세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
의미 잃어가는 모의 해킹, 깊이를 추구해야 할 때
  |  입력 : 2017-02-15 16:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
모의 해킹을 통해서 본 기업 보안 능력의 실태는?
버그바운티와 결합했을 때 훨씬 더 깊이 있는 문제 분석 가능


[보안뉴스 홍나경 기자] 보안 점검과 모의 해킹 테스트를 거의 동의어로 취급하는 이들에게는 충격적일 만한 보고서가 나왔다. 보안 상태를 점검하기 위해 하는 모의 해킹이 사실상 큰 의미를 가지고 있지 않다는 내용을 담고 있다. 보안 전문업체인 래피드7(Rapid7)의 이 대담한 보고서 내용을 하나하나 살펴보았다.

1. 하면 뭐해, 모든 면에서 빵점인데
이 조사에 따르면 모의 해킹에 참여한 기업 중 3분의 2가 공격 탐지에 실패했다. 심지어 공격이 들어온 사실을 알아채지 못한 기업들이 그 중 절반이었다. 이는 매우 우려스러운 상황이 아닐 수 없다. 왜냐하면 모의 해킹은 실제 해킹 범죄보다 단 시간 내에 다량으로 시도되기 때문에 시끄럽고 눈에 잘 띄는 게 일반적이기 때문이다.

래피드7의 보안 연구 매니저인 토드 비어드즐리(Tod Beardsley)는 “모의 테스트는 10일 동안 진행되고 여기에 참여하는 전문가들은 자신들의 능력껏 공격을 빠르게 수 있습니다. 즉, 식구들이 얼마나 민감한지 보기 위해 낯선 사람을 집에 들여 놓고, 제한 시간 내에 아무거나 원하는 대로 부수라고 하는 것과 마찬가지죠. 하지만 3분의 1이나 되는 기업들이 자신들이 공격을 당하고 있다는 사실을 전혀 탐지하지 못했습니다. 낯선 사람이 집에서 난리를 치는데, 식구들은 계속 잠을 자고 있는 것입니다”라고 설명한다.

현실에서 일어나는 공격보다 훨씬 요란하고 눈에 잘 띄는 모의 공격에도 아무런 반응을 하지 않는다면, 실제 공격이 발생했을 때 어떻겠는가? “이러한 문제가 생기는 이유 중 하나는 기업들이 주로 이벤트 로그를 매일 주기적으로 살펴보지 않는데다가 살필 줄도 모르기 때문입니다. 또 자신들이 가진 보안 도구를 잘 사용할 줄 모르기도 하고요. 이건 사용자 인터페이스의 실패라고도 볼 수 있습니다.”

2. 새로운 대체자, 버그바운티
위에서 언급한 문제는 여러 가지로 해석될 수 있다. 1) 사용자들이 아직 모의 실험을 치룰 수준에 이르지 못했다는 것과 2) 실험이 현실을 반영하고 있지 않다는 것이다. 이런 틈새로 최근 버그바운티그 급부상하고 있다. 심지어 버그바운티와 연계된 침투 테스트가 더 각광받고 있기도 하다.

버그바운티 회사인 해커 원(HackerOne)의 공동설립자 알렉스 라이스(Alex Rice)는 버그바운티를 실시하고 있는 상당수의 기업들이 버그바운티 프로그램으로 발견한 취약점을 집중적으로 분석하기 위해 침투 테스트를 실시하는 추세라고 설명한다. “모의 해킹 전문가들도 이것 저것 취약점들 갯수만 늘여놓는 것보다 소수의 문제를 깊이 파고드는 걸 좋아합니다. 그런 편이 전문성 활용 면에서 더 의미가 있기도 하고요.”

래피드7의 모의 해킹 전문가들에 따르면 기업 내부 취약점을 찾는 것은 그리 어렵지 않다고 한다. 놀랍게도 테스트 진행시 클라이언트의 시스템에서 취약점을 찾을 수 있는 확률은 3분의 2나 되는 것으로 밝혀졌다. 그리고 이 중 67%는 잘못 설정된 클라이언트의 시스템 환경으로 인해 나타난 취약점이었다. 즉, 취약점 찾기 자체는 전혀 어려운 일이 아니라는 것이다. 문제는 ‘의미가 있는’ 취약점을 발견하는 것이라고 알렉스는 설명한다.

3. 어차피 발견되는 취약점들은 중복된다
연구원들이 발견한 버그들은 기존에도 발견되던 것으로 할당된 기본 IP 주소를 활용해 이용자의 브라우저를 통해 공유기에 접속하려 하는 크로스사이트 리퀘스트 포저리(Cross-Site Request Forgery, CSRF)가 22.7%, SMB 릴레이 공격(Server Message Block Relay Attack : 자신이 인증하고 싶은 목표물의 서버를 잠복하여 상대방이 네트워크에서 자신의 기기에 인증을 할 때 까지 기다렸다가 인증할 때 해당 내용을 가로채는 공격)이 20.3%, 웹사이트 관리자가 아닌 이가 웹 페이지에 악성 스크립트를 삽입할 수 있는 취약점인 크로스 사이트 스크립트(Cross-Site Scripting, XSS)는 18.8%, Broadcast Name Resolution이 14.8%이며 이외에도 SQL 주입공격(Structured Query Language Injection Attack), 디도스 공격 등이 있었다.

또한, 래피드7의 모의 해킹 팀은 한 의료 기업에서 진행했던 테스트를 통해 전혀 상관이 없는 것으로 보이는 웹 애플리케이션의 취약점을 통해서도 클라이언트 내부와 백 엔드 시스템을 공격할 수 있었다고 한다. 웹 애플리케이션에 존재하는 CSRF의 취약점을 통해서 서버에 계정을 만드는 식으로 공격을 시작할 수 있으며 그 뒤 XSS의 취약점을 사용하여 관리자의 세션토큰을 훔칠 수 있었다고. “웹 애플리케이션에 존재하는 인증관련 취약점을 찾고 이를 통해서 웹 서버의 운영체제에 접근 할 수 있었던 것입니다. 궁극적으로 서버와 내부 네트워크에 원격으로 침입할 수 있는 접근 권한을 얻을 수 있게 된 것이죠.”

비어즐리는 CSRF와 다른 취약점을 악용하여 내부 네트워크에 접근 할 수 있다는 사실에 놀랐다고 말하며 이렇게 상당한 양의 취약점을 모의 해킹테스트를 통해 찾을 수 있다는 것도 의외였다고 덧붙였다. “한 가지 문제를 깊게 파고들어 의미 있는 약점으로 만드는 것이 전문가들이 해야 할 일입니다. 그저 CSRF 취약점이 있고, XSS 취약점이 존재하니 고치십시오, 라고 말해주는 건 전문가의 책임이 아니죠.”
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



GDPR(유럽 개인정보보호법) 시행이 1년 앞으로 다가왔습니다. 여러분의 회사는 얼마나 준비를 하고 계신가요?
GDPR에 대한 모든 준비를 끝마쳤다
부족하지만 어느 정도 준비를 마쳤다
이대로는 어렵다. 전문가의 손길이 필요하다
전혀 준비가 안됐다. 차라리 유럽관련 사업을 접겠다
전혀 준비가 안됐다. GDPR 컨설팅 업체는 없는 건가?
GDPR이 뭐지? 잘 모른다
기타(댓글로)