생활 곳곳에 숨어 들어있는 취약점들이 오래 살아남는 비결  
보안취약점은 미지의 영역...롱테일 현상 꾸준히 줄여나가야

[보안뉴스 문가용] 지난 4월 전 세계를 강타했던 OpenSSL에서의 하트블리드 사건은 보안의 현대사에 길이 남을 사건이었다. 세계 곳곳의 웹마스터, 서버 관리자, 보안전문가들은 하나 둘 힘을 합쳐 패치와 업데이트를 해나가며 이 괴물을 공략했다.

DB보안 솔루션 전문업체인 퀄리스(Qualys)의 이반 리스틱(Ivan Ristic)은 지난 두 달간 전 세계에서 이루어진 이 노력이 큰 실효를 거두었고 이제 전 세계 웹 서버의 1%만이 이 취약점에 노출되어 있는 상태로 알려졌다. 하트블리드는 종말을 눈앞에 둔 것이나 다름이 없다. 오랜만에 발 뻗고 잘 수 있을 것이다.

과연 그럴까? 전혀 그렇지 않다. 하트블리드는 종말은커녕 여전히 전성기를 누리고 있는 중이다.

설명을 이어가기 전에 ‘롱테일’이란 현상에 대해 알아보자. 크리스 앤더슨(Chris Anderson)이란 작가가 처음 사용한 말로 소비자가 개별적으로 구입하는 물건 하나하나는 전체 경제에 큰 영향을 미치지 못하지만 그런 물건이 모이고 모이면 시장에서 인기를 크게 누리고 있는 ‘대세 상품’과도 맞먹는 영향력을 가지는 현상을 말한다.

이 현상 때문에 핸드메이드 액세서리를 주력으로 파는 엣시(Etsy) 같은 사이트도 계속해서 사업을 유지할 수 있다. 등록된 판매자 개개인의 판매실적이 대단히 높거나 전국을 강타하는 유행상품을 개발한 경우는 없지만, 이런 소소한 판매가 여럿 모이다보니 엣시라는 사업을 유지하기에 충분한 자금이 유통되는 것이다.

보안전문 뉴스 사이트에서 웬 마케팅 수업이냐고 할 수도 있겠다. 물론 롱테일이란 말 자체는 시장에서 인기를 누리는 품목과 그렇지 않은 품목 간의 관계를 설명하는 용어로서 처음 소개됐지만 현재는 분야를 막론하고 덩치가 크고 존재감이 분명한 것과 상대적으로 덜 중요해서 시간이 흐르면서 사람들에게 잊혀지는 것 사이의 관계를 설명하는 데에도 쓰이고 있다. 요즘처럼 눈만 돌리면 소프트웨어를 마주할 수 있는 세상에서 롱테일은 대중이 잘 접하고 잘 알고 있는 소수의 시스템에서는 패치와 업데이트가 즉시 이루어지지만 그렇지 않은 시스템에서는 패치가 굉장히 늦게 이루어지거나 아예 이루어지지 않은 채로 방치되는 현상을 의미하기도 한다.

2008년 10월의 사건을 떠올려보자. 물론 여러 가지 기억이 스칠 테지만, 그때 IT나 보안 분야에 있었다면 그달 있었던 마이크로소프트의 패치가 기억날 것이다. 그 패치 중 MS08-067에 마이크로소프트 서버 서비스에서 원격코드 실행을 가능케 했던 취약점이 내포되어 있었고, 당연히 사람들은 패닉에 빠졌다. 그러나 그에 대한 패치가 금방 이루어졌고 모든 것이 원상복귀 되는 듯 했다.

그런데 2014년 6월 현재까지도 이 부분에 패치가 안 된 시스템이 존재하고 있다. 아직도 누군가는 이 취약점을 찾아내고 건드려 공격을 감행한다는 얘기다. 해커들은 다 알고 있다. 아직도 관리 밖에서 패치를 기다리고 있는 시스템이 무수히 많다는 것을. 아무리 최신 패치가 발표된다고 해도 서버 세상은 넓고 취약점은 많다는 것을. 물론 MS08-067과 관련이 있는 시스템은 이미 한참 전에 대부분 사라졌지만 완전히 없어진 것은 아니다. 아직도 긴 꼬리(롱테일)의 끝 언저리에서 패치를 기다리는 시스템들은 분명히 존재한다.

하트블리드는 MS08-067을 수십 개 합한 것보다 훨씬 치명적이고 위험한 취약점이다. 게다가 롱테일 현상까지 적용할 경우 그 위험성은 더 높아진다. MS08-067은 윈도우가 깔린 시스템에서만 유효하다는 제한이라도 있었지 하트블리드는 OpenSSL에 영향을 준다. 즉 너무 광범위한 시스템에 깔린 프로토콜이라 피해 예측 자체가 아예 불가능할 정도다. 웹사이트나 블로그는 물론 안드로이드 OS나 VPN 소프트웨어에서도 발견되기도 했다.

이 정도만 해도 어마어마한데 가정용 공유기나 CCTV 시스템, HVAC 제어 시스템 등 비교적 사소하게 보이는 수만 가지의 시스템까지 합하면 그 피해는 ‘광범위’라는 단어로는 설명이 불가능할 정도로 늘어난다. 가정과 사무실로 공급되는 전기와 물을 제어하는 시스템과 SCADA 시스템에도 OpenSSL이 적용된다고 하니 잠재 피해규모는 상상을 초월한다. 게다가 우리는 지금 사물 인터넷 시대로 빠르게 옮겨가고 있잖은가.

그러면 OpenSSL이란 것을 아예 시스템에서 빼버리면 어떨까? 구더기 무서워서 장 못 담근 것도 모자라 빈대 잡으려고 집을 태우는 격이다. OpenSSL에는 인터넷 트래픽의 암호화에 대한 공통의 라이브러리를 제공한다는 분명한 존재목적이 있으며 하트블리드와 같은 취약점은 어떤 소프트웨어에서도 발생이 가능한 것이다. 게다가 하트블리드 덕분에 OpenSSL로 사람들의 이목이 쏠렸다는 건 앞으로 더 많은 취약점에 드러날 수 있다는 것이고, 이는 꾸준한 패치와 업데이트로 더 단단해질 것임을 의미한다. OpenSSL 자체는 이런 과정들을 통해 더 완벽한 소프트웨어가 될 것이다.

그렇다고 이런 먼 미래에 일어날 희망만을 가지고 긍정의 힘만을 발휘하고 앉아 있는 것 역시 안 될 노릇이다. 먼저 우리의 생활 속에 OpenSSL이 꽤나 깊숙하게 자리 잡고 있다는 걸 이해하고 탐지해야 할 필요가 있다. 관리자 인터페이스를 가지고 있는 기기나 시스템에는 전부 OpenSSL 코드가 사용됐을 가능성이 있는데, 이를 알아내려면 기기와 시스템에 대한 이해가 반드시 뒷받침되어야 한다. 그러니 많은 공부와 노력이 필요하다. 그러나 각자의 자리에서 이런 노력을 조금만 기울인다면 하트블리드의 롱테일을 조금은 줄일 수 있다.

자기가 관리하거나 사용하는 시스템이라고 속속들이 알 수는 없다. 게다가 IT 업계는 빠르게 변하고 있기 때문에 공부하고 쫓아가는 것에도 한계가 있다. 사물 인터넷으로 인해 우리는 우리도 모르게 점점 더 이해할 수 없는 것들에게 둘러싸여 살게 될 것이다.

취약점이란 그런 ‘숨어있는 미지의 영역’이며, 앞으로 우리는 하트블리드와 비슷하거나 더 까다로운 현상을 계속해서 겪을 것이다. 더 나은 패치와 업데이트를 기다리면서 우리는 그런 미지의 영역을 우리 안에서 조금씩 조금씩 지워나가야 한다. 큰 힘이란 매일 조금씩 키워지는 것이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>