취약성 연구가 벤더와 고객 모두에게 주는 이점

게시일: 2017-06-09 l 작성자: Trend Micro

이전에 확인되지 않았던 새로운 익스플로잇 ‘제로 데이 취약점’이 이제는 더 자주 출현하고 있습니다. 더 우려할 점은 가끔씩 해커들이 공격을 하기 전에는 이러한 결함이 발견되지 않을 수도 있다는 점 입니다.

Cybersecurity Ventures의 창립자이자 편집장인 스티븐 모건 (Steven Morgan)의 예측에 따르면 2015에 일주일에 1회 발생하던 제로 데이 익스플로잇 공격 빈도가 향후 4년 내에 하루에 1번으로 증가할 수 있다고 합니다.

사이버 공격의 증가는 새로운 일이 아닙니다. 이는 수년간 관측되었던 테크놀로지 산업계의 추세였습니다. 그러나 연구자들과 개발자들은 소프트웨어와 IT 시스템에 현존하는 익스플로잇 공격이 가능한 취약점들의 수를 줄이기 위해 꾸준히 노력해야 합니다.

흐름의 변화: 취약성 연구

취약성 연구는 사이버 보안 업계에 떠오르는 트렌드 입니다. 취약성 연구는 일반적으로 엔지니어링 팀을 대상으로 수행되며 공격, 침해 또는 기타 보안 사고에 잠재적으로 사용될 수 있는 소프트웨어의 결함 또는 문제점을 식별하기위한 고급 기술 사용을 감독합니다.

이러한 과정을 통해 제로 데이 위협 이나 다른 소프트웨어 문제점이 사이버 범죄자의 손에 넘어 가기 전에 더 빨리 확인 될 수 있다는 것을 의미합니다. 이러한 방식으로 새로운 취약점으로 인한 감염이 감소하고 해커가 사용할 수 있는 공격 경로가 감소합니다.

오르막 전투: 특별한 기술

“제로 데이 공격의 빈도수는 앞으로 4년 안에 하루에 한 번으로 증가할 수 있습니다.”

그러나 Dark Reading의 Rutrell Yasin 이 지적한 것처럼, 이러한 연구에 그냥 무작정 뛰어 들지는 않습니다. 취약점 및 보안 연구에는 특정 기술 및 기능이 필요합니다. 특히 현재처럼 위협 요소가 급변하는 상황에서 그러합니다.

“이 분야는 소프트웨어가 어떻게 고장 나거나 우회 될 수 있는지에 대한 선천적인 호기심을 가지고 있기 때문에 의도하지 않았던 일들을 할 수 있는 사람들에게 적합합니다” 라고 Yasin이 말했습니다.

더욱이, 연구원들은 “테크놀로지”에 몰두할 수 있어야 하며, 운영체제와 다른 시스템의 악의적 사용뿐만 아니라 서로 통합되는 방식에 높은 관심을 가지고 있어야 합니다.

정보 보안 전무가 Bruce Shneier는 “보안 엔지니어는 다른 엔지니어들과는 다르게 세상을 바라봐야 합니다. 보안 엔지니어들은 시스템이 어떻게 작동하는지에 초점을 맞추는 대신, 시스템이 어떻게 실패 하는지, 어떻게 실패 할 수 있는지, 그리고 그러한 실패를 예방하거나 방지하는 방법에 중점을 둡니다.” 라고 합니다.

Yasin은 최고의 연구원이란 자신을 무엇이든지 잘하는 팔방미인 이라고 간주함과 동시에 특출난 전문분야가 있는 사람이라고 말합니다. 이로써 연구원은 전문 스킬을 이용해 연구 전체에 사용할 뿐만 아니라 간과 되었을지도 모르는 취약성을 찾아냅니다.

동전의 양면과 이점

우리는 취약성 연구의 장점을 쉽게 찾을 수 있습니다. 공격의 빈도와 심각성이 지속적으로 증가함에 따라 취약성 연구를 통해 공격 대상의 범위를 줄일 수 있습니다. Morgan은 매년 111억 개의 새로운 코드 라인이 생겨나면서 익스플로잇 공격을 줄이려는 노력은 사용자, 코드 개발자 및 소프트웨어 공급 업체들에게 좋은 소식이라고 말했습니다.

위협 분석가 인 Weimin Wu에 따르면, 취약성 연구 결과를 활용함으로써 업체가 사용자를 위해 만드는 솔루션을 크게 개선 하고 최신 해킹 전술에 능동적으로 대처할 수 있습니다.

Wu는 또한 “취약성 연구를 통해 모든 업체가 익스플로잇 공격 환경을 예측할 수 있고 이에 따른 솔루션을 사전에 준비 할 수 있도록 합니다” 라고 말합니다.

결과적으로 이는 소프트웨어 시스템에 의존하여 중요 정보를 관리하고 업무상 중요한 작업을 수행하는 개인 고객 및 비즈니스 사용자를 보다 안전하게 보호하는데 도움이 됩니다.

White hats vs. black hats

더불어 연구원과 사용자 모두가 이러한 취약점이 White hats (올바른 사람)에게 먼저 발견되지 않는다면 Black hats (악당. 해커)들이 나타나 악의적인 목적으로 사용하게 될 가능성이 높아진다는 사실을 항상 명심해야 합니다.

또한 취약성 연구원이 하나의 소프트웨어 프로그램 내에서 악용 사례를 확인하기 위해 수행하는 작업은 유사한 코딩 및 기능을 사용하는 모든 다른 플랫폼에 도움이 될 것입니다. 이러한 노력들은 한가지 특정 프로그램에만 이득이 되는 것이 아닌, 전체 소프트웨어 산업에 이익을 가능성이 높으며, 같은 익스플로잇 실수가 반복적으로 발생하지 않도록 합니다.

취약성 연구원은 해커가 악용하기 전 익스플로잇을 발견하고자 노력합니다

Pwn2Own

그 중요성 덕분에 현재 취약성 연구는 더 큰 규모로 진행되고 있습니다. 이 중 하나는 트렌드마이크로의 Pwn2Own 이벤트 입니다. 이 이벤트는 연구원과 보안 전문가들을 한자리에 모아 가장 성공적인 익스플로잇 식별을 한 참가자에게 현금과 경품을 수여합니다.

올해는 2007년 첫 개최 이래로 맞이하는 Pwn2Own의 10주년 행사입니다. 첫 개최 이래, 새로운 분야의 연구를 포함시키면서 점점 그 규모가 커졌습니다. 올해는 1백만 달러 이상의 상금을 걸고 가상 머신 이스케이프 (Virtual Machine Escape), 웹 브라우저 및 플러그인, 기업 어플리케이션, 서버 측 로컬 에스컬레이션 등이 포함됩니다.

작년 이벤트에서는 다양한 취약점이 발견되었습니다. 해킹 팀이 취약점을 정확히 파악하면 경연 주최자는 세부 결과를 업체에 보내 데이터 보호를 향상시킬 수 있도록 했습니다.

트렌드마이크로의 노아 게이머 (Noah Gamer)는 2016년 블로그를 통해 “벤더들이 소프트웨어와 장치의 취약성에 대해 더 많이 알게 되면 사이버 보안을 강화할 수 있으며 이는 고객의 보호로 이어진다” 라고 밝혔습니다. “소비자와 기업 모두가 일상적으로 사용하는 프로그램에서 이러한 버그를 어떻게 피할 수 있을까요? 효과적인 사이버 보안 솔루션을 구현하는 것이 해법이 될 수 있습니다. 이러한 보안 솔루션에 투자함으로써 시스템을 보호하고 데이터를 해커로부터 지킬 수 있습니다.”

올해 행사는 유례없는 관심과 폭발적인 등록 인원 수로 인해 행사를 하루 더 늘려 총 3일의 행사 기간 동안 열렸습니다. 참가한 연구원들은 Microsoft Edge에서 Full virtual machine escape를 시도하고 Windows 커널을 조사하며 VMware Workstation 버퍼링을 검사하는 등 여러 가지 중요한 취약성 연구 프로젝트에 참여했습니다.

위협 환경이 지속적으로 확대됨에 따라 취약성 연구는 점점 더 중요한 프로세스로 자리 잡을 것입니다. 이러한 취약성 연구는 연구원, 벤더, 사용자에게 유용하다는 점을 잊지 마시길 바랍니다.

올해의 Pwn2Own과 경쟁 결과에 대해 더 자세히 알아 보시고 싶다면 오늘 바로 트렌드마이크로에 문의 하시기 바랍니다.


원문: How vulnerability research benefits both vendors and customers