[보안뉴스 문가용 기자] 정보보안의 본질은 끝도 없는 속도 경쟁이다. 조직 내 보안 팀은 구멍을 찾아 메우고, 공격자들은 구멍을 찾아 침투한다. 구멍, 즉 취약점을 누가 먼저 찾느냐가 이 다사다난한 정보보안 업계의 밑바탕에 설치된 발화점이자 뇌관이다. 그렇다면 취약점들에 대해 알면 알수록 조금이라도 유리한 고지에 설 수 있다는 뜻이 된다. 이번 주 보안 업계 최대의 여름 이벤트인 블랙햇에서도 다양한 취약점들에 대한 강연이 이어지는 것도, 보안뉴스에서 취약점 소식이 올라올 때 가장 반응이 좋은 것도 다 그런 이유 때문이다. 그래서 최근의 취약점 트렌드를 종합해 보았다.

▲ 저 높은 곳을 향하여 [이미지 = iclickart]

권한 상승을 유발시키는 취약점들
취약점 하나하나가 가진 위험성이란 기업마다 다르고 조직마다 다르며 등급 기준마다 다르다. 어떤 이는 외부 해커에게 처음 문을 열어주는 취약점이 가장 위험하다고 하고, 어떤 이는 특별한 공격 없어도 민감한 정보를 술술 흘리게 하는 구멍이 가장 치명적이라고 한다. 그러나 진짜 위험한 취약점은 권한을 상승시켜주는 취약점이다. 그 누구라도 높은 권한을 가져가는 순간 그 시스템이나 네트워크 내에서는 뭐든지 할 수 있는 신이 되기 때문이다. 권한 상승 취약점을 찾고 성공적으로 공략한 공격자들은 가만히 숨어서 정보를 야금야금 빼낼 수도 있고, 멀웨어 없이도 데이터를 삭제시킬 수 있으며, 랜섬웨어로 감염시키거나 SNS 및 은행 계정도 자기 것으로 만들 수 있다.

게다가 ‘권한을 상승시키는 취약점’이라고 해서 애플리케이션의 소스코드에서만 나오는 게 아니다. 차라리 그랬으면 다행일 것이다. 코딩 과정에서 발생한 실수로 인한 취약점은 쉽게 패치할 수 있으니까 말이다. 누군가 의도치 않은 사람의 권한을 상승시켜주는 문제는 시스템의 설계나 기본적인 구조의 결함에서부터 나올 때도 많고, 시스템을 잘 이해 못하는 책임자의 환경설정 실수 등에서 비롯되기도 한다. 기본 구조에서의 문제라면 처음부터 시스템을 완전히 갈아엎어야 한다는 것이고, 사람은 실수하던 버릇을 의외로 잘 못 고친다는 것을 생각해볼 때 권한 상승 취약점의 진정한 무서움을 이해할 수 있을 것이다.

블랙햇에서는 어떤 새 취약점 정보가 등장했을까? 보안 업체 가디코어(GuardiCore)의 부회장인 오프리 지브(Ofri Ziv)는 VM웨어 VIX API가 가지고 있는 설계 단계에서의 오류를 짚어냈다. 이 오류를 공략하면 공격자가 아주 먼 곳에서부터(원격에서) 최고 권한을 가져갈 수 있게 된다고 한다. 프랑스의 보안 전문가인 로맹 콜텔(Romain Coltel)과 이브 르 프로보스트(Yves Le Provost)는 WSUS 서버에서 취약점을 발견했다. 마찬가지로 높은 권한을 공격자에게 주는 취약점인데, 이 경우 망이 분리가 된 시스템도 공격할 수 있게 해준다고 한다.

그러나 권한을 상승시킨다는 측면에 있어서 가장 취약한 것은 뭐니 뭐니 해도 윈도우 파워쉘(PowerShell)만한 것이 없다. 파워쉘은 태스크를 자동화시켜주는 환경설정 프레임워크로서 사용자가 올바르게 사용하면 로컬에서나 원격에서나 명령어와 스크립트를 실행시켜 효과적으로 시스템을 통제할 수 있게 해준다. 문제는 이 편리함을 공격자도 누릴 수 있다는 것이다. 로컬과 원격에서 악성 명령어와 스크립트를 실행시킬 수 있게 해주는 게 바로 이 파워쉘이 될 수 있다. 게다가 파워쉘은 합법적인 툴이라 겉으로 보기엔 아무런 이상도 나타나지 않는다. 탐지하기에도 매우 까다롭다. 그래서 일부 전문가들은 파워쉘이란 것 자체가 취약점이라고 말하기도 한다. 최근 카스퍼스키는 현대의 사이버 공격들 중 70%가 파워쉘과 관련이 있다는 연구 결과를 발표하기도 했다. 게다가 파워쉘은 ‘파일이 없는 사이버 공격’을 가능케 해주는 도구이기도 하다. 이 파워쉘이야 말로 취약점이란 분야에서는 가장 큰 이슈일 수밖에 없다.

하드웨어와 플랫폼에 있는 취약점들
‘애플리케이션 경제’나 ‘소프트웨어 경제’와 같은 말이 등장하면서 앱이라는 것 자체에 대한 관심도 높아지고 있다. 여기서 나오는 보안 취약점에 관심이 쏠리는 것도 당연하고, 실제로 많은 보안 전문가들이 앱 보안에 집중하고 있다. 그런데 일부 전문가들 중 “오히려 하드웨어 취약점에 더 신경 써야 할 때가 바로 지금”이라고 주장하는 이들이 있다.

▲ 하드웨어 보안이 새롭게 부각되고 있다 [이미지 = iclickart]

하드웨어 취약점은 취약점의 항목들 중 꽤나 위험한 편에 속하는데, 그 이유는 위의 권한 상승 취약점과 비슷하다. 누구든 나쁜 의도를 가지고 ‘물리적 접근’에 성공하면 대부분의 인증 및 보호 장치도 높은 확률로 뚫어내거나 그에 준하는 효과를 가져갈 수 있기 때문이다. 극단적으로는 비밀번호를 풀 수 없게 잠금장치를 걸어놔도, 기기를 분해해서 데이터가 담겨 있는 부품을 빼 갈 수도 있다. 물론 모든 기기가 다 이런 류의 공격에 취약한 건 아니지만, 의외로 고도로 발전한 기술력이 이런 원시적인 방법에 뚫리는 경우가 많다. 아무리 업데이트를 부지런해 하고, 비밀번호를 1주일에 한 번씩 착실하게 바꿔도, 누군가의 망치나 드라이버로 모든 노력이 물거품이 될 수 있다는 것이다.

그렇기에 보안 업계에서도 오랫동안 하드웨어의 취약점을 연구한 전문가들이 존재해왔다. 그러나 앱이 중요해지는 최근 오히려 하드웨어 취약점 연구 분야가 다시 활성화 되고 있다. 이는 블랙햇에서도 그대로 나타났는데, 올해는 트랙 하나가 몽땅 이 ‘하드웨어 취약점’에 관한 것이기도 했다. 인텔의 연구원인 안나 트리칼리누(Anna Trikalinou)와 댄 레이크(Dan Lake)는 DIMM(dual inline memory module)의 설계 부분에서 취약점을 발견했다고 발표했다. 이 취약점을 악용하면 사실상 탐지가 불가능한 메모리 접근이 가능해진다. 또, 바텔 메모리얼 인스티튜트(Batelle Memorial Institute)라는 연구소의 크리스토퍼 도마스(Christopher Domas)가 발표한 연구결과도 눈여겨볼 만 했다. 크리스토퍼는 칩셋에서 발견한 취약점을 통해 X86 명령 집합을 전부 무력화시키는 방법에 대해 발표했다. 새로운 BIOS 및 UEFI에서의 오류에 관한 발표도 있었다.

이탈리아의 보안 전문가이자 교수인 스테파노 자네로(Stefano Zanero)는 “플랫폼이나 하드웨어의 보안 문제에 대해서 ‘안전하겠지’라고 넘겨짚던 오랜 보안 관습을 깨는 시도가 현재 많이 일어나고 있다”고 설명한다. “소프트웨어의 취약점은 점점 더 깨기가 어려워지고 있고, 그 공격방법도 날로 발전하는데, 하드웨어 단에서 일어나는 공격과 방어는 모두 기초적인 단계에 머물러 있습니다. 그만큼 아무도 신경을 안 쓴 분야라는 것이죠. 너무나 기초적인 부품들이자 요소들이라 오히려 아주 소수의 전문가만이 잘 알고 있는 그런 곳에서 연구가 이뤄지기 시작했습니다. 보안의 또 다른 구멍이 메워지고 있는 겁니다.”

결국 하드웨어에 대한 신뢰가 너무 높으면 보안에 좋지 않다는 결론이 내려진다. 블랙햇 관계자이자 보안 전문가인 다니엘 커스버트(Daniel Cuthbert)는 “가상화라는 유행이 하드웨어 보안을 부각시켰다”고 분석하기도 한다. “소프트웨어가 강력해지면서 하드웨어들이 점점 소프트웨어로 편입되고 있죠. 잊고 있었던 하드웨어들이 문득 생각이 난 겁니다. 게다가 소프트웨어화 되었으니 기존처럼 취약점 연구를 할 수 있게 되었고요. 그리고 이는 해커들에게도 똑같이 적용됩니다. 그들 역시 ‘하드웨어란 게 있었다’라는 걸 최근 깨닫고, 소프트웨어 공격하듯이 공격하며 연구하기 시작한 것입니다. 이 하드웨어란 것에 대해 양쪽의 관심사가 갑자기 엄청나게 높아졌어요.”

사이버와 물리가 만날 때 생기는 오류들
몇 년 전부터 보안 업계의 가장 꾸준한 관심사 중 하나는 사물인터넷이다. 이번 블랙햇에서도 여러 강사들이 등장해 자신의 상상력을 불태웠다. 사실 과거 몇 년 동안 사물인터넷이란 개념이 지나치게 소비된 느낌이 없지 않은데, 자네로 교수는 “올해야 말로 사물인터넷에 관한 연구다운 연구 결과물이 나왔다”고 설명한다. 물론 취약점에 관한 이야기다. “사실 과거에 사물인터넷 보안에 대해 이야기를 진행하면 대부분 ‘이 기기를 침해할 수 있느냐 없느냐’의 논쟁과 결과에서 끝났어요. 조금 더 나아가봐야 ‘침해당했을 때의 결과에 대한 예측’ 정도가 다뤄졌죠. 그런데 올해는 보안 전문가들이 좀 더 공격적으로 이 사물인터넷 기기들을 바라보기 시작했어요. 특히 사이버 공간과 물리 공간을 이어주는 다리로서 사물인터넷 기기들을 이해하기 시작하면서, ‘나라면 이걸 이렇게 이용할 거 같아’라는 관점과 상상력을 잔뜩 보여주었죠.”

▲ 가상과 물리의 경계가 흐려지고 있다 [이미지 = iclickart]

자네로 교수는 이 ‘이음새’로서 사물인터넷을 이해하기 시작하다는 게 의미심장한 전진이라고 설명한다. “그냥 신기한 기술이 아니라, 내가 살아가는 이 공간에까지 직접적인 영향을 줄 수 있는 IT 요소가 된 것입니다. 좀 더 피부에 가까운 존재가 되었고, 그러므로 더 절실하게 연구할 수밖에 없게 된 것입니다. 또한 소프트웨어가 물리 영역을 침투한다는 커다란 흐름에 대한 고찰로서도 필요한 고민이죠. 사물인터넷이란 분야에 있어서 보안인들이 본질에 한 걸음 더 다가간 게 올해라고 봅니다.”

물론 이러한 한 걸음을 이끈 건 – 보안 업계의 큰 걸음들이 대부분 그렇듯 – 대형 사고들이었다. 2015년 12월 우크라이나에서 발생한 대규모 정전사태가 사물인터넷의 취약점을 노린 사이버 공격자들의 짓인 것으로 밝혀졌고, 이때부터 보안 전문가들이 산업 통제 시스템과 스마트 그리드 등의 해킹에 관심을 갖게 되었다. 그 해에는 독일의 공장이 사이버 공격으로 인해 일부 물리적인 피해를 입기도 했고, 우크라이나는 다음 해에도 비슷한 정전사태를 겪었다. 사물인터넷은 점점 규모가 커져 스마트 빌딩, 스마트 도시 이야기가 나오고 있는데, 타이밍이 딱 겹쳤다. 지난 몇 년간 ‘사물인터넷’이란 개념이 식상할 정도로 소비된 것은 바로 이 기가막히게 들어맞은 타이밍 때문이기도 하다.

블랙햇에서는 어떤 이야기가 나왔을까? 2016년 후반 우크라이나의 전력망을 공격한 ICS의 취약점인 크래시 오버라이드(Crash Override)에 대한 분석 결과가 발표됐다. 자네로는 “사물인터넷 기기나 시스템에서 발견된 취약점 연구들은 마치 인류의 종말이 다가올 것만 같은 예상 시나리오들을 내놓는다”고 말한다. “물리적 피해가 발생하니 인명, 재산 등에서 큰 손해가 발생하니 어찌 보면 당연한 겁니다. 이번 블랙햇에서만 봐도 산업용 로봇 팔 해킹하기라는 세션이 있었죠. 그저 그 부품에 어떻게 침투하느냐를 보여준 것이 아니라, 로봇의 팔을 가져간 공격자가 어떤 일을 저지를 수 있고, 얼마큼의 피해가 발생할 수 있는지가 핵심이었습니다. 그것도 그냥 소설을 쓴 게 아니라 침투 방법과 탈취해 간 통제력을 기반으로 한 현실적인 내용을 담았습니다.”

물리 공간과 사이버 영역을 연결시키는 부분에서 발생하는 오류는 주로 두 단계로 활용된다고 자네로 교수는 설명한다. “기기 소프트웨어 내 네트워크 통신 부분의 취약점과 오류를 공격자들이 활용해 기기를 먼저 통째로 점령한 다음, 그 통제권을 바탕으로 물리 영역으로 영향력을 발휘하는 겁니다. 한 단계 더 나아간 공격자들은 센서의 취약점을 공격하거나 저준위(low level) 하드웨어 프로토콜을 공략해 사이버 공간으로 먼저 침투한 후 네트워크 깊숙한 곳까지 파고듭니다. 이 깊숙한 부분이란 다른 방법으로는 외부에서 들어갈 수 없는 곳을 말합니다.” 이는 보안 업체 라임즈 시큐리티(Limes Security)의 창립자인 토마스 브랜드스테터(Thomas Brandstetter)가 이번 블랙햇에서 강연한 내용이기도 하다. 브랜드스테터는 스마트 조명 시스템을 통해 기상천외한 공격 가능성을 선보였으며, 네트워크의 매우 깊은 부분에까지 도달하는 것을 시범으로 보였다.

참을 수 없는 보안의 불안함
최근에 부각되기 시작한 문제점이기도 한데, 보안 제품들이 가지고 있는 취약점도 매우 위험하게 작용할 수 있다. 그 이유에 대해서는 보안 업체인 세이프브리치(SafeBreach)의 부회장인 아밋 클레인(Amit Klein)이 블랙햇 강연을 통해 설명했다. “보안 제품들은 거의 대부분 OS 내에서 높은 권한을 가지고 있습니다. 관리자에 준할 때가 많고, 보호하는 영역이 넓으면 넓을수록 권한이 높아집니다. 또, 보안 전문가인 우리는 항상 ‘가시성’의 중요성을 외쳐왔죠? 그 가시성을 해커들이 거꾸로 이용하기 시작했습니다. 보안 솔루션만 자기 것으로 만들어 놓으면 네트워크 상황을 꿰뚫어볼 수 있다는 걸 안 것이죠. 또한 보안 솔루션들은 복잡한 논리 구조를 가지고 있고, 다양한 파일 포맷, 프로토콜, OS와의 호환성을 가집니다. 이런 복잡성 자체가 공격 면이 되기도 합니다.”

▲ 위협에 오히려 문을 열어준 꼴 [이미지 = iclickart]

작년 블랙햇에서는 보안 업체 엔실로(enSilo)의 연구원 두 명이 백신 엔진을 침투하는 법을 선보였다. 이들은 32비트 시스템과 64비트 시스템에서 ASLR 보호 장치를 우회하는 방법을 공개했는데, 올해는 클레인이 그와 비슷한 발표를 했다. 세이프브리치의 회사 동료인 이트직 코틀러(Itzik Kotler)와 함께였는데, 올해에는 클라우드를 기반으로 한 백신 및 안티멀웨어 메커니즘이 가지고 있는 취약점과 익스플로잇 기술을 상세히 드러냈다. “최신 백신 솔루션들은 대부분 클라우드에 시그니처나 첩보 데이터베이스를 두고, 그걸 바탕으로 로컬에서 작용합니다. 그러므로 로컬 시스템에서는 용량이나 컴퓨팅 파워를 적게 소모할 수 있죠. 그렇지만 반드시 클라우드와 통신을 해야만 제대로 작동하기도 합니다. 기기가 단단히 보호되어 있더라도 그 ‘통신의 필요성’을 파고들 수 있고, 통신 채널 하나만 침해해도 시스템을 장악하는 게 가능해집니다. 그리고 통신 채널 침해 방법은 다양합니다.”

또 다른 강연도 있었다. 머신 러닝 기술을 기반으로 한 보안 제품들이 가지고 있는 취약점에 대한 것이었는데, 아직은 현실로 드러나지 않은, ‘수학적 가능성’을 토대로 구성된 내용이었다. 조지아공과대학과 인텔이 함께 작년에 창립한 사물인터넷 취약점 분석 전문 기관인 ISTC-ARSA에서 나온 연구원들이 내용을 마련하고 강연을 진행했다. 이들은 AVPASS라는 툴까지 개발해 블랙햇에 나왔는데, 이 툴은 안드로이드용 안티멀웨어 탐지 모델을 모니터링 도구로 바꿔버리고 악성 앱의 APK를 조작해 탐지되지 않도록 하는 기능을 가지고 있다. 보안 업체 엔드게임(Endgame)의 데이터 과학 책임자 하이럼 앤더슨(Hyrum Anderson)도 비슷한 툴을 가지고 이번 블랙햇에 참여했다. “머신 러닝 모델에는 사각지대가 존재해요. 어떤 알고리즘이나 마찬가지죠. 사이버 범죄자들도 이미 이 사실을 깨닫고 악용하는 법을 연구하기 시작했어요. 조금의 데이터 과학만 추가하면 쉽게 익스플로잇이 해결되기도 하죠. 그래서 이번 블랙햇에서는 반대로 데이터 과학을 활용해 이를 더 어렵게 만드는 법에 대해 발표했습니다.” (이 주제의 상세 내용은 본지에서 별도로 기사화할 예정입니다.)

그밖에도 블랙햇에서는 머신 러닝과 인공지능에 대한 많은 강연들이 진행됐다. 공통적인 내용은 “머신 러닝이 만병통치약은 아니다”라는 것이다. 그러므로 머신 러닝을 지나치게 신뢰하는 것은 오히려 독이 된다는 게 보안 업계의 현재 시점까지의 결론이다. 구매자들 역시 머신 러닝이라는 말만 듣고 덥석 집어 드는 게 아니고, 판매자들 역시 판매만을 목적으로 머신 러닝이라는 표현을 마구 섞으면 안 된다는 지적이 주룰 이뤘다.

우리도 역으로 간다 : 공격 툴의 취약점
공격자들이 우리 보안 솔루션의 취약점을 노리고 공격하는 것처럼 우리도 역으로 그들의 공격 툴에 있는 취약점을 노릴 수 있다. 올해 블랙햇에도 이런 내용을 담은 강연이 하나 있었다. “우리만 실수하는 거 아닙니다. 공격자들도 사람이고, 실수를 해요. 그러므로 그들의 소프트웨어에도 취약점이 존재하죠. 게다가 공격자들이 최근에 자동화된 공격 툴을 사용하기 시작했는데요, 여기서 미숙한 점이 많이 드러납니다. 아직 설계와 코딩, 환경설정에서 부족한 점이 많습니다. 우리랑 상황이 완전히 같아요.” 보안 업체 옵티브 시큐리티(Optiv Security)의 존 벤투라(John Ventura)가 강연한 내용이다. “이러한 취약점을 이해하고 간파하면 방어하기가 더 수월해집니다.”

▲ 그래, 역으로…[이미지 = iclickart]

예를 들어 C&C 서버와의 통신 채널에 오류가 있는 공격 툴이라면 “보안 담당자가 거꾸로 악용해 그들의 원격 쉘(remote shell)을 훔쳐낼 수 있다.” 아니면 “공격이 실행될 때의 노이즈를 증폭시켜 탐지 시스템에 걸릴 수밖에 없도록 만드는 것도 가능”하다. “무엇보다 공격자들 사이에서 유행하는 소프트웨어의 취약점을 파악하면 오탐을 크게 줄일 수 있습니다.” 그러나 벤투라는 “이런 연구를 할 땐 조심해야 한다”고 경고한다. “분석 대상이 원래 공격을 목표로 하고 있고, 그런 기능에 충실한 툴들임을 기억해야 합니다. 조금이라도 해이해지면 우리가 우리 손으로 공격자들을 시스템에 초대한 것과 똑같은 효과를 낳을 수밖에 없습니다. 또한 그 어떤 소프트웨어라도 네트워크에 추가되는 순간 위협의 면적이 늘어나는 것과 같습니다. 침투 테스터들이 제대로 뒷정리를 하지 않아 백도어가 네트워크에 생성되고, 그걸 제3자가 발견해 공격이 시작된 예도 그 동안 많이 보아왔으니, 더 강조하지 않아도 될 것 같습니다.”
[국제부 문가용 기자(globoan@boannews.com)]