티핑포인트, 지난해 SW취약점 발견...업계 수위

쓰리콤 보안사업부이자 침입방지 분야 전문기업 티핑포인트(www.tippingpoint.com)의 보안 연구 활동이 업계 수위인 것으로 나타났다.

2009년 12월 발행된 ‘2009년 상반기 프로스트 앤 설리번 취약점 트래커(Frost & Sullivan Vulnerability Tracker for 1H2009) 보고서는 2009년 상반기에 발견된 소프트웨어 취약점과 관련, 티핑포인트가 여타 조사기관보다 훨씬 많은 취약점을 발견했다고 밝혔다. 티핑포인트도 2009년 한해 동안 브라우저와 OS, 웹 애플리케이션 관련 114개의 취약점을 찾아냈으며, 1,100명 이상의 ZDI(Zero Day Initiative) 프로그램 외부 참여인원이 지속적으로 늘어나고 있다고 발표한 바 있다.

티핑포인트는 이러한 업계 선두 최고 수준의 신규 취약점 발견 및 연구를 바탕으로 자사 전용의 필터와 시그니처(Signature)를 개발하고 있다. 따라서 SW벤더들이 미처 패치버전을 완료하지 못해 취약점을 이용한 악의적인 공격이 유포되기 이전에 티핑포인트 IPS(TippingPoint Intrusion Prevention System) 플랫폼을 항상 최신 보안 상태로 유지, 새로운 보안위협으로부터 고객을 보호한다.

마이크로소프트의 인터넷 익스플로러 취약점을 이용한 최근의 구글 공격은 지난 몇 년간 티핑포인트의 연구를 통해 발견된 취약점 유형의 전형적인 예이며, 어도비 PDF 리더와 같은 일반적인 비즈니스 애플리케이션의 경우 많은 사용자들을 공격해 수익을 올릴 수 있다는 점에서 해커들의 악용이 계속됐다.

2009년 보안 위협은 그 대상과 악용 방법 모두에서 진화를 거듭했다. 기업을 중심으로 사용이 증가하고 있는 커스텀 웹 애플리케이션을 대상으로 한 공격 역시 늘어난 한 해였다. 2009년 보안 공격 분야의 가장 큰 이슈였던 컨피커 등의 웜은 해커들이 이러한 취약점을 악용하기 위해 다양한 매개체와 공격로를 동원하며 공격을 성공시키기 위해 수단을 가리지 않는다는 점을 시사한다.

프로스트 앤 설리번의 취약점 트래커 보고서에 나타난 티핑포인트의 취약점 연구 분야 성과는 다음과 같다.

-티핑포인트는 다른 연구기관보다 두 배 이상 많은 ‘웹브라우저 취약점’과 ‘미디어 애플리케이션 취약점’을 발견했다.

-2009년 보고된 취약점 중 가장 일반적인 유형은 힙(Heap) 오버플로우였으며, 티핑포인트는 이에 대한 취약점 보고에서 선두를 달렸다.

-조사기간 동안 보고된 취약점의 82.5% 이상은 공격자가 감염된 시스템을 제어해 DoS공격, 스팸발송, 피싱공격과 같은 범죄행위에 이용할 수 있도록 하는 속성을 갖고 있는 것으로 나타났다. 티핑포인트는 이 같은 유형의 코드 실행을 유발하는 취약점을 가장 많이 발견했다.

티핑포인트가 취약점 및 보안 연구에 있어 이처럼 우수한 성과를 거둘 수 있었던 이유는 DV랩스와 ZDI 프로그램 덕분이다. 업계 선두인 티핑포인트 DV랩스(Digital Vaccine Labs)팀은 티핑포인트 내부 조직으로서 최첨단 보안 기술과 분석 능력을 갖춘 세계적인 보안 전문가들로 구성돼 있으며 티핑포인트 IPS의 기반이 되는 보안 관련 정보를 제공한다. 또한 2005년부터 시행된 ZDI 프로그램은 현업의 실무자나 연구원들이 자체 발견한 취약점에 대해 티핑포인트가 포상을 실시하는 후원 프로그램으로, 현재 전세계 1,100명 이상의 보안 전문가들이 참여하고 있다.

한편 해킹은 단순한 실력 과시에서 오늘날 대기업의 조직 구조에 필적하는 복잡한 비즈니스 모델로 진화하고 있다. 또한 금전적 이익을 취할 수 있다는 가능성으로 인해 전혀 새로운 사이버범죄가 탄생하고 있으며 이들 공격을 사전에 차단하기란 더욱 어려워지고 있다. 티핑포인트는 이러한 상황에서 전반적으로 취약점을 발견할 수 있는 기술을 가진 사람의 수는 늘어나고 있으며 이 같은 인력 중 갈수록 많은 수가 ZDI와 같은 프로그램을 통해 합법적인 방식으로 자신의 능력을 발휘하길 원한다고 밝혔다.

박진성 티핑포인트 한국 총괄이사는 “프로스트 앤 설리번의 보고서는 DV랩스와 ZDI 프로그램의 연구 성과가 업계 최고임을 명확히 보여주고 있다”며 “이러한 취약점을 발견하고 이해하는 것이야말로 디지털백신과 같은 티핑포인트만의 차별적 서비스의 원동력이며 ZDI와 DV랩스를 통해 얻는 심층적인 연구결과를 바탕으로 IPS를 통해 포괄적인 보안 대응을 제공하고 있다”고 설명했다.

로버트 아윱(Robert Ayoub) 북미 프로스트 앤 설리번의 산업부문 매니저는 “취약점 연구 및 보고 프로그램에서 티핑포인트가 거둔 성공은 보고된 취약점의 증가뿐 아니라 ZDI 프로그램에 참여하는 보안 전문가들의 폭발적인 증가로 인해 더욱 강화되고 있다”며 “실제 보안 위협을 보다 정확히 인지하기 위해 지난 몇 년 간 보안업체와 연구기관의 취약점 보고 추이를 살펴본 결과 다수의 보고 주체가 업체나 개인 차원에서 티핑포인트 ZDI 프로그램과 같은 독립 연구 기관으로 변하는 것을 볼 수 있었다”고 말했다. 그는 “그 중에서도 티핑포인트는 2008년 이래 매 분기 취약점 발견 보고에서 현격한 증가를 기록하며 업계 유수의 기업 및 조직을 능가하는 등 특히 성공적인 행보를 보이고 있다”고 강조했다.

티핑포인트의 보안연구에 대한 보다 자세한 정보는 DV랩스 웹사이트(http://dvlabs.tippingpoint.com)와 ZDI 웹사이트(http://www.zerodayinitiative.com)에서 확인할 수 있다.

[길민권 기자(reporter21@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)