Home > 전체기사

2022년이 가고 2023년이 다가와도 사용자들은 전혀 변화가 없어

  |  입력 : 2022-12-28 15:24
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
제발 아무 거나 클릭하지 말라고 몇 십년을 말해도 사람들은 듣지 않는다는 하소연이 올해에도 나왔다. 수십 년째 피싱 공격은 최적의 공격 방법의 타이틀을 내려놓을 생각이 없다. 2022년에도 지속됐고 2023년에도 지속될 것이며, 앞으로 수십 년 동안 이어질 트렌드는 보안 조언을 도무지 듣지 않는 사람들이다.

[보안뉴스 문가용 기자] 2022년이 시작하면서 보안 업계는 악명 높은 취약점인 로그4셸(Log4Shell)을 찾아내 패치하느라 정신이 없었다. 로그4셸이 등장하면서 우리는 우리가 사용하는 소프트웨어들이 어떻게 얽혀 있으며, 그러므로 각 기업들이 어떤 소프트웨어 요소들을 가지고 있는지 스스로도 모르고 있다는 사실이 처절하게 드러났다. 이 상황은 아직도 이어지고 있으며, 인터넷에 연결된 앱이나 장비, 구성 요소들을 주기적으로 확인하는 절차나 체제가 전혀 없다는 것도 그때나 지금이나 변함이 없다.

[이미지 = utoimage]


구성 요소들에 대한 파악과 보완에 대한 노력이 없으니 어떻게 되었을까? 보안 업체 소나타입(Sonatype)의 CTO인 브라이언 폭스(Brian Fox)는 “원격 근무 체제가 유지되는 상황에서 기업은 애플리케이션들에 대한 통제력을 잃었고, 인터넷으로 구매를 하는 소비자들은 더 위험하게 되었으며, 사이버 공격자들은 더 활개를 치게 되었다”고 말한다. “예전에는 애플리케이션 구성 요소들에 대하여 집요하게 알 필요가 없었습니다. 모두가 안전하게 만들어진 환경으로 들어와 근무를 하고 집에 돌아갔으니까요. 외곽선만 잘 지키면 문제가 없었거든요.”

하지만 그 외곽선이 무용지물이 된 지금, 기업들은 애플리케이션의 구성 요소와 방식에 대해서 잘 알아야 할 수밖에 없게 됐다. 커다란 방어막이 없어졌으니 요소 하나하나를 보호해야 하는 상황이 된 것이다. 그러한 작업이 결코 쉬울 수 없다는 걸 적나라하게 드러낸 것이 로그4셸 사건이라고 볼 수 있다. 또한 그런 사건이 있었음에도 보안에 대한 기업들의 태도에는 실질적인 변화가 없다는 것도 올해 내내 드러났다.

소프트웨어 공급망, 도무지 해결되지 않는 구멍
2021년 소프트웨어 공급망 공격, 즉 표적이 되는 소프트웨어를 직접 공격하는 게 아니라 소프트웨어의 구성 요소들을 찾아내 침해하는 방식의 공격은 633%나 증가했다. 그럼에도 아직 기업들은 구성 요소들에 대한 기초적인 보안 점검을 하지 않는다. 특정 오픈소스에 취약점이 발견되었다는 경고가 떠도, 그 오픈소스가 회사 내 소프트웨어들 속에 석여 있는지 확인하고 패치하는 노력이 거의 없다는 것이다. 실제로 지난 3월 소나타입이 조사했을 때 기업들이 다운로드 받은 로그4j(Log4j) 요소들 중 41% 취약한 버전들이었다고 한다. 많은 기업들이 아직 오픈소스에 대한 점검을 하지 않는다는 것을 보여준다.

그러면서도 또 다른 한편으로는 계속해서 디지털 자산과 회사 디지털 인프라를 클라우드로 옮기고 있기도 하다. 웹 애플리케이션의 활용도도 높아지고 있으며, API의 사용 비율도 빠르게 늘어나는 중이다. 현재 한 기업이 사용하는 API의 수는 평균 1만 5600개라고 하며, API와 관련된 트래픽은 작년에 비해 4배 늘어났다고 한다.

보안 업체 아카마이(Akamai)의 보안 기술 및 전략 수석인 토니 로로(Tony Lauro)는 “이런 빠른 변화 때문에 사람의 실수가 일어날 가능성이 높아졌으며, 그런 실수를 활용하는 게 사이버 공격의 주요 전략이 되었다”고 말한다. “아무리 기술적으로 탄탄한 방어 시스템을 구축한다 하더라도 그 시스템을 이용하는 사람이 어느 한 순간 실수를 저지른다면 그 모든 기술력이 다 무용지물이 됩니다. 사이버 보안 사고가 자주 일어나는 게 순전히 기술적으로 해커들이 앞서 있어서 그런 게 아닙니다. 사람들의 실수를 공격자들이 잘 노리기 때문입니다.”

애플리케이션을 겨냥한 위협, 갈수록 증가
사이버 보안이라는 측면에서 지난 몇 년 동안 얼마나 발전이 없었는지를 가장 극명하게 드러내는 건 피싱 공격이다. 피싱 공격 수법의 역사는 이메일의 역사만큼이나 긴데, 아직도 사이버 공격의 대부분은 피싱 공격으로부터 비롯된다. 2022년에도 이메일 기반 피싱 공격에 당해 본 경험이 있는 기업들이 83%나 된다. 피싱에 한 번 당하면 피해자들은 크리덴셜을 잃고, 이를 통해 웹 애플리케이션과 클라우드 인프라에까지 공격자들이 접근하는 걸 허용하게 된다.

산탄데르은행의 사이버 보안 수석인 다니엘 커스버트(Daniel Cuthbert)는 “첨단 애플리케이션 보안 기술을 겹겹이 탑재하고 운영해도 누군가가 이 오래되고 간단한 피싱 공격 한 번 허용하는 것만으로 기업의 네트워크가 뚫린다”고 설명한다. “피해 예방 방법도 간단하죠. 아무 거나 클릭하지 않으면 됩니다. 제발 확인이 된 것, 신뢰할 수 있는 것만 클릭하라고 몇 십년을 얘기해도 사람들은 도무지 듣지를 않습니다. 우리가 지나치게 어려운 걸 요구하는 걸까요?”

피싱 공격을 자꾸만 허용하는 것만 문제가 되는 것도 아니다. 웹 애플리케이션 방화벽(WAF)를 활용하는 방법에도 문제가 있다. 올해만 해도 지난 5월과 12월 보안 전문가들이 WAF를 우회하여 악성 코드를 애플리케이션이나 데이터베이스에 심는 방법을 연구해 발표하기도 했었다. 12월의 연구에서는 보안 업체 클래로티(Claroty)가 AWS와 클라우드플레어의 WAF를 우회하는 데 성공하기도 했었다. 아카마이의 WAF 역시 같은 달 비슷한 공격에 취약함이 드러났다.

아카마이의 로로는 “기업들이 WAF의 사용 방법을 조금 더 전략적으로 가져갈 필요가 있다”고 강조한다. “WAF는 취약점은 알려졌는데 아직 패치가 나오기 직전인 상황에서 애플리케이션 침해 시도를 막는 데에 유용합니다. 하지만 어디까지나 임시 방편이지 패치를 대신하는 건 절대로 아닙니다. WAF가 있다고 해서 기본 보안 실천 사항들을 무시할 수 있는 것도 아니고요. 하지만 실제 현장에서 기업들 대다수는 WAF를 애플리케이션 보안의 처음이자 마지막이요 알파와 오메가인 것처럼 사용합니다.”

WAF를 보다 전략적으로 활용하려면 특정 취약점이 인터넷을 통해 어떻게, 어떤 목적으로 익스플로잇 될 수 있는지를 파악해야 한다고 로로는 강조한다. “익스플로잇에 대한 구체적인 지식을 가지고 있어야 WAF를 강력하게 활용할 수 있습니다. 맹목적으로, 그러므로 허술하게, 둘러 친 애플리케이션 방화벽을 공격자들이 뚫어내지 못할 거라고 기대하는 건 전략적이지 않습니다.”

미래의 애플리케이션 보안, 혁신이 필요하다
애플리케이션 보안을 강화하기 위해서는 가까운 미래에 소프트웨어 공급망과 구성 요소를 안전하게 지키는 방법이 등장해야 한다. 전에는 없었던 새로운, 혁신적인 방법이어야 한다. 물론 모든 문제를 한 방에 해결해 주는, 그런 류의 해결책이 될 수는 없을 것이다. 보편화 되는 데에도 시간이 걸릴 것이고 말이다. 그럼에도 그런 혁신을 기다릴 수밖에 없는 건 지금의 소프트웨어 개발, 유통, 공유, 폐기 체제로서는 공급망 공격에 대한 방어를 효과적으로 할 수 없기 때문이다.

이미 여러 가지 방법들이 시장에 하나 둘 모습을 드러내고 있다. 예를 들어 스코어카드(Scorecard)의 경우 개발자들에게 소프트웨어 구성 요소에 대한 정보를 제공하는데, 이것만 사용해도 꽤나 보안이 향상된다는 조사 결과가 나와 있다. 스코어카드는 소프트웨어 프로젝트의 특성 데이터를 확인한다. 소프트웨어 내에 포함되어 있는 바이너리 코드인지, 개발 워크플로우가 위험한지, 서명된 정식 출시판이 존재하는지 등이다. 이것만 확인하도록 해도 해당 프로젝트가 취약한지 안 한지를 78%의 정확도로 판단할 수 있게 된다고 오픈소프트웨어보안재단(OpenSSF)이 설명한다.

그 외에 시그스토어(Sigstore)라는 것도 있다. 모든 소프트웨어 구성 요소들이 서명을 받도록 하는 건데, 이 역시 공급망을 이해하고 안전하게 보호하는 데에 유용하다고 보안 업체 체인가드(Chainguard)의 수석 과학자 존 스피드 메이어스(John Speed Meyers)는 설명한다. “소프트웨어 공급망 침해를 막는 데에 있어 가장 보편화 되어야 할 기본은 ‘디지털 서명’입니다. 모든 구성 요소를 서명하고, 그 서명을 모든 개발자가 확인하도록 하면 공급망 침해 가능성을 낮출 수 있습니다. 공급망 침해의 피해 규모도 줄일 수 있고요.”

커스버트는 “기업의 경영진 차원에서도 할 일이 적지 않다”고 말한다. “경영진은 돈을 쓸 권한을 가진 사람들입니다. 이를 활용해 벤더사들이 자신의 제품을 강화하도록 유도해야 합니다. 보안에 문제가 없는 제품만 사겠다는 입장을 고수하는 사용자 기업들이 많아진다면 벤더사들도 변할 수밖에 없습니다.”

3줄 요약
1. 공급망 공격, 애플리케이션에 대한 커다란 위협으로 남아 있음.
2. 공급망 공격을 효과적으로 방어하려면 방어 체제 자체를 바꾸어야 함.
3. 하지만 보안을 최적화 하기 위한 노력은 발견하기 힘든 것이 현실.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)