1월부터 4월 초까지 이반티의 보안 제품들에서 벌써 11개의 취약점이 나왔다. 그 중 다수가 초고위험도이기까지 하다. 보안을 위해 이반티 제품을 구입한 고객들 사이에서 불만이 나올 수밖에 없다.

[보안뉴스 문가용 기자] 이반티(Ivanti)의 CEO인 제프 애봇(Jeff Abbott)이 자사 보안 상태를 다시 점검하고 새롭게 하겠다고 발표했다. 최근 이반티 제품에서 연달아 심각한 취약점들이 발견되고 있기 때문이다. 애봇은 고객들에게 보내는 편지를 통해 “향후 수개월 내에 여러 가지 변경 사항들을 적용하여 보다 강력한 제품과 서비스를 제공할 것”이라고 다짐하기도 했다.


어지간히 바꾸지 않는다면...
“현재 저희는 사내 업무 처리 및 생산 과정들을 전부 재점검하고 있습니다. 모든 과정과 모든 제품을 객관적인 눈으로 바라보려 하고 있으며, 향후 더 나아진 서비스로 고객들을 보호하려 합니다. 최근 연속적으로 벌어진 사건들에 대하여 익히 알고 있으며, 이미 이러한 사건들을 통해 얻어낸 교훈들을 적용시키고 있습니다.” 애봇의 설명이다.

그러면서 소프트웨어 개발의 모든 과정에 보안이라는 요소를 삽입하고, 제품들에 새로운 격리 및 안티익스플로잇 기능을 탑재시켜 취약점 때문에 발생할 수 있는 영향을 최소화 하는 것을 이미 실천 중에 있다고 애봇은 강조했다. 또한 자체 취약점 발굴 및 관리 능력을 향상시키고 있으며, 외부에서 보안 취약점을 발견할 경우 지불하는 인센티브도 늘릴 것이라고 밝혔다. 고객들과의 취약점 관련 소통 방법도 개선시킬 전망이라고 덧붙였다.

하지만 이런 발표 내용으로 이반티에 대한 불만이 고조되고 있는 고객들의 마음을 얼마나 되돌릴 수 있을 것인지는 아직 알 수 없다. 게다가 발표가 있기 직전에는 이반티의 커넥트시큐어(Connect Secure)와 폴리시시큐어(Policy Secure) 기술에서 네 개의 새로운 취약점이 발견되기도 했었다. 참고로 이 네 개의 취약점은 전부 패치가 된 상황이다.

이 네 개의 취약점이 발견되기 약 2주 전에는 이반티의 스탠드얼론센트리(Standalone Sentry)와 뉴론(Neuron)에서 여러 개의 취약점들이 발견되기도 했었다. 올해 1월부터 4월 1주차까지 이반티 제품에서 발견된 취약점은 11개다. 대다수가 초고위험도로 분류됐고, 그 중 최소 2개가 제로데이인 것으로 파악되고 있다. 이미 공격자들이 대단위 익스플로잇을 일삼고 있는 취약점들도 여럿 있었다.

IANS리서치(IANS Research)의 제이크 윌리엄즈(Jake Williams)는 “최근 취약점이 자꾸만 발견되고 있는 것이 이반티 고객들에게는 큰 불안감의 근원이 될 것”이라는 의견이다. “포춘 500대 고객들 중 이반티 제품을 사용하는 회사들과 이야기를 나눠보면 현장에서 느껴지는 불안감이 상당한 것을 알 수 있습니다. 솔직히 말해 지금에서야 이반티가 보안 강화를 약속하겠다고 발표하는 것에 늦은 감이 있습니다. 최소 한 달 전에는 했었어야 합니다.”

4개의 새로운 취약점들
이번 주 이반티의 제품들에서 새롭게 등장한 취약점들 중에는 두 개의 힙 오버플로우 취약점들이 포함되어 있었다. 커넥트시큐어와 폴리시시큐어의 IPSec이라는 요소들 내에서 발견된 것들이었다. 둘 다 고위험군으로 분류됐다. 하나는 CVE-2024-21894이고 다른 하나는 CVE-2024-22053이었다. 전자는 임의의 코드를 실행할 수 있게 해 주고 후자는 시스템 메모리를 원격에서 읽을 수 있게 해 준다. 둘 중 어떤 것을 익스플로잇 하든 디도스 공격을 가능하게 한다.

나머지 두 개의 취약점은 CVE-2024-22052와 CVE-2024-22023으로, 중위험군으로 분류됐다. 익스플로잇에 성공할 경우 역시 디도스 공격을 실시할 수 있게 된다. 4월 2일 취약점에 대한 내용이 발표되기 전까지 그 어떤 실질적인 익스플로잇 행위도 발견된 적이 없었다는 게 그나마 다행이다.

이반티에 의하면 전 세계에 4만 개 이상의 기업 및 기관들이 이반티의 제품을 이용한다고 한다. 하지만 1월부터 위험한 취약점들이 말 그대로 쏟아지는 바람에 고객들의 불만이 넘쳐나고 있다. 레딧과 같은 주요 커뮤니티에서는 이반티 고객들의 불안감과 불만이 적극 성토되고 있다.

그래서일까. 최근 이반티의 고객사는 적잖게 줄어들었다. 2년 전 이반티는 포춘 100대 기업들 중 96개가 자신들의 고객이라고 자랑했었다. 하지만 가장 최근 발표된 바에 의하면 이 숫자는 85개로 줄었다. 포춘 100대 기업만 놓고 보면 12%가 하락한 것이다. 물론 이반티와 연을 끊은 회사들이 전부 취약점 때문에 그런 결정을 내린 것이라고 할 수는 없지만, 반대로 취약점 소식이 전혀 영향을 미치지 않았다고 말하기도 어렵다.

M&A가 문제?
옴디아(Omdia)의 분석가 에릭 파리조(Eric Parizo)는 최근 이반티에서 나타나는 일들은 그 동안 여러 M&A를 거치면서 축적됐던 문제들이 표출되는 것이라고 분석하고 있다. “M&A를 거치며 제품들이 여러 손을 거치게 되었어요. 처음 개발에 참여한 인원들이 바뀌고, 그러면서 원래 제품이 가지고 있던 목적이나 철학들에도 변동이 생겼겠지요. 그 제품들을 바라보는 기업의 시선도 바뀌었겠고요. 그러면서 전체적인 품질이 고르지 못하게 변질됐을 거라고 봅니다. 즉 어쩌면 이반티의 서비스들은 지금 본질적으로 프랑켄슈타인과 다름이 없을 수도 있다는 겁니다.”

파리조는 “그런 의미에서 이반티가 최근 약속한 보안 개선의 약속들은 올바른 방향성을 가지고 있다고 볼 수 있다”고 말한다. “특히 보안을 제품 개발의 모든 단계에 넣는 건, 불균형한 품질을 가지고 있는 제품을 향상시킬 수 있는 좋은 방법입니다. 제대로 실천하는 게 관건이긴 하겠지만요. 또한 고객과 서드파티 등 취약점을 발굴에 더 많은 사람들을 동원하려는 것도 좋은 생각입니다.”

3줄 요약
1. 이반티, 요즘 보안 업계의 보잉처럼 되어가고 있음.
2. 고객 불만도 폭주, 고객 이탈도 심상치 않음.
3. 그래서 이반티 CEO가 나서서 보안 강화를 약속했으나...
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>