보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

오래된 프로토콜 득실거리는 기업 환경, 공격자들은 즐거운 비명

  |  입력 : 2021-05-13 13:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
4년 전 워너크라이와 낫페트야가 SMB라는 오래된 프로토콜을 타고 번져 세계를 경악케 했다. 당시 기준으로도 SMB는 상당히 오래된 것이라는 지적이 나왔었다. 그런데 놀랍게도, 그 SMB나 그에 준하는 오래된 프로토콜들이 대다수 기업들의 망에서 발견되고 있다고 한다. 공격자들에게 쾌적한 환경이 늘상 제공되고 있는 셈이다.

[보안뉴스 문가용 기자] 기업 10곳 당 1곳에는 오래되어 취약한 프로토콜을 사용하는 장비가 존재한다는 연구 결과가 나왔다. 특히 MS의 SMB v1 프로토콜이 무시 못할 수준으로 사용되고 있다고 한다. 공격자들을 위한 침투 경로가 지천에 널려 있다는 것이다. 이와 관련된 현황을 보안 업체 엑스트라홉(ExtraHop)이 조사해 발표했다.

[이미지 = utoimage]


마이크로소프트의 SMB v1 프로토콜은 80년대에 개발되고 2013년에 폐지되었지만, 현재에도 88%의 환경에서 발견되고 있다. 엑스트라홉에 따르면 심지어 최소 100대 이상의 장비가 이 오래된 프로토콜로 연결되어 있는 조직이 전체의 1/3이나 된다고 한다. 비밀번호를 노출시키지 않고 전송하는 프로토콜인 NT LAN 매니저(NT LAN Manager) v1 역시 절반 이상의 환경에서 발견되었다. 이 중 19%가 NT LAN 매니저로 100대 이상의 장비를 연동시키고 있었다.

엑스트라홉의 생산 부문 수장인 테드 드릭스(Tedd Driggs)는 “이렇게 수명이 다한 프로토콜을 고집하는 건, 공격자들의 진입로를 그대로 방치하는 것과 같다”고 설명하며 “그런 프로토콜을 당장 새것으로 대체하지 못할 이유가 있다면 최소 그러한 장비들을 주요 망에서 분리하는 조치라도 취해야 한다”고 강조했다.

많은 조직들이 최근 몇 년 동안 취약한 프로토콜을 제거하려고 노력해 왔다. 인터넷에 연결된 시스템들만이라도 없애려는 움직임들이 지금도 진행되고 있다. 최근 보안 업체 라피드7(Rapid 7)이 조사했을 때, 인터넷에 연결된 포트들을 스캔했을 때 350개 기업들 중 8~9개만이 오래된 프로토콜을 사용하고 있는 것으로 나타나기도 했다.

“문제는 내부 망에서의 프로토콜들에는 상당히 무감각하다는 것이죠. 예를 들어 DNS를 사용하지 않는 호스트-IP 연결 프로토콜인 LLMNR의 경우, 공식 표준이 아니지만 사실상의 표준으로 불려도 될 만큼 흔하게 발견됩니다. 46%의 기업들이 최소 100대의 장비들을 한 망에 연결해서 사용하고 있기도 하고, 81%의 기업들은 아직도 크리덴셜을 평문으로 주고받습니다.”

드릭스는 “고급 해커들은, 그 누구도 다룰 수 없는 고급 최신식 기술을 사용해서 고급 해커로 불리는 것이 아니”라고 강조한다. “오히려 반대죠. 그들이 ‘고급’인 이유는, 조직 내에서 가장 취약한 부분을 놀랍도록 잘 찾아내기 때문입니다. 그런 이들에게 오래된 프로토콜은 보너스와 같은 상금입니다. 워너크라이(WannaCry)와 낫페트야(NotPetya) 사건이 SMB와 같은 오래된 프로토콜 때문에 발생한 건데, 4년이 지난 지금도 여전히 SMB는 널리 사용되고 있습니다.”

엑스트라홉은 “기업 내부에서 어떤 프로토콜들이 실행되고 있는지 파악하고, 그에 대한 가시성을 확보하는 게 급선무”라고 말한다. 그리고 이런 노력이 온프레미스 네트워크를 넘어 클라우드 기반 네트워크에까지 적용되어야 한다고 한다. “몇 년 전 보안 업계에서는 ‘은둔의 IT(Shadow IT)’라는 게 큰 이슈였습니다. 숨어 있는 장비나 앱들 때문에 기업들이 공격에 당한다는 게 주요 맥락이었죠. 오래된 프로토콜도 그와 마찬가지라고 이해할 수 있습니다.”

드릭스는 “우리가 조사하나 것보다 현실은 더 어마어마할 수 있다”고 경고하기도 했다. “그래서 보안 전문가들이 보안의 첫 걸음으로 가시성을 짚는 겁니다. 보안 업체 하나가 전체 상황을 본다고 해봐야 얼마나 보겠습니까. 각자가 가시성을 확보하고, 그것들을 모아야 좀 더 전체에 가까운 그림을 확보할 수 있겠죠. 그 과정에 보안 인식도 제고될 수 있고요. 보안은 늘 인식의 전환과 제고부터 시작해야 합니다.”

또한 드릭스는 “이제 망분리도 기본 중 기본인 시대”라고 강조했다. “공격자들의 최초 침투에만 집중하는 보안은 한물갔습니다. 들어왔다는 걸 간주하고, 그 이후의 악성 행위를 어렵게 만들어야 하는 게 현 시대의 보안입니다. 망을 분리시키지 않는다는 건 공격자들에게 탄탄대로를 깔고 포장까지 해주는 것과 같습니다.”

3줄 요약
1. 기업들 대다수에서 취약하고 오래된 프로토콜이 사용되고 있음.
2. 게다가 이런 프로토콜이 망분리도 되지 않은 채 활용되는 경우가 많음.
3. 공격자들 입장에서는 깔끔하게 포장된 진입로가 다수 존재하는 것과 마찬가지.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북