세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
마이크로소프트, 2013년 취약점 기록 시스템 해킹되고도 숨겼다
  |  입력 : 2017-10-18 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
마이크로소프트 전 직원들 인터뷰한 로이터 통신 보도로 드러나
NSA 해킹 사건과 달라... 버그 저장소 보호는 고객 보호에 필수


[보안뉴스 오다인 기자] 2013년 초, 마이크로소프트, 애플, 페이스북, 트위터는 맥(Mac) 단말기의 자바 취약점을 이용한 똑같은 공격에 당했다. 그러나 마이크로소프트가 자사 취약점 데이터베이스까지 침해당했다는 증거가 나온 것은 이번이 최초다. 로이터 통신의 단독 보도에 따르면, 최근 마이크로소프트 전 직원 5명이 마이크로소프트의 버그 저장소가 실제 침해됐었다고 인정했다.

[이미지=iclickart]


당시 공격자들이 데이터베이스에 패치 안 된 치명적인 취약점들이 있다는 사실을 발견하고 이에 접근했다면, 해당 데이터베이스 밖에도 다른 타깃들을 겨냥해 더 효과적이면서 위험한 공격을 펼칠 수 있었을 것으로 보인다. 예컨대, 2015년 모질라(mozilla)는 패치되지 않은 취약점 10개 때문에 해킹 공격에 당했으며 그 결과 파이어폭스 사용자에게도 공격이 가해졌다. 모질라는 이후 공격에 당했다는 사실을 대외에 알렸다.

그러나 마이크로소프트는 2013년 해킹 사건으로 자사 제품 사용자에게 실제 공격이 있었는지에 대해 밝히지 않았다. 마이크로소프트는 해킹이 버그 저장소에 영향을 미쳤는지조차도 확인해주지 않았다.

어제(17일), 마이크로소프트 대변인은 해외 보안 매체 다크리딩(Dark Reading)에 다음과 같이 이메일 성명서를 보냈다.

“2013년 2월, 마이크로소프트는 당시 다른 기업에서 발견된 것과 유사한 멀웨어가 마이크로소프트에서도 발견됐다고 언급한 바 있다. 해당 멀웨어는 마이크로소프트의 맥 사업부 컴퓨터를 포함한 적은 수의 컴퓨터에서 발견됐다. 자체 조사 결과, 정보가 유출됐거나 이후 공격에 사용됐다는 증거는 발견되지 않았다.”

2013년 2월 당시 마이크로소프트의 신뢰 플랫폼 보안(Trusted Platform Security) 총괄 매니저였던 맷 톰린슨(Matt Thomlinson)은 마이크로소프트 테크넷(Technet) 블로그를 통해 다음과 같이 말했다.

“페이스북과 애플이 보고한 것처럼, 마이크로소프트도 최근 유사한 보안 침해를 겪었다는 점을 사실로서 확인한다. 마이크로소프트의 보안 대응 수칙에 따라 초기의 정보 수집 단계에서는 성명서를 발표하지 않기로 결정했다. 조사하는 동안 마이크로소프트는 맥 사업부의 컴퓨터 몇 대를 포함한 소수의 컴퓨터가 악성 소프트웨어에 감염됐다는 사실을 발견했다. 이 악성 소프트웨어는 다른 기업에서 보고한 공격과 유사한 기술을 사용하고 있었다. 마이크로소프트는 고객정보가 공격받았다는 증거를 찾을 수 없었으며 지속적으로 조사를 이어갈 예정이다.”

로이터 통신에 따르면, 당시 공개된 버그들은 수개월에 걸쳐 패치됐다. 또한, 마이크로소프트 전 직원들은 “마이크로소프트가 공격에 당한 이후 보안을 강화했으며 취약점 데이터베이스를 회사 네트워크에서 분리시키고 접근 시 이중 인증을 요구하도록 바꿨다”고 밝혔다.

애플리케이션 보안 업체 베라코드(Veracode)의 리서치 부사장 크리스 엥(Chris Eng)은 “마이크로소프트가 합리적인 방식으로 침해에 대응한 것으로 보인다”고 말했다. “패치에 우선순위를 매기는 것에서나 유출된 취약점 정보를 이용한 공격이 실제 세계에서 일어나는지 모니터링 하는 것에서나” 그 대응이 합리적이었다는 것이다.

그러나 로이터 통신에 따르면, 전 직원 가운데 일부는 취약점이 정교한 공격에 사용됐는지 판단하는 데 마이크로소프트가 자동화한 사건 보고에 지나치게 의존했다고 본다.

엥은 마이크로소프트 해킹 사건을 미국 국가정보국(NSA) 해킹 사건에 비교하는 것에 주의해야 한다고 지적했다. NSA는 보유하고 있던 해킹 툴이 해킹 공격에 당해 유출된 뒤 올해 5월 워너크라이 랜섬웨어 사태에 이용되기도 했다.

“취약점 정보 도둑들을 NSA 해킹 툴 도둑들과 비교하는 건 완전히 다른 두 가지를 비교하겠다는 것과 같습니다.” 엥은 “이미 드러난 취약점 정보를 손에 넣는 것은 믿을 만하면서 효과가 좋은 익스플로잇을 손에 넣는 것과 다르다”면서 “공격자들은 어떤 버그가 실제 보안과 관련된 문제인지를 판단해야 하고, 어떤 버그가 공격에 활용될 수 있는지 알아내야 하며, 이를 위해 익스플로잇을 개발해야 한다”고 말했다. “각각의 단계마다 수개월이 걸리는 일이죠.”

그렇다 하더라도 취약점 데이터베이스나 버그 추적 시스템은 “고객정보를 보호하는 데 필수적”이라는 의견도 있다. 자산 및 패치 관리 업체 이반티(Ivanti)의 제품 매니저 크리스 괴틀(Chris Goettl)은 “이런 경우처럼 고객을 위험하게 만들 만한 정보가 시스템에 있다면, 추가적으로 보안 제어를 구축하거나 이에 대한 접근을 제한해야 할 것”이라고 조언했다.

괴틀은 “버그 추적 시스템의 데이터가 유출되는 건 매우 우려스럽다”고도 덧붙였다. “버그 시스템에는 개발자들이 문제를 샅샅이 분석해놓은 자료가 있을지도 모르고 나아가 이에 대한 해결책까지 제시돼있을지도 모릅니다. 이런 버그 시스템에 접근한다는 건 관련 시스템이나 애플리케이션을 어떻게 익스플로잇 할지에 대한 통찰력을 상당히 얻을 수 있다는 뜻입니다. 더 걱정되는 문제도 있습니다. 현재 지원되는 제품에서는 해결된 버그가 이전 버전의 제품에선 그대로 방치되는 경우입니다. 더 이상 제품이 지원되지 않기 때문에 해당 버그에 대한 패치도 나오지 않는 경우 말입니다.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)