ÇâÈÄ º¸¾È °øÇÐ ÀÛ¾÷Àº Æ÷°ýÀû¡¤Ã¼°èÀû¡¤±¸Á¶ÀûÀÎ ¹æÇâÀ¸·Î ÁøÈÇؾß
[º¸¾È´º½º ¿À´ÙÀÎ ±âÀÚ] 11¿ù Áß¼ø, ¹Ì±¹ ¹é¾Ç°ü »çÀ̹ö º¸¾È °£»ç ·Ó Á¶À̽º(Rob Joyce)´Â ¡®Ãë¾àÁ¡ ÇüÆò¼º ÇÁ·Î¼¼½º(VEP: Vulnerability Equities Process)¡¯¿¡ ´ëÇÑ ¹®¼ ÇÑ ²Ù·¯¹Ì¸¦ °ø°³Çß´Ù(º¸¾È´º½º ÁÖ: VEP¶õ ¹Ì±¹ ±¹°¡¾Èº¸±¹(NSA) µî Á¤ºÎ±â°üÀÌ ¼ÒÇÁÆ®¿þ¾î Ãë¾àÁ¡À» ¹ß°ßÇÑ °æ¿ì À̸¦ ¾î¶»°Ô »ç¿ëÇÏ°í °ø°³ÇÒ °ÍÀÎÁö °ü·Ã ÇÁ·Î¼¼½º¸¦ ±ÔÁ¤ÇÑ ¹®¼´Ù. ¼Îµµ¿ì ºê·ÎÄ¿½º(Shadow Brokers)°¡ NSA ÇØÅ· ÅøÀ» À¯Ãâ½ÃŲ µÚ, Àü¹®°¡µéÀº ¹Ì±¹ Á¤ºÎ Ãø¿¡ º¸¾È Ãë¾àÁ¡°ú °ü·ÃÇÑ Åõ¸í¼ºÀ» ³ô¿©¾ß ÇÑ´Ù°í ÁÖÀåÇØ¿Ô´Ù).
[À̹ÌÁö=iclickart]
VEP¿Í °ü·ÃÇØ Á¶À̽º´Â ÃÖ±Ù ¹é¾Ç°ü ºí·Î±×¸¦ ÅëÇØ ¾Æ·¡¿Í °°ÀÌ ¸»Çß´Ù.
¹Ì±¹ Á¤ºÎ´Â µðÁöÅÐ ½Ã½ºÅÛ ¾ÆÅ°ÅØóÀÇ È¸º¹ ź·Â¼ºÀ» Å°¿ö¼ °ø°ÝÀÚµéÀÌ ÇâÈÄ »çÀ̹ö °ø°Ý¿¡¼ ¼º°øÇÒ °¡´É¼ºÀ» ³·Ãç¾ß¸¸ ÇÑ´Ù. Á¤ºÎ¿¡ ÀÌÁßÀ¸·Î Ã¥ÀÓÀ» ºÎ°úÇÏ´Â °ÍÀº °¡Àå °ø°Ý·ÂÀÌ Å« ÇàÀ§ÀÚµé±îÁö ´Ü¼ÓÇϱâ À§ÇÔÀÌ´Ù. Á¤ºÎ´Â ±×·± ÀÚµéÀ» Æ÷ÂøÇϰųª ÀßÀ߸øÀ» °¡·Á³»°í, °ø°ÝÀ» ¹æÇØÇÒ ´É·ÂÀ» °®Ãç¾ß ÇÏ´Â µ¿½Ã¿¡, ´õ ÁÁÀº ȸº¹ ź·Â¼º°ú ´õ Æ°Æ°ÇÑ µðÁöÅÐ ÀÎÇÁ¶ó¸¦ ±¸ÃàÇØ¾ß ÇÑ´Ù. ±¹°¡ º¸È£¿¡ ÇÊ¿äÇÑ »çÀ̹ö ¿ª·®À» È®º¸ÇÏ°í À¯ÁöÇÏ´Â ÀÏÀº Á¤ºÎÀÇ ÇÊ¿ä¿Í Àǹ« »çÀÌ¿¡ ±äÀåÀ» »ý¼ºÇÑ´Ù. ¿©±â¼ Á¤ºÎÀÇ ÇÊ¿ä¶õ »çÀ̹ö °ø°£ ³» ¾Ç¼º ÇàÀ§ÀÚµéÀ» »çÀ̹ö ÀͽºÇ÷ÎÀÕÀ» ÀÌ¿ëÇØ ÃßÀûÇϱâ À§ÇÑ Çʿ並 ¸»Çϸç, Á¤ºÎÀÇ Àǹ«¶õ Ã¥ÀÓ ÀÖ´Â ´ç»çÀÚµé°ú ¼ÒÇÁÆ®¿þ¾î ¹× Çϵå¿þ¾î Ãë¾àÁ¡¿¡ ´ëÇÑ Áö½ÄÀ» °øÀ¯ÇØ¾ß ÇÒ Àǹ«¸¦ ¸»ÇÑ´Ù. Á¡Á¡ ´õ »çÀ̹ö À§ÇùÀÌ Ä¿Áö´Â »óȲ¿¡¼ Á¤ºÎ´Â °ø°ÝÀÚµéÀ» È¿°úÀûÀ¸·Î Àâ¾Æ¾ß ÇÒ ÇÊ¿äµµ ÀÖÁö¸¸, µðÁöÅÐ ÀÎÇÁ¶ó¸¦ Çâ»ó½ÃÅ°°í °ÈÇØ¾ß ÇÒ »ç¶÷µé¿¡°Ô °ü·Ã Á¤º¸¸¦ °øÀ¯ÇÒ Àǹ«µµ °®°í Àֱ⠶§¹®ÀÌ´Ù.
¹Ì±¹ Á¤ºÎÀÇ ÀÌ °°Àº ÆÇ´ÜÀº ¿Ã¹Ù¸¥ ¹æÇâÀ¸·Î ³ª¾Æ°¡´Â ±ÍÇÑ ¹ß°ÉÀ½À¸·Î º¼ ¼ö ÀÖÀ»»Ó´õ·¯ Áö±Ý±îÁö ¸¹Àº »ç¶÷µéÀÌ À̸¦ Çö½ÇÈÇϱâ À§ÇØ ¹ã³·¾øÀÌ ÀÏÇÑ °á°ú¶ó°í ÇÒ ¼ö ÀÖ´Ù. ±×·¯³ª Á¤ºÎÀÇ ³ë·ÂÀÌ ÃæºÐÇß´Ù°í´Â ÇÒ ¼ö ¾ø´Ù. º¸¾È »ê¾÷ Á¾»çÀÚµéÀº Á¶À̽º°¡ ¾ð±ÞÇÑ Áß¿äÇÑ ¸ñÇ¥µéÀ» ´Þ¼ºÇϱâ À§ÇØ ½Ã±ÞÈ÷ ¿òÁ÷¿©¾ß ÇÑ´Ù°í Ã˱¸ÇÏ´Â ÁßÀÌ´Ù. Á¤ºÎÀÇ °ø°Ý ¹× ¹æ¾î ÀÛÀüµé·ÎºÎÅÍ ¼öÁýÇÑ Áö½ÄÀ» ±¹°¡ ÀüüÀûÀÎ ¹æ¾î·Â Çâ»óÀ» À§ÇØ °øÀ¯ÇÏ´Â °Í ¸»ÀÌ´Ù.
ÀÌ´Â ¹Ì¹¦ÇÑ ´µ¾Ó½º¸¦ Ç°Àº ºñÆÇÀ̶ó°í º¼ ¼ö ÀÖ´Ù. ÇÊÀÚ´Â Áö±Ý±îÁö ÀÌ·ïÁø °Íµé¿¡ ´ëÇØ °¨»çÇÏ°Ô »ý°¢ÇÏ°í ±×°ÍÀÌ ¾î·Á¿î ÀÏÀ̾ú´Ù´Â °É Àß ¾Ë°í ÀÖÀ¸¸ç, ±×°É ¾ÕÀ¸·Î ´õ ¹ßÀü½ÃÅ°´Â °Ç ÈξÀ ´õ ¾î·Æ´Ù´Â »ç½Çµµ ÀÌÇØÇÏ°í ÀÖ´Ù. ±×·¸Áö¸¸ ÀÌ ÀÏÀº ¹Ýµå½Ã ´Þ¼ºµÅ¾ß¸¸ ÇÑ´Ù.
ÀÌ »ç¾ÈÀÇ ÇÙ½ÉÀº ¹Ù·Î º¸¾È ¾÷°è Á¾»çÀÚÀÎ ¿ì¸®°¡ ¸ðµç °ÍÀ» ¡®Ãë¾àÁ¡(vulnerability)¡¯À̶ó°í ºÎ¸£·Á´Â °æÇâÀÌ ÀÖ´Ù´Â Á¡ÀÌ´Ù. °ø°ÝÀÚµéÀÌ Ãë¾àÁ¡À» ¼¯¾î¼ È°¿ëÇÏ°í ¶Ç ´Ù¸¥ Ãë¾àÁ¡µéÀ» ¸¸µé¾î³»°í ÀÖÀ¸¸ç, ÄÄÇ»ÅÍ Á¦¾î ±ÇÇÑÀ» ¾ò°í »ç¶÷µéÀÌ ºñ¹Ð¹øÈ£¸¦ À¯ÃâÇϵµ·Ï ¼ÓÀ̱â À§ÇØ ÀǵµµÈ ¼³°è³ª ¼±ÅÃÀ» ¸¸µç´Ù´Â °Ç Àß ¾Ë·ÁÁø »ç½ÇÀÌ´Ù. ¿¹ÄÁ´ë, 2013³â ¹öÀüÀ» Æ÷ÇÔÇØ ¿©·¯ ¹öÀüÀÇ ÆÄ¿öÆ÷ÀÎÆ®µé Áß¿¡´Â ´©±º°¡ »çÁø¿¡ ¡®¸¶¿ì½º Æ÷ÀÎÅ͸¦ ¿Ã¸®¸é¡¯ ÇÁ·Î±×·¥ÀÌ ÀÛµ¿Çϵµ·Ï ÇÏ´Â ±â´ÉÀÌ ÀÖ¾ú´Ù. ÀÌ ±â´ÉÀº ÃֽŠÀ©µµ¿ìÁî ¹öÀü¿¡¼´Â »ç¶óÁ³Áö¸¸ ¸Æ ¹öÀü¿¡¼± ¿©ÀüÈ÷ ³²¾ÆÀÖ´Ù. ÀÌ °°Àº »ç·Ê¸¦ µå´Â ÀÌÀ¯´Â ¾î¶² ȸ»çµéÀ» ºñÆÇÇϱâ À§Çؼ°¡ ¾Æ´Ï¶ó º» »ç¾ÈÀ» Á» ´õ »ó¼¼ÇÏ°Ô ³íÀÇÇϱâ À§Çؼ¶ó´Â Á¡À» ÁÖÁöÇØÁֱ⠹ٶõ´Ù.
¾Õ¼ ¾ð±ÞÇÑ ºÎºÐÀº Ãë¾àÁ¡ÀÌ ¾Æ´Ï´Ù. ¿ø·¡ºÎÅÍ ±×·¸°Ô ¼³°èµÈ ÇϳªÀÇ ±â´ÉÀÌ´Ù. »ç¶÷µéÀº ¼³°èÇÏ°í, Äڵ带 ¾²°í, ½ÇÇèÇÏ°í, ±â·ÏÇÑ µÚ, ¼¼»óÀ¸·Î ³»º¸³½´Ù. ±×·¸´Ù¸é, °ø°ÝÀÚ´Â ÀÌ Á¦Ç°¿¡ UNC °æ·Î¸¦ ¡®\\example.org\very\evil.exe¡¯·Î ¼³Á¤ÇصР¾ÐÃà ÆÄÀÏ ½ºÅ©¸³Æ®¸¦ ½É¾î¼ À̸¦ ¡®¹«±âÈ¡¯ÇÒ ¼ö ÀÖÀ»±î? ÀÌ Áú¹®¿¡ ´ëÇÑ ´äÀº Àß ¸ð¸£°ÚÁö¸¸, È®½ÇÇÑ °Ç ¹Ù·Î Á¶À̽º°¡ ¼³¸íÇÑ ÇÁ·Î¼¼½º°¡ ÀÌ·± ¹®Á¦µéÀ» ºÐ¸íÈ÷ Á¦¿ÜÇÏ°í ÀÖ´Ù´Â Á¡ÀÌ´Ù. Á¶À̽º´Â ¹é¾Ç°ü ºí·Î±×¿¡¼ ´ÙÀ½°ú °°ÀÌ ¼¼úÇß´Ù.
´ÙÀ½Àº VEPÀÇ ÀÏȯÀ¸·Î °í·ÁµÇÁö ¾ÊÀ» °ÍÀÌ´Ù:
- Æí¸®¼ºÀ̳ª À̿뼺, ¿î¿µ»óÀÇ Åº·Â¼ºÀ» Ãß±¸ÇÏ´Â °úÁ¤¿¡¼ ±¸¼ºÀÌ À߸øµÇ°Å³ª Àú±ÞÇÏ°Ô ±¸¼ºµÅ º¸¾ÈÀÌ Èñ»ýµÈ °æ¿ì
- ±â±â ±â´ÉÀ» ¿À¿ëÇؼ ºñÇ¥ÁØÀûÀÎ ¿î¿µÀ» ÇÏ´Â °æ¿ì
- ¿£Áö´Ï¾î¸µ ¹× ±¸¼º°ú °ü·ÃÇÑ Åø, ±â¼ú, ½ºÅ©¸³Æ®¸¦ ¿À¿ëÇؼ ¹üÁË ¿ëµµ·Î ±â±â ±â´ÉÀ» Áõ°¨½ÃÅ°´Â °æ¿ì
- ±â±â³ª ½Ã½ºÅÛ ¼³°è ÀÚü¿¡ ³»ÀçµÈ º¸¾È ±â´ÉÀÌ ¾ø´Ù´Â »ç½ÇÀÌ ¸í½ÃµÅ Àְųª ±×·± »ç½ÇÀ» ¹ß°ßÇÑ °æ¿ì
À§¿Í °°Àº À̽´µéÀº Ãë¾àÁ¡°ú´Â ´Ù¸£´Ù. ÀÌ °¡¿îµ¥ ¾î¶² °Íµµ °íÃÄ¾ß ÇÒ ¹ö±×¶ó°ï º¼ ¼ö ¾ø±â ¶§¹®ÀÌ´Ù. ÇÊÀÚ´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® Ãø°ú ÀÌ ±â´ÉÀÇ ³²¿ë¿¡ ´ëÇؼ ¾ðÀïÀ» ¹úÀÎ ´ã´çÀÚ³ª ÆäÀ̽ººÏ Ãø¿¡ ±×µé ½Ã½ºÅÛÀÌ ¹Ì±¹ ´ë¼± ±â°£ µ¿¾È ³²¿ëµÆ´Ù°í ¼³¸íÇÏ·Á°í ¾Ö¾´ Àü´ÞÀÚ¿¡ ´ëÇØ ÀüÇô ¼±¸ÁÀÇ °¨Á¤À» °®°í ÀÖÁö ¾Ê´Ù. ÀÌ·± »ç¶÷µéÀÌ ¾ó¸¶³ª °æÇèÀÌ ¸¹µçÁö °£¿¡, ¾î´À ȸ»ç¿¡ ¼ÒÇÁÆ®¿þ¾î¸¦ º¯°æÇÏ°Ô²û ¸¸µå´Â ÀÏÀº Èûµç ½Î¿òÀÌ´Ù. ƯÈ÷, °í°´À̳ª ¼öÀÔÀÌ ±× ¼ÒÇÁÆ®¿þ¾î¿Í Á÷°áµÅ ÀÖ´Ù¸é ½Î¿òÀº ´õ Èûµé¾îÁø´Ù. ÇÊÀÚ ¿ª½Ã À©µµ¿ìÁî ¹è¼Û ¹öÀü¿¡¼ ¿ÀÅä·±(Autorun)À» ÆÐÄ¡Ç϶ó°í ¿ä±¸ÇÑ ÀûÀÌ ÀÖ¾ú´Âµ¥, ±× ½Î¿òÀº ½±Áö ¾Ê¾Ò´Ù.
±×·¯³ª Á¶À̽º°¡ ¼¼úÇÑ ¸ñÇ¥´Â Ãë¾àÁ¡µé°ú ±â´Éµé »çÀÌ¿¡ ÀÚ¿¬½º·± °æ°è¸¦ ¼³Á¤ÇØÁÖ´Â °ÍÀº ¾Æ´Ï´Ù. ¸¸¾à ¿ì¸®ÀÇ ¸ñÇ¥°¡ ȸº¹ ź·Â¼ºÀÌ ´õ ÁÁÀº ½Ã½ºÅÛÀ» ±¸ÃàÇÏ´Â °ÍÀ̶ó¸é, ¿ì¸®´Â ÀÌ¹Ì ÀÏ¾î³ À̽´µéÀ» °ËÅäÇÏ°í ÀÌÇØÇÏ´Â °Í¿¡¼ºÎÅÍ ½ÃÀÛÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¿ì¸®´Â °íÄ¡±â ¾î·Æ´Ù°í ÆǴܵǴ ¼±ÇèÀûÀÎ °Íµéµµ Á¦¿ÜÇÒ ¼ö´Â ¾ø°í, ¼µåÆÄƼ°¡ °íÄ¡±â ¾î·Æ´Ù°í ÆÇ´ÜÇÑ °ÍµéÀ» ³»¹ö·ÁµÖ¼µµ ¾È µÈ´Ù.
VEP´Â Á¤ºÎÀÇ Àǹ«, Áï ¼ÒÇÁÆ®¿þ¾î¿Í Çϵå¿þ¾î Ãë¾àÁ¡¿¡ ´ëÇÑ Áö½Ä °øÀ¯ÀÇ Àǹ«¿¡ ÃÊÁ¡ÀÌ ¸ÂÃçÁ®¾ß ÇÑ´Ù. ±×·¡¼ Ã¥ÀÓ ÀÖ´Â ´ç»çÀÚµéÀÌ µðÁöÅÐ ÀÎÇÁ¶ó¸¦ ¾÷±×·¹À̵åÇÏ°í, È®´ëµÇ´Â »çÀ̹ö À§Çù ¼Ó¿¡¼ ´õ Æ°Æ°ÇÏ°Ô ±¸ÃàµÉ ¼ö ÀÖµµ·Ï ÇØ¾ß ÇÑ´Ù. ¾Æ´Ï´Ù. ¹æ±Ý ÀÌ°Ç Á¤ºÎÀÇ ¾ð¾îÀÌÁö ÇÊÀÚÀÇ ¾ð¾î°¡ ¾Æ´Ï¾ú´Ù. ´Ù½Ã ¸»Çغ¸°Ú´Ù. Áö½Ä °øÀ¯ÀÇ °úÁ¤ ¼Ó¿¡¼ ¿©·¯ °¡Áö ¡®°áÇÔ(flaw)¡¯µéÀº Ãë¾àÁ¡À¸·Î Á¼ÇôÁú °ÍÀÌ´Ù.
µ¿½Ã¿¡ º¸¾È °øÇÐ ÀÛ¾÷µéµµ Ãë¾àÁ¡ ½ºÄµÀ̳ª ħÅõ Å×½ºÆ®¸¦ ¹þ¾î³ª Á» ´õ Æ÷°ýÀûÀÌ°í, ü°èÀûÀÌ°í, ±¸Á¶ÀûÀÎ ¹æÇâÀ¸·Î º¯ÈÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¿ì¸®´Â º¸¾È ¼³°è¸¦ ºñ·ÔÇØ ´õ ¾ÈÀüÇÑ ¾ð¾îÀÇ »ç¿ë, ´õ ³ªÀº »÷µå¹Ú½º, ´õ ³ªÀº ÀÇÁ¸¼º °ü¸®¿¡ ´ëÇØ »ý°¢ÇغÁ¾ß ÇÏ°í, ÇöÀç ±¸ÃàµÇ°í ÀÖ´Â ½Ã½ºÅÛÀÇ À§Çù ¸ðµ¨¿¡ ´ëÇØ ¾Õ´ç°Ü »ý°¢Çغ½À¸·Î½á ÇâÈÄ ³î¶ö ÀÏÀ» ÁÙ¿©¾ß ÇÑ´Ù.
ÀÌ·± º¸¾È °øÇÐ ÀÛ¾÷µéÀº °áÇÔÀÇ ¼ö¿Í ¼³°è»ó ¾Ç¿ëµÉ ºÎºÐÀ» ÁÙÀÏ °ÍÀÌ´Ù. ±×·¯³ª ¿©ÀüÈ÷ ¿µ¸®ÇÑ °ø°ÝÀÚµéÀÌ ³ªÅ¸³¯ °ÍÀÌ°í, ¿ì¸®´Â °ø°Ý°ú ¹æ¾î¿¡¼ ¾òÀº Áö½ÄµéÀ» ü°èÀûÀÎ ¹æ½ÄÀ¸·Î ¼ÒÇÁÆ®¿þ¾î ¿£Áö´Ï¾î¿¡°Ô Àü´ÞÇØ¾ß ÇÒ °ÍÀÌ´Ù. ¹Ì·¡ÀÇ À§Çù ÇüÆò¼º ÇÁ·Î¼¼½º´Â ±× ÀÏȯÀ¸·Î ¼öÇàµÉ °ÍÀÌ´Ù. º¸¾È ¾÷°è Á¾»çÀÚµéÀº ÀÌÀÇ ½ÇÇöÀ» ´õ ÀÌ»ó ÁöüÇؼ´Â ¾È µÈ´Ù.
±Û : ¾Æ´ã ¼î½ºÅÃ(Adam Shostack)
[±¹Á¦ºÎ ¿À´ÙÀÎ ±âÀÚ(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>