해킹팀 유출 그 이후 ......

게시일: 2015-08-10 l 작성자: 한국트렌드마이크로

이태리 소재 해킹팀 정보 유출의 최대 피해자는 그간 이 회사의 제품을 사용해 온 정보기관으로 알려지고 있지만 다른 각도에서 보면 이제 한단계 격상된 보안 위협속에 살아가야하는 일반 인터넷 사용자라고 보는 것이 맞습니다.

이태리 해킹팀 말고도 이와 유사한 공격적 스파이행위 지원 툴킷 판매회사가 많지만 특히 이태리의 이 회사는 10여년에 걸쳐 고도의 기술과 대응력을 갖추고 까다로운 정보기관들의 높은 요구수준을 들어주고 내부적으로 연구해왔습니다. 그런데 그들의 모든 연구결과가 고스란히 일반 해커들의 수중에 들어가게 된 것입니다. 극단적인 비유를 들자면 소총으로 무장한 반군 게릴라들에게 미사일이 공짜로 제공됐다고 할 수 있습니다.

이번 해킹팀 정보유출을 통해서 우리는 그동안 언더그라운드에서만 알려졌던 소위 “취약점 거래 시장”이 존재하고 이 취약점을 신주단지 모시듯 해서 가공할 공격 수단에 사용하는 것을 알게 되었습니다. 특히 어도비사의 플래시 취약점 CVE-5119에 대해서는 근래 보기드문 매력적인 취약점이라고 스스로 평가하기도 했습니다.

우선 대외적으로 취약점의 존재 뿐 아니라 이를 이용한 악성코드의 제작기법과 파일럿 모델이 자세하게 공개됨으로서 프로그램을 배우는 사용자들이 혹시나 호기심에 빠질 유혹을 가지게 합니다. 필자는 이 시점에서 간단하게 대응 방안을 고민해보고 업계의 공동전선을 구상하고자 합니다.

첫째, 우선 기본적으로 대민 서비스용 정부 사이트의 웹보안에 대한 일제 점검이 필요한 때입니다.

이 취약점을 이용해서 만든 악성코드가 이미 여러곳의 웹사이트에 심어지기 시작했습니다. 일본, 대만 홍콩은 물론이고 우리나라에도 웹 서버 보안을 제대로 하지 않은 일부 웹사이트에 적용되고 있습니다.

얼마전에는 인도정부의 주요 중앙부처 홈페이지에 역시 이 취약점을 이용한 악성코드가 게재된 것이 당사의 클라우드 스캔에 의해 탐지되어 긴급하게 이를 막도록 신고하여 정상화시킨 적도 있습니다.

웹사이트 관리자는 별도의 보안 팀을 운영하지 않는 한 외부업체에서 한번 구축하고 나서 컨텐츠 업데이트가 주를 이루기 때문에 치밀하게 취약점 점검을 하거나 관리자가 모듈을 제때 패치하지 않을 경우 무방비 상태로 해킹에 노출되게 됩니다. 특히 정부 공공기관이나 협회의 경우 대민 서비스 차원의 정보제공에 치중하느라 내부의 보안 취약성에 대해서는 주의를 기울이기 어렵기 때문에 해커의 손쉬운 먹잇감이 됩니다.

둘째로 지적하고 싶은 것은 가장 취약한 플래시에 대한 홈페이지의 의존도가 높다는 것입니다. 홈페이지들이 내용 전달을 너무 비주얼에 의존하다보니 플래시를 과도하게 사용하는 경향이 있고 특히 뉴스 미디어나 포탈에서도 PC 기반의 브라우징에는 플래시를 아직도 사용하고 있습니다. IT 선진국의 민낯이 부끄러울 따름입니다.

이미 인터넷 서핑의 대세는 모바일이고 심지어 iOS에서는 지원도 하지 않는 플래시를 정부기관에서 웹페이지에 사용한다는 것은 “보안” 상 즉시 개선할 필요가 있습니다. 플래쉬 취약점은 올해 상반기에 이미 지난해 전체 숫자 70여개의 2배나 되어서 사실상 해커의 놀이터가 되었다고 해도 과언이 아닙니다.

셋째, 해킹팀의 내부 프로그램 소스와 자세한 매뉴얼의 유출로 이제 소규모 해커그룹이 쉽게 중무장할 수 있는 길이 열렸습니다. 공격 해커의 수준이 획기적으로 높아졌다는 것은 그만큼 방어를 하는 보안업체의 부담이 커졌다는 것을 의미합니다. 단순히 바이러스 패턴을 업데이트하고 과거의 악성코드를 찾아내는 툴을 갖추었다고 안이하게 대응하거나 혹은 해킹팀 유출의 반사이익을 얻거나 해서는 안될 것입니다. 이 부분은 국가적으로 컨트롤타워를 자처하는 곳에서 보안업체를 “국산”과 “외산”의 구분이 없이 긴밀한 협력체제를 어떻게 구축할지 고민해봐야 할 것입니다.

이제 보안업계는 이번 해킹팀 유출 사건을 계기로 한층 도약할 수 있는 길을 찾아야 합니다. 몇 년치 연구과제를 숙제로 부여 받은 셈입니다. 초유의 BIOS 해킹, TNI를 통한 무차별 살포, 탈옥되지 않은 아이폰 해킹 그리고 누워서 떡먹기가 되어 버린 안드로이드 해킹 등등 모든 보안업체가 모여 각자의 연구 성과를 공유하며 공동전선을 펴지 않으면 훨씬 업그레이드된 해커들의 다음 공격에 대응하기가 무척 어려워질 것입니다.