2024-03-29 08:40 (금)
심준보 "공격대상이 되고 있는 보안솔루션, 도입시 기능만 보고 안전성 검증은 뒷 전"
상태바
심준보 "공격대상이 되고 있는 보안솔루션, 도입시 기능만 보고 안전성 검증은 뒷 전"
  • 길민권 기자
  • 승인 2018.11.04 16:08
이 기사를 공유합니다

"AV 취약점, 블랙마켓서 고가에 거래...기능 뿐만 아닌 안전성 검증 반드시 필요해"

▲ 심준보 블랙펄시큐리티 이사(사단법인 해커연합 하루 회장)가 PASCON 2018에서 '기능중심 보안솔루션의 위험성'에 대해 1천여 명의 참관객이 참석한 가운데 키노트 발표를 진행하고 있다. 그는 보안솔루션 도입시 기능만 체크할 것이 아니라 안전하게 개발된 제품인지를 검증할 것을 강조했다.
▲ 심준보 블랙펄시큐리티 이사(사단법인 해커연합 하루 회장)가 PASCON 2018에서 '기능중심 보안솔루션의 위험성'에 대해 1천여 명의 참관객이 참석한 가운데 키노트 발표를 진행하고 있다. 그는 보안솔루션 도입시 기능만 체크할 것이 아니라 안전하게 개발된 제품인지를 검증할 것을 강조했다.
"해커들의 공격을 막기 위해 보안솔루션을 도입하지만 대부분 기능중심으로 평가하고 도입하는 것이 일반적이다. 하지만 최근 해커들은 VPN, 웹방화벽, 안티바이러스 등 높은 권한을 가지고 시스템을 제어할 수 있는 보안솔루션의 취약점을 찾아 공격한다. 그래서 보안솔루션의 취약점이 블랙마켓에서 고가에 판매되고 있다. 보안을 위해 도입한 솔루션이 오히려 더 큰 보안위협으로 되돌아 온다는 것을 알아야 한다. 보안솔루션이 안전하게 설계되고 제작됐는지 검증하는 것이 필요하다. 보안솔루션 개발사들도 기능 보다는 이 부분에 더욱 신경을 써 제품을 개발해야 한다." -해커 심준보, 블랙펄시큐리티 이사(해커연합 하루 회장)- PASCON 2018에서

데일리시큐 주최 2018년 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2018에서 심준보 해커연합하루 회장은 '보안솔루션의 리스크, 믿는 도끼의 위협: 기능 중심 보안솔루션의 위험성'을 주제로 키노트 발표를 진행해 1,000여 명 참관객들의 큰 관심을 끌었다.

국내 대표 해커인 심준보 회장의 발표는 보안담당자들에게 새로운 시각을 전달하기 위해 마련됐다. 보안실무자의 시각과 공격자의 시각에는 차이가 있기 때문이다. 내부 시스템을 잘 알고 보안을 하는 보안담당자와 해당 시스템에대해 전혀 모르는 해커가 어떻게 해킹에 성공하는지 그 시각의 차이를 느껴볼 수 있는 시간이었다.

심 회장은 보안을 위해 도입하는 보안제품들이 얼마나 안전한지 그리고 이를 악용하는 해커들의 움직임에 대해 집중력있게 설명해 나갔다.

"내부시스템, 직원들이 접근할 수 있다면 해커도 접근할 수 있다"

그는 "인터넷에 한번이라도 연결됐던 모든 기기들은 쇼단을 통해 검색할 수 있다. 테스트를 위해 잠깐 올려놓았던 개발서버부터 시작해서 조직에서 사용하는 인터넷에 물려있는 모든 서버, 개인PC, IoT 기기, 스카다시스템 등 해커들이 타깃으로 생각하는 시스템의 연관 검색어를 올리면 쇼단은 수만건의 결과물을 보여준다"며 "유료 버전은 더욱 체계적으로 보여준다. 내부망이라고 안전할 수는 없다. 접점이 존재하기 때문이다. 해커는 이 정보를 통해 공격시나리오를 만들고 공격을 진행한다. 인터넷에 한번이라도 연결됐다면 해커의 공격 타깃이 될 수 있는 것이다"라고 설명했다.

또 와이파이 패킷을 잡아 맥어드레스을 알아내고 비밀번호가 없으면 접근가능하고 비밀번호를 몰라도 레인보우 테이블을 이용해 비밀번호를 알아낼 수 있다. 이를 통해 시스템 내부에 접근이 가능하다. 접근통제가 되어 있는 업무용 시스템이 안전하다고 생각하는 것은 오산이다. 해커들은 타깃 기업의 직원이나 외주인력들이 접근할 수 있는 내부시스템은 해커도 접근할 수 있다고 생각한다.

한편 블랙마켓에는 손쉽게 해킹을 할 수 있는 제로데이 취약점과 좀비PC, 이미 해킹을 당한 서버 등 각종 정보들이 거래되고 있다. 보안솔루션을 개발해 버는 이득보다 해킹정보 판매시장의 규모다 더 클 수도 있다.

그는 중국 해커를 예로 들었다. "인지도 있는 블랙해커들은 범죄집단에서 헤드헌팅을 한다. 해커에게 언제까지 어떤 정보를 가져오라고 지시를 내리면 해커는 무슨 방법을 써서라도 타깃을 해킹해 정보를 빼내와야 한다. 목숨을 걸고 해킹을 한다. 하지만 보안은 목숨을 걸고 하진 않는다. 여기서 해킹과 보안의 차이가 난다. 목숨걸고 해킹하는 해커는 타깃 시스템을 보는 눈이 달라진다. 기술적으로 아무런 문제가 없는 시스템이지만 해커는 허점을 발견하게 된다"며 "해커는 제로 날리지(Zero Knowledge) 상태에서 대상을 바라보고 보안담당자는 시스템의 모든 것을 알고 있는 상태(Full Knowledge)에서 보안을 한다. 하지만 정말 완벽히 내부시스템을 알고 있을까. 오산이다. 보안담당자지만 완벽히 알 수는 없다. 해커는 보안담당자들이 간과하는 약한 고리를 집중적으로 공격해 보안을 무너뜨릴 수 있다"고 설명했다.

"보안위해 도입한 보안솔루션, 해커들의 타깃 되고 있어"

▲ 데일리시큐 주최 PASCON 2018에 1천여 명의 참관객이 참석해 심준보 이사의 키노트 발표를 경청하고 있다.
▲ 데일리시큐 주최 PASCON 2018에 1천여 명의 참관객이 참석해 심준보 이사의 키노트 발표를 경청하고 있다.
한편 보안솔루션의 위험성에 대해서도 언급했다. 업무망에서 높은 권한을 가지고 있는 시스템이 바로 시큐리티 매니징 시스템이다. 전사 업무망을 컨트롤하고 있기 때문이다. 특히 보안솔루션은 외부와 연결되는 접점이 있다. 그래서 최근 해커들은 보안솔루션의 취약점을 찾아 공격을 주로 한다. 그럼에도 불구하고 보안솔루션의 취약점이나 위험성은 도입시 고려되지 않고 있는 것이 문제라는 지적이다.

업무의 편의성을 위해 도입되는 VPN, 안전하게 원격에서 업무를 볼 수 있도록 하는 시스템이지만 해커들에게는 업무망에 접근할 수 있는 통로가 될 수 있다.

최근 해커들은 안티바이러스나 IPS, IDS, UTM 등 보안솔루션의 취약점을 활발히 찾고 있고 거래도 하고 있다. 유명 안티바이러스 취약점은 블랙마켓에서도 비싼 비용으로 거래되고 있는 상황이다. 신뢰를 기반으로 한 보안솔루션이 해킹에 이용된다면 더 큰 사로고 이어질 수 있다는 것이다.

그는 "웹방화벽만 해도 오픈소스로 제작된 제품들이 많다. 오픈소스로 제작됐기 때문에 주요 오픈소스 취약점을 그대로 안고 있다. 이를 통해 해커들은 높은 권한을 가지고 내부망을 공격할 수 있게 된다. 우리 조직에서 도입한 보안제품들이 안전하게 개발됐는지 보안성을 담보할 수 있는지 공격대상이 되고 있는건 아닌지 철저한 검증이 필요하다"고 강조했다.

그는 블루투스 취약점인 블루문 취약점을 예로들며 블루문은 블루투스의 보안성을 강화하기 위해 만든 것인데 오히려 취약점으로 인해 더 큰 위험성을 주고 있다. 즉 보안을 위해 도입한 보안솔루션이 오히려 보안에 더 큰 위협으로 다가오는건 아닌지 검증해야 한다는 것이다.

마지막으로 심준보 회장은 "보안솔루션 도입시 기능 중심으로만 평가할 것이 아니라 안전하게 만들어 졌는지 검증이 필요하다. 솔루션 밴더들도 이 부분을 강화해야 한다"며 "모든 공격은 예상할 수 없는 곳에서 발생한다. 선제적으로 보안을 하기 위해서는 보안솔루션에 대한 검증이 중요하다"고 강조했다.

심준보 회장의 PASCON 2018 발표자료는 데일리시큐 자료실에서 다운로득 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★