최근 보안 위협과 공격은 기업의 거대한 중추 서비스 시스템부터 개인의 단말까지 유·무선을 구별하지 않고 무차별적으로 확대되고 있다. 특히 네트워크의 연결이 가속화되고 우리의 생활에 필요한 교통, 통신, 의료, 에너지, 식품 등이 상호 연결되어 서비스가 제공될수록 이러한 시스템의 취약점을 노려 금전적 이득을 취하려는 공격이 확대될 것이다. 

지난 7월은 작년에 있었던 7.7 DDoS 대란 1주년이 되는 때였다. 갑작스런 DDoS 공격으로 정부 및 민간의 많은 사이트가 접속 불능 상태에 빠지고 정부의 공공 서비스 및 민간의 금융 및 통신에 적지 않은 영향을 끼친 공격에 대비하여 1년 동안 나름대로 여러 가지 노력을 기울인 탓인지 올해는 별다른 영향 없이 지나갔다. 하지만 작년의 사태를 보면서 필자는 마치 영화 ‘다이하드 4.0’의 한국판 상황이 펼쳐지는 듯한 인상을 받았었다.

영화 속에서 나오는 소위 ‘파이어 세일’을 수행하는 인물들을 보면 일견 국가의 취약점을 대중에게 알리는 다크 히어로 같은 인상을 보여주는 것 같지만 실상 그들의 목적은 ‘돈’이었으며 이는 영화 속의 인물이든 실제 인물이든 차이가 없을 것으로 생각된다. 최근의 많은 해킹 사건들의 목적도 바로 ‘돈’이거나 혹은 ‘돈’이 될 만한 자산들을 노리는 공격이 대부분이기 때문이다.

그리고 이러한 해킹 공격은 SNS의 확대로 이제는 유·무선을 구별 짓지 않고 기업의 거대한 중추 서비스 시스템으로부터 개인의 단말에 이르기까지 무차별적으로 확대되고 있는 실정이다.

네트워크의 연결이 가속화되고 그래서 우리의 생활환경을 둘러싼 많은 요소들(교통, 통신, 의료, 식품, 에너지 등)이 상호 연결되어 더 똑똑한 서비스를 제공할수록 이들 시스템이 지닌 취약점을 공격하여 금전적 이득을 취하려는 움직임도 더욱 가속될 것이 분명하다.

보안 취약점에 대한 능동적 대응

기술적으로 보면 네트워크의 연결과 동시에 이러한 네트워크 간의 연결을 통한 서비스 제공은 WWW, 즉 웹 서비스를 통하여 사용자에게 전달되는 것은 이제 보편화된 사실이다. 따라서 이미 공격자들은 80년~90년대에 유행한 전통적인 공격 방법 보다는 기업에서 당연히 서비스하는 웹을 대상으로 한 공격에 치중하는 경향을 보인다.(물론 전통적인 위협이 사라졌다는 뜻은 아니다.

해킹의 첫 번째 시도는 공격 대상에 사용 가능한 공격 루트가 얼마나 있는지 알아보는 스캐닝이 일반적이다.) 이러한 경향은 알려진 취약점 개수 등 통계적으로 확증되고 있는데 IBM의 X-Force 연간 보고서 등에서 이를 확인할 수 있다. 물론 기업의 보안 담당자들도 이를 모르는 바가 아니다. 많은 언론 매체의 보도 및 지속적인 보안 세미나, 많은 보안 커뮤니티 멤버들의 캠페인 그리고 보안 서비스를 제공하는 기업들의 지속적인 홍보들을 통하여 이러한 네트워크 및 웹의 취약점은 충분히 알려져 있다.

특히 최근에는 단순한 기술적인 취약점이 아닌, 이러한 취약점이 실제 공격에 사용되었을 때에 기업의 비즈니스에 미치는 영향을 고려한 위험의 중요도를 기반으로 이를 대비하려고 하고 있는데 최근에 발표된 OWASP Top 10(한글판은 보안커뮤니티인 시큐리티플러스에서 담당)을 보면 이러한 경향이 나타난다. 즉 순위가 취약점 빈도가 아니라 위험 평가 순으로 변경된 것이다.

놀라운 것은 그럼에도 불구하고 많은 기업들은 여전히 예산 및 인력의 부족 등으로 인하여 위험에 대비하는 충분한 노력을 기울이지 못하고 있다는 것이며 취약점이 발견되었음에도 불구하고 공급업체에서 패치가 적용된 비율이 전체 취약점 대비 절반이 되지 않는다는 것이다.

작년 한 해의 경우, 노출된 모든 취약점 중 52%의 취약점이 공급업체의 패치가 제공되지 않은 상태로 있었다. 따라서 기업의 보안 담당자들은 이러한 경향을 파악하여 취약점들에 대해 좀 더 능동적으로 대응할 필요성을 가질 필요가 있는데 그 이유는 이러한 패치가 제공되지 않는 취약점을 공격하거나 공급업체가 패치를 내놓기 전에 이미 이러한 취약점을 이용한 공격코드를 사용하는 공격, 즉 Zero-Day 공격이 증가하고 있기 때문이다.

기업, 기술적 보안 수준 높여야

이러한 Zero-Day공격은 공급업체의 패치가 나오기 전에 수행되므로 기업으로서는 대단히 위협적일 뿐만 아니라 Zero-Day공격을 통해 더 큰 위협을 가할 수 있는 또 다른 악성코드(특히 금전을 노리는 웹 취약점 공격)의 공격 루트로 활용되므로 보안 담당자들은 Zero-Day공격 및 네트워크 및 웹 취약점을 융합한 공격에 세심한 노력을 기울일 필요가 있다.

다행스러운 것은 KrCERT 등 공공보안 서비스 사이트 및 보안 커뮤니티 등에서도 공격이 가능한 취약점을 수시로 홍보하고 있으며 보안 서비스를 제공하는 공급업체들도 다양한 공격에 대비한 다양한 서비스를 내놓고 있다는 것이다. IBM의 경우 이러한 Zero-Day 공격 및 네트워크-웹 융합 공격에 대비하여 가상 패치(Virtual Patch)란 신기술을 시장에 이미 출시하고 있는데 이는 공급업체가 패치를 내놓기 전에 미리 관련된 공격 패턴을 IPS를 포함한 다양한 IBM 보안 솔루션에 탑재하여 Zero-Day 공격을 네트워크 계층에서 사전 탐지, 차단하는 기술이다.

또한 네트워크-웹 융합 공격에 대비하여 IPS 등에서 단순히 네트워크 레벨의 공격 패턴만을 탐지하고 않고 OWASP 10 등 웹 취약점을 공격하는 공격 패턴도 동시에 탐지, 차단하는 기능을 제공한다. 기업의 보안 담당자들은 이러한 보안 서비스 공급업체들의 다양한 서비스를 통하여 기술적인 보안 수준을 높임과 동시에 지속적인 예산의 확충, 보안 교육, 감사 등을 통하여 지속적으로 조직의 보안 인식을 고취시킴으로써 종합 보안 관리 체계를 유지, 발전시킬 필요가 있다.

<글 : 나병준 한국IBM SWG Tivoli사업부 차장갅ISSP(bjna@kr.ibm.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>