세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[내부자 위협 특집] 새로운 내부자, CISO의 할 일
  |  입력 : 2017-03-03 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 혹은 로봇 기술, 새로운 내부자 위협으로 등극
모바일과 클라우드도 내부자 위협 증폭시켜... CISO들이 할 일 5가지


[보안뉴스 문가용 기자] 내부자 위협은 오래 전부터 존재해온 위협 요소로 아직까지 명확한 방지법이 나오지 않고 있다. 그 유명한 스노든도 NSA 입장에서는 내부자 위협이었을 것이고, 실수로 직원들 연봉 및 개인정보를 계열사 직원들 전부에게 이메일로 보낸 신입사원 역시 예상치 못한 내부자 위협이다. 사이버 보안 업계에서도 가장 막기 힘든 위협으로 손꼽히는 것이 바로 이 내부자들인데 이에 대한 최근 연구 현황 두 가지를 살펴보자.


로봇들, 새로운 악성 내부자 되다
인기가 높은 로봇공학 제품들에 놀라울 정도로 치명적인 취약점들이 속속 발견되고 있다. 이 때문에 로봇의 통제권은 물론 운영 상황에 대한 스파잉도 허용할 수 있으며, 물리적인 피해까지도 발생할 수 있다고 한다. 보안 전문가들은 이러한 취약점을 가지고 있는 로봇들을 ‘새로운 유형의 악성 내부자’라고 부르고 있다.

그런 전문가 중 둘이 IO액티브(IOActive)의 케사르 세루도(Cesar Cerrudo)와 루카스 아파(Lucas Apa)다. 이 둘은 인기가 높은 로봇 계열 제품 및 소프트웨어에서 50가지가 넘는 오류들을 발견했다. 이 제품들이 사용되는 곳은 일반 사무실, 공장, 가정 등이었고, 이 취약점들을 통해 원격의 해커들은 자유롭게 네트워크에 드나들고 있었다.

현재 모든 산업 분야에서 로봇에 대한 관심이 높다. 특히 사람이 제대로 된 기능을 발휘하기 힘든 곳에서 투입할 로봇들이 속속 등장하고 있는 것이다. IDC는 2020년까지 전 세계 로봇공학 산업의 시장 규모가 18조 8천억 원까지 성장할 것이라고 예상할 정도다. 현재는 주로 생산업에서 활용되고 있지만, 가정용 및 의료용 로봇들도 점점 늘어나고 있다.

“로봇을 내부 노동력의 일부로 봐도 되는 시대가 되었습니다. 그런데 현대 우리 기술로는 로봇이 해킹의 영향력 아래 있는지 없는지 판별하기가 매우 힘듭니다.” 루카스 아파의 설명이다. 그도 그럴 것이 해커들은 일단 로봇의 장악에 성공해도 유난을 떨고 소란을 일으키지 않는다. 오히려 들킬까봐 조심조심 로봇을 통해 다른 작업들을 실행해 나간다. 마치 내부 직원 크리덴셜을 훔쳤을 때와 비슷하다.

이번에 세루도와 루카스 두 명은 소프트뱅크 로보틱스(Softbank Robotics), 유비테크 로보틱스(UBTECH Robotics), 로보티스(Robotis), 유니버설 로봇츠(Universal Robots), 리씽크 로보틱스(Rethink Robotics), 아스라텍(Asratec Corp.)라는 업체들에서 만든 기기들과 통제 소프트웨어를 중점적으로 연구를 진행했다. 이유는 “로봇들이 보다 본격적으로 활용되기 전에 그 한계를 파헤쳐 알리고 싶었기 때문”이다.

결과는 처참했다. “일반적으로 사물인터넷 기기들에게 잔뜩 들어있다고 알려져 있는 보안 취약점들이 거의 하나도 빠짐없이 있더군요. 비밀번호의 평문 저장, 약한 암호화 알고리즘, 저조한 업데이트, 인증 시스템의 부재, 철 지난 인증 시스템 등이요. 솔직히 현재 로봇 제품들이 안전하다면, 그건 해커들이 우리에게 자비를 베풀어서 그런 것일 뿐입니다.” 이러니 비밀번호, 암호화 키, 벤더 유지보수용 크리덴셜 등 로봇 제품이나 통제 소프트웨어에 저장된 데이터가 매우 취약해진다.

더 심각한 문제는 로봇공학 제품들을 원래 상태로 되돌려놓는 것이 매우 힘들다는 것이다. “특정 제품의 경우 아예 처음 상태로 되돌리는 게 불가능한 경우도 있었습니다. 한 번 해킹에 당하면, 알아도 그냥 사용하는 수밖에 없다는 거죠.”

문제의 근원은 여러 가지이지만, 로봇공학 커뮤니티 내에서 라이브러리와 오픈소스 코드가 쉽게 공유된다는 것이라고 세루도와 루카스는 분석한다. 그리고 이런 자료들은 대게 ‘평문 전송’, ‘약한 비밀번호’ 등을 기본으로 하고 있다. “로봇공학 업계에서는 소프트웨어 프레임워크와 라이브러리, OS 등을 너도나도 공유하는 분위기였습니다. 그런 문화 자체가 나쁜 건 아닌데, 공유되는 소프트웨어가 너무나 허술합니다.”

랩마우스시큐리티(Lab Mouse Security)의 CEO인 돈 베일리(Don Bailey)는 로봇의 취약점들이라고 특별히 분류할 건 없고, 흔한 사물인터넷 및 임베디드 기기의 취약점과 같은 맥락의 것들이라고 말한다. “로봇도 역시 임베디드 시스템 중 하나일 뿐이죠. 사물인터넷의 취약점들이 없어지지 않는 한 로봇들의 취약점들 역시 그대로 남아있을 겁니다.”

로봇들의 이런 취약점들로 인해 일어날 수 있는 가장 큰 사고의 종류는 데이터 유출과 프라이버시 침해다. 아마존의 알렉사(Alexa)나 애플의 시리(Siri) 등은 매우 유용한 스파잉 도구이기도 하다. 또한 앞으로는 물리적인 피해가 빠르게 증가할 전망이기도 하다. “사람의 생명을 위협하는 단계가 분명 도래할 겁니다.” 베일리의 예상이다.

루카스와 세루도는 아직 취약점들에 대한 상세 내용을 공개하고 있지는 않고 있다. 아직 제조사들의 대응이 전부 이뤄지지 않았기 때문이다. “여태까지 응답을 해준 기업은 네 군데 뿐입니다. 그 중 두 기업만이 ‘픽스를 하겠다’고 알려왔고요. 나머지 두 곳은 ‘조치를 취하겠다’는 애매한 답장만 주었습니다.”

게다가 루카스와 세루도가 발견한 취약점들의 익스플로잇이 대단히 어려운 것도 아니다. “전화기와 앱만 있으면 원격에서 로봇에 대한 침해가 가능한 정도입니다. 심지어 익스플로잇을 따로 개발할 필요도 없을 정도입니다.” 현재까지 이 둘이 오류를 발견한 제품은 소프트뱅크의 NAO와 페퍼(Pepper) 로봇 제품군, 유비텍 로보틱스의 알파 1S와 알파 2S 로봇군, 로보티스의 OP2와 THORMANG3, 유니버설 로보츠의 UR3, UR5, UR1 로붓들이다. 리씽크 로보틱스의 백스터(Baxter)와 소여(Sawyer), 아스라텍의 V-Sido다.

내부자 때문에 불안한 CISO들, 당장 할 수 있는 일은?
기업들을 호시탐탐 노리는 가장 큰 보안 위협 중 하나는 내부자다. 미국의 CISO들 중 35%는 “아직도 내부자의 위협으로부터 안전을 보장할 수 있는 방법을 모르겠다”고 느낀다. 이 수치는 보안 전문업체인 비트디펜더(Bitdefender)의 연구조사에서 나온 결과다.

내부자 위협은 크게 두 가지로 나눌 수 있다. 앙심을 품고 회사에 해코지를 가하는 경우와 실수나 부주의로 해커에게 공격의 길을 내주는 경우가 바로 그것이다. 이런 내부자들에는 현직 근무자들뿐 아니라 여전히 회사 내 계정을 보유하고 있는 전직 근무자와 파트너사 직원들까지도 포함된다.

모바일 기기의 확산은 내부자 위협을 더욱 위험한 것으로 만든다. 그렇기에 최소 ‘실수나 부주의’로 악성 내부자가 되는 경우를 막기 위해 CISO들은 보안 교육에 더 힘을 쏟아야 한다. 모바일을 통해 어떤 일들이 주로 벌어지고, 또 벌어질 수 있는지 가르쳐주고 어떻게 방어해야 하는지 실제적으로 가르쳐주어야 한다. 악성 URL에 클릭하지 마세요, 이런 지침도 비전문가들에겐 모호할 수 있다. 해커들이 주로 악용하는 ‘의도적인 오타’ 등도 재미있게 가르쳐 줄 수 있는 내용이다.

모바일과 함께 클라우드의 확산 역시 보안 경각심이 더 높아져야 하는 이유가 되고 있다. 전통적인 데이터센터를 유지하는 대신 클라우드를 기반으로 한 가상 인프라를 사용하는 기업들이 늘어나고 있는데, 이는 보안의 측면에서 상당히 위험할 수 있는 흐름이다. 외부 해커들의 공격 경로도 늘어나지만, 내부자들의 실수 가능성도 높아지기 때문이다.

이런 상황 속에서 CISO들은 어떻게 내부자의 위협을 줄여야 할까? “일단 강력한 정책과 내규를 마련해야 합니다. 어떤 기기를 직원들이 사용하든 회사의 네트워크에 접속해서 할 수 있는 행위 자체를 정해주어야 합니다. 사용자마다 다른 권한을 갖게 하고, 허용 수준을 정해준 후 이걸 적용시켜야 합니다. 이게 가장 처음 해야 하는 일입니다.” 비트디펜더의 위협 분석 전문가인 보그단 보테자투(Bogdan Botezatu)의 설명이다. “이는 IT 팀과 같이 해나가야 할 일입니다.”

그 외 내부자의 위협을 막기 위해 CISO들이 할 수 있는 일들에는 다음과 같은 것들이 있다.
1. 엄격한 정보보안 정책을 도입하고 주기적으로 직원들을 교육시켜 멀웨어의 침투를 최대한 제어한다.
2. 퇴사한 직원들이 사용하던 모든 계정과 인증서를 삭제한다. 이들 중 악의를 가지고 범죄를 저지르는 이들도 있다.
3. 내부 시스템과 운영 현황을 면밀히, 지속적으로 관찰한다. 그리고 이상 현상이나 변화가 생겼을 때 바로 보고가 이루어지는 체계를 만들라.
4. 역할과 직위에 근거한 접근 통제 규칙을 수립하고 적용하라. 최대한 개인 단위로 작업해야 한다.
5. 사용자 이름과 비밀번호라는 기존 로그인 방법으로는 절대 안전하지 않은 시대라는 걸 기억한다. 다중인증 시스템은 필수다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- VR 체험, 1인가구 안전 체험 등 다양한 코너 마련
#내부자   #위협   #로보틱스   #로봇   #공학   #CISO   


인공지능은 정보보안에 도움을 주게 될까요?
그렇다. 보안 인력 양성보다 인공지능 개발이 더 빠를 것이다.
그렇다. 보안 전문가가 더 ‘사람다운’ 일을 하게 해줄 것이다.
아니다. 기계가 할 수 있는 일은 한정적이다.
아니다. 오탐의 염려에서 벗어나기가 힘들 것으로 보인다.
처음에는 도움을 주는 듯 하지만 점차 사람의 일자리를 위협할 것이다.
나랑은 크게 상관없는 얘기다.
기타(댓글로)