• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

취약점 공개의 핵심: 사회적 책임과 가짜 보안 2017.09.20

취약점 공개에는 사회적 책임 따르고
가짜 보안 깨뜨릴 수 있는 장점 있어

[보안뉴스 오다인 기자] 위협 연구를 할 때마다 전쟁과 관련한 속담 하나가 떠오른다. “지루한 나날 속에 이따금씩 테러가 터진다(Boredom punctuated by moments of terror).” 물론 IT 보안에 인용하기엔 다소 과장된 표현이다. 위협 연구가 지루할 때는 거의 없지만 엄청나게 신날 때도 많지 않다. 현재의 보안과 방어를 유지하는 차원에서 매일 매일 발견을 조금씩 넓혀가는 것이 일반적인 위협 연구자의 일과다.

[이미지=iclickart]


또한, 일상 속의 위협 연구는 ‘테러’라고 할 만한 수준까지 가닿는 경우가 거의 없기도 하다. 감사한 일이다. 그러나 때때로 위협 연구가 뜨겁게 부상하는 경우도 있다. 연구자들을 매우 설레게 하는 일이 생기는 것이다. 특히 새롭고 치명적인 취약점이나 익스플로잇을 발견했을 때 그렇다.

이메일 보안 업체 마임캐스트(Mimecast)는 최근 로프메이커(Ropemaker)라는 이메일 익스플로잇을 공개했다. 로프메이커의 익스플로잇 기술을 수개월에 걸쳐 실험한 뒤 마임캐스트는 책임감 있는 공개를 위해 철저하고도 기나긴 프로세스를 걸쳤다. 위키피디아가 책임감 있는 공개를 어떻게 정의하고 있는지 전문을 밝힐 수도 있으나 해당 정의에서 가장 중요한 용어 두 가지만 소개하려고 한다. 이 두 가지 용어는 정곡을 찌른다. 바로 사회적 책임과 가짜 보안(false security)이다.

새로운 익스플로잇이나 애플리케이션 취약점을 공개하는 데에는 여러 가지 난제가 존재한다.

△누구한테 말해야 하나?
△언제 말해야 하나?
△어떻게 말해야 하나?
△적절한 사람에게 말했는지 어떻게 확인할 수 있나?
△공개 후 경쟁력을 어떻게 확보할 것인가?
△원하던 반응이나 대응을 얻지 못하면 어떻게 할 것인가?
△언제 대중에 공개해야 하나?

로프메이커의 경우, 공개 과정은 특히 어려웠다. 익스플로잇이 이메일 애플리케이션 취약점을 이용한 것인지, 원래대로라면 잘 작동했을 애플리케이션(HTML 기반 이메일)을 오남용한 것인지, 아니면 인터넷 표준과 관련된 시스템 설계 결함을 이용한 것인지 불분명했기 때문이다. 세 가지 모두가 원인일 수도 있었다.

익스플로잇이 어느 하나의 원인에 귀속되지 않으면 누구도 이 문제에 대해 책임을 지지 않게 될 가능성이 있다. 아니면 아예 문제라고 인식하지 않을지도 모른다. 어쨌거나 필자는 로프메이커를 공개해야 할 사회적 책임이 마임캐스트에 일부분 있었다고 믿는다. 타당하고 책임감 있는 공개 절차를 거친 뒤에 말이다. 공개하지 않는다고 해서 보안 문제가 사라지지 않는다. 해당 문제에 더 많은 시선이 쏠릴 때, 더 나은 해결책이 나온다는 것도 사실이다.

그래서 내가 하고 싶은 말은, 익스플로잇과 취약점 공개에 궁극적인 난제가 있다는 것이다. 만약에 공격자가 방어자보다 빠르게 움직여서(그런 경우가 자주 있다) 새롭게 공개된 연구를 악성 목적으로 사용한다면? 모두가 이런 일이 가능하다고 생각하고, 실제로도 그럴 확률이 높다. 누군가는 지금 나타난 익스플로잇 저 너머를 바라봐야만 한다. 워너크라이(Wannacry) 사태만 봐도 알 수 있다. 공격자는 알려진 취약점을 사용했으며 그 패치는 수개월 전에 나와 있었지만 많은 기업이 제때 패치를 적용하지 않았다. 랜섬웨어 감염이 그토록 만연하게 나타났던 이유다.

가짜 보안 이슈가 바로 여기서 등장한다. 개인과 기업은 사용 중인 시스템의 불안정성에 대해 잘 모를 때 위험에 처한다. 보안이 되고 있다는 막연한 생각이 무지에 기초한 것일 때, 가짜 보안 상태를 겪는다는 말이다. 위험 실태에 대해선 전혀 모르는 것이다. 익스플로잇과 취약점의 공개는 선량한 시민들이 해당 문제를 해결할 수 있는 기회를 주는 일이다. 단기적으로든 장기적으로든 도움이 되는 일이다.

IT 보안에 종사하는 사람들은 현재 흥미롭고도 복잡한 현실 속에 살아가고 있다. 전반적으로 보안 방어 수준은 공격 표면이 확장되는 속도를 따라잡지 못하고 있다. 공격자들은 점점 더 산업화되고 자원을 확보하는 중이다. 최악의 조합이다. 화이트햇 해커의 위협 연구가 공격에 대응할 방법을 알려주리라 희망하는 사람도 있을 것이다. 그러나 이토록 민감한 연구는 반드시 책임감 있게 공개돼야만 한다.

글 : 매튜 가디너(Matthew Gardiner)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>