[어록위클리 8-3] “권한은 누구에게 있습니까? 당신?”

스팀 플랫폼, 클라이언트가 설치된 컴퓨터의 권한 임의로 올려
완벽하려고 애쓰기보다 급한 것 하나하나 찾아서 해결하는 것이 더 생산적

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 8월 셋째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는 업계 종사자들의 말을 간략하게 정리해 보았다.

[이미지 = iclickart]

사물인터넷
“사물인터넷 장비나 임베디드 기계들의 가장 무서운 점 중 하나는 소리소문 없이 우리 생활과 업무 환경 속에 들어온다는 겁니다.”
맥아피

“이번 실험을 통해 집중적으로 알아본 건 PTP라는 표준 프로토콜입니다. 다른 수많은 제조사의 카메라에서도 사용되고 있는 것에서 취약점이 발견된 것이라는 겁니다. 즉, 캐넌 외 다른 회사의 장비들에도 저희가 이번에 실험한 공격이 성립할 가능성이 높습니다.”
보안 업체 체크포인트(Check Point)

사물인터넷의 시대가 열려버렸다. 맥아피가 짚은 대로 소리소문 없이 생활과 업무의 영역으로 들어와 ‘편리’라는 모양으로 자리를 잡아버린 것이다. 높은 연결성이 주는 유연함과 편리함은 사용자들도 느낄 수 있고, 해커들도 느낄 수 있는 특징이다. 사물인터넷을 사물인터넷으로 아는 것부터가 방어의 기본이고, 필요할 때만 연결 기능을 사용하는 것이 그 다음 기본기이다.

권한에 대한 권한의 실종
“스팀은 그 자체로 게임이 아니라, 서드파티에서 만든 게임이 실행되게 해주는 플랫폼입니다. 중간 연계자이죠. 그런데 그런 중간 연계자가 조용히 시스템 권한을 상승시키고 있었다는 겁니다. 서드파티 게임사들을 위해서 말이죠. 게이머 혹은 사용자로서 당신은, 서드파티 게임사가 전부 정직할 것이라고 확신할 수 있나요? 누군가 게임사라는 이름만 걸고 악성 소프트웨어를 만든 후 스팀이 높여준 권한을 통해 당신의 시스템에서 이상한 짓을 하지 않을 거라는 걸 어떻게 확신하죠? 스팀에서 그렇게 자주 하는 ‘세일 패키지’ 행사에서 이상한 코드가 조금 섞여들지 않을 거라는 것도 분명합니까?”
보안 전문가 바실리 크라베츠(Vasily Kravets)

아마도 가장 유명하고 사용자가 많은 게임 유통 플랫폼인 스팀에서 권한과 관련된 취약점이 발견됐다. 스팀 클라이언트가 시스템 권한을 사용자에게 묻지도 않고 높여서 스팀을 통해 제공되는 게임들이 마음껏 실행될 수 있게 해준다는 것이었는데, 이게 참 뼈아픈 일이다. 이런 걸 조사할 능력이 되지 않는다면 내가 구매한 컴퓨터에 대한 권한이 온전히 내게 있지 않다는 뜻이 되니까 말이다. 제로트러스트(zero-trust)가 디폴트가 될 정도의 상황에서 초연결 사회의 진정한 권한은 해킹 기술인지도 모르겠다.

보안의 경제학
“‘출처 주소를 확인하기만 해도 큰 도움이 된다’고 네트워크 제공업자들에게 말하지만, 사실 그렇게 할 경우 경쟁자가 이득을 보게 되고, 따라서 해당 사업주들에게는 곤란한 선택지입니다. 즉 내가 내 네트워크를 깨끗하게 청소했는데, 이걸 통해 가장 먼저 이득을 보는 건 나와 경쟁하는 곳이라는 겁니다. 이러니 설득이 안 됩니다.”
폴 빅시(Paul Vixie)

“고객 편의성이 크게 떨어지고, 따라서 경쟁력이 악화된다는 단점이 있어 항공사들은 제대로 조치를 취하지 않고 있는 실정입니다.”
영국항공의 사건에 대한 영국 매체들의 반응

공익과 고객들을 위해 보안에 투자하는 것이 오히려 당장의 손해로 돌아올 수 있다. 라우팅 인프라를 깨끗하고 안전하게 관리하라고 네트워크 제공업자들을 아무리 설득해봐야, 그것이 경쟁사의 이득이 되는 구조 아래에서는 마이동풍만 될 뿐이다. 공항과 항공사의 시스템이 지나치게 편의 위주라고 비판을 해봐야 고객을 빼앗기기 싫은 그들의 사업적 마인드는 꿈쩍도 하지 않을 것이다. 이제는 보안이 중요하다고 말하는 걸 넘어, 보안으로 인해 손해가 발생하지 않는 방법을 제시하는 게 보안 산업의 몫이다.

멀웨어 시장
“시장에서 경쟁자가 될 만한 멀웨어들이 사라지거나 세력을 잃은 상태입니다. 아주 적절한 타이밍에 케르베로스가 등장한 것이죠. 그래서 적어도 1~2년 동안은 많은 사건에 등장할 것으로 보입니다.”
네덜란드의 보안 업체 쓰레트패브릭(ThreatFabric)

멀웨어라는 것도 이제 좀 더 큰 틀에서 작동하기 시작했다. 무슨 말이냐면, 단순히 멀웨어 자체의 기능과 이용성이 뛰어나다는 것만으로 히트작이 되기 힘들다는 것이다. 사이버 범죄 시장이 활성화되면서 출시 타이밍과 시장 분위기라는 외적 요소들도 멀웨어의 유행을 좌지우지하기 시작했다. 멀웨어의 기능만 보고 앞으로 더 큰 위협이 될지 말지를 예측하는 것이 불가능하게 되었다는 것. 그러므로 멀웨어 분석은, 다크웹 시장 분석까지도 아우르는 분야가 되고 있다.

방어의 전략
“지금 CVSS는 패치 전략의 디도스 공격과 같은 존재입니다.”
보안 업체 켄나 시큐리티(Kenna Security)의 수석 데이터 과학자인 마이클 로이트만(Michael Roytman)과 사이엔시아 인스티튜트(Cyentia Institute)의 제이 제이콥스(Jay Jacobs)

“완벽하려고 하는 것과 시급한 걸 제대로 판단해서 하나하나 해결하려고 하는 것에는 큰 차이가 있습니다. 둘 중 어떤 태도로 보안 전략을 적용하는지 생각해봐야 합니다.”
리스크 베이스드 시큐리티의 부회장인 잉가 고딘(Inga Goddijn)

“현재 북한의 사이버 공작 35건 조사 중이며 북한의 사이버 공격은 제재 위반 시도로 볼 수 있다.”
UN

방어를 위한 시스템이 여럿 갖춰져 있다. CVSS라는 점수 제도도 그 중 하나다. 그러나 영원히 효율적인 제도는 없다. 아니, 이론상 좋은 제도가 현실에서도 반드시 훌륭한 건 아니다. CVSS 점수가 취지와는 다르게 취약점 패치 전략을 세우는 데 있어 오히려 방해가 되고 있다는 지적이 이번 주 나왔다. 현실 가능성이라는 요소가 없기 때문이란다. UN의 경제 제재도 북한과 같은 나라를 억제하는 일종의 방어 시스템이지만, 사이버 시대에 들어서며 점점 더 무력한 장치가 되어가고 있다. 사이버 돈 벌이라는 현실을 막지 못해서다.

전통의 제도들이 하나 둘 허점을 드러내는 가운데 ‘처음부터 완벽하려고 해서는 어떤 일도 이뤄낼 수 없으니, 시급한 문제를 하나하나 정비해가는 것이 더 생산적인 태도’라는 잉가 고딘이 한 말이 큰 위로가 된다. 믿어왔던 것들이 낡은 것으로 변해가는 걸 보면서 실망할 이유가 없다. 하루하루 실패의 자리를 찾아내 보충하는 것만으로도 살아갈 의미가 충분하다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)