네트워크 감시, 패치 시기 등 CHS의 각종 보안 부실점이 드러나

오래된 취약점이 계속해서 효력을 발휘할 수 있는 건 ‘태도’ 문제

[보안뉴스 문가용] 이번 달 18일에 보도된 미국 의료계 최대 유출사고에 악명 높은 하트블리드가 또 작용한 것으로 드러났다. 트러스티드섹(TrustedSec)의 CEO인 데이비드 케네디(David Kennedy)는 폭스 뉴스의 20일 보도를 통해 하트블리드를 처음 언급했으며 이름을 밝힐 수 없는 전문가 두 명도 이와 의견을 같이 한다고 블로그 포스팅을 통해 밝혔다. 이에 대해 커뮤니티 헬스 시스템즈(Community Health Systems : 이하 CHS)는 어떤 발표도 하지 않은 상태다.

“첫 공격의 포문을 연 게 다름 아닌 하트블리드였습니다. 공격자들은 하트블리드 취약점을 이용해 CHS 주니퍼 기기의 메모리에 저장된 사용자 정보를 탈취할 수 있었습니다. 그리고 이 정보를 이용해 로그인을 할 수 있었던 것이죠.” 케네디의 설명이다.

“그래서 저희가 Heartbleed.com을 만든 것이죠.” 코드노미콘(Codenomicon)의 CEO인 데이비드 카르티어(David Chartier)의 말이다. 코드노미콘은 구글 시큐리티의 닐 메타(Neel Mehta)와 함께 하트블리드를 처음으로 발견한 업체다. “제발 사람들이 하트블리드에 대처하는 법을 다 알았으면 좋겠거든요.”

코드노미콘은 OpenSSL을 업그레이드하는 것 외에도 기존 암호키를 폐지하고 새롭게 발급받은 후 암호까지도 재설정하라고 권고하고 있다. 어렵지도 않은 권장사항인데 왜 하트블리드가 아직도 이렇게 여러 사람 괴롭게 하는 것일까? 사용자들이 이 권장사항을 무시하기 때문이다. 아니면 차일피일 이뤄 제때 조치를 취하지 않거나.

“특히 암호키를 폐지하고 다시 발급받는 일은 뚝딱 되는 게 아닙니다. 미리미리 해놓을 필요가 있는 것이죠.” 하트블리드가 세상을 발칵 뒤집어 놓은 건 이미 지난 4월의 일이다. 그래서 CHS 측도 이번 공격이 4월부터 일어난 것이라고 생각하고 있는데 인증키를 언제 수정했는지를 추적해보면 이런 생각이 과연 근거를 가지고 있는지 짐작할 수 있다.

“이보다 더 큰 규모의 유출사고에도 하트블리드의 흔적이 발견된 적이 있었습니다. 다만 이번 사건은 수사를 통해 하트블리드가 직접적으로 정보 탈취에 악용된 것으로 확실시 되는 사건 중에서는 제일 큰 규모이기 때문에 관심이 집중되는 겁니다.” 실버스카이(SilverSky)의 보안분석가인 에반 카이저(Evan Keiser)의 설명이다. “즉 하트블리드에 대한 경고가 긴 시간 동안 셀 수도 없이 많이 전파됐는데도 여전히 이렇게 큰 사고가 터질 수 있다는 것이 놀랍다는 것이죠.”

플로우트랙(FlowTraq)의 CEO인 빈센트 버크(Vincent Berk) 박사는 “하트블리드에 모든 시선이 집중되면 이런 사건 또 일어납니다”라고 말한다. “하트블리드는 이번 사고의 시작점일 뿐이었습니다. 진짜 문제는 하트블리드 경고가 발생한지 충분한 시간이 지난 시점이라는 것과 지금쯤이면 시스템에 방어 조치가 취해졌어야 한다는 점입니다.”

“즉, CHS 측에서 하트블리드 경고를 한 귀로 흘렸거나 아니면 그들의 보안 수준에 심각한 의문점을 가질 수 있다는 겁니다. 이런 경우라면 사실 하트블리드가 아니라도 얼마든지 CHS의 시스템을 뚫어낼 수 있습니다. 저만해도 별로 어렵지 않게 공격할 수 있겠다는 생각이 듭니다.”

버크는 말을 계속 이어갔다. “또한 4백만 건이 넘는 정보가 유출되는 동안 CHS가 알아차리지 못했다는 것도 큰 의미를 가지고 있습니다. 누가 침입했는지만 감시하고 뭐가 나가고 있는지는 전혀 관찰하지 않고 있었다는 뜻이니까요. 즉 네트워크의 한 면만을 감시하고 있었다는 겁니다. 이는 보안의 기본 사항도 지키지 않은 것이라고 볼 수 있습니다.”

하지만 CHS의 보안 개념이나 태도에만 문제가 있는 것은 아니라고 엑사빔(Exabeam)의 CEO인 니르 폴락(Nir Polak)은 말한다. “이런 식으로 사용자의 식별 정보가 새어나가는 경우가 어디 한두 건인가요? 그렇다면 이걸 방지하는 것도 좋지만 도난이 실제로 일어났을 때 해야 하는 대비책도 있어야 하죠. 하지만 이번 사건에서는 그런 흔적을 찾아볼 수 없었습니다.”

폴락은 계속해서 예를 들었다. “금융 업계에서는 기본 조취를 이미 오래 전부터 취하고 있습니다. 예를 들어 어제까지 뉴욕에 있었던 카드 사용자가 어느 날 갑자기 이탈리아에서 거래를 하고 있는 게 발견되면 일단 카드를 자동으로 사용불가로 만드는 것이죠. 왜 이런 조치를 정보보안 분야에선 차용하고 있지 않은지 궁금합니다.”

널리 알려진 취약점을 패치하는 건 기본 중의 기본이다. “고객을 상대하는 기업이라면 이는 기본책임이죠. 보이는 것도 막지 못하면 보이지 않는 걸 어떻게 막겠습니까? 게다가 알려진 사고에 대한 조치를 취하는 것만으로도 할 일이 빠듯할 겁니다. 그래야 정상입니다.” 베라코드(Veracode)의 CTO인 크리스 와이소팔(Chris Wysopal)의 설명이다.

또한 CHS의 인프라에 적정한 ‘구분선’이 없었다는 것도 이번 사건을 통해 드러났다. 데이터베이스의 샌드박싱이 전혀 이뤄지지 않은 것이다. 이는 206개의 병원을 소유하고 4백만 명이 넘는 환자의 기록을 관리하고 있는 기업의 운영 방식이라고 한다면 상당히 미진하다고 평할 수 있다.

“이번 사건의 경우 하트블리드는 사건의 시초가 되기도 했지만 거대한 의료 조직의 부실한 점까지 공개해준 고마운 기회가 되기도 했습니다. 이제 CHS 측에서 이를 어떻게 시정해 나갈지 지켜보는 일만 남았습니다.” 실버스카이의 보안전문가인 조슈아 로백(Joshua Roback)의 설명처럼 이번 건이 의료계 조직들에게 훌륭한 반면교사가 되어야 한다.

이번 사건으로 하트블리드에 대한 관심이 다시 한 번 집중된 가운데 보안뉴스에서는 해외 매체에 실린 하트블리드 관련 기고문을 번역해 오늘 오후 6시에 게재할 예정이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>