취약점 공표하려는 연구자 VS 막으려는 제조업자
사물인터넷 시장 성장하면서 긴장관계 더 깊어져
서로 협력해 취약점 찾고 대응하도록 노력해야

[보안뉴스 오다인 기자] 보안 연구자와 제조업체 사이에는 긴장과 불안감이 흐른다. 제품의 취약점을 찾아 공표하는 연구자가 제조사나 판매사 입장에선 그리 달갑지 않기 때문이다. 서로의 의도가 아무리 순수하다 할지라도 취약점이 공표되는 과정에서 이들은 자주 부닥친다. 연구자는 취약점을 찾고도 공표에 대해 입도 뻥끗 못하게 한다는 느낌을 받는 한편, 판매사는 취약점 공표 시한을 마치 주목받고 싶어 안달 난 연구자들이 가한 협박처럼 느끼기도 한다.


이처럼 까다로운 관계는 사물인터넷(IoT) 시장이 급속도로 성장하면서 더한 긴장 국면에 접어들었다. IoT 시장은 2016년 57조 원에서 2021년 158조원까지 성장할 것으로 예상되며, 수많은 제조업체들이 이런 흐름에 올라탈 방법을 열렬하게 찾는 중이다. 하지만 이런 새로운 스마트기기들의 개발에 있어 보안은 뒷전인 경우가 많다.

연결된 기기들과 사용자를 안전하게 보호하기 위해 보안 회사들은 제조업체에 책임을 지우고 있다. 보안 전문업체 트러스트웨이브(Trustwave)의 스파이더랩스(SpiderLabs) 침투 시험 팀은 최근 음성통신 전문업체 디비엘테크(DBLTek)가 생산한 거의 모든 기기에서 백도어가 발견됐다고 밝혔다. 스파이더랩스 팀이 해당 발견을 공표했을 때, DBLTek는 백도어를 없애기보다 더 깊숙이 설치하는 것으로 대응했다. 이후 트러스트웨이브와의 연락도 일절 끊어버렸다.

이런 사례는 사실 드문 일이 아니다. 그러나 보안 전문업체 리스크 베이스드 시큐리티(Risk Based Security)의 보고서에 따르면, 다행스럽게도 서로 간의 협의 하에 공표한 취약점 비율은 2012년 26%에서 2016년 45%로 높아졌다. 또한, 이렇게 공표한 취약점의 비율은 3대 1 이상의 비율로 연구자들이 자체 공표한 취약점 비율을 앞질렀다. 취약점 공표 과정에서의 어려움을 크게 네 가지로 정리했다.

1) 절차의 불투명성
취약점 공표에서 가장 큰 과제 중 하나는 바로 ‘누구에게 해당 사안을 공표할 것인가’와 관련한 가이드라인이 불투명하다는 점이다. 이건 취약점을 발견한 연구자가 가장 처음 맞닥뜨리는 단계이지만, 대개의 조직들은 이에 적절히 대응할 내부적 절차들을 갖추지 못한 상태다. 그런 절차를 갖추고 있다 하더라도, 연구자들이 그런 단계나 절차를 발견하는 것도 쉽지 않다.

2) 언어의 장벽
IoT 시장으로의 진입 장벽이 낮아짐에 따라, IoT 기기를 생산 또는 판매하는 제조업체와 기업의 수가 전 세계적으로 증가하고 있다. 세계적으로 생산이 확대되면서 판매자, 제조업체, 연구자 사이의 언어 장벽은 점점 더 큰 문제가 되고 있다. 소통하는 데 실패하면 취약점 공표 절차가 오랜 기간 연기될 수밖에 없고, 익스플로잇의 수명을 연장해 엔드유저를 더 오랜 시간 위험에 노출시키게 된다.

3) 숙련된 인력의 부족
새로운 IT 흐름에 합류하려는 조직은 제품 생산과 코드 설계를 위해 외부 개발자를 고용하게 될 것이다. 그러나 일단 제품과 코드가 완성되고 나면, 조직은 개발자를 해고한 뒤 마케팅과 영업에 전력을 투자할 것이다. 제품 개발자가 사라진 상황에서 취약점이 발견되면, 남아 있는 직원들 중 공표 절차를 충분히 이해할 만한 사람은 아무도 없을 가능성이 높다. 패치를 발행하는 데 숙련도가 떨어진다는 건 말할 필요도 없을 것이다.

트러스트웨이브 연구팀은 IT 팀에 대한 자원이 제한적이라고 주장하며 보안 수단들을 적절하게 배치할 것을 강조한다. IT 보안 결정권자 등 영향력을 행사하는 사람 147명을 대상으로 조사한 ‘돈, 마인드, 대중: 사이버 보안 자원 제한에 대한 연구’에 따르면, 응답자의 57%가 IT 인재를 찾고 채용하는 것이 가장 큰 당면과제라고 답했다. 또한, 자사 직원 4분의 3 이상이 복잡한 문제를 다룰 만한 전문 기술이 있거나 훈련이 됐다고 답한 응답자는 단 8%에 불과했다. 이러한 기술의 부족이 취약점을 공표하는 과정에 큰 방해 요인으로 작용한다는 사실엔 의심의 여지가 없다.

4) 나쁜 평판에 대한 공포
기업들이 가장 두려워하는 것 중 하나는 자사가 나쁜 소식으로 뉴스 헤드라인을 장식하게 되는 일이다. 중소기업들이라면 부정적인 여론에 휘말리는 것이 더욱 두려울 것이다.

외부에서 접촉이 들어오면 판매사는 자사 제품 중 하나가 취약점을 갖고 있다는 소식이 마구 퍼질 수도 있다고 생각해 공황 상태에 빠지기 쉽다. 이럴 때 조직은 해당 뉴스를 완전히 묻어버리려고 노력하거나 극단적인 경우, 외부 연구자들과의 소통을 완전히 차단하기도 한다.

그러나 취약점이 없는 제품을 만드는 건 거의 불가능한 일이고, 이런 사실을 기업들이 깨닫는 게 중요하다. 심지어 평판이 아주 좋은 기업들 중 일부도 취약점이 여러 개 있는 제품을 출시하기도 하는데, 취약점이 발견됐을 때 어떻게 대응하느냐가 진짜 중요한 문제다.

앞으로 나아가야 한다
대부분의 조직에게 공표 절차는 회색 지대처럼 보일지도 모른다. 그러나 이용 가능한 몇 가지 자원을 통해 최선의 실행 방법이 무엇인지 파악할 수 있다. 예를 들어, 미국 상무부 내 위치한 통신정보관리청(NTIA)은 보안 연구자와 판매자 사이 공통된 관심사를 공유해 폭넓은 이해를 구축하고 또 협력 수준을 높이기 위해 ‘다자간 취약점 협의를 위한 가이드라인과 실행 방법’이라는 가안을 만든 바 있다.

이런 절차를 지속적으로 진전시키기 위해 미국 의회도서관은 디지털 밀레니엄 저작권법(DMCA)에 새로운 면책 조항을 개설했다. DMCA법은 저작권이 걸린 시스템 상에서 시스템 보호 범위 밖에서 움직이는 걸 금지하는데 이 조항으로 미국인들은 제조업체로부터 고소당할지 모른다는 두려움 없이 자사 기기를 해킹하고, 법적으로 보호받을 수 있게 됐다.

취약점 공표 과정에서 개방성과 민감성을 강화하는 건 이처럼 단순한 행동이다. 그러나 이를 통해 사람들은 제품의 취약점을 그만큼 더 잘 보고하게 될 것이다. 궁극적으로 이는 일상의 제품들과 상호 작용하는 사람들의 삶을 뒤바꾸는 결과를 가져올지도 모른다.

글 : 로렌스 먼로(Lawrence Munro)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>