• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 취약점 관리 기관, 사실은 서방 기술 염탐한다? 2018.07.17

취약점 관리 시스템 존재하긴 하나, 본연의 업무엔 불성실
러시아 군과 연결되어 있어...러이선싱 절차에 우려 많아

[보안뉴스 문가용 기자] 러시아의 국가 취약점 데이터베이스를 운영하는 조직의 공식적인 목적은 말 그대로 사이버 공격을 방지하기 위해 취약점들을 발굴하고 정리해 보관하는 것이다. 하지만 이것은 표면적인 것에 불과하고, 진짜 목적은 외국의 기술과 제품을 염탐해 나중에 무기로 사용할 수 있는 취약점들을 발굴하는 것이라는 주장이 나왔다.

[이미지 = iclickart]


이런 주장을 한 건 보안 업체 레코디드 퓨처(Recorded Future)다. 현지 시각으로 월요일, 러시아의 취약점 데이터베이스를 운영하는 연방기술수출통제서비스국(FSTEC)의 활동 사항을 상세하게 조사해 발표했다. FSTEC는 국가 취약점 데이터베이스인 BDU를 관리하는 군 조직이다.

레코디드 퓨처의 보고서에 의하면 FSTEC에는 다양한 권한이 주어져 있는 상태다. 여기에는 소유권이 다른 곳에 있는 제품과 서비스에 대한 검사도 포함된다. 연방 정부나 사회 기반 시설에 위협이 될 만하다고 판단될 경우 소유권이 어디에 있던 검사할 수 있다는 것이다. 레코디드 퓨처의 전략 개발 책임자인 프리실라 모리우치(Priscilla Moriuchi)는 “굉장히 우려되는 권한”이라고 표현한다.

“기술 라이선싱 과정에도 문제의 소지가 있습니다. 해외 기술에 대한 라이선스를 제공한다며, 결국 러시아 군에서 해외 기술을 낱낱이 검사한다는 건데 이를 통해 아무도 모르던 취약점을 러시아 군만 발견해 저장해둘 수 있고, 또 이것이 나중에 무기가 될 수 있는 겁니다.”

러시아에서 기술 기업이 활동을 하려면 FSTEC, 즉 러시아 군을 반드시 거쳐야만 한다는 건 그러한 기업들의 지적재산 등만이 아니라, 전 세계 컴퓨터 사용자들 전부에게 위협으로 다가올 수 있다는 게 모리우치의 설명이다. “러시아는 올해에만 적어도 두 번, 서양의 기술을 익스플로잇 하려는 시도를 하며 일반 사용자들에 대한 정보를 수집하고 통신을 방해하려는 의도를 보였습니다.”

모리우치가 말하는 ‘두 번의 사건’은 지난 4월 러시아 해커들이 전 세계 네트워크 장비를 겨냥해 공격한 것과 보다 최근 우크라이나를 비롯해 여러 국가에 모습을 드러낸 VPN필터(VPNFilter) 공격이다. 모리우치는 “취약점을 국가적으로 관리한다는 명목 하에 러시아 군과 정부는 외부 기술 기업들에 제품과 기술에 대한 점검을 할 수 있다”는 의견을 굽히지 않고 있다.

레코디드 퓨처는 러시아를 파헤치기 전인 지난 11월 중국의 취약점 관련 기관 및 해당 기관의 실제적인 취약점 관리 성과를 분석하기도 했다. 당시 연구의 결과는 중국의 국가 취약점 데이터베이스를 관리하는 보안국이 가치가 높은 취약점을 감시와 검열 등의 목적으로 활용하는 가능성이 매우 높다는 것이었다.

레코디드 퓨처에 의하면 러시아의 FSTEC는 자신이 보유한 취약점 정보의 10% 정도만 공개하고, 심지어 미국에서 이미 50일 전에 공개한 것들만 공유한다고 한다. 중국에 비해서는 83일이나 늦다고 한다.

또한 FSTEC가 공개하는 취약점들 대부분은 러시아의 국가 정보 시스템과 기술 및 생산 프로세스 자동화에 위협이 되는 것들이다. 이 취약점 데이터는 일반 대중에게도 공개되어 있으며, 러시아 내 보안 전문가나 사회 기반 시설 운영자들, 개발자들이 사용하도록 되어 있다.

재미있는 건 러시아의 FSTEC는 이러한 취약점 정보를 공개하는 데 있어서 러시아 정부가 지원하는 공격 단체가 이미 익스플로잇 한 적이 있는 것들은 지나칠 정도로 상세하게 밝힌다는 것이다. “저희의 분석에 따르면 FSTEC가 공개한 취약점의 61%는 러시아 군이나 첩보 기관이 이미 사용한 것들입니다.”

BDU가 보통 10%의 취약점만을 공개한다고 봤을 때, 이 61%라는 숫자는 꽤나 크다고 볼 수 있다. 이런 식의 운영 이유는 “정부와 사회 기반 시설 시스템 운영자들에게 취약점 정보를 최대한 상세히 알려줘, 러시아 해킹 공격에 피해를 입지 않도록 하기 위함”이라고 레코디드 퓨처는 분석하고 있다.

FSTEC가 취약점 데이터를 공개하기 시작한 건 2014년의 일로, 미국이 취약점을 국가 차원에서 관리하기 시작한 것보다 15년 정도 늦다. 보유한 취약점의 수도 1만 1천 개 정도에 불과해, 미국의 10만 7천여 개에 비해 현저히 적다. 그러나 공개하지 않고 보유하고 있는 취약점의 수가 얼마일지는 정확히 알 수가 없다.

레코디드 퓨처의 분석에 의하면 FSTEC가 특별히 취약점 공개에 열을 올리는 기술 분야도 따로 존재한다고 한다. 즉 관심이 없는 기술에 대해서는 보고도 성의가 없다는 것이다. “예를 들어 어도비, 리눅스, 마이크로소프트, 애플 등과 관련된 기술에 대해서는 취약점을 상세하게 공개합니다. 하지만 IBM이나 화웨이의 기술들에 대해서는 시큰둥한 모습입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>