Home > 전체기사
CIA 사건 후 재점화된 정부 보유 제로데이 취약점 문제
  |  입력 : 2017-03-13 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부들만 알고 있는 제로데이 취약점, 공개한다고 해도 이득 소소해
제로데이, 발견과 익스플로잇 어려워 일반 범죄자들은 알려진 취약점 연구


[보안뉴스 문가용 기자] 여러 정부기관들이 대중들에게 알리지 않고 몰래 취약점들을 비축해놓고 있는 게 생각보다 그리 치명적이거나 위험하지 않다는 연구 결과가 나와 주목을 받고 있다. 그 취약점들을 공개해 얻을 수 있는 공익이 너무 사소해, 차라리 숨겨놓고 정부가 활용하는 편이 전략적으로 훨씬 이득이라는 것이 주장의 골자였다. 해당 조사는 랜드코퍼레이션(RAND Corp.)가 실시했다.


랜드코퍼레이션은 특히 국가의 후원을 받고 있는 해커들이 즐겨 사용하는 제로데이 오류 200개 이상을 조사, 분석해 보고서를 발간했다. “정부기관 등이 취약점들을 비공개로 비축하는 것에 반대하는 사람들의 가장 주된 주장은 ‘적국의 첩보기관도 비슷한 지식을 가지고 있을 것이 분명하니 같은 공격을 받을 수 있는 민간인들에게 알려야 하지 않겠느냐’는 것입니다.” 랜드코퍼레이션의 설명이다.

최근 위키리크스를 통해 CIA의 멀웨어 데이터와 해킹 기술들이 만천하에 드러났다. 그러면서 ‘정부는 도대체 얼마나 많은 공격 기술을 보유하고 있는 것인가’하는 우려가 제기되었다. 심지어는 “미국의 민간 기업과 시민들이 당하는 사이버 공격에 미국 첩보기관들도 책임이 있다”는 주장도 나왔다.

하지만 랜드코퍼레이션은 “우리가 정부기관이 알고 있는 걸 적국도 알고 있을 거라는 전제가 크게 과장된 것”이라고 말한다. “제로데이 취약점은 긴 시간 동안 발견되지 않고, 고쳐지지 않은 채 남겨져 있는 게 보통입니다. 저희가 분석해본 결과 제로데이 취약점의 평균 수명은 6.9년인 것으로 나타났습니다. 일단 제로데이 취약점의 이러한 특성 상 모두가 다 알고 있을 거라는 추측은 앞뒤가 맞지 않습니다. 가능성이 0은 아니지만 무척 낮다고 볼 수 있죠.”

두 사람이 같은 제로데이 취약점을 발견할 가능성 자체가 굉장히 낮다면(랜드 측은 이것이 사실이라고 주장한다), ‘적 정부도 같은 공격을 가할 것’이라는 우려는 불식시킬 수 있다. 그리고 한 발 더 나아가 “공개한다고 해서 공공의 보안이 더 좋아진다고 볼 수도 없다”는 결론에도 도달할 수 있다.

“국방의 전략적인 측면에서 봤을 때 ‘우리가 가진 무기를 상대도 가지고 있다’는 전제가 성립한다면 당연히 그 무기에 대한 정보를 우리 국민들에게 공개해 방어를 더 튼튼히 하는 게 좋습니다. 하지만 그 전제가 성립하지 않는다면, 즉, 우리가 가진 무기를 상대가 가지고 있지 않을 가능성이 더 높다면, 괜시리 우리 무기를 공개해 그들의 방어력을 높여줄 이유가 없습니다.”

랜드코퍼레이션은 “취약점은 코드 변경(code churn) 행위 때문에 발견되는 것이 대부분”이라며 “코드 감사를 통해 발견되는 경우는 그 보다 훨씬 적다”고 설명한다. “많은 전문가들과 인터뷰를 진행했는데, 누군가 나만 아는 제로데이 취약점을 익스플로잇 했기 때문에 취약점의 수명이 끝나는 경우는 없다고 입을 모았습니다. 위키리크스 같은 곳이 대량으로 정보를 유출했어도 사실은 그 취약점들이 못 쓸 것이 되는 건 아닙니다.”

제로데이 취약점 발견이 워낙 어려우니, 일반적인 사이버 범죄자들과 해커들은 대부분 이미 알려진 취약점들을 공략하는 것에 더 시간을 투자한다. “제로데이 취약점을 발견하거나 익스플로잇 할 줄 아는 사람들은 정말 소수일 뿐입니다. 굉장한 실력을 요구하는 일이거든요. 제로데이를 공개한다고 해서 사이버 범죄자들의 공격을 효율적으로 막을 수 있는 게 아닙니다.”

그밖에 랜드코퍼레이션은 이번 연구를 통해 200개의 취약점들 중 40%가 아직도 ‘공식적으로는 밝혀지지 않은 것’임을 알아냈다고 밝혔다. 또한 제로데이 오류의 완전한 익스플로잇이 개발되는 데에 필요한 기간은 평균 22일이라고도 설명했다. 또한 전체 제로데이 취약점들 중 25%는 18개월 이내에 발견되지만 25%는 9년 이상 살아남는다고도 밝혔다. “하지만 제로데이의 여러 가지 특성과 수명은 그 어떤 연관성도 갖고 있지 않은 듯 합니다. 그게 굉장히 중요한 문제죠.”

랜드코퍼레이션의 보고서는 여기서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련
  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향