한 PC에서 사용되는 프로그램은 평균 75개...패치 안 된 경우 많아
제조사 및 사용자 간 소통 채널 개선해야...패치만 해도 보안 강화돼

[보안뉴스 문가용 기자] 평균 PC 사용자의 컴퓨터에는 평균 75개의 프로그램이 설치되어 있는데, 이중 7.4%가 이미 수명이 다한, 즉 제조사의 보안 업데이트 지원이 중단된 것이라고 한다. 이는 보안 전문업체인 세큐니아 리서치(Secunia Research)가 발표한 것으로 약 12개 나라의 개인 PC들을 조사한 결과물이다.


패치가 되지 않은 소프트웨어의 취약점들은 공격자들이 가장 좋아하는 공격 루트다. 누구나 모바일 기기를 가지고 있는 때에, 이 취약점은 개인의 문제가 아니라 기업의 문제가 되어 버렸다. 세큐니아의 책임 연구원인 카스퍼 린드가드(Kasper Lindgaard)는 “이런데다가 취약점의 수가 너무 빠르게 증가하다보니 업체로서는 어떻게 손 쓸 방도가 없는 지경에까지 왔다”고 설명한다.

“해커가 취약점 하나를 익스플로잇 하는 데 한번이라도 성공하면 사실 기업 내 네트워크 어디든 돌아다닐 수 있다고 봐도 됩니다. 여러 발판을 밟아가며 결국 중요한 데이터들에도 손 댈 수 있게 되고요. 그 다음부터 그 데이터의 운명은 전적으로 해커들의 손에 달려있게 되지요. 암시장에 팔릴 수도 있고, 다른 곳에서 2차, 3차 피해가 발생할 수도 있고요.” 린드가드의 설명이다.

2016년 4사분기 동안 개인 PC 사용자들의 7.5%는 윈도우를 패치하지 않은 채 컴퓨터를 사용했다. 윈도우 7, 윈도우 8, 윈도우 10, 윈도우 비스타가 대표적인 OS였다. 2015년 4사분기 성적은 9.9%로 줄어든 것이긴 하나, 2016년 3사분기 6.1%보다는 높아진 것이다. 또한 75개의 프로그램 중 42%는 MS 소프트웨어였다.

린드가드는 “물론 해커 입장에서 원격으로 취약점을 익스플로잇 하는 게 쉬운 건 아니”라고 말한다. 하지만 패치를 하지 않고 놔두는 기간이 길어지면 길어질수록 해커에게 더 많은 연구 시간을 주는 것과 다름이 없다. “인기가 높은 앱들의 경우 취약점이 발견되자마자 패치가 나오는 게 일반적입니다. 개인이야 그렇다 쳐도, 기업 입장에서 이걸 관리하지 않는다는 건 안일하다고 밖에는 설명할 수가 없어요.”

하지만 단순 ‘안일’이라고 말하기엔 취약점 패치 관리를 제대로 하는 기업이 오히려 드물 정도라는 게 이상하다. “소프트웨어 업데이트 공급망에도 문제가 있습니다. 제조사와 사용자 간의 거리가 너무나 멀고, 또 길이 너무나 꼬여 있죠. 그러니 사용자가 취약점의 존재에 대해 알아차릴 수 있는 기회도 적고, 패치가 나왔다는 소식을 접하기도 힘이 듭니다. 이 간극을 좁히는 게 현재 패치 문제의 핵심입니다.” 게다가 75개의 프로그램을 업데이트 하기 위해 평균 26가지 방법을 사용해야 한다는 결과도 나왔다.

MS에서 만든 게 아닌 프로그램의 경우, 2016년 4사분기에 사용자 손에 의해 패치가 이루어진 건 14%에 불과했다. 이는 3사분기 13.8%에 비해 살짝 오른 것이다. 2015년 4사분기에도 12.2%였다. MS가 아닌 프로그램들에서 발견된 취약점은 2016년 한 해 동안 발견된 취약점 전체에서 42%를 차지한다.

세큐니아의 조사에 의하면 가장 많이 공격에 노출된 프로그램들은 애플의 아이튠즈 12.x 버전과 오라클의 Java JRE 1.8.x/8.x 버전이다. 각각 패치되지 않은 비율이 55%와 50%를 기록했다. 게다가 사용자도 무척이나 많은 프로그램들이다. 그 다음으로는 Adobe Reader XI 11.x 버전과 Google Picasa 3.x 버전이 꼽혔다. 둘 다 패치되지 않고 사용되는 비율이 48%나 되었다. VLC Media Player 2.x가 44%를 기록하며 뒤를 이었다.

린드가드는 “이 프로그램들을 패치하는 사용자의 수가 이렇게나 증가하지 않고 있다는 것 자체를 이해하기 힘들다”고 말한다. “방금 꼽힌 프로그램들은 패치가 정말 빨리 나옵니다. 게다가 다운로드하고 패치 적용하는 게 어려운 일도 아니에요. 사용자들이 패치 소식 자체를 모르기 때문에 그럴 수밖에 없지 않나 추측하고 있습니다.”

결국 수많은 사용자들이 패치에 대해 아예 신경을 쓰지 않고 있다는 것이 중요한 문제라고 볼 수 있다. “패치 관리를 위해 어떤 자원을 어디에 어떤 식으로 얼마나 투자해야 하는지 이해를 못 하고 있습니다. 그러니 잊어버리고 기한을 넘기는 겁니다. 또 한 가지 요소는, 패치를 하다가 시스템이 다운되는 등 사고를 겪은 경험입니다. 이 경험이 패치를 꺼려지게 합니다. 다른 사람들 패치 한 거 보고 하자는 식으로 변하게 되죠.”

이유야 어쨌든 해커들에겐 PC 사용자 대부분이 패치를 제대로 하지 않는다는 그 사실 하나만으로 충분하다. 그래서 이들은 패치가 나오든 말든, 익스플로잇을 충분하고 넉넉히 연구하고 실험할 수 있다. “그래서 저는 주위의 비전문가들에게는 패치만 제 때 해도 충분하다고 설명합니다. 패치를 잘 하려면 1) 내 컴퓨터에 어떤 프로그램이 설치되어 있는지 파악하고, 2) 패치 소식을 어디서 확인할 수 있는지 파악해야 합니다. 딱 이 두 가지만 지키라고 해요.”

또한 패치가 더 이상 지원되지 않는 프로그램의 경우 얼른 대체 프로그램을 찾는 과감성도 필수적이다. 기업이라면 더욱 그렇다. “임원진들은 항상 보안 팀들에게 사무실 내에서 사용되는 프로그램들의 현황을 파악하라고 지시해야 합니다. 지원되지 않는 것들만 삭제해도 안전의 측면에서는 수준이 확 올라가죠. 지원되는 것들은 패치를 하고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>