대형 보안 행사가 곧 미국에서 열린다. 많은 보안 전문가들이 미국행 비행기에 몸을 실었거나 곧 실을 예정이다. 하지만 현장에 도착한다고 해서 모든 정보를 다 취할 수 있는 건 아니다. 행사 동선을 짜는 게 중요하다.

[보안뉴스 문정후 기자] 세계에서 손꼽히는 보안 행사인 RSA가 다음 주 샌프란시스코에서 열린다. 다양한 공간으로 나뉘어진 행사장에서는 각종 전시회나 강연, 패널 토론과 비즈니스 상담이 풍성하게 열릴 것이라, 몸이 하나 뿐인 우리 모두는 어디서부터 들려서 얼마나 시간을 보낼 수 있는지 고민이 이만저만이 아니다. 아마 주말 동안 동선을 짜는 참가자들도 상당히 많을 것으로 예상된다. 그런 예비 관람객들에게 도움을 주고자 이번 주 주말판을 준비했다.


1. 마이터, 공급망 보안 위한 프로토타입 공개
마이터코퍼레이션(MITRE Corporation)은 이번 RSA에서 ‘시스템 오브 트러스트(System of Trust)’라는 프레임워크의 프로토타입을 공개할 예정이다. SoT라고 불리는 이 프레임워크는 소프트웨어 공급망을 보호하기 위해 고안된 것이다.

소프트웨어 공급망이 내포하고 있는 리스크라는 것에 대해서는 이미 솔라윈즈(SolarWinds) 사태와 로그4j(Log4j) 사건을 통해 알려질 대로 알려졌다. 하지만 ‘공급망 공격은 위험하다’는 것만 알려져 있지, 공급망 공격 가능성과 잠재적 위험성을 어떻게 규정하고 평가해야 하는지는 논의된 적도, 그러므로 합의된 적도 없다. ‘공급망 공격’이라는 말 자체가 아직 매우 모호한 상태인 것이다.

이 때문에 마이터가 SoT를 고안한 것이라고 한다. “이 SoT 프레임워크를 이용할 경우 누구나 자신의 공급망에 내재한 위험들에 구체적으로 무엇이 있는지를 알게 되고, 보다 잘 짜여진 구조를 통해 다룰 수 있게 된다”고 마이터의 소프트웨어 공급망 부문 책임자 로버트 마틴(Robert Martin)은 설명한다. “리스크 관리 도구의 하나라고 볼 수 있지만, 보다 공급망 공격에 초점을 맞춘 것이죠.”

이 SoT는 마이터의 리스크모델관리자(Risk Model Manager, RMM) 플랫폼의 일부로 도입될 예정이라고 한다. 공급망 위험을 평가하고 관리하고자 하는 조직들은 이 SoT를 열람, 편집, 커스터마이징 할 수 있다. 혹은 이미 보유하나 프레임워크와 결합할 수도 있다. 마이터는 작년 RSA에서 SoT 프레임워크의 ‘개념’을 선보인 바 있다.

2. 실제 공격 방어에 도움이 되는 훈련 코스의 기획
블루팀 훈련 코스를 설계한다는 건 간단한 일이 아니다. 이 문제에 대한 고민이 평소 깊었다면 이번 RSA를 통해 도움을 받을 수도 있다. 보안 업체 LMG시큐리티(LMG Security)의 CEO인 셰리 다비도프(Sherri Davidoff)는 “랜섬웨어 공격 때문에 모든 시스템들이 작동하지 않는다면 당신은 무엇을 할 수 있습니까?”라고 묻는다. “대부분 우왕좌왕합니다. 훈련이 되어 있지 않아서죠.”

다비도프는 “블루팀 훈련의 핵심은 실제 사건 발생 시 사람들이 곧바로 움직일 수 있도록 하는 것”이라고 강조한다. “모두가 알고 있는 내용이지만 잘 되지 않습니다. 왜냐하면 실제 공격을 있는 그대로 구현한다는 게 어렵기 때문입니다. 이런 공격 기술이 존재하고, 이런 식으로 피해가 발생한다는 걸 이론적으로만 아무리 설명해 봐야 와 닿지 않습니다. 쇼맨십을 발휘해서 실제 공격을 재현해야 합니다. 공격 시나리오가 있어야 하고, 공격자의 음성이 있어야 하며, 공격자가 사용하는 시각적 요소들까지도 동원돼서 입체적인 재현을 해야만 합니다. 정말로 공격자가 하듯이 공포 분위기를 조성하는 게 중요합니다.”

LMG시큐리티의 훈련 및 교육 분야 책임자 맷 듀린(Matt Durrin)은 “지난 수년 동안 저희 고객들이 직접 겪은 사건들을 있는 그대로 재현해 훈련을 하곤 한다”고 말한다. “너무 오래된 것들은 걸러냅니다. 그래야 유효한 방어력을 기를 수 있거든요. 10년 전 공격 시나리오를 가지고 와봐야 지금에 와서는 큰 도움이 되지 않습니다. 아예 안 하는 것보다 100번 낫겠지만요.”

LMG시큐리티는 이번 RSA 행사를 통해 록빗(LockBit) 공격자들의 전형적인 공격을 흉내 낸 블루팀 훈련 모델을 공유할 예정이다. “훈련 시나리오는 이렇습니다. 피해 기업이 내부적으로 저장한 모든 데이터가 암호화 되어 있으며, 복구는 불가능. 공격자들이 요구한 돈은 250만 달러이고 48시간 안에 입금하지 않으면 500만 달러가 될 예정입니다.”

3. 애플리케이션 보안의 중요성이 대두되는 가운데 등장한 스타트업들
정부의 여러 규제들을 지키기도 해야 하고, 팬데믹 당시 형성된 분산 네트워크도 계속해서 유지해야 하며, 인공지능 기술을 활용해 보안을 강화해야 하는 것이 현재 기업들이 지고 있는 부담이다. 이 부분을 공략하기 위해 여러 보안 스타트업들이 야심차게 등장했고, RSA 주최 측은 가장 눈에 띄는 보안 스타트업 10곳을 선정해 이번 RSA 행사 중에 발표할 예정이다. 이른 바 ‘2023 혁신 샌드박스(Innovation Sandbox)’ 대회다.

그렇다면 RSA는 무엇을 기준으로 스타트업 10곳을 선정했을까? 공식적으로 발표하지는 않았지만 애플리케이션 보안이 중요한 기준이 된 것으로 분석되고 있다. 보안 업체 옴디아(Omdia)의 수석 분석가인 릭 터너(Rik Turner)는 “원격 근무 체제가 많아지게 되면서 애플리케이션의 안전에 대한 이야기가 여기 저기서 나오고 있다”고 말한다. “코로나 기간 동안 물리 공간으로서 사무실과 학교를 닫는 대신 애플리케이션을 통해 가상의 공간을 만들었죠. 앱을 안전하게 사용한다는 것이 그 무엇보다 중요한 일이 된 것입니다.”

예선을 통과한 10개의 스타트업들은 미국 현지 시간으로 4월 24일 본 무대에서 모습을 드러내 각각의 미션과 현재 회사 상황 등을 알릴 것으로 전망된다. 이 업체들은 AnChain.AI, Astrix Security, Dazz, Endor Labs, HiddenLayer, Pangea, Relyance AI, SafeBase, Valence Security, Zama이다.

4. 랜섬웨어 공격에 어떻게 대응할 것인가
랜섬웨어 공격에 당했을 때, 그래서 뭔가 대처법을 마련해 대응해야만 할 때 가장 중요한 건 ‘내가 가지고 있는 카드를 파악하는 것’이다. 우리 회사가 가진 자원이 무엇이냐에 따라 접근법이 완전히 달라진다. 공격자들을 완전히 무시할 수 있을 때도 있고, 공격자에게 이리 저리 휘둘릴 수밖에 없을 때도 있다.

RSA 현장에서 보안 컨설팅 업체 트리톤테크컨설팅(Triton Tech Consulting)의 CEO 브랜든 클락(Brandon Clark)은 이 부분에 대한 상세하면서도 실용적인 내용을 강연할 전망이다. 당연하지만 공격자에게 돈을 지불하는 문제에 대해서도 다룬다. 무조건 내지 말라고 하지는 않고, 어떤 식으로 판단을 내려야 하는지, 무엇을 근거로 공격자에게 돈을 내거나 내지 않을 것을 결정해야 하는지도 알려준다고 한다.

“가장 중요한 건 ‘결국 이번 랜섬웨어 사건 때문에 가장 위험해진 게 무엇인가’를 알아야 합니다. 어떤 데이터를 못 쓰게 되었고, 그것을 복구하거나 재생산하는 비용은 어느 정도고, 공격자가 요구한 돈이 어느 정도인지를 비교해야 하죠. 백업과 망분리에 자신이 있는 기업이라면 이런 조사와 비교를 통해 공격자보다 더 유리한 고지에서 협상을 진행할 수도 있습니다. 이런 조사들을 해야 공격자와 비교해 자신이 어느 정도 위치에 있는지를 알고 협상에 응할 수 있습니다.”

5. XIoT 장비들은 왜 공격자의 편에 있는 것일까?
사물인터넷 장비들도 그렇지만 확장된 개념의 사물인터넷(XIoT) 장비들도 보안이 대단히 허술하다. 그럼에도 점점 더 기업 내 업무 환경에서 여러 가지 목적을 위해 사용되고 있다. 관리자들의 모니터링이 그리 꼼꼼한 것도 아니다. 그러니 현재 기업들 내부로 공격자들을 위한 고속도로가 말끔히 포장되어 가는 중이라고도 할 수 있다.

이번 RSA에서 보안 전략가이자 연구원인 브라이언 콘토스(Brian Contos)는 XIoT라고 불리는 장비들을 어떻게 해킹하는지를 시연할 예정이다. 또한 그런 해킹 기법으로부터 XIoT 장비들을 안전하게 보호하려면 어떻게 해야 하는지 역시 논할 것이라고 한다. XIoT 장비들을 통해 공격자가 어떻게 공격을 확장시키고, 피해자의 네트워크 안에서 어떻게 ‘횡적 움직임’을 구사하는지를 보여주는 게 이번 시연의 목적이라고 그는 설명한다.

XIoT 보안이라고 했을 때 생각해야 하는 건 크게 3가지라고 콘토스는 말한다.
1) 기업용 IoT 장비들(예 : 카메라, 프린터, IP 전화기, 잠금장치 등)
2) OT 네트워크를 구성하는 장비들(예 : 산업 로봇, 밸브 제어 장치 등)
3) 일반 네트워크 장비들(예 : 스위치, NAS, 게이트웨이 라우터 등)

콘토스는 여러 가지 장비들을 현장으로 가져온 후 여러 가지 공격을 시연할 계획인데, 간단하게는 전력을 차단함으로써 장비가 켜지지 않게 하는 것에서부터 횡적으로 움직여 민감한 데이터를 훔쳐내는 것까지 최대한 많은 것을 보여줄 것이라고 한다. 뿐만 아니라 최근 국가 지원 해킹 단체들이 즐겨 사용하는 기법까지도 공개할 예정이다.

6. 모의 해커들의 인공지능 공략
최신 인공지능 모델을 공략하는 방법도 이번 RSA에서 다뤄질 예정이다. 인공지능을 활용해 악성 행위를 저지르는 다양한 방법들도 제시될 것이지만, 보다 깊게 들어가 지금 우리가 인공지능과 관련한 안전 장치들을 충분히 가지고 있는지도 토론 대상이 된다. 디지털 아이덴티티 보안 스타트업인 인럽트(Inrupt)의 부회장 데이비 오텐하이머(Davi Ottenheimer)가 RSA 강연을 통해 “인공지능 모의 해킹이란 무엇인가?”를 깊이 있게 다룰 예정이다.

“인공지능 개발자들이 당연하게도 안전 장치를 마련하여 알고리즘을 발표합니다. 그래서 우리는 ‘멀웨어를 만들어 달라’고 인공지능에 요청할 수 없습니다. 하지만 이미 사람들은 수많은 질문을 단계별로 진행함으로써 인공지능이 멀웨어를 제작하도록 하는 데에까지 이르렀습니다. 이런 상황에서 인공지능 모델을 모의로 해킹한다는 건 기존의 모의 해킹과는 전혀 다른 작업이 되어야만 합니다.” 오텐하이머의 주장이다.

오텐하이머는 “인공지능 앞에서는 모든 사람이 해커로 돌변한다”고 지적하기도 한다. “누구나 인공지능을 가지고 놀면 인공지능이 엉뚱한 대답을 하도록 유도하는 데에 큰 재미를 느낍니다. 그래서 일부러 여러 가지 말도 안 되는 질문들을 해서 인공지능을 농락하죠. 누구나 인공지능을 가지고 이런 장난을 칩니다. 이런 상황에서 인공지능 모의 해킹이 갖는 차별점을 연구하는 것이 당연한 수순입니다.”

7. 라우터를 재활용 했더니 민감한 정보까지 새어나와
폐기된 라우터 혹은 중고 시장에 나온 라우터들은 경우에 따라 커다란 보안 위협이 되기도 한다. 이 안에는 네트워크 설정, 크리덴셜을 비롯해 각종 애플리케이션 및 고개 정보까지 포함되어 있기 때문이다. 제대로 삭제하는 과정 없이 버리거나 팔면 해킹 공격에 유용한 정보가 잘못된 사람의 손에 들어갈 수도 있다.

최근 보안 업체 이셋(ESET)의 연구원들은 시스코, 포티넷, 주니퍼에서 만든 각종 기업용 라우터들을 중고로 구매했다. 분석을 했더니 16개 중 9개에서 각종 민감 정보를 풍부하게 찾아낼 수 있었다고 한다. “어떤 경우는 이전 주인이었던 기업의 네트워크가 어떻게 구성되었는지도 완벽히 알아낼 수 있었습니다. 중고 라우터 하나로 특정 기업의 상세 내부 설계도를 얻은 것과 같았습니다.”

그 외에 이셋 연구원들이 얻어낸 건 다음과 같았다.
1) 90%의 중고 라우터에서 인증 키와 애플리케이션 정보를 획득할 수 있었다.
2) 44%의 중고 라우터에서 네트워크 크리덴셜을 획득할 수 있었다.
3) 33%의 중고 라우터에서 서드파티가 네트워크에 접속할 수 있게 해 주는 방법을 찾아낼 수 있었다.
4) 22%의 중고 라우터에서 고객 정보를 발견할 수 있었다.

이번 RSA에서 이셋은 이러한 경험에 대한 내용을 상세히 정리해 발표할 계획이다. 중고 전자 제품을 버리거나 되파는 데 있어서 중요한 경각심을 심어줄 강연으로 기대되고 있다. 참고로 보안 업체 라피드7(Rapid7)이 2019년 비슷한 연구를 한 적이 있었다. 당시 85대의 라우터 장비를 중고로 구매해 분석했고, 연구원들은 제대로 삭제된 라우터가 단 두 대에 불과했다고 발표했었다.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>