2024-03-29 19:15 (금)
보안취약점 연구가 벤더와 고객 모두에게 주는 이점
상태바
보안취약점 연구가 벤더와 고객 모두에게 주는 이점
  • 길민권 기자
  • 승인 2017.06.11 16:11
이 기사를 공유합니다

취약점 연구원은 해커가 악용하기 전 익스플로잇을 발견하고자 노력한다

▲ Pwn2Own 2017 대회. 영상이미지 캡쳐.
▲ Pwn2Own 2017 대회. 영상이미지 캡쳐.
보안패치가 나오지 않은 취약점 즉 제로데이 취약점을 활용한 공격이 앞으로 더욱 증가할 것으로 보안전문가들은 예측하고 있다. 트렌드마이크로는 자사 보안블로그에 아래 글을 게시하며 취약점 연구가 벤더와 고객에게 어떤 이로움을 줄 수 있는지 말하고 있다. 다음은 트렌드마이크로 블로그 전문이다. [편집자 주]

이전에 확인되지 않았던 새로운 익스플로잇 ‘제로 데이 취약점’이 이제는 더 자주 출현하고 있다. 더 우려할 점은 가끔씩 해커들이 공격을 하기 전에는 이러한 결함이 발견되지 않을 수도 있다는 점이다.

Cybersecurity Ventures의 창립자이자 편집장인 스티븐 모건(Steven Morgan)의 예측에 따르면 2015에 일주일에 1회 발생하던 제로데이 익스플로잇 공격 빈도가 향후 4년 내에 하루에 1번으로 증가할 수 있다고 한다.

사이버 공격의 증가는 새로운 일이 아니다. 이는 수년간 관측되었던 테크놀로지 산업계의 추세였다. 그러나 연구자들과 개발자들은 소프트웨어와 IT 시스템에 현존하는 익스플로잇 공격이 가능한 취약점들의 수를 줄이기 위해 꾸준히 노력해야 한다.

취약성 연구는 사이버 보안 업계에 떠오르는 트렌드다. 취약성 연구는 일반적으로 엔지니어링 팀을 대상으로 수행되며 공격, 침해 또는 기타 보안 사고에 잠재적으로 사용될 수 있는 소프트웨어의 결함 또는 문제점을 식별하기 위한 고급 기술 사용을 감독한다.

이러한 과정을 통해 제로데이 위협 이나 다른 소프트웨어 문제점이 사이버 범죄자의 손에 넘어 가기 전에 더 빨리 확인 될 수 있다는 것을 의미한다. 이러한 방식으로 새로운 취약점으로 인한 감염이 감소하고 해커가 사용할 수 있는 공격 경로가 감소한다.

“제로 데이 공격의 빈도수는 앞으로 4년 안에 하루에 한 번으로 증가할 수 있습니다.”

그러나 다크리딩의 ‘Rutrell Yasin’이 지적한 것처럼, 이러한 연구에 그냥 무작정 뛰어 들지는 않는다. 취약점 및 보안 연구에는 특정 기술 및 기능이 필요하다. 특히 현재처럼 위협 요소가 급변하는 상황에서 그러하다.

그는 “이 분야는 소프트웨어가 어떻게 고장 나거나 우회 될 수 있는지에 대한 선천적인 호기심을 가지고 있기 때문에 의도하지 않았던 일들을 할 수 있는 사람들에게 적합하다” 고 말했다.

더욱이, 연구원들은 테크놀로지에 몰두할 수 있어야 하며, 운영체제와 다른 시스템의 악의적 사용뿐만 아니라 서로 통합되는 방식에 높은 관심을 가지고 있어야 한다.

정보보안 전무가 Bruce Shneier는 “보안 엔지니어는 다른 엔지니어들과는 다르게 세상을 바라봐야 한다. 보안 엔지니어들은 시스템이 어떻게 작동하는지에 초점을 맞추는 대신, 시스템이 어떻게 실패 하는지, 어떻게 실패 할 수 있는지, 그리고 그러한 실패를 예방하거나 방지하는 방법에 중점을 둔다”고 말한다.

또 그는 최고의 연구원이란 자신을 무엇이든지 잘하는 팔방미인 이라고 간주함과 동시에 특출난 전문분야가 있는 사람이라고 말한다. 이로써 연구원은 전문 스킬을 이용해 연구 전체에 사용할 뿐만 아니라 간과 되었을지도 모르는 취약성을 찾아낸다.

우리는 취약성 연구의 장점을 쉽게 찾을 수 있다. 공격의 빈도와 심각성이 지속적으로 증가함에 따라 취약성 연구를 통해 공격 대상의 범위를 줄일 수 있다. Morgan은 매년 111억 개의 새로운 코드 라인이 생겨나면서 익스플로잇 공격을 줄이려는 노력은 사용자, 코드 개발자 및 소프트웨어 공급 업체들에게 좋은 소식이라고 말했다.

위협 분석가 인 Weimin Wu에 따르면, 취약성 연구 결과를 활용함으로써 업체가 사용자를 위해 만드는 솔루션을 크게 개선 하고 최신 해킹 전술에 능동적으로 대처할 수 있다.

Wu는 또 “취약성 연구를 통해 모든 업체가 익스플로잇 공격 환경을 예측할 수 있고 이에 따른 솔루션을 사전에 준비 할 수 있도록 한다”고 말한다.

결과적으로 이는 소프트웨어 시스템에 의존해 중요 정보를 관리하고 업무상 중요한 작업을 수행하는 개인 고객 및 비즈니스 사용자를 보다 안전하게 보호하는데 도움이 된다.

더불어 연구원과 사용자 모두가 이러한 취약점이 화이트해커에게 먼저 발견되지 않는다면 블랙해커들이 나타나 악의적인 목적으로 사용하게 될 가능성이 높아진다는 사실을 항상 명심해야 한다.

또한 취약성 연구원이 하나의 소프트웨어 프로그램 내에서 악용 사례를 확인하기 위해 수행하는 작업은 유사한 코딩 및 기능을 사용하는 모든 다른 플랫폼에 도움이 될 것이다. 이러한 노력들은 한가지 특정 프로그램에만 이득이 되는 것이 아닌, 전체 소프트웨어 산업에 이익을 가능성이 높으며, 같은 익스플로잇 실수가 반복적으로 발생하지 않도록 한다. 취약성 연구원은 해커가 악용하기 전 익스플로잇을 발견하고자 노력한다

그 중요성 덕분에 현재 취약성 연구는 더 큰 규모로 진행되고 있다. 이 중 하나는 트렌드마이크로의 Pwn2Own 이벤트다. 이 이벤트는 연구원과 보안 전문가들을 한자리에 모아 가장 성공적인 익스플로잇 식별을 한 참가자에게 현금과 경품을 수여한다.

올해는 2007년 첫 개최 이래로 맞이하는 Pwn2Own의 10주년 행사다. 첫 개최 이래, 새로운 분야의 연구를 포함시키면서 점점 그 규모가 커졌다. 올해는 1백만 달러 이상의 상금을 걸고 가상 머신 이스케이프(Virtual Machine Escape), 웹 브라우저 및 플러그인, 기업 어플리케이션, 서버 측 로컬 에스컬레이션 등이 포함됐다.

작년 이벤트에서는 다양한 취약점이 발견되었다. 해킹 팀이 취약점을 정확히 파악하면 경연 주최자는 세부 결과를 업체에 보내 데이터 보호를 향상시킬 수 있도록 했다.

트렌드마이크로 노아 게이머(Noah Gamer)는 2016년 블로그를 통해 “벤더들이 소프트웨어와 장치의 취약성에 대해 더 많이 알게 되면 사이버 보안을 강화할 수 있으며 이는 고객의 보호로 이어진다”고 밝혔다. “소비자와 기업 모두가 일상적으로 사용하는 프로그램에서 이러한 버그를 어떻게 피할 수 있을까. 효과적인 사이버 보안 솔루션을 구현하는 것이 해법이 될 수 있다. 이러한 보안 솔루션에 투자함으로써 시스템을 보호하고 데이터를 해커로부터 지킬 수 있다”고 말했다.

올해 Pwn2Own은 유례없는 관심과 폭발적인 등록 인원 수로 인해 행사를 하루 더 늘려 총 3일의 행사 기간 동안 열렸다. 참가한 연구원들은 Microsoft Edge에서 Full virtual machine escape를 시도하고 Windows 커널을 조사하며 VMware Workstation 버퍼링을 검사하는 등 여러 가지 중요한 취약성 연구 프로젝트에 참여했다.

위협 환경이 지속적으로 확대됨에 따라 취약성 연구는 점점 더 중요한 프로세스로 자리 잡을 것이다. 이러한 취약성 연구는 연구원, 벤더, 사용자에게 유용하다는 점을 잊지 말길 바란다.

참고로 트렌드마이크로와 ZDI가 주최한 Pwn2Own 2017 대회에서는 중국 360시큐리티 팀이 우승을 차지했고 2위는 중국 텐센트 시큐리티 ‘팀 스나이퍼’가 차지했다. 다음은 관련 영상이다.


한국도 우수한 화이트해커 및 취약점 연구가들의 많다. 이들의 활약을 기대해 본다. 또 한국에서도 이러한 대회가 보다 많이 열려 취약점 연구가들에게 많은 동기부여가 되도록 환경이 만들어졌으면 하는 바람이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★