보안 업체들의 디지털 환경을 2주 동안 조사했더니 보안 서비스를 받는 기업들과 다르지 않음이 드러났다. 아는 것만큼 실천하지 않는다는 뜻이다. 속도가 제일 중요한 덕목인 현재 시장 상황 속에서 살아남으려니 어쩔 수 없기도 하다.

[보안뉴스 문가용 기자] 많은 기업과 기관들이 사이버 위협에 노출되어 있는 만큼 그들을 보호하기 위한 사이버 보안 업체들 역시 각종 위험에 노출되어 있다. 심지어 사이버 보안 업체가 사이버 공격의 피해자가 되는 경우도 심심치 않게 발생한다.


이스라엘의 보안 업체 리포지파이(Reposify)는 최근 자사의 외부 공격 경로 관리 플랫폼을 사용하여 35개의 주요 사이버 보안 업체들과 350개가 넘는 자회사 및 파트너사들이 보유한 자산들과 네트워크 중 인터넷에 노출되어 있는 부분들을 2주 동안 검사했다.

리포지파이의 CTO인 야론 탈(Yaron Tal)은 “주로 인터넷을 통해 외부로 노출된 인프라, 애플리케이션, 사용자 프로파일 등에 집중했다”고 설명한다. “클라우드에 호스팅 된 데이터베이스, 원격에서 접근 가능한 사이트들, 웹에 연결된 애플리케이션, 라우터, 스위치, 웹 서버, 스토리지, 백업, 개발 도구 등을 전부 스캔한 것이라고 볼 수 있습니다.”

이렇게 조사한 결과 꽤나 많은 사이버 보안 업체들이 위험할 정도로 공격에 노출되어 있다는 사실이 밝혀졌다. 86%가 민감한 서비스를 1개 이상 인터넷에 노출시키고 있었고 80%가 네트워크 자산들을 노출시키고 있었다. 63%는 백오피스 네트워크가 인터넷에 곧바로 노출되어 있었고, 51%는 DB가 한 개 이상, 40%는 개발자 도구가 한 개 이상 인터넷에 노출되어 있었다. 사용자 기업들과 별반 다를 게 없는 상황이었던 것이다.

“사이버 보안 업계의 조직들도 다른 산업 내 조직들과 비슷한 수준으로 위험에 노출되어 있다는 걸 알 수 있었습니다. 특히 클라우드 체제에서는 보안 업체와 일반 업체의 차이가 미비하기까지 했습니다. 97%의 보안 업체들이 AWS 등 여러 클라우드에 저장된 데이터를 그대로 노출시키고 있었거든요. 이 중 42%는 꽤나 민감한 정보들이기도 했습니다.” 리포지파이의 설명이다.

“이런 여러 가지 사안들 중 하나만 문제가 되더라도 심각한 수준으로 위험하다고 볼 수 있습니다. 그런데 모든 사안들이 한꺼번에 발견되고 있으니, 사이버 보안 업체들이 지금 얼마나 위험한 상태로 운영되고 있는지 알 수 있죠. 보안 업계가 설교는 그만 두고 실천에 집중해야 할 때가 아닐까 합니다.” 탈의 설명이다.

리포지파이는 금융, 제약, 게임 산업에서도 비슷한 조사를 실시했었다고 한다. 결과는 모든 산업들에서 비슷하게 나왔다. 제약 회사들의 경우 데이터베이스가 인터넷에 노출된 경우가 92%였다. 게임 산업은 55%, 금융 산업은 23%였다. 탈은 “사이버 보안 업계가 이런 업계들에 강조하는 말만큼만 실제로 실천했다면 이런 각종 수치들이 보안 업계에서는 유독 낮아야 하는 게 맞다”고 말한다.

보안 업체 IT하베스트(IT-Harvest)의 수석 분석가인 리차드 스티에논(Richard Siennon)은 “보안 업계의 자산들이 인터넷에 다량으로 노출되었다는 사실이 의외는 아니”라고 말한다. “결국 사이버 보안 업체들도 일반 업체들과 마찬가지로 빠른 출시와 사업적 성장을 기본 목적으로 삼고 있는 조직들이니까요. 수익을 늘리려면 서둘러야 하고, 서두르려면 편리해야 하며, 편리하려면 인터넷에 연결시켜둬야 하죠.”

보안 업체들은 정보 보안에 필요한 기술적 능력이 탁월한 단체들이다. 그리고 이 기술을 통해 수익을 만들어 낸다. 여느 기업처럼 이윤을 내는 게 최고 가치일 수밖에 없고, 수많은 경쟁자들 속에서 이윤을 내려면 ‘혁신의 속도’에 초점을 맞추는 게 당연하다. 스티에논은 “그래서 보안 업계 CISO들 중 다수가 세일즈와 마케팅 책임자와 사실은 다르지 않은 역할을 수행하는 게 현실”이라고 말한다. “심지어 보안 팀과 별개로 움직이는 CISO들도 많습니다.”

디지털 발자국의 확장
사이버 보안 조직들이나 다른 조직들이나 비슷한 수위의 위험에 노출되는 데에는 또 다른 이유도 존재한다. 바로 조직들마다 ‘디지털 자산’이 다량으로 보유하고 있다는 것이다. 얼마나 많은지 자신들이 뭘 가지고 있는지도 미처 다 헤아리지 못하고 있다. 다 파악하거나 알고 있지 못하니 당연히 보호도 못한다.

“게다가 재택 근무나 하이브리드 근무 형태가 확산되면서 서드파티 요소들도 대폭 늘렸고, 그러면서 디지털 발자국도 크게 확대됐습니다. 가시성은 더 확보하기 힘든 것이 되었죠.” 가시성을 확보하지 못한 디지털 자산들에는 사용자들이 회사 승인 없이 개인이 개별적으로 설치한 IT 도구나 서비스, 클라우드 인스턴스, 예전에 사용하다가 잊어버린 데이터베이스와 개발 도구, 네트워크 자산 등이 있다고 한다.

사이버 보안 업체들이 자주 노출시키는 웹 서버(91%)들은 엔진엑스(Nginx)와 아파치(Apache)인 것으로 나타났다. 노출된 웹 서버의 88%가 오픈SSH(OpenSSH)를 통해 접근이 가능했고, 그 외 원격 접근이 가능했던 프로토콜들은 텔넷(33%), SMB 서비스(30%)였다. 인터넷 스캔을 통해 접근 가능했던 보안 업체 데이터베이스의 72%는 PostgreSQL이었고, 그 다음은 오라클DB(50%), MySQL(28%), 마이크로소프트 SQL(21%) 순이었다.

리포지파이는 “보안 업체들에 일침을 가하기 위해 이런 조사를 한 것이 아니”라는 것을 강조했다. “결국 그 누구도 오늘 날의 디지털 환경에서 안전할 수 없다는 걸 알리고 싶었습니다. 보안 업체는 보안 업체이기 때문에 안전할 거라고 생각하려는 경향이 있습니다. 보안 업체 스스로도 그렇고 고객사들도 그렇죠. 하지만 이번 연구 결과로 그렇지 않음이 증명됐습니다. 누구나 마음 놓고 있다가는 바로 공격 표적이 되는 게 현재 상황입니다.”

3줄 요약
1. 사이버 보안 업체의 현 상황은 사용자 기업들과 별반 다를 게 없음.
2. 인터넷에 고스란히 노출된 자산들이 지나치게 많음.
3. 보안 업체들, 설교보다 실천을 해야 할 때가 아닌지.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>