대기업, 보안에 열심히 투자하지만 공격 표면 많기도 해
인터넷에 노출된 장비와 시스템 너무 많아...악성 트래픽에 가시성도 부족

[보안뉴스 문가용 기자] 덩치가 큰 기업들이 익스플로잇이 쉬운 시스템들을 인터넷에 지나치게 노출시키고 있어 피해가 발생할 가능성이 지나치게 커지고 있다고 두 개의 사이버 보안 업체가 고발했다.


먼저 라피드7(Rapid7)은 “포춘 500대 기업들이 약 500개의 서버 및 기기들을 인터넷에 연결시키고 있는데, 이 중 5~10개 시스템에서 윈도우의 파일 공유 혹은 텔넷 서비스가 노출되고 있다”는 연구 결과를 발표했다. 라피드7은 21개 산업을 조사했는데, 이중 15곳에서 윈도우 파일 공유 서비스가 활짝 열린 조직을 1개 이상 발견했다고 한다.

이는 매우 간단한 보안 실천 사항을 간과한 것으로, 이러한 문제가 나타난 조직들은 장비들의 인터넷 연결 상태에 대한 확실한 정보를 가지고 있지 않은 것으로 나타났다. 라피드7의 연구 책임자인 토드 비어즐리(Tod Beardsley)는 “포춘 500대 기업과 그 이하 기업들 전부, 회사 내 자산이 인터넷에 어떤 식으로 연결되었는지부터 살피는 것이 가장 중요하다”고 설명한다. “인터넷 연결된 것 하나만 없애도, 공격 표면이 하나 줄어드는 것이니까요.”

이러한 라피드7의 조사 결과는 상당히 충격적이라고 할 수 있다. 왜냐하면 일반적으로 큰 기업들은 보안에 훨씬 더 많은 투자를 하고, 더 잘 할 것이라고 여겨지기 때문이다. 그러나 라피드7은 “큰 회사일수록 보안에 더 투자할 수 있는 건 맞는데, 대신 큰 회사라서 돌봐야 할 장비가 훨씬 많다는 단점도 있다”고 설명한다. “실수할 구석도 더 많은 것이죠.”

이와 비슷한 연구 결과를 발표한 보안 업체가 하나 더 있으니, 바로 비트사이트(BitSight)다. 비트사이트 역시 “스스로 보안에 구멍을 낼 확률은 큰 기업일수록 더 크다”고 설명했다. “더 크다고 더 낫다는 건 아닙니다. 쓸 돈이 넉넉하다고 해서 더 잘 한다고 볼 수는 없어요. 오히려 더 크기 때문에 공격이 들어올 수 있는 경로가 더 많죠.” 부회장인 제이크 올콧(Jake Olcott)의 설명이다.

그래서인지 라피드7은 대기업의 장비들 중 인터넷에 노출되어 있는 걸 손쉽게 발견할 수 있었다. “포춘 500대 기업들은 평균 500개 시스템을 공공 네트워크에 연결시키고 있었습니다. 서비스 제공업체나 금융 기관의 경우는 평균을 훨씬 웃도는 시스템을 인터넷에 연결시키고 있었습니다. 수천~수만에 이르는 곳도 있었죠. 대기업들은 인터넷에 연결할 수 있는 장비의 수를 제한하는 게 어떨까 하는 생각이 드는 결과였습니다.”

비어즐리는 “평균을 그렇게까지 상회한다는 건, 사실 관리 체계에 문제가 있다는 뜻”이라고 지적한다. “인터넷에 연결된 장비가 사무실 여기 저기에 널려 있는 거라고 봐도 됩니다.” 항공, 방어, 화학, 도소매 산업의 경우 인터넷을 통해 접근할 수 있는 장비가 무려 2만 개가 넘는 곳이 적어도 1군데 있었다.

그러므로 지금 당장 가장 중요한 건 “이러한 장비들의 관리 체제를 확립하는 것”이다. “인터넷을 통해 건드려볼 수 있는 장비가 1천개를 넘어가면, 해커들은 거의 반드시 공격을 해봅니다. 큰 유혹거리가 되는 것인데요, 관리 부실로 인해 굳이 해커들의 관심을 끌 필요는 없습니다.”

이렇게 인터넷에 노출된 시스템을 파악한 라피드7과 비트사이트는, 이런 장비들로부터 발생되는 트래픽을 살피기 시작했다. 그 결과 라피드7은 의료 건강, 도소매, 기술 분야의 조직들에서 악성 트래픽과 관련된 사건 발생률이 높다는 결과를 얻어냈다. 비트사이트는 “15%의 기업들에서 컨피커(Conficker)라는 오래된 멀웨어의 존재를 의심케 하는 악성 트래픽을 발견할 수 있었다”고 말한다. 그 외에도 네커스(Necurs), 베뎁(Bedep), 제우스(Zeus)와 같은 멀웨어의 트래픽도 탐지됐다.

“그런데 이러한 사실을 대부분의 기업들이 모릅니다. 무슨 말이냐면, 자신들의 내부 네트워크에서 무슨 일이 일어나는지 전혀 인지하지 못한다는 겁니다.” 올콧의 설명이다. “이렇게 악성 트래픽 자체가 발견된다는 건, 공격을 당했고, 뭔가 나쁜 일이 일어나고 있다는 것에 대한 분명한 증거인데도 말이죠.”

어떻게 이렇게 눈이 멀 수가 있을까? 올콧은 “기술이 불충분할 수도 있지만, 정책과 거버넌스에 구멍이 있을 수도, 혹은 직원들의 보안 교육이 허술한 것일 수도 있다”고 말한다. “결국 가시성을 제대로 구현하지 못한다는 게 문제의 근원이라고 볼 수 있습니다. 가시성을 확보하지 못하니 이런 문제를 인지시키거나 교육시킬 수 없는 겁니다.”

현대 기업들에게 있어 윈도우의 파일 공유 텔넷이나 FTP 서비스를 공공 인터넷에 공개할 이유는 거의 없다. 그런데도 기업들의 1/3이 이러한 서비스를 활용 중에 있다고, 비트사이트는 밝혔다. “윈도우의 파일 공유를 SMB 프로토콜을 통해 열어두면 워너크라이(WannaCry)나 낫페트야(NotPetya) 등의 공격에 스스로를 노출시키는 겁니다. 포춘 500대 기업들 중 48개 이상 기업들이 텔넷을 인터넷을 통해 드러내고 있더군요.”

그래서 라피드7의 비어즐리는 “인터넷에 공개되어 있는 텔넷과 SMB 프로토콜만 찾아 없애도, 보안이 꽤나 단단해질 수 있다”고 말한다. “게다가 자기 조직만이 아니라 워너크라이의 배포를 막는 데도 일조하는 것이므로, 사회 전체에 도움이 되는 일입니다.”

3줄 요약
1. 대기업들, 큰 만큼 노출된 요소들 많아 보안 제대로 하기 어려움.
2. 기업당 인터넷에 노출된 시스템이 평균 500. 수만에 이르는 조직들도 있음.
3. 악성 트래픽도 적잖이 나오지만, 기업들은 현상 파악 못하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>