자유로운 취약점 공개할 만한 장소 없다!

공격방법 모르면 대응방법도 몰라...외국 해커들이 노려

해외 해커들의 80%가 한국을 노리고 있다. 이러한 상황에 국내 해킹ㆍ보안인력들이 찾아낸 각종 보안 취약점들이 서로 공유되지 않고 있어 적절한 대응에 문제가 있다는 지적이 지속적으로 대두되고 있다.

아이넷캅 유동훈 기술이사는 “전문가들에 의해 발견된 취약점들이 국내에 발표되지 않아 문제가 많다. 또 취약점을 발견했다 할지라도, 이를 마땅히 국내에 공개할 만한 공간이 없기 때문에 주로 해외 커뮤니티에 발표하는 상황이다. 그리고 해외에 취약점을 발표하는 국내 인력도 손에 꼽을 정도로 소수에 불과하다”고 안타까워했다. 

그는 “취약점들이 활발하게 발표되고 공유돼야만 우리나라의 대응능력이 강화되는 것이다. 해외의 경우는 공격기법을 커뮤니티에 서로 발표하고 토론도 하고 이를 막을 수 있는 방법까지도 자연스럽게 찾아내고 있다. 우리는 이런 인프라가 없어 보안이 더욱 힘들어지고 있다”고 평했다.

보안담당자들의 입장에서 봤을 때도 자유로운 취약점 공개는 더없이 고마운 일이다. 만약, 국내에만 공개가 되지 않고 그에 대한 대응방법도 모르고 있다면 틀림없이 해외 해커들이 이를 노리고 공격할 수 있기 때문이다.

유동훈 이사는 2001년부터 최근까지 총 31개 정도의 각종 취약점들을 해외에 발표해왔다. 그는 “국내 환경상 국내에서는 발표하지 못했다. 국내에도 자유롭게 공격방법들을 발표할 수 있는 자리가 마련됐으면 한다”며, “커뮤니티가 됐든 매거진 성격이 됐든 반드시 이러한 장이 마련돼야 한다”고 강조했다.

해커들의 취약점 공개룰은 우선 해당 밴더들에게 먼저 연락을 취한다. 그리고 업체에서 취약점 패치가 나오는 시점에 해외에 취약점 공개를 한다. 그때 해커들도 패치를 제작해 밴더에서 나온 패치와 해커들이 만든 패치를 비교하는 과정도 거친다. 전문가들은 밴더에서 나온 패치를 너무 맹신해서는 안된다고 조언했다.

문제가 되는 부분은 밴더에 연락도 하지 않고 해커가 패치를 만들 기간도 주지 않고 공격코드를 공개하는 경우이다. 하지만 대부분의 해커들은 패치가 나오는 시점에 공격코드도 발표하는 룰을 잘 지키고 있다고 한다.

대부분의 전문가들은 국내에서 취약점 발표공간이 없음을 인정하고 있으며, 보안전문가들도 해외 사이트를 뒤지며 취약점을 알아내야 하는 어렵고 번거로운 과정을 거치고있다. 그들은 자유로운 취약점 공개 장소가 국내에서도 마련됐으면 하는 바람을 가지고 있다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>