2019년, 해커가 휴대용 네트워크 장비를 배낭에 싣고, 페이스북 사내를 돌아다녀 많은 사람이 가짜 손님용 와이파이 네트워크에 접속하도록 속였다. 그해에 해커 조직은 더 심각한 해킹 공격을 숨기고자 실제 페이스북 제작 서버에 3만 개가 넘는 암호화폐 채굴 프로그램을 설치했다. 모두 매우 심각할 정도로 경각심을 불러일으킨 것은 해커가 페이스북 직원도 아니고, 해커가 공격을 개시하기 전 취약점을 감지하는 역할을 하는 이른바 레드팀 구성원도 아니라는 사실이었다.
테크 업계 대기업 대부분 실제 해커 조직처럼 잠재적인 공격 행위를 시작하는 데 도움이 될 음모와 계획을 세우는 내부 조직인 레드팀을 두고 있다. 그러나 전 세계가 원격 근무를 시행하고, 갈수록 모든 상호작용을 위해 페이스북과 같은 플랫폼에 의존하자 위협의 특성이 바뀌기 시작했다. 페이스북 레드팀 관리자인 낫 허쉬(Nat Hirsch)와 그의 동료인 블라드 이오네스쿠(Vlad Ionescu)는 임무를 발전시키고 이를 확장하기 위한 기회와 필요성을 발견했다. 따라서 허쉬와 이오네스쿠는 새로운 레드팀을 구성했다. 페이스북이 의존하지면서도 자체적으로 발전시키지는 않는 하드웨어와 소프트웨어를 평가하는 데 중점을 둔다. 새로운 레드팀은 레드팀 X라고 불린다.
일반적인 레드팀은 조직의 시스템과 제품의 취약점을 철저히 조사하며, 동시에 구글 프로젝트 제로(Project Zero)와 같은 최정예 버그 퇴치 조직은 취약점을 만든 대상이 누구인가를 떠나 중요하다고 생각하는 것은 모두 평가한다. 2020년 봄에 설립돼, 이오네스쿠가 이끄는 레드팀 X는 복합적인 접근 방식을 대표하면서 페이스북 내 원래 레드팀과는 독자적으로 활동하면서 취약점을 지니고 있을 때, 페이스북 자체 보안에 영향을 미칠 수 있는 외부 기업 제품을 면밀히 조사한다.
이오네스쿠는 “코로나19는 실제로 한 발 뒤로 물러나 그동안 실제 업무하는 방식과 작업이 진행되는 방식, 그리고 레드팀이 다음에 나아가야 할 사항 등을 평가할 수 있는 기회가 되었다”라고 말했다. 코로나19 시기가 더디게 흘러가면서 레드팀은 갈수록 기존 범위에 해당하지 않던 제품 조사 요청을 받게 되었다. 페이스북은 레드팀 X와 함께 외부 제품 조사를 위한 전문 인적, 물적 자원을 두고 있다. 이오네스쿠는 “이제 엔지니어가 찾아와 자신이 사용하는 제품을 살펴봐 달라고 요청한다. 엔지니어가 요청하는 제품은 하드웨어, 소프트웨어, 낮은 수준의 펌웨어, 클라우드 서비스, 소비자 기기, 네트워크 도구, 그리고 심지어 산업 제어 등 모든 종류의 테크 제품이다”라고 설명했다.
“레드팀 X의 임무 범위는 무엇이든 페이스북이라는 기업에 중대한 영향을 미칠 수 있는 문제라면 무엇이든 보안 문제를 면밀히 관찰하는 것이다.”
블라드 이오네스쿠, 페이스북
레드팀 X는 현재 문제를 면밀히 조사할 수 있는 광범위한 전문 능력을 지닌 하드웨어 및 소프트웨어 해커 6명을 두고 있다. 해커가 주어진 제품의 모든 측면을 생산하면서 지난 몇 달간의 복잡한 수준의 해킹 수준을 낮추는 것은 쉬울 것이다. 따라서 레드팀 X는 페이스북 직원이 “데이터는 강력한 암호화 수준과 함께 기기에 저장되는가?”, “클라우드에 엄격한 접근 제어 관리가 포함되었는가?”와 같은 특정 질문을 분명히 표현하도록 유도하는 요청 과정을 설계했다. 어떤 취약점이 페이스북에 가장 큰 골칫거리가 될 것인지 모든 것을 지시하는 것이다.
이오네스쿠는 “많은 사람에게 구체적인 요청을 받고, 요청에 따라 제품의 취약점을 면밀히 조사하는 일을 광적으로 즐긴다. 함께 일하는 팀원도 비슷한 성향을 지니고 있다. 따라서 구체적인 질문이 없다면, 6개월간 특정 요청사항을 찾아 나설 것이며, 이는 크게 유용하지 않다”라고 말했다.
[사진=Freepik]
1월 13일(현지 시각), 레드팀 X는 최초로 취약점을 대중에 공개했다. 레드팀 X가 공개한 사항은 이후 패치 작업이 된 시스코의 애니커넥트 VPN(AnyConnect VPN)이었다. 3월 18일(현지 시각), 레드팀 X는 두 가지 취약점을 추가로 공개했다. 하나는 아마존 웹 서비스에 파워셸 모듈(PowerShell module)이 포함된 아마존 웹 서비스 클라우드 버그이다. 파워셸은 명령을 실행할 수 있는 윈도 관리 도구이다. 레드팀 X는 파워셸 모듈이 입력값을 만들어서는 안 되는 사용자의 파워셸 스크립트를 받아들일 수 있다는 문제를 발견했다. 아마존 웹 서비스의 취약점은 악용되기 어렵다. 권한이 없는 스크립트는 시제로 시스템이 리부팅된 후에만 실행되기 때문이다. 일반 사용자는 이러한 문제를 일으킬 권한이 없다. 그러나 레드팀 X 연구팀은 어떤 사용자든 지원 티켓을 제출하면서 재부팅 요청을 할 수 있다는 사실을 지적했다. 아마존 웹 서비스 측은 파워셸 모듈의 취약점을 수정했다.
레드팀 X가 공개한 또 다른 취약점은 산업 제어 제조사 엘텍(Eltek)의 전력 시스템 컨트롤러인 스마트팩 R 컨트롤러(Smartpack R Controller)에 두 가지 취약점으로 구성됐다. 스마트팩 R 컨트롤러는 다른 전력 흐름을 감시하며, 기본적으로 운영 과정 뒤에 놓인 뇌와 같은 역할을 한다. 그리드와 발전기, 배터리 백업으로부터 선간 전압에 연결되었다면, 전압 저하나 정전 문제를 일으켜 시스템 전력을 배터리로 전환한다. 혹은 그리드가 정상적으로 제 기능을 할 때, 배터리 전력이 낮다는 사실을 감지하고 배터리를 충전할 수 있다.
이오네스쿠는 스마트팩 R 컨트롤러를 첨단화된 사물인터넷(IoT)용 이동식 콘센트라고 묘사하며, 실제로 인터넷에 연결되지는 않아도 기업 내부 네트워크를 통해 소통하면서 조직 인트라넷 검색을 통해 도달할 수 있다고 설명했다. 레드팀 X가 발견한 버그 모두 해커가 같은 네트워크에 악성 자바스크립트 페이로드를 실행해, 잠재적으로 컨트롤러를 조작하거나 파괴할 수 있는 웹 보호 과정에서 간과된 사항과 관련이 있다.
엘텍은 레드팀 X가 발견한 두 가지 결함 모두 패치 작업을 했으며, 버그 발견은 레드팀 X 프로젝트의 다양성을 부각시킨다. 네트워크가 설정된 전력 시스템 컨트롤러는 페이스북과 같은 웹 기업과 직접적인 관계가 없는 것처럼 보이는 특수 산업 기반시설처럼 보인다. 그러나 전력 시스템 컨트롤러와 같은 기기는 갈수록 전 세계의 사무실, 그리고 거주 건물에도 보편화되고 있다.
레드팀 X이 급부상한 것은 특히 2020년 12월, 러시아 정부 지원을 받는 해커 조직의 소행으로 의심되는 미국 IT 관리 기업 솔라윈즈 네트워크를 무력화한 해킹 공격이 드러난 것을 고려하면, 적절한 시기에 등장한 듯하다. 솔라윈즈 해커 조직은 솔라윈즈의 오리온 네트워크 감시 도구 업데이트를 감염시키면서 미국 및 해외의 공격 대상 수백 곳을 공격하고자 솔라윈즈의 위치를 악용했다. 테크 업계의 상호연결된 생태계에 막대한 피해를 주는 이른바 ‘공격망 공격’은 완벽히 방어하기 어렵다. 따라서 보안 업계가 다루기 가장 어려운 문제 중 하나로 언급된다.
이오네스쿠는 “레드팀 X의 임무는 페이스북의 공급망을 직접 안전하게 보호하기 위해 이야기를 하는 것이다. 레드팀 X의 임무 범위는 무엇이든 페이스북이라는 기업에 중대한 영향을 미칠 수 있는 문제라면 무엇이든 보안 문제를 면밀히 관찰하는 것이다”라고 말했다.
레드팀 X는 자체적으로 조사하는 잠재적 취약점의 범위뿐만 아니라 그 존재 자체도 주목한다. 3월 17일(현지 시각), 보안 컨퍼런스 그림콘(GrimmCon)에서 기업 레드팀 구축의 기본을 주제로 연설한 오랫동안 기업 레드팀을 이끈 세드릭 오웬스(Cedric Owens)는 보안팀이 필요한 인력을 확보하는 것이 어려울 수 있다는 점을 강조했다.
오웬스는 “기업 내부 레드팀 대부분 시간과 자원, 혹은 제로데이 취약점을 주기적으로 없애기 위한 기술이 부족하다. 따라서 레드팀 X와 같은 자매팀을 두는 것이 일반 레드팀이 제로데이 취약점 악용 능력과 관련, 높은 수준의 적수를 막고자 할 때 도움이 될 것이다. 그러나 일반적으로 상위 1% 기업만이 레드팀의 자매팀을 두고 있다”라고 말했다.
레드팀 X의 모델이 곧 여러 기업에 보편화되지는 않을 것으로 보이지만, 상위 1% 기업이 레드팀 X와 같은 메커니즘을 위한 자금을 지원하는 것이 중요하다. 사용자 28억 명이 페이스북에 의존해, 데이터와 커뮤니케이션을 저장하고 있는 상황에서 페이스북은 자사 제품과 자사의 공급사의 보안이 안전하다는 사실을 최대한 보장해야 한다. 페이스북에 보안 문제가 발생한다면, 모든 사용자에게 문제가 될 것이다. 레드팀 X가 전체 테크 범위에 걸쳐 버그를 고치도록 문제를 발견하는 데 도움을 준다면, 잠재적으로 많은 서비스와 플랫폼이 더 안전해질 것이다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202103/3007_4002_427.jpg)
뉴스레터 신청