저렴한 보안 강화, 꿈이 아닌데도 꿈보다 더 안 잡히고 있다

보안을 강화하기 위해 비싼 솔루션에 투자하는 걸 잠시 생각해 봐야 한다. 사실은 엉뚱한 곳에서 약점이 노출되고 있을 수 있기 때문이다. 특히 패치와 비밀번호 관리 실태가 요주의 분야라고 카스퍼스키는 주장한다.

[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)가 아직도 발전이 없는 패치 적용 및 비밀번호 관리 실태에 대해 발표했다. 보고서에 의하면 2020년 발생한 보안 사고 중 약 63%가 패치와 비밀번호 관리 부실로부터 비롯됐다고 한다. 또한 업계와 언론의 주목을 많이 받는 새로운 취약점들은 실제 사건사고에서 큰 비중을 차지하지 못한다고도 밝혔다.

[이미지 = utoimage]

카스퍼스키는 “사이버 공격자들은 기업과 같은 형태로 움직인다”는 점을 강조했다. 즉 “이윤을 남기기 위해 비용과 효율성에 집중한다는 것”이다. “그렇다는 건 공략이 쉬운 부분을 철저하게 공략한다는 뜻입니다. 새로운 공격 방식을 개발하거나 남들이 이루지 못한 업적을 이루는 예전 해커들의 낭만이라는 건 더 이상 존재하지 않습니다. 적어도 범죄자 유형의 해커들에겐 말이죠.” 카스퍼스키의 보안 서비스 수석인 글렙 그리차이(Gleb Gritsai)의 설명이다.

공략하기 쉬운 부분이란 무엇일까? 바로 조직들의 엉성한 패치 관리 실태와 사용자들의 비밀번호 관리 습관이다. “사실 대부분의 사람들이 보안 문제들을 잘 알고 있습니다. 패치가 나오면 즉각 적용하고, 비밀번호도 어렵게 써야 한다는 걸 귀에 못이 박히게 들었거든요. 게다가 수상한 링크를 누르면 안 된다는 것도 알아요. 알고 있는 걸 실천하지 않는다는 게 공격자들의 공격 효율을 높여주는 결과를 낳습니다. 실제 절반을 훨씬 넘는 공격이 이런 데서 벌어졌다는 걸 생각해 보면 명확합니다. 비싼 보안 솔루션을 사용하지 못해서 공격에 당하는 게 아닙니다.”

카스퍼스키가 조사한 바에 의하면 무작위 대입 공격은 2019년 13%였다가 2020년 31.6%로 크게 증가했다고 한다. 무작위 대입 공격은 비밀번호를 맞출 때가지 모든 경우의 수를 대입하는 것을 말한다. 자동화 기술을 사용하긴 하지만 대단히 비효율적이고(시간이 오래 걸린다) 성공률도 낮아야 정상인 원리를 가지고 있다. 그런데도 공격자들이 이 원시적인 공격법을 더 애용한다는 건 무슨 뜻일까? 비밀번호가 너무 쉬워서 비효율적이지도 않고 성공률이 낮은 것도 아니라는 뜻이다.

또한 카스퍼스키는 무작위 대입 공격의 증가가 코로나와도 관련이 있을 것으로 보고 있다. “코로나 때문에 전 세계적으로 재택 근무가 크게 유행하게 됐고, 업무 환경도 자연히 바뀌기 시작했습니다. 그러면서 보안이 크게 허술해졌죠. 많은 조직들이 원활한 업무 진행과 생산성 유지를 위해 의도적으로 보안을 희생시키기도 했습니다. 그러면서 무작위 대입 공격이 잘 통했던 예전으로 돌아간 것입니다.” 그리차이의 설명이다.

무작위 대입 공격은 이론상 탐지가 쉽고 간단한 유형의 공격이다. 현대 모든 보안 솔루션들이 기본적으로 무작위 대입 공격에 대한 탐지 규칙을 가지고 있기도 하다. 따라서 보안 솔루션을 운영하고 있다면 경보가 울릴 수밖에 없다. 하지만 그리차이는 “이론상의 이야기와 현실에 다른 부분이 존재하긴 한다”고 설명하며 “상시 네트워크 모니터링이 잘 이뤄지지 않기 때문에 경보가 울려도 확인하지 못하는 경우가 많다”고 말한다. 그러면서 탐지가 잘 되는 공격마저도 사전에 조사되지 않는 것이다. “가시성 확보가 원격 근무 시대의 과제라고 볼 수 있습니다.”

그 다음 많은 시스템을 감염시킨 건 이미 알려진 취약점들을 통한 익스플로잇 행위였다. 카스퍼스키가 조사했을 때 전체 감염의 31.5%가 취약점 익스플로잇을 통해 일어났다고 한다. 가장 많이 익스플로잇 된 취약점은 CVE-2017-0144로 대단히 오래된 윈도 SMB 원격 코드 실행 취약점이다. NSA의 익스플로잇 코드인 이터널블루(EternalBlue)와 관련이 있는 취약점으로 2017년 5월 워너크라이(WannaCry) 사태를 통해 유명해졌다. 최근에는 인덱시나스(Indexinas)라는 웜이 유행하기도 했는데, 이 역시 CVE-2017-0144를 악용한 멀웨어였던 것으로 밝혀졌다.

그 다음으로 많이 익스플로잇 되는 취약점들도 대단히 오래된 것들이었다. 대표적인 것이 CVE-2018-8453과 CVE-2019-11510으로, 전자는 MS가 2018년 10월 패치를 발표한 권한 상승 취약점이고 후자는 펄스 커넥트 시큐어(Pulse Connect Secure) VPN 장비에서 2019년에 발견된 원격 코드 실행 취약점이다. 둘 다 여러 해 동안 각종 사이버 공격에 연루되며 악명을 떨치기도 했었다. 그나마 최근에 발견된 취약점으로는 CVE-2020-0796이 있는데, 작년 MS SMB 3.1.1에서 발견된 것이다. 이 취약점 역시 미국 국토안보부가 긴급 보안 권고문을 발표할 정도로 잘 알려진 것이라고 볼 수 있다.

카스퍼스키는 이러한 연구 결과를 바탕으로 “건강한 패치 관리 정책을 도입하고 비밀번호에 대한 관리 습관을 향상시키는 것만으로도 최저 30%에서 최대 60%까지 공격 위험성을 낮출 수 있다”고 하며 “값비싼 솔루션에만 의존하지 않아도 의미 있는 보안 강화를 이뤄낼 수 있다”고 강조했다.

3줄 요약
1. 실질적인 보안 향상, 패치와 비밀번호만 잘 해도 꿈이 아님.
2. 2020년 발생했던 사고의 절반 이상이 패치와 비밀번호 관리 미흡 때문에 야기됨.
3. 취약점 익스플로잇 공격에 연루되는 취약점 대부분 아주 오래되고 유명한 것들.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)