솔라윈즈 공격자들이 MS 소스코드 열람했다는데, 안심해도 될까?

솔라윈즈 공격자들이 MS의 소스코드에 접근했다고 하는데, MS는 괜찮다고만 한다. MS의 소프트웨어를 매일처럼 사용하는 사람들 입장에서 정말 안심해도 되는 것일까? ‘MS 소스코드 불법 열람’이라는 현상이 가지고 있는 의미를 현 시점에서 짚어 본다.

[보안뉴스 문가용 기자] 마이크로소프트가 지난 주 “솔라윈즈(SolarWinds) 사태의 공격자들이 MS 내부의 소스코드에 접근했다”고 밝혔다. MS는 “열람만 가능했고, 조작이나 삭제는 불가능했기 때문에 안전하다”고 주장했지만, 이걸 곧이곧대로 받아들이기에는 의문이 남는다. 마이크로소프트의 소스코드를 공격자들이 열람했다는 건 어떤 의미를 가지고 있을까?

[이미지 = utoimage]

일단 MS의 소프트웨어의 소스코드를 누군가 불법적으로 열람했다는 사실 자체가 ‘안전’이라는 말과는 어울리지 않는다는 게 업계의 반응이다. MS의 소프트웨어는 전 세계에서 가장 널리 사용되고 있기 때문이며, 거의 모든 기업에서 한 가지 이상의 MS 소프트웨어를 사용 중에 있다. 현재 사이버 공격자들이 가장 많이 공격하는 것이 MS 오피스 365이기도 하다.

보안 업체 렌디션 인포섹(Rendition Infosec)의 창립자인 제이크 윌리엄즈(Jake Williams)는 “그렇기 때문에 사용자 기업들로서는 ‘MS의 소스코드가 열람됐다’는 소식만으로도 충분히 두려워할 만하다”고 말한다. “이해는 갑니다만, 아직 패닉에 빠지기에는 이릅니다. 공격자들이 정확히 무엇을 보고 갔는지도 아직 불분명하거든요. 게다가 소스코드에 어마어마한 비밀이 숨어 있는 것도 아닙니다. 요즘은 오픈소스화가 대세라 개방된 개발 문화를 지향하고 있고, MS도 그런 문화를 가진 기업 중 하나입니다.”

물론 소스코드가 누구에게나 열려 있는 건 보안이라는 측면에 있어서 좋은 일은 아니다. 오픈소스가 대세라고 해서 IT 기업들이 자신들의 제품을 마구 공개하는 것도 아니다. “MS도 윈도 비스타를 개발할 때 안전한 소프트웨어 개발 수칙을 준수했어요. 그리고 그 코드를 오픈소스로 전환하지도 않았죠. 다만 언젠가 오픈소스로 공개할 수 있겠다는 생각을 가지고 개발을 완료하긴 했습니다. 내부적으로는 누구나 코드를 볼 수 있게 해 두었고요. 그렇기 때문에 MS의 코드를 단지 ‘볼 수 있다’는 것만으로 큰 보안 위협이 되는 건 아닙니다.”

그러나 이것은 어디까지나 ‘일반론’이다. MS의 소프트웨어가 전 세계적으로 누리는 인기라는 특수성을 감안해야 한다. MS의 소프트웨어는 가장 널리 사용되고 있고, 따라서 해커들도 끊임없이 연구한다. 지금 이 순간에도 누군가는 MS 소프트웨어를 리버스 엔지니어링 하면서 분석하고 있을 것이 분명할 정도다. 그렇기 때문에 단순 열람만으로도 누군가에게는 핵심적인 정보가 유출될 수 있다.

예를 들어 루트킷(rootkit)을 개발하고 있던 자들에게라면 소스코드 열람이 적절한 수준의 도움이 되었을 가능성인 높다. 물론 ‘어느 정도까지’ 열람이 되었느냐가 중요한데, MS는 이 부분에 있어서는 별 다른 내용을 공개하지 않고 있다. 또한 공격자들이 정확히 어떤 절차로 소스코드에 접근했는지도 아직 정확히 알 수 없는 상태다. 그렇기 때문에 보안 전문가들은 MS가 다음 몇 가지 질문들에 대한 답을 공개하기를 기대하고 있다.

1) 공격자들은 정확히 어떤 내용의 소스코드를 열람했는가?
2) 열람된 소스코드는 어디에 저장되어 있었는가?
3) 소스코드 변경 권한을 가지고 있던 계정에도 접근 시도가 있었는가?
이러한 질문에 대한 답에서부터 또 다른 공격 시나리오가 유추될 수 있다.

보안 업체 사이코드(Cycode)의 부회장인 앤드류 파이프(Andrew Fife)는 “MS의 소프트웨어가 아무리 오픈소스를 염두에 두고 개발되고 있고, 내부적으로 이미 열람이 가능한 상태로 유지된다고 해서 외부인의 열람 행위마저 안전하다고 볼 수는 없다”는 입장이다. “현대 애플리케이션 개발에는 마이크로서비스, 라이브러리, API, SDK 등이 동원됩니다. 주로 인증 과정을 거쳐야만 핵심 서비스를 가동시킬 수 있죠. 그래서 개발자들은 인증에 필요한 데이터를 소스코드 내부에 자주 저장합니다. ‘내부인만’ 볼 수 있다는 전제를 깔기 때문입니다. 이는 MS와 같은 개발 문화에 있어서 치명적인 단점으로 작용할 수 있습니다.”

그렇기 때문에 파이프는 MS의 발표 내용이 교묘하게 잘못되었다고 지적한다. “소스코드가 유출되었으나, 어차피 공개되다시피 한 것이라 괜찮다고 말할 게 아닙니다. 해당 소스코드에 인증 정보와 같은 기밀이 저장되어 있었는지를 알려줘야 합니다. 문제의 핵심을 교묘하게 피해가고 있다는 겁니다.” 그러면서 파이프는 “소스코드 열람이 리버스 엔지니어들에게 얼마나 큰 도움이 되는지 MS도 잘 알고 있을 것”이라고 덧붙이기도 했다.

물론 MS가 사건을 은폐하려거나 축소시키려고 발표를 그런 식으로 하지는 않았을 것이다. 아직 솔라윈즈 사태는 수사 중인 사건이고, MS 역시 조사를 이어가는 중이라 사건 전체를 명확하게 설명해 줄 정보가 부족할 수 있다. 윌리엄즈는 이런 상황에서 사용자 기업들이 해야 할 일은 “평소와 다름없이 보안 실천 사항을 지키고, 제로 트러스트 개념을 보다 강력하게 적용해야 한다”고 설명한다.

“네트워크와 로그인 행동들을 모니터링 하고, 수상한 행위들이 발견될 때마다 즉각 대응을 하셔야 합니다. 공급망 공격은 탐지가 매우 어렵지만, 보안의 기본적인 사항들을 잘 지키면 생각보다 대응이 잘 되기도 합니다. ‘침해지표에 위배되는 현상이 나타나면 대응하겠다’는 식의 마인드는 큰 도움이 되지 않습니다.”

3줄 요약
1. 솔라윈즈 공격자들의 MS 소스코드 열람, “MS는 괜찮다.”
2. MS로서는 늘 오픈소스를 염두에 두고 있기 때문에 정말로 괜찮을 수 있음.
3. 하지만 소스코드 내 어떤 정보가 있었는지 모르기 때문에 사용자들은 걱정할 수밖에 없음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)