해킹 과정 중 시간 많이 걸리는 ‘공격 대상 찾기’와 ‘공격 방법 조사’ 대행해줘
누구나 해커가 될 수 있게 해주는 도구...모두를 바보로 만들 것이라는 의견도

[보안뉴스 문가용 기자] 보안과 해킹 모두 사실은 숫자놀음이다. 아무리 실력 좋은 공격자들이라고 하더라도 결국 모든 표적을 다 공격할 수는 없다. 방어자가 모든 공격을 다 방어할 수 없는 것과 마찬가지다. 둘 다 가지고 있는 자원에 한계가 있기 때문이다. 그러므로 자원이 풍부하다는 건 더 많은 표적을 노리거나 더 많은 공격에 맞설 수 있다는 뜻이 된다. 그렇더라도 시간이 유한하기 때문에 공격과 방어의 우선순위는 필연적으로 정해져야 한다.


그런데 이러한 게임의 법칙을 깨버리는 해킹 프로그램이 등장했다. 바로 오토스플로잇(AutoSploit)이다. 지난 주 깃허브(GitHub)를 통해 공개됐다. 공개자는 트위터 ID가 VectorSEC이라는 인물이었다. 이 툴은 자원과 시간이라는 제한을 크게 줄여주는, 위험한 공격 도구라고 전문가들은 평가하고 있다.

오토스플로잇은 이름 그대로 해킹의 일반적인 과정들을 전부 자동으로 처리해주는 기능을 가지고 있다. 제작자인 벡터섹(VectorSEC)은 “두 가지 툴을 합친 것”이라고 밝혔는데, “하나는 Shodan.io”라고 한다. 쇼단은 온라인에 연결된 기기들을 찾아내는 검색 엔진으로 취약한 사물인터넷을 파악하는 데 주로 사용된다. “다른 하나는 메타스플로잇(Metasploit)으로 침투 테스터들이 자주 활용하는 도구입니다.”

즉 오토스플로잇은 그 무엇보다 쇼단 API를 사용해 공격이 가능한 표적들을 재빠르게 찾아내는 기능을 하고 있다. 공격자 입장에서 표적을 찾아내는 단계에서 소모되는 시간이 적지 않은데, 이 부분을 해결해주는 것이다.

그런 다음에는 메타스플로잇이 등장한다. “공격자가 공격 대상을 찾아냈다면, 어떤 점이 취약하고 그에 대한 익스플로잇 방법이 뭔지 조사해야 하는데, 오토스플로잇에 적용된 메타스플로잇은 가능한 모든 익스플로잇 방법을 동원해 시스템을 건드려봅니다. 그래서 아무런 반응이 없으면 공격을 포기하거나, 구멍을 찾아내는 것이죠.” 이 역시 자동으로 처리되기 때문에 공격자의 시간이 엄청나게 절약된다.

공격 대상을 찾아내고, 가능한 익스플로잇 방법을 파악해내는 단계까지가 자동으로 이뤄지다보니 해킹 실력이 낮은 사람이라도 얼마든지 해커가 될 수 있게 된다. 그것이 방어하는 입장에서는 상당히 골치 아픈 일이다. 기존의 공격자가 자동으로 공격을 할 수 있게 된 것만도 버거운데, 공격자 자체의 수가 크게 증가할 수 있다는 뜻이 되니까 말이다.

이에 대한 보안 커뮤니티의 반응은 여러 가지다. 이런 툴을 만들어 공개하다니, 제정신이냐는 분노의 반응도 있고, 이제 공격을 막을 수 없을 것이라는 공포에 찬 사람들도 있다. 반대로 이를 환영하는 부류도 있는가 하면, 실제 영향력은 더 두고 봐야 알 것 아니냐는 의견도 만만치 않다.

그러나 대다수는 ‘염려’하고 있다. 필자도 그 중 하나다. 화살과 막대기로 이뤄진 전쟁터에 갑자기 공중폭격기가 날아든 느낌이다. 게다가 조정실 문이 활짝 열린 상태라니 말이다. 물론 쇼단이나 메카스플로잇 모두 이미 존재해왔던 툴들이다. 하지만 이 둘이 합쳐져서 일반 대중들에게 널리 공개되었다는 건 다른 문제다.

또 다른 보안 전문가 댄 텐틀러(Dan Tentler)는 “오히려 편리한 자동화 기술의 등장으로 다수의 해커가 더 바보처럼 될 것”으로 예상하고 있다. “내비게이션만 보면서 운전하면 지리 자체를 파악하는 데 시간이 더 걸립니다. 지도를 보면서 운전하던 옛날에는 사람들이 지리에 대해 더 빨리, 상세히 파악했죠. 자동화 도구가 꼭 좋은 것만은 아닙니다.”

그의 의견에 힘을 실어보자면, 해킹을 쉽게 만들어주는 도구의 등장 자체는 이전에도 계속해서 있어왔다. 익스플로잇 키트(exploit kit)이 대표적인 상품이다. 해킹 기술을 근본부터 알고 있지 않은 사람들은 익스플로잇 키트의 도움을 받는 데 주저하지 않았다. 멀웨어를 직접 만들지 몰라도 해킹 공격은 가능해졌다. 익스플로잇 키트의 등장과 함께 해킹이 폭발적으로 늘어난 건 아니었다.

그러나 그런 익스플로잇 키트가 모두에게 공개된 건 아니라는 걸 기억해야 한다. 그 누구도 자신이 만든 익스플로잇 키트를 깃허브에 오픈소스로서 공개하지는 않았다. 필자처럼 오토스플로잇의 등장이 ‘염려’로 다가오는 사람들이 지적하고자 하는 건 바로 이 부분이다. 편리한 해킹 툴의 무료 공개 말이다.

이렇게 보든 저렇게 보든, 오토스플로잇의 등장으로 이제 크고 작은 해킹 시도들이 빈번하게 이뤄질 것은 기정 사실이다. 그렇지 않다 하더라도, 아마추어 해커들의 사소한 해킹 시도는 방어할 수 있어야 한다. 국가를 등에 업은 고차원의 해커에게 뚫리는 건 어쩔 수 없다고 쳐도, 기본도 갖추지 못한 아마추어의 장난질에 놀아난다면 평판부터 급락할 것이다. 오토스플로잇은 그러한 위기를 확대시키고 있다.

다행인 건 이미 몇몇 전문가들이 오토스플로잇에 대한 기술적 대처법을 연구하기 시작했다는 것이다. 제리 갬블린(Jerry Gamblin)과 같은 인물은 이미 깃허브에 쇼단으로 검색되지 않게 해주는 툴을 공개했다. 오토스플로잇의 반쪽을 쓸모없게 만들어버린 것이다. 물론 이 툴을 적용하는 것도 사용자 개개인의 몫이긴 하지만 말이다.

아무튼, 사소하지만, 사소하기에 엄청나게 많을 수 있는 것들이 몰려오고 있다.

글 : 라미 사스(Rami Sass), Whitesource
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>