기존의 평가 체제에서는 개발사와 평가사 관계 좋을 수가 없어
특정 멀웨어만이 아니라 실제 해커들의 공격 전략 적용하는 것도 긍정적

[보안뉴스 문가용 기자] 취약점 데이터베이스인 CVE를 감독하는 비영리 기관인 마이터 코퍼레이션(MITRE Corporation)이 엔드포인트 보안 솔루션에 대한 평가 기준을 새롭게 공식 발표했다. 이 때문에 평가 관련 분야에서 적잖은 변화가 일어날 것으로 보인다.


마이터는 미국 연방 정부가 직접 예산을 지원하고 있는 비영리 단체로, 어택(ATT&CK, Adversarial Tactics, Techniques, and Common Knowledge)이라는 보안 솔루션 평가 시스템을 보유하고 있다. 그런데 이번에 새 평가 시스템을 어택에 공식 추가했다. 그 시스템이란, 중국의 정부 지원 해킹 단체인 APT3 혹은 고딕 판다(Gothic Panda)의 공격 방법 중 잘 알려지고 연구된 것을 평가 기준으로 삼는 것이다.

엔드포인트 솔루션을 만드는 보안 업체인 카본블랙(Carbon Black), 크라우드스트라이크(CrowdStrike), 카운터택(CounterTack), 엔드게임(Endgame), 마이크로소프트(Microsoft), RSA, 센티넬원(SentinelOne)은 이 평가를 받기 위해 마이터 전문가들로 꾸려진 레드팀에 대항하는 블루팀 역할을 했다. 보통은 평가를 전문으로 하는 서드파티가 닫혀진 실험실 안에서 실험을 진행하는 것과 달리 마이터의 평가를 받으려고 실시간 공격에 대한 실시간 방어진을 구축한 것이다.

이 실험은 협의 하에 이뤄진다. 마이터가 정부를 등에 업고 있다고 해서 강압적인 참여를 기업들에 종용하는 건 아니라는 뜻이다. 엔드게임의 부회장인 마크 듀프레즌(Mark Dufresne)은 “마이터가 업체들을 초대했고, 응한 업체들에는 공격 진행 방식을 알려주기도 했다”고 말한다. “협업과 대화로 평가가 이뤄지는 분위기였지, 거래를 기반으로 하는 기존 평가 방식은 아니었습니다.”

평가가 끝난 후 마이터는 보안 솔루션들이 어떤 식으로 설정되었는지, 마이터의 레드팀이 APT3의 공격을 어떤 점에서 흉내 내고 또 흉내 내지 않았는지, 그런 방법을 동원했을 때 보안 솔루션들이 어떻게 탐지를 하고 하지 못했는지를 상세하게 문서화했다. 즉 평가 결과가 나온 건데, 이는 마이터의 웹사이트를 통해 전부 공개됐다. 누구나 열람이 가능하다.

마이터의 엔지니어인 프랭크 더프(Frank Duff)는 “평가를 하는 저희와 평가를 받는 기업들이 상호협조적으로 평가 과정을 통과하고자 했다”며 “평가란 제품을 향상시키는 것을 목적으로 하고 있는 건데, 이 과정에 소비자들까지도 참여시켜야 한다고 생각했다”고 설명한다. “평가 결과를 모든 사람들에게 공개함으로써 구매 결정에 도움을 주는 것은 보안 자체의 강화에 도움이 될 것으로 보고 있습니다.”

마이터는 APT3의 여러 가지 공격 수법을 수입해왔다. 크리덴셜 수집 공격, 파워셸과 같은 정상적인 툴을 사용해 악성 행위 감추기 등이 대표적이다. “이런 공격들을 하나하나 실행할 때마다 나타나는 솔루션의 반응을 빠짐없이 문서화했습니다. 어택이라는 평가 모델은 실제 존재하고, 잘 알려진 공격 방법들을 가지고 솔루션들에 존재할 수 있는 약한 부분들을 찾아내는 것을 기본으로 합니다.”

마이터가 ‘협업적’이고 ‘열린’ 평가 환경을 마련함으로써, 기존의 평가 시스템이 점점 도태될 가능성이 높아졌다고 전문가들은 분석한다. 기존 평가 모델에서는 프로그램 제조 업체와 평가 업체의 관계가 좋을 수가 없었다. 지난 9월, 평가 전문 기관인 NSS랩스(NSS Labs)와 솔루션 개발 업체인 크라우드스트라이크, 이셋(ESET), 시만텍(Symantec) 간 법적 공방도 있었다. 하지만 마이터의 테스트를 받은 업체들이 ‘상호협력적인 분위기’라고 말한다는 건, 좀 더 우호적이고 친화적인 선택지가 생겼다는 뜻이 된다.

엔드게임의 듀프레즌은 “현재의 솔루션 평가 환경은 그리 아름답지 못하다”고 말한다. “그렇다고 평가 시스템이 아예 없는 것도 문제죠. 그러니 울며 겨자 먹기로 지금 시스템에 응하고 있는 겁니다.” 또한 듀프레즌은 “기존 평가 시스템은 특정 멀웨어에 대한 평가만 진행하는 것이 보통”이라는 문제점을 지적하기도 했다. “해당 멀웨어가 막아지느냐 마느냐는 알 수 있겠죠. 그러나 실제 공격에 대한 방어가 되느냐를 알기 힘듭니다.”

마이터의 더프는 이 점에 대해 “보안 평가의 목적은 다양하며, 그 목적성에 따라 평가 방법이 달라진다”고 설명을 덧붙였다. “예를 들어 저희의 어택 모델은 공개된 테스트 과정과, 평가의 맥락을 제공한다는 목적을 가지고 있습니다. 모두에게 공개되어야 실질적인 향상과 변화가 일어나 보안이 강화될 것이라는 믿음을 가지고 있기 때문입니다. 그러한 목적을 설정하고, 그것에 충실한 과정을 편성한 것이죠. 세상에는 많은 평가 제도가 있는데, 그 평가 제도에마다 목적성들이 다 다릅니다. 저희는 그런 제도들 중 하나일 뿐입니다.”

그렇다 하더라도 “멀웨어에 기반을 두고 있는 평가 시스템은 한동한 존속할 것”이라고 듀프레즌은 예상한다. “그러한 평가를 기준으로 제품을 만들기도 쉽고, 실제로 보기 좋은 성적표가 나오기 때문입니다. 즉 시장에 수요가 있다는 것이죠.”

보안 업체 글래스월 솔루션즈(Glasswall Solutions)의 CEO인 그렉 심(Greg Sim)은 “서드파티 보안 평가 방식은 이미 오래 전에 유통기한이 지났다”는 입장이다. “요즘과 같은 때에 특정 멀웨어만이 실험의 기준이 된다는 건, 실제 세상에서 발생하는 공격에 대해서는 큰 신경을 쓰지 않겠다는 뜻입니다. 개인적으로는 곧 새로운 평가 모델이 주류로 자리를 잡을 겁니다.” 글래스월 솔루션즈도 최근 마이터로부터 솔루션 평가를 받았다.

익명을 요구한 또 다른 보안 업체의 대표의 경우는 “마이터가 꽤나 적절한 타이밍에 새로운 평가 제도를 들고 시장에 들어왔다”고 보고 있다. “이미 알려진 적대 세력의 공격 방식을 재현해서 평가를 한다고 했을 때 보안 업체들은 대부분 ‘드디어 제대로 돌아가기 시작했다’고 생각했을 겁니다.”

한편 마이터는 다음 테스트 계획에 대해 세부적인 발표를 아직 하지 않고 있다. 다만 다른 해킹 단체의 전략과 공격 기술을 새롭게 재현할 것이라고만 밝혔다.

3줄 요약
1. 취약점 관리 기관인 마이터, 새 솔루션 평가 모델 발표.
2. 실제 해커들의 공격 방법을 통한 평가. 결과의 전체 공개. ‘협의적으로’ 이루어지는 평가 과정.
3. 기존의 돈 주고 의뢰하고, 일방적으로 통보받는 평가 시스템을 대체할 것이라는 예상이어짐.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>