세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
패치하느냐 마느냐 그것이 문제로다
  |  입력 : 2017-08-09 16:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
패치하자니 구식 소프트웨어 사용 연장시키는 셈이고
안 하자니 고객을 사이버 공격에 노출하는 꼴이고


[보안뉴스 오다인 기자] 보안 연구자가 마이크로소프트(MS) 시스템과 소프트웨어에서 취약점을 발견할 때마다 MS는 햄릿의 문제에 봉착한다. 죽느냐 사느냐가 아니라, 구식 소프트웨어와 최신 소프트웨어 가운데 무엇을 죽이고 무엇을 살리느냐의 문제다.

[이미지=iclickart]


구식 소프트웨어에 패치를 만들어 사용자가 그 소프트웨어를 계속 사용하게 만들 것인가? 아니면 새로운 소프트웨어가 업그레이드될 것이기 때문에 옛 버전의 취약점은 패치하지 않을 것인가? 후자의 경우, 사용자를 위험에 방치한다는 위험이 남는다.

지난 달 미국 블랙햇(Black Hat USA)과 데프콘(DEF CON) 행사에서 후자에 대한 논의가 있었다. 연구자들은 MS가 패치하지 않기로 결정한 보안 취약점들에 대해 발표했다. MS는 패치하지 않는 대신 사용자가 공격에서 자신의 시스템을 보호할 수 있는 대안들을 안내해왔다.

전통적으로 MS는 구식 기술에서 발견된 취약점들을 패치하지 않았다. 한 예를 보자. 2017년 6월 보안 업체 포티가드 랩(FortiGuard Labs)은 MS 윈도우 서버에서 WINS 서버의 원격 메모리 손상 취약점을 발견해 보고했다. 이 취약점은 잘못된 WINS 패킷을 취급할 때 원격 메모리 손상이 일어난다는 사실 때문에 나타난 것이었다.

WINS가 제공하는 기능은 나중에 DNS로 대체됐다. 때문에 MS는 취약점을 패치하는 대신 사용자에게 WINS를 떠나라고 촉구했다. MS는 패치가 “코드 전체를 완전히 다시 점검해야 하는 일”이라고 말했다.

보안 업체 리스크센스(RiskSense)의 수석 분석가 션 딜런(Sean Dillon)은 “WINS 취약점을 패치하지 않은 건 ‘너무 옛날 거라서 패치가 별 의미가 없다’는 판단이 컸다”고 말한다. 그러나 “WINS 취약점은 개발자 한 사람이 하루만 매달리면 해결할 수 있었던 일”이라고도 지적했다.

딜런은 “취약하다고 알려진 소프트웨어를 계속 파는 건 이유나 명분도 없는 일”이라고 말을 이었다. “(MS가) 여전히 같은 코드의 제품을 팔고 있다면 누군가는 사용하고 있다는 말입니다. (취약한 소프트웨어를) 고치거나 없애거나 둘 중 하나를 택해야 합니다.”

아주 드문 경우이긴 하지만 MS가 구식 시스템에 패치를 만든 경우도 있다. 워너크라이 랜섬웨어 공격이 발생한 이후 MS는 대규모 6월 보안 업데이트를 진행했다. 당시 업데이트엔 윈도우 XP 및 윈도우 서버에 대한 패치가 포함됐으며 윈도우, 오피스, 스카이프(Skype), 인터넷 익스플로러, 마이크로소프트 엣지에 대한 패치도 포함됐다.

그러나 최신 시스템의 보안 취약점이라도 패치가 나오지 않는 경우도 종종 있으며 이에 기업들이 잠재적인 위험에 처하기도 한다.

SMBLoris가 이런 경우에 해당한다. SMBLoris는 서버 메시지 블록(SMB) 파일 공유 프로토콜에 있는 취약점으로, SMBv1, SMBv2, SMBv3에 영향을 미칠뿐더러 리눅스 시스템에서 SMB가 운용되게 하는 삼바 리눅스 서버까지 영향을 미친다. 2000년 이후 출시된 윈도우의 모든 버전이 취약하다는 뜻이다.

SMBLoris를 사용하면 인증되지 않은 공격자가 SMB를 통해 원거리 기기에 연결될 수 있고, 그 연결을 RAM을 이용해 조작할 수 있다. 이런 발판을 통해 공격자는 한 대의 기기에 수천 개의 연결을 열어놓은 뒤 RAM을 소진시켜 결국 그 기기를 중단시킬 수도 있다.

SMBLoris는 딜런이 이터널블루(EternalBlue) 익스플로잇을 분석하다가 발견한 취약점이다. SMBLoris는 단 한 대의 기기로 윈도우 서버를 제압할 수 있는 취약점이라고 딜런은 설명했다. 이 취약점은 SMB가 작동하는 근원적인 방식에 기인하고 있으며 수많은 요소가 이 방식에 의존하고 있기 때문에 MS가 패치를 발행할 가능성은 없어 보인다.

딜런은 “패치하지 않겠다는 MS의 결정은 단지 오래된 기술에만 국한된 게 아니”라고 말한다. “SMBLoris는 SMB가 작동조차 되지 않는 버전들을 모두 공격할 수 있는 최신 윈도우 취약점입니다. 생산적인 윈도우 네트워크라면 적어도 몇 가지 버전의 SMB가 활성화 돼있을 것입니다. 공격하고 강탈하기에 딱 적절한 시기가 됐다는 말입니다.”

SMBLoris의 발견은 MS를 어려운 위치에 놓이게 만들었다고 크레이그 영(Craig Young)은 말한다. 영은 보안 업체 트립와이어(Tripwire)의 VERT(Vulnerability and Exposures Research Team)에 소속된 컴퓨터 보안 연구자다.

“인터넷 표준에 따르면 SMBv1은 오래된 프로토콜입니다. SMBv1을 패치하는 건 래거시 애플리케이션을 망가뜨릴지도 모른다는 위험을 감수한 채 코드를 다시 써야 하는, 그야말로 방대한 작업입니다. 그런 한편으로 윈도우의 가장 최신 버전까지 SMBv1이 기본으로 설정돼있기도 하죠.”

영은 여러 이해관계가 경합함에 따라 “섬세한 결정”이 요구될 것이라고 말한다. 그러나 궁극적으로 영은 MS가 SMBv1을 불구화 하는 게 맞다고 본다. SMBv1처럼 암호화나 서명 확인, 또는 기타 보안 장치들 없이 설계된 초기 프로토콜은 “최신 환경에서 사용되면 안 된다”는 것이다.

영은 MS가 윈도우 XP 같은 레거시 시스템을 계속 패치하면 안 된다고 주장하는데, 이는 철 지난 소프트웨어의 사용 기한을 늘리기 때문이다. 영은 지난 6월 패치의 경우, MS가 “정상 참작이 가능한 정황들로 인해 고객들을 도와야 했고, 나아가 (워너크라이) 감염이 만연한 상황에서 매스컴에 부정적으로 비치지 않기 위해 해당 패치를 발행할 수밖에 없었을 것”이라고 말했다.

보안 연구자가 취약점을 발견하면 MS 같은 업체에게 공지할 의무가 있다고 보안 업체 세이프브리치(SafeBreach)의 보안 연구자 도 아주리(Dor Azouri)는 말했다. 만약 패치가 만들어지지 않는다면, 영향을 받은 기업들은 취약점을 방어할 대안을 찾으려고 노력해야 한다고 아주리는 조언했다.

“대응은 수동적인 것부터 능동적인 것까지 다양할 수 있다”고 아주리는 설명한다. “수동적인 대응은 익스플로잇이 실제로 어떻게 사용됐는지 모니터링 하고 피해를 최소화하려는 관점에서만 행동하는 것을 의미합니다. 능동적인 접근법은 취약점이 있는 특정 기능이나 프로그램을 완전히 비활성화 하는 것 등을 포함할 수도 있죠.”

만약 영향이 있는 소프트웨어나 기능이 기업 운영에 핵심적인 부분일 때 능동적인 접근법을 택할 수는 없을 것이라고 그는 덧붙였다. 업체가 패치 발행을 결정하는 건 각 상황마다 달라진다. MS가 워너크라이 공격이 일어난 뒤인 6월 윈도우 XP를 패치하겠다고 결정한 데서도 알 수 있듯이 말이다.

“사람들이 소프트웨어에는 버그가 있기 마련이라고 생각하는 것과 별개로, 업체들이 버그를 다루는 방법은 저마다 다릅니다.” 아주리는 “보안 확인과 평가는 반드시 모든 이해관계자가 개입돼야 하는 지속적인 과정이어야만 한다”고 강조했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)