제로데이 취약점이 아니라 n데이 취약점부터 해결해야

제로데이에 쏠리는 화려한 스포트라이트...진짜 위험한 건 n데이
ICS에 특히 위협적인 n데이 다수 존재...그러나 패치 관행 거의 없어

[보안뉴스 문가용 기자] 보안 커뮤니티에서 ‘제로데이’만큼 주목 받는 스타는 없다. 그만큼 ‘n데이 취약점’, 즉 이미 알려지고 공개된 취약점들은 무시 받는다. 실제 생활에서 우리에게 가장 큰 피해를 입히고, 그러므로 가장 큰 골칫거리가 되는 것은 n데이 취약점들인데 말이다.

[이미지 = iclickart]

제로데이 취약점은 소프트웨어를 만든 당사자 혹은 하드웨어를 개발한 회사조차도 모르고 있는 취약점들이다. 반대로 n데이 취약점은 세상 모두에게 널리 공개된 취약점으로, 그에 대한 패치는 있을 수도 있고 없을 수도 있다. 현재 이렇게 대중들에게 알려진 n데이 취약점은 셀 수 없이 많다. 이론상으로도 많고, CVE 저장소에도 많고, 실제 우리가 생활하는 사이버 공간에도 많다. 그게 문제다.

제로데이가 워낙 떠들썩하게 입소문을 타서 그렇지, 사실 우리에게 훨씬 더 많은 고통을 주는 건 이 n데이 취약점들이다. 우리가 아는 ICS, 한 번 공격당하면 사회 전체적인 피해가 일어날 것이 자명한 에너지 시설, 생산 시설, 교통 시스템의 ICS에 있는 것들도 거의 다 n데이 취약점들이다. 이 ICS를 만든 하드웨어나 펌웨어 개발자들은 이제 이 세상에 없거나, 생산 당시 보안 장치를 아무 것도 탑재하지 않아 이제 와서는 패치가 불가능하다. 패치가 가능한 경우라도, 시스템 가동을 멈추는 게 불가능해 눈 뜨고 지켜만 보고 있는 실정이다.

최근 필자는 ICS에 있는 n데이 취약점들을 1년 동안 조사하고 분석했다. 그 결과 취약점이 없는 ICS는 사실상 없다는 결론에 다다랐다. ‘우리는 괜찮다’고 생각하는 보안 담당자가 있다면 아마 보안을 잘 모르거나, 자기가 관리하는 시스템을 잘 이해하고 있지 못하는 상태일 것이다.

n데이 취약점과 제로데이 취약점
n데이 취약점들은 해커들에게 있어 깊은 동굴 속 귀한 광물들과 같다. 정석적으로는 해커들의 작업이 취약점 찾기부터 시작인데, 취약점들이 무수히 공개되어 있다는 건 그러한 작업 단계를 건너뛸 수 있다는 뜻이기 때문이다. 심지어 다크웹에 방문하면 특정 취약점들에 대한 익스플로잇 툴까지 살 수 있을 수도 있다. 구멍을 찾고, 그 구멍을 공략하는 법까지, 원래는 해커 자신이 해야 할 일인데, 널리 알려졌기 때문에 별다른 노력 없이 해결할 수 있다.

제로데이는 어떤가? 세상 그 누구도 모르는 것이기 때문에 존재여부도 확실치 않은 것을 스스로 찾아내야 하고, 그에 대한 공략법도 혼자서 해결해야 한다. 이 때문에 해커는 많은 시간과 돈을 투자할 수밖에 없게 된다. 그렇기 때문에 현대의 사이버 범죄자들은 제로데이 취약점에 큰 매력을 느끼지 못한다.

이는 그 모든 사이버 환경에도 적용되는 말이지만 특히 산업 현장과 ICS 장치들에 있어 더 큰 위협이 된다. 왜냐면 ICS는 널리 알려진 표준적인 컴퓨팅 환경과 사뭇 다르게 만들어졌기 때문이다. 패치나 업데이트는 표준 PC 및 컴퓨팅 환경을 전제로 하고 만들어진다. 그렇기에 ICS를 패치한다는 건 특수한 소프트웨어를 맞춤형으로 개조한다는 뜻이 될 때가 많다.

너무나 당연한 얘기지만 A라는 회사가 배포한 패치가 B라는 회사 제품에 들어맞는 경우는 거의 없다. 코드를 비슷하게 사용한 제품이라고 해도 마찬가지다. 어떤 ICS의 경우 세상에 단 하나밖에 없는 패치가 만들어져야 할 때도 있다는 뜻이다. 그러나 이러한 수고는 어지간해서는 하지 않으려고 하는 게 일반적이다.

또한 ICS는 굉장히 오래된 시스템들이다. 개발사들의 A/S 기간이 지나도 이미 한참 전에 지난 경우가 많다. 사장이 어려 번 바뀐 곳도 있을 정도다. 그러니 기업들 입장에서 새로운 패치를 개발하는 게 오히려 이상할 정도다. 기업은 새 제품을 내놓고, 그 제품에 대한 지원만 일정 기간 유지하는 게 보통이기 때문이다.

실제로 최근 발견된 ICS 멀웨어들
그렇기 때문에 우리는 지난 몇 년 간 ICS를 공략하는 여러 멀웨어들을 보아왔다.
1) 크래시오버라이드(CrashOverride) 혹은 인더스트로이어(Industroyer) : 2016년 12월, 우크라이나의 전력 시스템을 공격한 멀웨어로, CVE-2015-5374라는 n데이 취약점을 파고들었다.

2) 트리톤(TRITON) 혹은 햇맨(HatMan) : 2017년에 발견된 ICS 멀웨어로 슈나이더 일렉트릭(Schneider Electric)에서 만든 트리코넥스 세이프티 시스템(Triconex SIS)을 익스플로잇 했다.

3) 블랙에너지(BlackEnergy) : 특수한 종류의 HMI 애플리케이션들을 주로 노리는 멀웨어들로, 지멘스의 SIMATIC, GE의 CIMPLICITY, 어드밴텍(Advantech)의 웹액세스(WebAccess)가 주로 공략 당했다.

ICS 펌웨어에서 발견된 n데이 취약점들은 치명적인 결과를 일으킬 것들이 많고, 해커들에게 원격 제어를 허락하기도 한다. ICS를 제어한다는 건 시스템 전체를 마치 운영자처럼 마음대로 주무를 수 있다는 것으로, 위에 열거한 실제 멀웨어들 모두 이러한 기능을 가지고 있었다.

패치만이 답이 아니다
n데이 취약점을 해결한다는 건, 말처럼 쉬운 일이 아니다. 기술적인 제한 사항이 많기 때문이기도 하고, 패치가 제대로 전파되지 않는 공급망 때문이기도 하다. 하지만 할 수 있는 일이 아주 없는 건 아니다.

먼저는 이미 알려진 취약점들을, 사건이 터지거나 발견된 이후에 패치를 고려하는 방식은 더 이상 우리를 안전하게 지켜주지 못한다는 걸 인지해야 한다. 소프트웨어 방식의 펌웨어가 들어간 세상 모든 ICS에는 취약점이 존재한다. 그러므로 이미 있는 것을 찾아내서 패치해야 하지, 아무 일 없다고 가만히 있겠다는 건 n데이 취약점을 무시하거나 아예 안전 자체를 폄하하는 일이 된다.

그러니 ICS를 보유한 모든 조직들은 지금의 침입 방지 및 탐지 기술을 발휘해 미리 알려진 취약점들을 찾아내고, 이를 완화시켜야 한다. 패치가 없어서 당했다는 말은 아무 짝에도 소용이 없다. 이는 보안 담당자 혼자만이 할 수 있는 일은 아닐 것이다. 오래전에 ICS를 공급했던 제조사들도 동참해야 한다. 그것이 사이버전에 대비하는 올바른 자세일 것이다.

글 : 앙 추이(Ang Chui), Red Balloon Security
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)