• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

모의 침투 전문가들, “소프트웨어 취약점과 크리덴셜이 문제” 2018.07.25

네트워크 침투에 가장 많이 사용되는 것, 소프트웨어 취약점과 크리덴셜
크리덴셜 약하게 설정하는 경우 아직도 많아...진짜 알아야 할 건 ‘과거’

[보안뉴스 문가용 기자] 침투 시험 전문가, 혹은 펜 테스터(penetration tester)들은 높은 확률(67%)로 자신들이 시험하고 있는 네트워크의 관리자급 통제권을 가져갈 수 있다고 한다. 물론 그것이 클라이언트와 사전에 협의된 내용일 때만이다.

[이미지 = iclickart]


이는 보안 업체 래피드7(Rapid7) 내부의 펜 테스터들이 작성한 ‘2018년 언더더 후디(Under the Hoodie 2018)’ 보고서를 통해 공개된 내용이다. 보고서 작성자들은 2017년 9월부터 2018년 6월까지의 활동을 종합해 분석했다.

래피드7의 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “이번 보고서의 결론 자체야 그리 놀랍지 않다”고 운을 띄운다. “아직도 네트워크 보안은 외곽 방어에 치우쳐 있습니다. 내부 네트워크 구조와 데이터 보안에 대해서는 할 일이 아직 많이 남아 있다는 겁니다.”

네트워크 보호의 측면에 있어서 두 가지 취약점이 가장 두드러졌는데, 바로 소프트웨어 취약점과 크리덴셜이었다. “소프트웨어 취약점은 해커들에게 있어 굉장히 안정적인 출입문이 됩니다. 게다가 이 출입문을 활용하는 해커들이 점점 늘어나고 있기도 합니다. 최근 침입자들은 대부분 소프트웨어 취약점을 통해 공격을 실시한다고 봐도 무방합니다.”

실제로 래피드7이 조사한 결과, 익스플로잇이 가능한 취약점이 없는 조직은 16%에 불과했다. 펜 테스터들은 “완전히 새롭고 혁신적인 소프트웨어 익스플로잇을 찾아낼 필요가 없었다”고 말한다. 보고서를 위한 연구가 진행되는 기간 동안 ‘제로데이’로 분류된 취약점을 익스플로잇 한 사례는 딱 한 번뿐이었다. “거의 모든 경우, 이미 알려지고 보고되고 공개된 취약점들만 공략해도 충분했습니다.”

이러한 취약점들로는 SMB 릴레리(SMB Relay), 방송 이름 분석(broadcast name resolution), XSS, SQL 주입 등이 대표적인 것으로 나타났다.

다음으로 펜 테스터들과 공격자들이 네트워크 침투에 많이 활용하는 것은 사용자들의 크리덴셜인 것으로 나타났다. 보고서에 의하면 펜 테스트의 절반이 넘는 경우(53%) 적어도 한 개 이상의 크리덴셜을 획득하는 데 성공했다고 한다.

“대단한 해킹 기술을 사용한 것이 아니라, 쉬운 비밀번호를 몇 개 추측하는 것만으로도 이런 성공률을 보였습니다. 사용자들은 주로 비밀번호에 회사 이름을 넣거나(5%), ‘Password’라는 단어를 그대로 사용하거나(3%), 계절 이름을 넣더군요(1.4%). 그리고 비밀번호의 84%가 10자 미만의 글자로 구성됐습니다.”

비어즐리는 “솔직히 크리덴셜을 통해 침투 성공한 횟수가 훨씬 더 많을 줄 알았다”고 말한다. 그러면서 “아마 크리덴셜이 얼마나 강력한지 시험해보고 싶어 하는 클라이언트사가 많지 않아서 이런 결과가 나온 듯 하다”고 설명했다. “침투 시험을 요구하는 회사들은 대부분 소프트웨어 취약점에 관심이 많습니다. 그 다음은 네트워크 설정 상태고요. 크리덴셜에 대해서는 관심이 부족합니다.”

침투 테스트의 가장 큰 목적은 “뭘 실험해야 하는지 클라이언트가 이해할 수 있도록 돕는 것”이라고 비어즐리는 말한다. “실제로 침투 시험을 할 때 굉장히 많은 시간을 클라이언트 설득에 할애합니다. 보통은 정말 실험해야 할 부분, 즉 약한 부분이 무엇인지 모르거나, 외부인인 펜 테스터들에게 숨기고 싶어 하기 때문입니다.”

결국 펜 테스트를 신청하는 조직들 대부분 “얻고 싶은 결과 혹은 듣고 싶은 말과 현실 사이에 괴리가 있고, 이걸 메우는 게 힘들 때가 많다”고 비어즐리는 정리한다. “그러나 듣고 싶은 말만 골라 들어봐야, 실제로 변화되는 게 얼마나 있겠습니까? 돈만 버리는 거죠.”

기업들이 침투 테스트를 통해 제일 먼저 알아봐야 할 것은, 침해 여부라고 비어즐리는 주장한다. “61%의 경우 침해된 사실을 모르고 평소대로 사업하고 운영합니다. 침투 테스트를 통해 뒤늦게 공격 사실을 알아내고 놀라워하는 경우가 참 많습니다. 하지만 이제부터 잘 하면 되지, 라며 과거를 캐려 하지 않는 회사들이 많은 게 현실입니다.”

하지만 방어자들에게도 좋은 소식이 있다. 공격의 22%가 하루 안에 탐지된다는 것이다. “탐지의 기술은 조금씩 향상되고 있습니다만, 그 후의 대처, 즉 사건 대응 부분에 있어서는 미숙함이 많이 보입니다. 당분간 보안 업계는 그 부분에 집중해야 할 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>