보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

항공계에 보잉이 있다면 보안 업계에는 이반티가 있다?

입력 : 2024-04-08 15:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
1월부터 4월 초까지 이반티의 보안 제품들에서 벌써 11개의 취약점이 나왔다. 그 중 다수가 초고위험도이기까지 하다. 보안을 위해 이반티 제품을 구입한 고객들 사이에서 불만이 나올 수밖에 없다.

[보안뉴스 문가용 기자] 이반티(Ivanti)의 CEO인 제프 애봇(Jeff Abbott)이 자사 보안 상태를 다시 점검하고 새롭게 하겠다고 발표했다. 최근 이반티 제품에서 연달아 심각한 취약점들이 발견되고 있기 때문이다. 애봇은 고객들에게 보내는 편지를 통해 “향후 수개월 내에 여러 가지 변경 사항들을 적용하여 보다 강력한 제품과 서비스를 제공할 것”이라고 다짐하기도 했다.

[이미지 = gettyimagesbank]


어지간히 바꾸지 않는다면...
“현재 저희는 사내 업무 처리 및 생산 과정들을 전부 재점검하고 있습니다. 모든 과정과 모든 제품을 객관적인 눈으로 바라보려 하고 있으며, 향후 더 나아진 서비스로 고객들을 보호하려 합니다. 최근 연속적으로 벌어진 사건들에 대하여 익히 알고 있으며, 이미 이러한 사건들을 통해 얻어낸 교훈들을 적용시키고 있습니다.” 애봇의 설명이다.

그러면서 소프트웨어 개발의 모든 과정에 보안이라는 요소를 삽입하고, 제품들에 새로운 격리 및 안티익스플로잇 기능을 탑재시켜 취약점 때문에 발생할 수 있는 영향을 최소화 하는 것을 이미 실천 중에 있다고 애봇은 강조했다. 또한 자체 취약점 발굴 및 관리 능력을 향상시키고 있으며, 외부에서 보안 취약점을 발견할 경우 지불하는 인센티브도 늘릴 것이라고 밝혔다. 고객들과의 취약점 관련 소통 방법도 개선시킬 전망이라고 덧붙였다.

하지만 이런 발표 내용으로 이반티에 대한 불만이 고조되고 있는 고객들의 마음을 얼마나 되돌릴 수 있을 것인지는 아직 알 수 없다. 게다가 발표가 있기 직전에는 이반티의 커넥트시큐어(Connect Secure)와 폴리시시큐어(Policy Secure) 기술에서 네 개의 새로운 취약점이 발견되기도 했었다. 참고로 이 네 개의 취약점은 전부 패치가 된 상황이다.

이 네 개의 취약점이 발견되기 약 2주 전에는 이반티의 스탠드얼론센트리(Standalone Sentry)와 뉴론(Neuron)에서 여러 개의 취약점들이 발견되기도 했었다. 올해 1월부터 4월 1주차까지 이반티 제품에서 발견된 취약점은 11개다. 대다수가 초고위험도로 분류됐고, 그 중 최소 2개가 제로데이인 것으로 파악되고 있다. 이미 공격자들이 대단위 익스플로잇을 일삼고 있는 취약점들도 여럿 있었다.

IANS리서치(IANS Research)의 제이크 윌리엄즈(Jake Williams)는 “최근 취약점이 자꾸만 발견되고 있는 것이 이반티 고객들에게는 큰 불안감의 근원이 될 것”이라는 의견이다. “포춘 500대 고객들 중 이반티 제품을 사용하는 회사들과 이야기를 나눠보면 현장에서 느껴지는 불안감이 상당한 것을 알 수 있습니다. 솔직히 말해 지금에서야 이반티가 보안 강화를 약속하겠다고 발표하는 것에 늦은 감이 있습니다. 최소 한 달 전에는 했었어야 합니다.”

4개의 새로운 취약점들
이번 주 이반티의 제품들에서 새롭게 등장한 취약점들 중에는 두 개의 힙 오버플로우 취약점들이 포함되어 있었다. 커넥트시큐어와 폴리시시큐어의 IPSec이라는 요소들 내에서 발견된 것들이었다. 둘 다 고위험군으로 분류됐다. 하나는 CVE-2024-21894이고 다른 하나는 CVE-2024-22053이었다. 전자는 임의의 코드를 실행할 수 있게 해 주고 후자는 시스템 메모리를 원격에서 읽을 수 있게 해 준다. 둘 중 어떤 것을 익스플로잇 하든 디도스 공격을 가능하게 한다.

나머지 두 개의 취약점은 CVE-2024-22052와 CVE-2024-22023으로, 중위험군으로 분류됐다. 익스플로잇에 성공할 경우 역시 디도스 공격을 실시할 수 있게 된다. 4월 2일 취약점에 대한 내용이 발표되기 전까지 그 어떤 실질적인 익스플로잇 행위도 발견된 적이 없었다는 게 그나마 다행이다.

이반티에 의하면 전 세계에 4만 개 이상의 기업 및 기관들이 이반티의 제품을 이용한다고 한다. 하지만 1월부터 위험한 취약점들이 말 그대로 쏟아지는 바람에 고객들의 불만이 넘쳐나고 있다. 레딧과 같은 주요 커뮤니티에서는 이반티 고객들의 불안감과 불만이 적극 성토되고 있다.

그래서일까. 최근 이반티의 고객사는 적잖게 줄어들었다. 2년 전 이반티는 포춘 100대 기업들 중 96개가 자신들의 고객이라고 자랑했었다. 하지만 가장 최근 발표된 바에 의하면 이 숫자는 85개로 줄었다. 포춘 100대 기업만 놓고 보면 12%가 하락한 것이다. 물론 이반티와 연을 끊은 회사들이 전부 취약점 때문에 그런 결정을 내린 것이라고 할 수는 없지만, 반대로 취약점 소식이 전혀 영향을 미치지 않았다고 말하기도 어렵다.

M&A가 문제?
옴디아(Omdia)의 분석가 에릭 파리조(Eric Parizo)는 최근 이반티에서 나타나는 일들은 그 동안 여러 M&A를 거치면서 축적됐던 문제들이 표출되는 것이라고 분석하고 있다. “M&A를 거치며 제품들이 여러 손을 거치게 되었어요. 처음 개발에 참여한 인원들이 바뀌고, 그러면서 원래 제품이 가지고 있던 목적이나 철학들에도 변동이 생겼겠지요. 그 제품들을 바라보는 기업의 시선도 바뀌었겠고요. 그러면서 전체적인 품질이 고르지 못하게 변질됐을 거라고 봅니다. 즉 어쩌면 이반티의 서비스들은 지금 본질적으로 프랑켄슈타인과 다름이 없을 수도 있다는 겁니다.”

파리조는 “그런 의미에서 이반티가 최근 약속한 보안 개선의 약속들은 올바른 방향성을 가지고 있다고 볼 수 있다”고 말한다. “특히 보안을 제품 개발의 모든 단계에 넣는 건, 불균형한 품질을 가지고 있는 제품을 향상시킬 수 있는 좋은 방법입니다. 제대로 실천하는 게 관건이긴 하겠지만요. 또한 고객과 서드파티 등 취약점을 발굴에 더 많은 사람들을 동원하려는 것도 좋은 생각입니다.”

3줄 요약
1. 이반티, 요즘 보안 업계의 보잉처럼 되어가고 있음.
2. 고객 불만도 폭주, 고객 이탈도 심상치 않음.
3. 그래서 이반티 CEO가 나서서 보안 강화를 약속했으나...

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)