 낯부끄러운 짓입니다. 무책임과 아마추어리즘의 극치라고 생각합니다.” 또한 조사 결과 그동안 헤르만센이 파이어아이에 취약점을 보고하며 패치를 정식으로 요청한 적은 단 한 번도 없었다. 그가 취한 연락이라고는 ‘취약점을 가지고 있으니 얼마의 값을 지불하라’는, 협박과 진배없는 내용뿐이었다.
파이어아이는 이번에 공개된 제품의 취약점에 대한 패치를 준비하는 한편 공식 버그 리포팅 채널을 통해 헤르만센에게 그가 발견했다고 주장하는 여러 가지 취약점에 대한 상세 내용을 요청한 상태다. 하지만 헤르만센에게서는 아직까지 아무런 응답이 없다. “결국 취약점을 가지고 돈을 벌고 싶은 거죠. 그게 전부인 사람인 겁니다. 해커랑 다를 게 뭔가요.”
2. 카스퍼스키를 분석한 전문가
카스퍼스키의 경우, 구글의 보안 엔지니어인 타비스 오만디(Tavis Ormandy)가 취약점을 제일 먼저 발견해 카스퍼스키에게 알려왔다. 해당 보고를 받은 카스퍼스키는 발 빠르게 이를 패치해 배포를 시작했다. “원격에서 시스템을 조정할 수 있는 제로데이 시스템 익스플로잇이었습니다. 굉장히 치명적인 오류였죠.” 오만디가 트위터를 통해 공개한 내용이다.
오만디는 이외에도 카스퍼스키 제품에서 오류를 여럿 발견했다고 주장했고 카스퍼스키가 한번 자체 검사를 실시해야 할 것 같다고 제안했다. 그러면서 자기가 여기서 말하는 ‘여러 가지 오류’를 조만간 분류할 것이라고 밝혔다. 카스퍼스키는 “이런 식의 공조를 통해 100% 완벽할 수 없는 소프트웨어의 한계를 극복해나가고 있다”며 감사를 표했다.
또 다른 보안 전문 기업인 트렌드 마이크로(Trend Micro)의 수석 정보보안 담당자 톰 켈러만(Tom Kellermann)은 “결국 정보보안을 위한 소프트웨어 자체에도 결함이 있을 수밖에 없으며, 이는 현대의 IT 환경에서 작업을 하는 모든 기업들이 처한 문제입니다. 또한 이들은 어쩔 수 없이 블랙 해커들과 대척점에 설 수밖에 없는 입장이죠. 아마 앞으로도 보안 솔루션 소프트웨어에 대한 공격 및 시비가 끊임없이 발생할 겁니다. 유명한 기업이라면 더욱 그렇죠”라고 말했다.
블랙해킹과 화이트해킹의 구분이 점점 모호해지면서 허가 없는 침투 테스트가 마구 발생하면서 보안 솔루션들이 표적이 되고 있는 때, 파이어아이가 겪었던 황당한 경우가 앞으로 더 많이 발생할 가능성이 높아지고 있다. 제도 마련과 윤리 교육 등의 대처가 점점 더 많이 필요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
