취약점과 공격툴 판매가 조직적으로 이루어지고 있어

MS, 모든 제품 개발과정에 시큐리티 프로세스 도입

마이크로소프트 보안총괄을 담당하고 있는 앤드루 쿠쉬만(Andrew Cushman)은 ┖코드게이트 2008┖ 컨퍼런스에서 MS의 보안대응전략에 대해 “최근 공격이 너무 빨리 이루어지고 있다. 취약점 발표가 나오자 마자 몇시간 안에 공격이 시작된다”며 “이에 최대한 고객들을 보호하기 위해 MS는 시큐리티 센터를 구축하고 다양한 방법으로 대응을 하고 있다”고 말했다.

앤드루 쿠쉬만은 “이제 크래킹은 사업을 이루고 있다. 취약점에 맞는 전문화된 툴들이 순식간에 나오고 있으며 취약점을 찾는 능력도 점차 업그레이드되고 있다”며 “다시 한번 생각해보면 크래킹 조직이 사업화된다면 시큐리티 사업도 점차 경제적 가치가 높아지고 있다”고 덧붙였다.

그는 미국 개척시기 골드러쉬를 예로 들며 처음에는 사람이 일일이 금을 찾아 나섰지만 나중에는 이것이 기계화되고 조직화되고 사업화돼 갔다는 것이다. 바로 크래커들도 이런 과정에 있는 것으로 볼 수 있다.

또 3년 전, 프랑스 한 젊은 해커 한명이 MS취약점을 찾아 이것을 이베이 경매에 올린 경우도 있었다고 한다. 물론 이베이 규정에 어긋난 것이어서 삭제되긴 했지만 경매가 시작되면서 바로 7명이 경매에 참여했다는 것이다. MS측은 이 사건을 충격적으로 받아들였으며 이를 계기로 시큐리티에 대해 다시 한번 생각하는 계기가 됐다고 한다.  

그리고 중국에서는 공격툴을 사용자 취향에 맞게 만들어준다는 크래킹 기업도 있다고 한다. 원하는 공격 방법에 맞게 최적화된 공격툴을 만들어주겠다는 것이다. 러시아도 공격이 성공할 때까지 무한 지원해주겠다며 해킹의 신뢰성까지 보장한다고 광고를 하는 경우도 있다.

MS는 그때부터 시큐리티에 상당한 신경을 쓰기 시작했으며 모든 개발과정에 시큐리티 프로세스를 도입해 이를 통과하지 못한 제품은 절대 상품으로 출시되지 못하도록 정책을 세웠다고 한다.

그는 “취약점 분석을 통해 조기경보 위주로 정책을 세우고 있으며 고객의 보안생태계까지 파악해 보호할 수 있도록 서포터할 수 있도록 지원하고 있다”며 “또 위협이 발생했을 때 최단 기간에 대응할 수 있는 시스템도 능동적으로 구축해 가는 과정에 있다”고 덧붙였다.

마지막으로 그는 “고객을 보호하는데 더욱 복잡한 과정들이 필요하게 됐다. 한 곳을 강화하면 다른 곳이 위협을 받는 상황”이라며 “보안에 대해 철저한 교육과 이용자들은 보안패치 업데이트를 주기적으로 해주길 바란다”고 당부했다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>