새로운 미국 상원 보고서, “에퀴팩스는 문제를 알고 있었다”
기본이 되지 않아 알고도 패치할 수 없었던 구조...총체적 난국 드러나

[보안뉴스 문가용 기자] 2017년 무려 1억 4천 8백만 명의 미국 성인들의 개인정보를 유출한 에퀴팩스(Equifax) 해킹 사건은 사이버 보안 역사상 최악의 사건 중 하나로 꼽힌다. 이 사건이 발생할 수 있었던 가장 큰 이유는 수년 간 쌓여온 허술한 보안 실태 때문이라고 미국 상원의 보고서를 통해 발표했다.


2017년 9월 세상에 알려진 에퀴팩스 사건은 수사 결과 아파치 스트러츠(Apache Struts)라는 유명한 취약점을 통해 발생했다고 밝혀졌다. 이 취약점에 대해서는 여러 차례 경고가 주어졌으나 에퀴팩스는 패치를 제대로 하지 않았고, 이 때문에 1억 명이 넘는 피해자가 발생한 것이다.

게다가 공격은 5월에 있었는데 탐지가 된 것은 7월이라는 점도 에퀴팩스의 보안이 얼마나 허술했는지를 보여준다. 2개월 동안 공격자들이 에퀴팩스의 데이터베이스로 수많은 요청을 보냈는데도, 탐지가 2개월이나 늦었다는 건 문제가 심각했다는 걸 말해준다.

그리고 이 점은 최근 상원의 보고서를 통해 보다 명확하게 드러났다. 보고서에 의하면 “에퀴팩스가 시스템 내 취약점이 있다는 걸 2년 동안 인지하고 있었지만 제대로 패치하지 않았다”고 하기 때문이다. 사건의 핵심이 된 아파치 스트러츠 취약점도 세상에 공개되고 수개월이 지난 후에야 겨우 일부만 패치됐을 뿐이었다고 한다.

보고서에는 다음과 같은 내용이 나온다. “에퀴팩스는 2015년 4월 패치 관리 정책(Patch Management Policy)라는 것을 도입했습니다. 그러면서 회사 전체 시스템에 대한 감사를 진행했고, 이 과정에서 다양한 취약점들을 발견했습니다. 시스템 제어 장치들의 백로그에서만 8500개의 취약점들이 나온 것으로 기록되어 있는데 이 중 1000개 이상이 외부에서 접근이 가능한 시스템들이었습니다.”

취약점이 많다는 것 외에도 감사 결과 보고서를 보면 회사의 환경설정 및 패치 관리 절차에 대한 문제가 지적되기도 했다는 걸 알 수 있다. 패치가 제 시간에 이뤄지지 않거나, IT 자산 목록이라는 것도 없었으며, 따라서 패치 일정을 짤 때 자산의 중요도 같은 것도 고려되지 않았다고 한다. 즉 문제가 발견되더라도, 그걸 즉각 해결할 수 있는 내부 절차가 마련되지 않았다는 것이다.

심지어 이러한 감사 결과가 나온 후에도 에퀴팩스는 후속 조치를 제대로 취하지도 않았다. ‘문제가 해결되지 않는다’는 문제를 해결하지 못한 채 시간이 흘렀다. 2017년 초반까지도 패치 관리가 제대로 되지 않고 있었다. 취약점 스캐닝을 하긴 했지만, 당시 에퀴팩스가 가지고 있었던 지역적인 패치 관리 절차와는 거리가 먼, ‘글로벌한 스캐닝’이었다고 보고서는 지적하고 있다.

이러니 아파치 스트러츠라는 취약점이 공개가 됐어도 제대로 대처할 수 없었던 것. “아파치 스트러츠 취약점은 2017년 3월에 공개됐고, 곧이어 익스플로잇 툴이 널리 사용되기 시작했습니다. 그렇지만 에퀴팩스의 직원들은 이러한 문제에 적절히 대처할 수 없었는데, 이는 에퀴팩스가 기본적인 사이버 보안 표준을 정립하지 않고 있었기 때문입니다. 에퀴팩스는 내부의 정책과 절차도 제대로 준수하지 않고 있었습니다.”

그러다보니 에퀴팩스는 취약한 자산을 제대로 짚어낼 수도 없었다. 치명적인 취약점을 48시간 이내에 패치하는 게 가능하지 않은 상태였던 것이다. 이 48시간은 에퀴팩스가 스스로 정한 시간이었다.

사건이 발생한 이후의 조치도 최악의 수준이었다. 침해 사고가 발생했다는 걸 알고 나서도, 이를 공표하는 데에 6주의 시간이나 걸렸다. 또한 침해 사고와 관련된 기록과 데이터를 제대로 보존하지도 못했다. 예를 들어 7월 29일과 9월 15일 사이의 링크(Lync) 통신 기록이 하나도 남아있지 않다고 한다.

보안 업체 시놉시스(Synopsys)의 수석 기술 전도사인 팀 맥키(Tim Mackey)는 “결국 정책이 아무리 훌륭해도 지킬 수 있는 절차와 시스템이 마련되어 있지 않으면 소용이 없다”며 “디지털 자산을 온전히 파악하고, 이를 알맞게 목록화 하는 기본부터 지켜져야 보안이 제대로 실행될 수 있다”고 말한다.

“오픈소스의 디펜던시들까지 포함한 완벽한 목록이 완성되어야 하고, 이것을 지속적인 모니터링 대상으로 삼아야 합니다. 그래서 새로운 취약점이 발견됐을 경우 빠르게 대조하고 찾아볼 수 있어야 합니다. 자산 파악, 취약점 소식 접수, 지속적인 모니터링이 전부 맞물려야 패치도 제대로 할 수 있고 정책과 규정도 지킬 수 있게 됩니다. 보안은 전체적인 시스템으로서 작동하는 것이지, 일부 끝단에서만 작용하는 게 아닙니다.”

3줄 요약
1. 에퀴팩스 해킹 사건에 대한 새로운 소식 나옴. 바로 취약하다는 걸 에퀴팩스도 알고 있었다는 것.
2. 에퀴팩스는 자산 관리도 되지 않고, 따라서 취약점을 알고도 패치를 못할 수밖에 없었으며, 내부 정책도 지킬 수 없었던 상황.
3. 문제를 해결할 능력이 없었다는 게 가장 큰 문제였던 게 에퀴팩스라는 대형 조직.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>