지난 몇 년간 여러 연구원이 여러 기기가 인터넷을 통해 커뮤니케이션이 이루어지는 방식을 지지하는 기본 코드로 보이는 곳에서 충격적일 정도로 많은 취약점을 발견했다. 이제 기본 코드의 취약점 9가지가 전 세계 기기 1억 대에 존재하는 것으로 추산된다. 취약점을 지닌 기기에는 다양한 사물인터넷(IoT) 기기와 IT 관리자 서버도 포함된 것으로 파악됐다. 그러나 연구원이 답을 찾는 데 어려움을 겪는 중요한 부분은 갈수록 취약점이 많이 쌓이는 상황에서 중요한 변화를 일으키면서 효율적인 방어 체계를 구축할 방법이다.
이른바 ‘네임렉(Name:Wreck)’이라고 불리는 새로 발견된 결함은 여러 기기와 인터넷 간 연결을 위해 구축하는 네트워크 커뮤니케이션 통신 프로토콜을 통합하는 코드라고 알려진 4가지 보편적인 TCP/IP 스택에 있는 것으로 확인됐다. 오픈소스 프로젝트 프리BSD(FreeBSD)와 같은 운영체제는 물론이고, 산업 관리 기업 지멘스(Siemens)의 뉴클리어스 넷(Nucleus NET)에도 나타난 취약점 모두 스택이 DNS 인터넷 연락처를 구축하는 방식과 관련이 있다. 모두 해커가 기기를 망가뜨려 오프라인으로 전환하거나 원격 조종할 수 있도록 만든다. 모두 네트워크에 심각한 피해를 줄 수 있다. 특히, 중요한 기반 시설과 헬스케어 혹은 제조 환경에서 커넥티드 기기나 IT 서버 침입이 전체 시스템을 파괴하거나 피해자 네트워크에 더 깊숙이 침투하기 시작할 수 있다.
보안 기업 포스카우트(Forescout)와 JSOF 소속 연구원이 발견한 취약점은 모두 패치 작업이 가능하다. 그러나 이는 종종 더 오래된 소프트웨어 버전을 실행하는 실제 기기에서 문제 수정이 완료됐다는 의미는 아니다. 간혹 제조사가 코드 업데이트 메커니즘을 제작하지 않았을 수도 있다. 혹은 코드가 실행되는 구성요소를 제작하지 않을 수도 있으며, 단순히 메커니즘을 관리하지 않을 수도 있다.
취약점이 끊이지 않는 좀비 코드가 항상 다시 등장한다.
과거, 프로젝트 메모리아(Project Memoria)를 통하 비슷한 연구를 한 적이 있는 포스카우트 연구 부사장 엘리사 콘스탄테(Elisa Costante)는 “지금까지 발견된 모든 취약점을 보면 단순히 문제를 논의하는 것처럼 보일 수 있지만, 실제 문제를 인지하면서 지역 사회와 협력하고, 문제 해결 방법을 찾기 위해 노력한다. 포스카우트는 독점 및 오픈소스 모두 합해 15개가 넘는 TCP/IP 스택을 분석했으며, 그 결과 질적으로는 실질적인 차이가 없다는 사실을 알아냈다. 하지만, 이러한 공통점이 도움이 된다. 비슷한 약점을 발견했기 때문이다. 새로운 스택을 분석할 때는 같은 문제 지점을 살펴보고, 개발자는 물론이고 다른 동료 연구원과 공통적인 문제를 공유할 수 있다”라고 말했다.
[사진=Freepik]
포스카우트 연구원은 사이버 범죄 세력이 최근 발견된 것과 같은 유형의 취약점을 대대적으로 악용한다는 증거를 발견하지는 못했다. 다만, 수많은 연구 결과 전반에 걸쳐 취약점의 영향을 받았을 수 있는 기기가 수만 대 혹은 수십억 대로 추정돼, 취약점 노출 사실 자체가 매우 중요하다.
지멘스 미국 지사 최고 사이버보안 관리자 커트 존(Kurt John)은 와이어드에 공식 성명을 통해 “지멘스는 현재 각국 정부, 업계 협력사와 취약점 완화를 위해 긴밀히 협력하고 있다. 이번 사건을 통해 협력사 중 한 곳인 포스카우트와 함께 재빨리 취약점을 확인하고 완화하기 위해 협력하게 돼 다행이다”라고 밝혔다.
이번 취약점을 발견한 연구원은 결함 공개를 위해 패치를 배포한 개발자와 국토안보부 산하 사이버보안 및 기반시설 보안 기관(CISA) 및 다른 취약점 추적 기관과 협력했다. 포스카우트와 JSOF가 다른 독점 및 오픈소스 TCP/IP 스택에서 발견한 것과 비슷한 결함이 이미 수억 대 혹은 수십억 대의 기기가 취약점에 노출됐을 위험성이 있다는 사실을 발견했다.
이처럼 흔한 네트워크 프로토콜에서 취약점과 같은 문제가 자주 발견되는 이유는 상당수가 수십 년간 변경되지 않은 채로 시간이 지나면서 전해지지만, 반대로 프로토콜을 둘러싼 기술은 진화하기 때문이다. 기본적으로 침해된 부분이 없으면 그 누구도 수정하지 않는다.
IoT 보안 기업 레드벌룬 시큐리티(Red Balloon Security) CEO 앵 쿠이(Ang Cui)는 “좋은 쪽이든 나쁜 쪽이든 인터넷으로 연결된 기기에는 20년 전에 작성된 코드가 있다. 물론, 보안 수준도 20년 전 수준에 머물러있다. 그런데도 기기가 작동한다. 절대 오류가 발생하지 않는다. 그러나 인터넷에 연결하면, 보안 상태가 안전하지 않다. 또, 지난 20년간 일반용 컴퓨터 보안을 위해 우리가 한 일을 다시 생각할 필요가 있다는 사실을 고려하면, 그리 놀라운 사실도 아니다”라고 설명했다.
오래된 코드와 함께 보안 수준도 예전의 수준에 머물러있다는 점에서 문제가 악명이 높으며, 이는 보안 업계가 완전히 끝낼 수 없는 문제이다. 취약점이 끊임없이 존재하는 좀비 코드가 항상 다시 등장하기 때문이다.
오픈 크립토 감사 프로젝트(Open Crypto Audit Project)의 공동 총괄 켄 화이트(Kenn White)는 “의도치 않게 1990년대에 제작된 코드에서 낮은 수준의 네트워크 버그가 다시 생성되는 사례가 많다. 오래된 코드의 질에 실질적으로 집중한다고 해서 얻는 경제적 혜택이 없는 것이 큰 문제이다”라고 말했다.
연구원이 새로 발견한 여러 취약점과 관련, 몇 가지 희소식이 있다. 조만간 패치가 완벽히 확산되지 않을 것으로 보이지만, 패치 작업 자체는 가능하다. 또, 다른 임시방편으로 등장한 완화 방식이 취약점 노출을 줄일 수 있다. 구체적으로 말하자면, 가능한 많은 기기가 인터넷에 직접 연결하고, 내부 DNS 서버를 데이터 전송하도록 유지할 수 있다. 콘스탄테 부사장도 취약점 악용 활동을 분명히 예측할 수 있으며, 이번에 발견된 결함을 악용하고자 하는 시도를 감지하기 더 쉽다는 사실에 주목한다.
장기적인 해결책을 논하자면, 공급망과 제품과 관련된 여러 공급사와 제조사, 개발자 등을 고려했을 때 빠르게 결함을 수정할 방법은 없다. 그러나 포스카우트는 네트워크 관리자가 자체적으로 사용하는 환경에서 취약할 수도 있는 IoT 기기와 서버를 확인하는 데 사용할 수 있는 오픈소스 스크립트를 배포했다. 또, 포스카우트는 연구원과 개발자가 비슷한 DNS 관련 취약점을 더 쉽게 발견할 수 있는 데이터베이스 쿼리의 오픈소스 라이브러리도 유지하고 있다.
콘스탄테 부사장은 “이번에 발견한 취약점은 만연한 문제이다. 특정 종류의 기기에만 존재하는 문제가 아니다. 또, 싸구려 IoT 기기에만 존재하는 문제도 아니다. 이와 같은 문제가 만연하다는 증거가 갈수록 많이 등장하고 있다. 이 때문에 문제를 인식하도록 계속 노력해야 한다”라고 강조했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202104/3066_4063_1718.jpg)
뉴스레터 신청