해커 잡는 해커, ‘화이트해커’가 몸값을 높이고 있다. 허를 찌르는 타깃 공격이 연이어 발생하면서, 관리되지 않은 취약점과 공격 가능성을 낮춰야 한다는 수요가 높아지고 있다. 더불어 규제준수만을 위한 모의해킹이 아니라, 실제 공격을 막을 수 있는 상시적인 취약점 점검이 전사 범위에서 진행돼야 한다는 주장도 제기된다. 공격자 관점에서 취약점을 제거하고 공격 표면을 줄여나갈 수 있는 방법이 마련돼야 한다.<편집자>
알려진 취약점으로도 대규모 공격 가능
체크포인트 조사에 따르면 엔터프라이즈의 83%는 봇에 감염돼 있으며, SMB의 80%는 데이터 유출 사고를 겪었고, 알려지지 않은 신종 멀웨어가 처음 유포를 시작해 타깃 기관의 임직원에 의해 다운로드 되는데 단 34초 밖에 걸리지 않는다.
공격에 사용되는 봇, 악성코드, 멀웨어는 취약점을 이용해 유포되고 감염된다. 취약점이 없다면 공격을 당할 확률을 크게 줄일 수 있다. 취약점은 IT 시스템과 애플리케이션, 웹 등에 전반적으로 분포돼 있다. 취약점은 CVE(Common Vulnerabilities & Exposure)를 통해 공개된다. IT 시스템과 소프트웨어를 개발하는 기업들이 취약점을 신고하면 포상하는 버그바운티 제도를 운영하면서 취약점을 제거하기 위한 부단한 노력을 경주하고 있다.
취약점이 없는 IT 제품은 없다. 소프트웨어 개발 초기부터 보안 취약점을 제거하는 시큐어코딩을 적용해도 운영 과정에서 발견되지 못한 취약점이 드러나게 마련이다. 다른 시스템과 연동되면서 새로운 취약점이 발생하기도 하며, 소프트웨어 소스코드를 입수한 공격자들이 역분석(Reverse Engineering)을 통해 취약점을 알아내 공격할 수도 있다.
취약점은 공격에 이용당하는 지점으로, 버그바운티, 화이트해킹 등을 이용해 알려진/알려지지 않은 취약점을 신속하게 제거해야 한다.
버그바운티는 IT 제품의 취약점 신고 포상제도로, 구글, 애플, 마이크로소프트, 페이스북 등 대부분의 글로벌 기업이 운영하고 있다. 국내에서는 한국인터넷진흥원(KISA)이 실시하는 SW 신규 취약점 신고 포상제(버그바운티)에 한글과컴퓨터, 네이버, 카카오, 네오위즈게임즈, 이니텍, 이스트시큐리티, 잉카인터넷 등이 참여하고 있다.
취약점 진단 솔루션으로 취약점 문제 해결
취약점 패치가 완료되기 전 까지 진행하는 제로데이 공격은 공격자가 가장 쉽게 공격에 성공할 수 있는 방법이다. 해당 취약점을 이용해 어떤 공격이 가능한지도 알 수 있기 때문에 취약점 패치가 되지 않은 시스템만을 노리면 된다. 따라서 취약점 패치는 배포 즉시 적용해 제로데이 공격 시간을 줄여야 한다.
그러나 IT 시스템 패치 업데이트는 쉬운 일이 아니다. 해당 패치를 적용했다가 IT 시스템이나 연동된 다른 시스템에 영향을 미칠 수 있으며, 심각할 경우 비즈니스 중단 피해를 입을 수도 있다. 수많은 IT 시스템 중 어떤 시스템이 취약점을 갖고 있는지 파악하는 것도 어려운 일이다.
IT 시스템에서 취약점을 찾아 제거하는 전문 취약점 진단 서비스가 다양하게 있으며, 공공·금융기관은 컴플라이언스를 위해 정기적으로 취약점 점검을 실시한다. 그러나 사람이 수작업으로 IT 시스템을 진단하는데 상당히 많은 시간과 인력이 소요되기 때문에 전수검사는 어려우며 일부 핵심 시스템에 대해서만 샘플조사를 하게 된다.
이 문제를 해결하는 취약점 진단 솔루션을 이용할 수 있는데, 지란지교시큐리티가 인수한 에스에스알, 나일소프트, 엘에스웨어가 토종 솔루션 기업의 대표로 꼽힌다. 이들은 주로 IT 인프라 취약점을 진단해왔으나 최근 웹 애플리케이션 취약점까지 제거할 수 있는 제품을 선보이며 시장 확대에 나섰다. 글로벌 시장에서는 래피드7, 포지티브테크놀로지, 퀄리스 등이 경쟁하고 있다.
