> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[취약점 점검·모의해킹①] 신종 멀웨어, 생성부터 공격 개시까지 34초
전사 취약점 점검으로 공격 가능성 낮춰…버그바운티로 알려지지 않은 취약점 찾아야
     관련기사
  [취약점 점검·모의해킹②] 자동화된 솔루션으로 취약점 제거
2017년 08월 08일 16:54:55 김선애 기자 iyamm@datanet.co.kr

해커 잡는 해커, ‘화이트해커’가 몸값을 높이고 있다. 허를 찌르는 타깃 공격이 연이어 발생하면서, 관리되지 않은 취약점과 공격 가능성을 낮춰야 한다는 수요가 높아지고 있다. 더불어 규제준수만을 위한 모의해킹이 아니라, 실제 공격을 막을 수 있는 상시적인 취약점 점검이 전사 범위에서 진행돼야 한다는 주장도 제기된다. 공격자 관점에서 취약점을 제거하고 공격 표면을 줄여나갈 수 있는 방법이 마련돼야 한다.<편집자>

알려진 취약점으로도 대규모 공격 가능

체크포인트 조사에 따르면 엔터프라이즈의 83%는 봇에 감염돼 있으며, SMB의 80%는 데이터 유출 사고를 겪었고, 알려지지 않은 신종 멀웨어가 처음 유포를 시작해 타깃 기관의 임직원에 의해 다운로드 되는데 단 34초 밖에 걸리지 않는다.

공격에 사용되는 봇, 악성코드, 멀웨어는 취약점을 이용해 유포되고 감염된다. 취약점이 없다면 공격을 당할 확률을 크게 줄일 수 있다. 취약점은 IT 시스템과 애플리케이션, 웹 등에 전반적으로 분포돼 있다. 취약점은 CVE(Common Vulnerabilities & Exposure)를 통해 공개된다. IT 시스템과 소프트웨어를 개발하는 기업들이 취약점을 신고하면 포상하는 버그바운티 제도를 운영하면서 취약점을 제거하기 위한 부단한 노력을 경주하고 있다.

취약점이 없는 IT 제품은 없다. 소프트웨어 개발 초기부터 보안 취약점을 제거하는 시큐어코딩을 적용해도 운영 과정에서 발견되지 못한 취약점이 드러나게 마련이다. 다른 시스템과 연동되면서 새로운 취약점이 발생하기도 하며, 소프트웨어 소스코드를 입수한 공격자들이 역분석(Reverse Engineering)을 통해 취약점을 알아내 공격할 수도 있다.

취약점은 공격에 이용당하는 지점으로, 버그바운티, 화이트해킹 등을 이용해 알려진/알려지지 않은 취약점을 신속하게 제거해야 한다.

버그바운티는 IT 제품의 취약점 신고 포상제도로, 구글, 애플, 마이크로소프트, 페이스북 등 대부분의 글로벌 기업이 운영하고 있다. 국내에서는 한국인터넷진흥원(KISA)이 실시하는 SW 신규 취약점 신고 포상제(버그바운티)에 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이니텍, 이스트시큐리티, 잉카인터넷 등이 참여하고 있다.

   
▲라온시큐어의 취약점 점검과 모의해킹을 통한 보안 인텔리전스 서비스 모델

취약점 진단 솔루션으로 취약점 문제 해결

취약점 패치가 완료되기 전 까지 진행하는 제로데이 공격은 공격자가 가장 쉽게 공격에 성공할 수 있는 방법이다. 해당 취약점을 이용해 어떤 공격이 가능한지도 알 수 있기 때문에 취약점 패치가 되지 않은 시스템만을 노리면 된다. 따라서 취약점 패치는 배포 즉시 적용해 제로데이 공격 시간을 줄여야 한다.

그러나 IT 시스템 패치 업데이트는 쉬운 일이 아니다. 해당 패치를 적용했다가 IT 시스템이나 연동된 다른 시스템에 영향을 미칠 수 있으며, 심각할 경우 비즈니스 중단 피해를 입을 수도 있다. 수많은 IT 시스템 중 어떤 시스템이 취약점을 갖고 있는지 파악하는 것도 어려운 일이다.

IT 시스템에서 취약점을 찾아 제거하는 전문 취약점 진단 서비스가 다양하게 있으며, 공공·금융기관은 컴플라이언스를 위해 정기적으로 취약점 점검을 실시한다. 그러나 사람이 수작업으로 IT 시스템을 진단하는데 상당히 많은 시간과 인력이 소요되기 때문에 전수검사는 어려우며 일부 핵심 시스템에 대해서만 샘플조사를 하게 된다.

이 문제를 해결하는 취약점 진단 솔루션을 이용할 수 있는데, 지란지교시큐리티가 인수한 에스에스알, 나일소프트, 엘에스웨어가 토종 솔루션 기업의 대표로 꼽힌다. 이들은 주로 IT 인프라 취약점을 진단해왔으나 최근 웹 애플리케이션 취약점까지 제거할 수 있는 제품을 선보이며 시장 확대에 나섰다. 글로벌 시장에서는 래피드7, 포지티브테크놀로지, 퀄리스 등이 경쟁하고 있다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  화이트해커, 모의해킹, 취약점 진단, 보안 서비스, 보안 인텔리전스 서비스, CVE, CCE
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr