세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
‘취약점 형평성 프로세스(VEP)’가 간과한 것들
  |  입력 : 2017-12-06 08:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
미국 행정부의 취약점 형평성 프로세스, 발전 보이나 충분치 않아
향후 보안 공학 작업은 포괄적·체계적·구조적인 방향으로 진화해야


[보안뉴스 오다인 기자] 11월 중순, 미국 백악관 사이버 보안 간사 롭 조이스(Rob Joyce)는 ‘취약점 형평성 프로세스(VEP: Vulnerability Equities Process)’에 대한 문서 한 꾸러미를 공개했다(보안뉴스 주: VEP란 미국 국가안보국(NSA) 등 정부기관이 소프트웨어 취약점을 발견한 경우 이를 어떻게 사용하고 공개할 것인지 관련 프로세스를 규정한 문서다. 셰도우 브로커스(Shadow Brokers)가 NSA 해킹 툴을 유출시킨 뒤, 전문가들은 미국 정부 측에 보안 취약점과 관련한 투명성을 높여야 한다고 주장해왔다).

[이미지=iclickart]


VEP와 관련해 조이스는 최근 백악관 블로그를 통해 아래와 같이 말했다.

미국 정부는 디지털 시스템 아키텍처의 회복 탄력성을 키워서 공격자들이 향후 사이버 공격에서 성공할 가능성을 낮춰야만 한다. 정부에 이중으로 책임을 부과하는 것은 가장 공격력이 큰 행위자들까지 단속하기 위함이다. 정부는 그런 자들을 포착하거나 잘잘못을 가려내고, 공격을 방해할 능력을 갖춰야 하는 동시에, 더 좋은 회복 탄력성과 더 튼튼한 디지털 인프라를 구축해야 한다. 국가 보호에 필요한 사이버 역량을 확보하고 유지하는 일은 정부의 필요와 의무 사이에 긴장을 생성한다. 여기서 정부의 필요란 사이버 공간 내 악성 행위자들을 사이버 익스플로잇을 이용해 추적하기 위한 필요를 말하며, 정부의 의무란 책임 있는 당사자들과 소프트웨어 및 하드웨어 취약점에 대한 지식을 공유해야 할 의무를 말한다. 점점 더 사이버 위협이 커지는 상황에서 정부는 공격자들을 효과적으로 잡아야 할 필요도 있지만, 디지털 인프라를 향상시키고 강화해야 할 사람들에게 관련 정보를 공유할 의무도 갖고 있기 때문이다.

미국 정부의 이 같은 판단은 올바른 방향으로 나아가는 귀한 발걸음으로 볼 수 있을뿐더러 지금까지 많은 사람들이 이를 현실화하기 위해 밤낮없이 일한 결과라고 할 수 있다. 그러나 정부의 노력이 충분했다고는 할 수 없다. 보안 산업 종사자들은 조이스가 언급한 중요한 목표들을 달성하기 위해 시급히 움직여야 한다고 촉구하는 중이다. 정부의 공격 및 방어 작전들로부터 수집한 지식을 국가 전체적인 방어력 향상을 위해 공유하는 것 말이다.

이는 미묘한 뉘앙스를 품은 비판이라고 볼 수 있다. 필자는 지금까지 이뤄진 것들에 대해 감사하게 생각하고 그것이 어려운 일이었다는 걸 잘 알고 있으며, 그걸 앞으로 더 발전시키는 건 훨씬 더 어렵다는 사실도 이해하고 있다. 그렇지만 이 일은 반드시 달성돼야만 한다.

이 사안의 핵심은 바로 보안 업계 종사자인 우리가 모든 것을 ‘취약점(vulnerability)’이라고 부르려는 경향이 있다는 점이다. 공격자들이 취약점을 섞어서 활용하고 또 다른 취약점들을 만들어내고 있으며, 컴퓨터 제어 권한을 얻고 사람들이 비밀번호를 유출하도록 속이기 위해 의도된 설계나 선택을 만든다는 건 잘 알려진 사실이다. 예컨대, 2013년 버전을 포함해 여러 버전의 파워포인트들 중에는 누군가 사진에 ‘마우스 포인터를 올리면’ 프로그램이 작동하도록 하는 기능이 있었다. 이 기능은 최신 윈도우즈 버전에서는 사라졌지만 맥 버전에선 여전히 남아있다. 이 같은 사례를 드는 이유는 어떤 회사들을 비판하기 위해서가 아니라 본 사안을 좀 더 상세하게 논의하기 위해서라는 점을 주지해주기 바란다.

앞서 언급한 부분은 취약점이 아니다. 원래부터 그렇게 설계된 하나의 기능이다. 사람들은 설계하고, 코드를 쓰고, 실험하고, 기록한 뒤, 세상으로 내보낸다. 그렇다면, 공격자는 이 제품에 UNC 경로를 ‘\\example.org\very\evil.exe’로 설정해둔 압축 파일 스크립트를 심어서 이를 ‘무기화’할 수 있을까? 이 질문에 대한 답은 잘 모르겠지만, 확실한 건 바로 조이스가 설명한 프로세스가 이런 문제들을 분명히 제외하고 있다는 점이다. 조이스는 백악관 블로그에서 다음과 같이 서술했다.

다음은 VEP의 일환으로 고려되지 않을 것이다:
- 편리성이나 이용성, 운영상의 탄력성을 추구하는 과정에서 구성이 잘못되거나 저급하게 구성돼 보안이 희생된 경우
- 기기 기능을 오용해서 비표준적인 운영을 하는 경우
- 엔지니어링 및 구성과 관련한 툴, 기술, 스크립트를 오용해서 범죄 용도로 기기 기능을 증감시키는 경우
- 기기나 시스템 설계 자체에 내재된 보안 기능이 없다는 사실이 명시돼 있거나 그런 사실을 발견한 경우


위와 같은 이슈들은 취약점과는 다르다. 이 가운데 어떤 것도 고쳐야 할 버그라곤 볼 수 없기 때문이다. 필자는 마이크로소프트 측과 이 기능의 남용에 대해서 언쟁을 벌인 담당자나 페이스북 측에 그들 시스템이 미국 대선 기간 동안 남용됐다고 설명하려고 애쓴 전달자에 대해 전혀 선망의 감정을 갖고 있지 않다. 이런 사람들이 얼마나 경험이 많든지 간에, 어느 회사에 소프트웨어를 변경하게끔 만드는 일은 힘든 싸움이다. 특히, 고객이나 수입이 그 소프트웨어와 직결돼 있다면 싸움은 더 힘들어진다. 필자 역시 윈도우즈 배송 버전에서 오토런(Autorun)을 패치하라고 요구한 적이 있었는데, 그 싸움은 쉽지 않았다.

그러나 조이스가 서술한 목표는 취약점들과 기능들 사이에 자연스런 경계를 설정해주는 것은 아니다. 만약 우리의 목표가 회복 탄력성이 더 좋은 시스템을 구축하는 것이라면, 우리는 이미 일어난 이슈들을 검토하고 이해하는 것에서부터 시작할 필요가 있다. 우리는 고치기 어렵다고 판단되는 선험적인 것들도 제외할 수는 없고, 서드파티가 고치기 어렵다고 판단한 것들을 내버려둬서도 안 된다.

VEP는 정부의 의무, 즉 소프트웨어와 하드웨어 취약점에 대한 지식 공유의 의무에 초점이 맞춰져야 한다. 그래서 책임 있는 당사자들이 디지털 인프라를 업그레이드하고, 확대되는 사이버 위협 속에서 더 튼튼하게 구축될 수 있도록 해야 한다. 아니다. 방금 이건 정부의 언어이지 필자의 언어가 아니었다. 다시 말해보겠다. 지식 공유의 과정 속에서 여러 가지 ‘결함(flaw)’들은 취약점으로 좁혀질 것이다.

동시에 보안 공학 작업들도 취약점 스캔이나 침투 테스트를 벗어나 좀 더 포괄적이고, 체계적이고, 구조적인 방향으로 변화할 필요가 있다. 우리는 보안 설계를 비롯해 더 안전한 언어의 사용, 더 나은 샌드박스, 더 나은 의존성 관리에 대해 생각해봐야 하고, 현재 구축되고 있는 시스템의 위협 모델에 대해 앞당겨 생각해봄으로써 향후 놀랄 일을 줄여야 한다.

이런 보안 공학 작업들은 결함의 수와 설계상 악용될 부분을 줄일 것이다. 그러나 여전히 영리한 공격자들이 나타날 것이고, 우리는 공격과 방어에서 얻은 지식들을 체계적인 방식으로 소프트웨어 엔지니어에게 전달해야 할 것이다. 미래의 위협 형평성 프로세스는 그 일환으로 수행될 것이다. 보안 업계 종사자들은 이의 실현을 더 이상 지체해서는 안 된다.

글 : 아담 쇼스택(Adam Shostack)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)