• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

공격자의 눈에는 보안 제품만큼 탁월한 먹잇감이 없다 2017.07.18

보안 제품이 도리어 공격 매개가 되는 상황, 충분히 발생할 수 있어
공격자가 어떻게 침해할 수 있을지 모든 각도에서 숙고해야 방어 가능

[보안뉴스 오다인 기자] 무언가를 보호하기 위해 보안 제품을 사고 깔았는데, 도리어 그 보안 제품이 공격수단이 된다면? 이 문제와 관련해 보안 연구자들은 지난 수년 간 주목해 왔다. 상황만 잘 따라준다면 가능하다는 게 결론이다. 대부분의 경우 공격 주기 초반 인증을 우회하는 등 공격 기술에 집중하는 경향을 띤다.

[이미지=iclickart]

두 명의 연구자가 이 문제를 집중적으로 파고들었다. 이들은 이달 하순 미국 라스베이거스에서 열리는 블랙햇(Black Hat) 콘퍼런스에서 보안 제품의 취약점이 추후 공격에서 어떻게 이용될 수 있는지를 발표할 예정이다. 발표 제목은 ‘안티 바이러스의 모험과 줄줄 새는 샌드박스’다. 이들은 클라우드 백신의 취약점을 이용하면 공격자들이 목표 네트워크에 침입할 수 있을 뿐만 아니라 정보를 빼돌릴 수도 있다고 강조한다. 클라우드로 강화한 백신 요소가 어떻게 안전하게 고립된 엔드포인트를 침해하는 수단으로 사용될 수 있는지 연구자들은 시연할 예정이다.

이 두 연구자는 보안 전문업체 세이프브리치(SafeBreach)의 부사장 아밋 클레인(Amit Klein)과 세이프브리치 공동 설립자이자 CTO인 이트직 코틀러(Itzik Kotler)다. 클레인과 코틀러는 백신 시스템을 클라우드로 통합시키는 과정에 아무런 문제가 없다는 생각에 도전했다. 다시 말해 여러 소스를 최신 인텔리전스로 통합시키기 위해 클라우드를 사용하는 데 무슨 문제가 있겠느냐는 생각에 도전한 것이다. 두 사람은 클라우드 내 샌드박스 기술을 사용하는 백신 제품의 인터넷 연결을 바꿔 목표 네트워크의 정보를 훔쳐내거나 아예 범죄자 서버로 연결시킬 수 있다는 걸 발견했다.

이런 수법은 기업 대상으로 매우 강력한 공격 도구가 될 수 있다. 출구 필터링, 화이스리스팅, 인터넷 연결을 차단한 망 분리 등으로 철저하게 제어하는 기업의 경우에도 말이다.

클레인과 코틀러는 이런 신기술을 수행하는 도구 또한 블랙햇에서 출시할 예정이라고 밝혔다. 이들은 얼마나 많은, 얼마나 유명한 백신 제품들이 이 신기술에 취약한지 증거를 제시하겠다고도 말했다. 클레인은 보안 제품의 취약성과 이로 인해 발생할 수많은 공격에 대해 파고들기 이전에 더 중요한 교훈이 있다고 말한다. 바로 공격자가 시스템에서 정보를 훔쳐가는 상황을 모든 각도에서 바라볼 수 있어야 한다는 점이다.

“기업에서 정보를 빼내는 건 매우 놀랍고 예상치 못한 형태를 취할 수 있습니다. 이 점을 기억하는 보안 인력이라면 정보가 기업 밖으로 유출될 수 있는 가능한 한 모든 통로에 대해 고려해야 하며, 이런 통로들을 잠재적인 도난 매개체로 분석할 수 있어야 합니다.” 클레인은 설명을 이었다. “어떤 때는 백신 요소와 클라우드 서버 사이의 연결이 그런 매개가 될 수도 있지만, 이 밖에 수많은 다른 것이 될 수도 있다고 분명하게 말씀드릴 수 있습니다.”

클레인의 설명처럼 보안 제품의 취약점은 새로운 현상이 아니다. 예를 들어, 작년 블랙햇에서 보안 전문업체 엔실로(enSilo)의 연구자 두 명은 백신 후킹 엔진(hooking engines) 내의 결점을 이용한 기술을 선보였다. 이 기술을 사용하면 32비트나 64비트 시스템에서 ASLR 보호를 우회하는 공격을 가할 수 있다.

블랙햇에서는 클레인과 코틀러의 발표와 더불어 다른 새로운 발견들도 소개될 예정이다. 탐지 모델에 기초한 머신러닝을 제어하는 수학적 엔진을 공격자가 어떻게 망가뜨릴 수 있는지도 여기에 포함된다. 조지아공과대학의 보안 분석 연구소인 ITSC-ARSA는 일명 AVPASS라고 명명한 도구를 선보일 예정이다. AVPASS는 안드로이드 안티 멀웨어 탐지 모델을 효과적으로 감시한 뒤 악성 앱의 APK를 그에 맞게 조작해 탐지 기술에 걸리지 않도록 해주는 기능을 갖고 있다.

클레인은 이 모든 연구를 통해 보안 제품이 공격 대상으로서 매우 매력적이라는 점을 보안 실무자들이 명심하기를 바란다고 말한다.

“보안 제품은 운영체제에서 보통 높은 특권을 갖고 있습니다. 대개 관리자 권한을 갖고 운영되는 데다 기업의 네트워크 트래픽에 가시성도 확보하고 있습니다. 또한, 보안 제품은 수많은 파일 포맷, 프로토콜, 운영체제 특징 등과 상호작용하기 때문에 그 로직이 매우 복잡하기도 합니다. 이런 복잡성 때문에 공격의 범위가 더 광범위해지기도 합니다.”

상황이 이렇다보니, CISO나 보안 실무자가 이 분야의 최신 연구를 꿰뚫고 있으면서 보안 업체들로 하여금 보안 도구들을 공격에 대항해 강화하도록 압박하는 것이 필요하다.

“일단 보안 업체가 주요 고객들로부터 압박을 받기 시작하면, 업체의 대응 시간이 점점 더 향상될 뿐만 아니라 내부 연구에도 더 많은 시간을 투자할 것이 분명합니다. 아직까지 알려지지 않은 공격을 예측하고 피해가기 위해선 내부 연구가 꼭 필요하기 마련이니까요.” 클레인은 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>