사전 통보 없이 침투, 데이터 탈취, “돈 내면 해킹법 알려주겠다”
취약점 너무 많아 각종 범죄 발생 - 버그바운티나 자체 해결 선택해야

[보안뉴스 문가용] 보안 전문가들 중 사이버 범죄와 보안 점검의 그 아슬아슬한 경계를 밟아보지 않은 사람은 찾기 힘들다. 그런 지점에 있을 때 최대한 성실하고 빠르게 ‘합법적인’ 노선을 찾아가려고 하지만, 그 노력을 모두가 알아주는 건 아니다. 한 치과의 서버에서 보안 구멍을 발견하고, 이를 제보했다가 도리어 고소를 당한 저스틴 셰이퍼(Justin Shafer)라는 보안 전문가의 사정처럼 말이다.


같은 행위에 대해서 감사하다며 버그바운티 현상금을 제공했을 회사도 있었을 것이다. 하지만 해당 치과는 접근 권한의 허용치를 넘었다고 형사 처벌을 요구했고, 이 사건은 아직 진행 중에 있다. 보안 전문가가 하는 일, 보안 위협 등에 대한 이해가 뒷받침되지 않으면 보안 전문가나 사이버 범죄자나 비슷하게 보이는 건 어쩔 수 없다. 이를 해명해야 하는 일 또한 지금은 보안 전문가의 몫이다.

이처럼 범죄를 위한 해킹과 안전을 도모하기 위한 해킹의 묘한 경계선은 보안 전문가들에게 가중된 짐을 지운다. 애석하게도 이 경계선에 또 다른 형태의 범죄자들이 등장하면서 보안 전문가들의 짐은 당분간 더 무거워질 예정이다. 이 새로운 유형의 범죄자들은 ‘버그 포처(bug poacher)’라고 불리고 있으며, 스스로는 보안에 도움을 주는 능동적인 버그바운티 헌터라고 주장하고 있다.

이들 버그 포처의 행동 방식은 다음과 같다. 1) 특정 기업 및 조직의 네트워크나 웹 사이트에 침투해 중요한 데이터를 훔친다. 2) 주로 SQL 인젝션 기법을 활용한다. 3) 데이터를 훔쳐서 암시장에 팔거나 하지는 않는다. 4) 대신 해당 기업에 연락을 취해 자신들의 침투 경로 및 방법을 알고 싶으면 돈을 내라고 한다.

버그 포처들은 이 같은 행위가 보안을 강력하게 한다고 주장할뿐 아니라 자신들이 사용하는 취약점은 이미 대중들에게 다 공개된 것이고 패치도 발표된 것들이 대부분이기 때문에 아무도 모르는 제로데이 취약점이나 공격기법을 활용하는 범죄자들과는 궤를 달리한다고 말한다. 틀린 말은 아니나, 취약점을 발견한 후의 행동 때문에 이들을 프로 보안 전문가로 봐주기 힘들다는 게 중론이다.

그렇다면 보안 전문가들은 취약점을 발견한 후 어떤 행동을 취하는가? 일단 당사자에게 알리고 그 문제를 해결할 때까지 조용히 기다려준다. 돈이나 보상을 요구하지 않는다. 문제가 해결되었다면 보고서 등을 통해 해당 문제를 대중들에게 알려 같은 문제를 겪고 있을지 모르는 이들에게까지 경각심을 심어준다. 포처들과 확실히 다르다.

하지만 이런 중론이 있음에도 버그 포처들이 해외 시장에서 부각되는 이유는 ‘소프트웨어 자체에 취약점이 너무 많기 때문’이다. 소프트웨어 개발자들은 범죄자들의 공격 행위를 염두에 두고 있지 않다. 소프트웨어의 개발 목적은 기능 발휘를 통한 목적 달성이다. 그러니 공격자들이 악용할 수 있는 오류들이 뜻하지 않게 발생하는 것이다. 보안 업체인 베라코드(Veracode)는 “현존 애플리케이션의 70%가 적어도 널리 공개된 취약점 한 가지 이상은 가지고 있다”는 연구결과를 발표한 적도 있다. 그것도 단 한 번의 스캐닝으로 찾아낸 것들이라고 한다.

이는 가히 천문학적인 숫자다. 우리가 보유하고 있는 보안 전문가들만으로는 해결이 될 수 없는 수준이다. 그렇기 때문에 버그바운티가 계속해서 증가하고 있기도 하다. 보안 전문가라는 타이틀이 없어도 관련 재능이 있는 사람들까지도 활용해 취약점을 줄이겠다는 것이다. 동시에 이런 개개인들이 자신의 재능을 살린답시고 어둠의 길에 접어들지 않도록 하는 효과도 가지고 있다.

그렇지만 아직도 ‘낯선 사람에게 나의 안전 문제를 점검시킨다’는 께름칙함 때문에 버그바운티를 꺼려하는 이들도 많다. 그렇다면 스스로도 열심히 점검을 해야 하는데 최근 (ISC)2에서 발표한 보고서에 따르면 소프트웨어 취약점 스캐닝을 하지 않는 기업들이 30%나 된다고 한다. 남들의 점검도 안 된다, 그렇다고 내가 하지도 않겠다니, 당연히 보안 사고가 일간지 배달되는 것처럼 터지는 것이다. 그리고 그것의 가장 최근의 진화된 모습이 버그 포처들이고 말이다. 소프트웨어의 취약점 자체에 재화가치가 부여되는 때에, 여기저기 돈들이 널려 있는 꼴이다.

이 같은 배경에서 버그 포처들의 등장은 다음을 시사한다.
1) 소프트웨어 자체적으로 가지고 있는 취약점이 너무나 많다.
2) 그럼에도 이를 찾아서 해결하려는 노력은 너무나 적다.
3) 손 쓸 수 없이 많은 취약점, 남에게 맡기든 내가 부지런히 해야 한다.
4) 선택을 해야 하는 시점이 다가왔다.
5) 버그 포처가 여전히 늘어난다면, 기업들이 이 선택조차 하고 있지 않다는 뜻이 된다.

이쯤 되면 명확해진다. 이 버그 포처들의 정체는 그저 우리 자신이 가진 게으름의 산물일 뿐이라고 말이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>