2012.02.17

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②

Ellen Messmer | Network World
IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다.

->‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

미신 No 7 “바이러스에 감염되면 그 증상이 반드시 스크린에 나타날 것이다.”
“보통 사람들에게 컴퓨터 바이러스란 이야기꺼리에 가까운 존재일 것이다. 일반인들이 맬웨어에 대해 알고 있는 지식들은 대부분 공상과학 소설이나 텔레비전, 또는 영화에서 얻은 것들이기 때문이다” 라고 지 데이터 소프트웨어(G Data Software)북미 지점의 사장 데이빗 페리는 말했다.

“특히, 컴퓨터 바이러스가 파일을 녹여버리거나 컴퓨터를 불태우는 등 반드시 눈에 보이는 어떤 증상을 남길 것이라는 통념이 정말 재미있다. 이러한 생각은 사용자들이 컴퓨터에 생긴 모든 문제를 바이러스 탓으로 돌릴 때까지 계속된다. 그리고 그토록 가시적인 문제가 없다는 점은 그 시스템이 그만큼 맬웨어에 감염되지 않았다는 걸 의미한다”고 그는 덧붙였다.

미신 No 8 “우리 회사는 해킹의 표적이 되지 않을 것이다.”
크롤(Kroll)의 사이버보안 및 정보보호(information assurance)부서의 상무인 앨런 브릴은 “대부분 피해자들이 이런 이야기를 한다. 자신들이 해킹의 대상이 될 만한 가치가 없다고 생각하는 피해자들 말이다. 그들 대부분이 자신들은 소규모 업체이기 때문에 누군가 자신을 노릴 것이란 생각을 못한다. 또 어떤 기업들은 자신들이 사회보장번호나 신용카드 정보 등과 같은 중요 정보를 보관하지 않기 때문에 표적이 될 리 없다고 생각한다. 그러나 그러한 생각들은 대부분 잘못된 것들이다” 라고 지적했다.

미신 No 9 “소프트웨어는 보안의 허점이라는 측면에서 예전과 나아진 점이 없다.”
“보안의 허점을 이유로 들어 오늘날의 소프트웨어가 전혀 나아진 점이 없다고 주장하는 사람들이 많다” 라고 씨지털(Cigital) 사의 CTO 개리 맥그로우는 말GOt다. 그러나 그는 이에 대해 “소프트웨어는 예전보다 훨씬 나아졌으며, 결함 빈도의 비율 역시 내려가고 있다”고 반박했다.

그는 10~20여 년 전에 비해 안전한 부호화(coding)에 대한 연구가 훨씬 더 많이 진행되었으며 부호화를 위한 도구 역시 존재한다면서, “우리는 무엇을 해야 할지 정확히 알고 있다”라고 주장했다.

그는 이어 우리가 종종 간과하는 사실은 윈도우 95를 쓰던 시절에 비교해 봤을 때 지금은 훨씬 더 많은 소프트웨어 코드들이 존재하며 “현재 우리가 만들어 내고 있는 코드의 면적은 그 어느 때보다 넓다는 것” 이라고 덧붙였다.

코드의 방대한 분량 때문에 오늘날의 소프트웨어가 지난 몇 십 년 전과 다를 바가 없다는 오해가 생기곤 하지만, 그 반대 역시 사실이다. “완벽하게 결점 없는 소프트웨어란 불가능하다”고 맥그로우는 말했다.

미신 No 10 “SSL 세션을 통해 중요 정보를 전달하면 안전할 것이다.”
“SSL 세션을 통한 정보 전달이 안전하다고 믿기 때문에, 기업들은 보통 SSL을 사용해 고객이나 파트너들로 부터의 중요한 정보를 전달한다” 고 NCP 엔지니어링의 최고기술경영자 레이너 앤더스는 말하며, “그러나 SSL 세션 과정의 취약점들이 점차적으로 드러났다”라고 전했다.

그에 따르면, 지난 해 시티그룹(Citigroup)은 SSL 과정에서 생긴 것으로 추정되는 보안 허점으로 고생한 경험이 있으며, 이러한 경우는 시티그룹의 사례 외에도 많이 찾아볼 수 있다. 그는 다음과 같이 말했다.

“스위스의 연구가들은 최근 한 발표에서, AES와 같은 블록 암호 사용 시 발생할 수 있는 보안 허점을 이용해 SSL 채널을 통해 송출된 정보를 얻는 방법을 소개했다.” 그는 SSL 세션의 보안에 의문이 제기되고 있다고 말하며 “이러한 허점을 없애기 위한 가장 좋은 방법은 두 개의 서로 다른 문서를 암호화함에 있어 같은 키 스트림(key stream)을 사용하지 않는 것”이라고 덧붙였다.

그는 또, 인증 기관으로부터 발급받은 ‘믿을 수 있는’ 인증서를 사용하는 것은 괜찮다는 생각에 대해서도 의문을 제기하며, 지난 해 발생했던 문제 역시 도용된 가짜 인증서 때문이라고 말했다.

미신 No 11 “엔드포인트 보안 소프트웨어는 일용품이다.”
엔터프라이즈 스트레티지 그룹(ESG)의 애널리스트 존 올식에 따르면, ESG의 설문 조사에 응답한 대부분의 기업 보안 전문가들이 엔드포인트 보안 제품들은 기본적으로 전부 똑같으며 일용품이라는 주장에 동의하고 있었다.

그러나 올식은 엔드포인트 보안 소프트웨어가 전부 똑같다는 주장에 동의할 수 없다고 말했다. “그건 완전히 낭설에 불과하다. 엔드포인트 보안 제품들은 보안 수준이나 기능, 특징 면에서 매우 다양하다고 할 수 있다”라고 그는 말했다. 올식은 또, 대부분의 기관들이 엔드포인트 보안 제품의 진정한 역량에 대해 알지 못하고 있으며 “따라서 보안 제품들을 사용해 최대한의 보안 수준을 끌어내지도 못하고 있다”고 덧붙였다.

미신 No 12 “우리 회사 네트워크는 방화벽이 지켜 줄 테니, 걱정 없어!”
아칸소 대학의 의학 전문대학 정보 기술 보안 애널리스트 케빈 버틀러(Kevin Butler)는 약 10년 간 방화벽을 관리하는 일을 해왔다. 그는 방화벽에 대해 많은 사람들이 오해를 하고 있다고 말했으며, 그들 중 일부는 물론 버틀러 자신 조차도 수 년 간 사실이라고 믿어왔음을 인정했다.

그 중 가장 큰 오해는 “방화벽은 그저 하드웨어일 뿐” 이며, “제대로 설정된 방화벽만 있다면 어떤 위협으로부터 안전할 것”이라는 생각이다. 특히 두 번째 오해에 대해 그는 이렇게 말했다. “SSL 연결을 통해 당신의 단말기를 감염시키는 악성 콘텐츠 만큼이나 당신을 당혹시키는 것은 없다.”

그가 아는 방화벽에 대한 잘못된 믿음에는 “방화벽에 있으면 안티바이러스 소프트웨어가 필요 없다”는 것도 있고, 심지어는 “모 브랜드의 방화벽은 제로 데이 공격(zero-day threats)까지도 막아준다더라”는 소문도 있어 그를 화나게 한다고 했다. 그는 이에 대해 “방화벽의 보안을 뛰어 넘는 공격들이 점점 더 빠른 속도로 나타나고 있다. 방화벽은 절대로 ‘설치해 놓고 방심해도 괜찮은’ 해결책이 아님을 명심해야 한다”라고 전했다.

미신 No 13, “표적 공격의 일부로 드러난 맬웨어 샘플을 공개 맬웨어 추적 사이트나 서비스에 업로드해서는 안 된다.”
델 시큐어워크(SecureWorks)의 맬웨어 분석 디렉터 조 스튜어트 역시 이러한 조언을 들은 적이 있으며, 그는 이를 “잘못된 충고”라고 여기고 있다. 그에 따르면, 이러한 이야기가 생겨난 것은 “첫째로 공격자가 맬웨어 때문에 공개 샌드박스(public sandbox)나 바이러스 스캐너를 주시하고 있을 수도 있으며 따라서 맬웨어 샘플을 업로드 하는 것은 그들이 감지되었음을 알려줄 수도 있다는 생각 때문” 이다.

그는 또 종종 제기되는 두 번째 이유로 표적 공격의 경우, 맬웨어에 그 표적이 누구인지에 대한 단서가 있을 수 있으며 이로 인해 뜻하지 않게 공격을 알려줄 수도 있다는 점을 꼽았다.

스튜어트는 이에 대해 “첫 번째 주장의 경우 공격자가 샌드박스나 스캐너를 확인해 볼 시간이 있다는 것을 미리 가정하고 있다. 그러나 그럴 확률은 매우 적은데, 표적 공격의 경우에도 한 번의 공격으로도 여러 명의 피해자가 생겨나는 경우가 빈번하고, 한 명의 공격자가 같은 해에 여러 번 공격을 하는 경우가 많기 때문이다. 표적의 수가 적은 공격자라 해도 각각의 표적에 고유의 맬웨어를 사용하는 경우는 거의 없다.

차라리 사전에 정해 놓은 여러 개의 트로이목마를 번갈아 사용해 안티바이러스 프로그램을 피해가는 것이 일반적이다. 따라서 설령 맬웨어 샘플이 공개 맬웨어 추적 사이트에 올라온다 해도, 공격자가 반드시 이를 확인하리라는 법은 없으며, 또 설령 확인한다 해도 어느 타겟이 그 맬웨어를 찾아내 업로드 했는지 알 수는 없다”고 반박했다.

스튜어트는 오히려 표적 공격에 사용된 샘플을 공유하는 것 큰 이점이 있다고 말했다. 또 표적이 된 기관들의 이름을 드러내는 맬웨어에 대해서는 “자주 노출되지 않았더라도 충분히 가능하다”고 인정했다. 그는 국가 및 산업 스파이는 “오늘날 인터넷에서 거의 기정 사실화” 되었으며, “다른 국가에게 유용한 정보를 갖고 있는” 기업이나 정부가 공격의 표적이 되는 것에 새삼스레 놀랄 필요도 없다고 덧붙였다.

그는 또 “이러한 활동에 대한 발표를 조용히 시키려는 노력은 장기적으로 보았을 때 공격자들만 이롭게 하는 일”이라고 자신의 견해를 밝혔다. ciokr@idg.co.kr



2012.02.17

‘그럴싸한데?’ 보안 분야 13가지 낭설들 ②

Ellen Messmer | Network World
IT 분야에 보안과 관련한 잘못된 통념들이 존재한다. 사실이 아닌데도 일반적으로 받아들여지는 개념들, 즉 낭설들이다. 보안 전문가, 컨설턴트, 서비스 기업, 보안 담당자들과 이에 대한 이야기를 나눴다. 여기 13개의 미신들을 정리한다.

->‘그럴싸한데?’ 보안 분야 13가지 낭설들 ①

미신 No 7 “바이러스에 감염되면 그 증상이 반드시 스크린에 나타날 것이다.”
“보통 사람들에게 컴퓨터 바이러스란 이야기꺼리에 가까운 존재일 것이다. 일반인들이 맬웨어에 대해 알고 있는 지식들은 대부분 공상과학 소설이나 텔레비전, 또는 영화에서 얻은 것들이기 때문이다” 라고 지 데이터 소프트웨어(G Data Software)북미 지점의 사장 데이빗 페리는 말했다.

“특히, 컴퓨터 바이러스가 파일을 녹여버리거나 컴퓨터를 불태우는 등 반드시 눈에 보이는 어떤 증상을 남길 것이라는 통념이 정말 재미있다. 이러한 생각은 사용자들이 컴퓨터에 생긴 모든 문제를 바이러스 탓으로 돌릴 때까지 계속된다. 그리고 그토록 가시적인 문제가 없다는 점은 그 시스템이 그만큼 맬웨어에 감염되지 않았다는 걸 의미한다”고 그는 덧붙였다.

미신 No 8 “우리 회사는 해킹의 표적이 되지 않을 것이다.”
크롤(Kroll)의 사이버보안 및 정보보호(information assurance)부서의 상무인 앨런 브릴은 “대부분 피해자들이 이런 이야기를 한다. 자신들이 해킹의 대상이 될 만한 가치가 없다고 생각하는 피해자들 말이다. 그들 대부분이 자신들은 소규모 업체이기 때문에 누군가 자신을 노릴 것이란 생각을 못한다. 또 어떤 기업들은 자신들이 사회보장번호나 신용카드 정보 등과 같은 중요 정보를 보관하지 않기 때문에 표적이 될 리 없다고 생각한다. 그러나 그러한 생각들은 대부분 잘못된 것들이다” 라고 지적했다.

미신 No 9 “소프트웨어는 보안의 허점이라는 측면에서 예전과 나아진 점이 없다.”
“보안의 허점을 이유로 들어 오늘날의 소프트웨어가 전혀 나아진 점이 없다고 주장하는 사람들이 많다” 라고 씨지털(Cigital) 사의 CTO 개리 맥그로우는 말GOt다. 그러나 그는 이에 대해 “소프트웨어는 예전보다 훨씬 나아졌으며, 결함 빈도의 비율 역시 내려가고 있다”고 반박했다.

그는 10~20여 년 전에 비해 안전한 부호화(coding)에 대한 연구가 훨씬 더 많이 진행되었으며 부호화를 위한 도구 역시 존재한다면서, “우리는 무엇을 해야 할지 정확히 알고 있다”라고 주장했다.

그는 이어 우리가 종종 간과하는 사실은 윈도우 95를 쓰던 시절에 비교해 봤을 때 지금은 훨씬 더 많은 소프트웨어 코드들이 존재하며 “현재 우리가 만들어 내고 있는 코드의 면적은 그 어느 때보다 넓다는 것” 이라고 덧붙였다.

코드의 방대한 분량 때문에 오늘날의 소프트웨어가 지난 몇 십 년 전과 다를 바가 없다는 오해가 생기곤 하지만, 그 반대 역시 사실이다. “완벽하게 결점 없는 소프트웨어란 불가능하다”고 맥그로우는 말했다.

미신 No 10 “SSL 세션을 통해 중요 정보를 전달하면 안전할 것이다.”
“SSL 세션을 통한 정보 전달이 안전하다고 믿기 때문에, 기업들은 보통 SSL을 사용해 고객이나 파트너들로 부터의 중요한 정보를 전달한다” 고 NCP 엔지니어링의 최고기술경영자 레이너 앤더스는 말하며, “그러나 SSL 세션 과정의 취약점들이 점차적으로 드러났다”라고 전했다.

그에 따르면, 지난 해 시티그룹(Citigroup)은 SSL 과정에서 생긴 것으로 추정되는 보안 허점으로 고생한 경험이 있으며, 이러한 경우는 시티그룹의 사례 외에도 많이 찾아볼 수 있다. 그는 다음과 같이 말했다.

“스위스의 연구가들은 최근 한 발표에서, AES와 같은 블록 암호 사용 시 발생할 수 있는 보안 허점을 이용해 SSL 채널을 통해 송출된 정보를 얻는 방법을 소개했다.” 그는 SSL 세션의 보안에 의문이 제기되고 있다고 말하며 “이러한 허점을 없애기 위한 가장 좋은 방법은 두 개의 서로 다른 문서를 암호화함에 있어 같은 키 스트림(key stream)을 사용하지 않는 것”이라고 덧붙였다.

그는 또, 인증 기관으로부터 발급받은 ‘믿을 수 있는’ 인증서를 사용하는 것은 괜찮다는 생각에 대해서도 의문을 제기하며, 지난 해 발생했던 문제 역시 도용된 가짜 인증서 때문이라고 말했다.

미신 No 11 “엔드포인트 보안 소프트웨어는 일용품이다.”
엔터프라이즈 스트레티지 그룹(ESG)의 애널리스트 존 올식에 따르면, ESG의 설문 조사에 응답한 대부분의 기업 보안 전문가들이 엔드포인트 보안 제품들은 기본적으로 전부 똑같으며 일용품이라는 주장에 동의하고 있었다.

그러나 올식은 엔드포인트 보안 소프트웨어가 전부 똑같다는 주장에 동의할 수 없다고 말했다. “그건 완전히 낭설에 불과하다. 엔드포인트 보안 제품들은 보안 수준이나 기능, 특징 면에서 매우 다양하다고 할 수 있다”라고 그는 말했다. 올식은 또, 대부분의 기관들이 엔드포인트 보안 제품의 진정한 역량에 대해 알지 못하고 있으며 “따라서 보안 제품들을 사용해 최대한의 보안 수준을 끌어내지도 못하고 있다”고 덧붙였다.

미신 No 12 “우리 회사 네트워크는 방화벽이 지켜 줄 테니, 걱정 없어!”
아칸소 대학의 의학 전문대학 정보 기술 보안 애널리스트 케빈 버틀러(Kevin Butler)는 약 10년 간 방화벽을 관리하는 일을 해왔다. 그는 방화벽에 대해 많은 사람들이 오해를 하고 있다고 말했으며, 그들 중 일부는 물론 버틀러 자신 조차도 수 년 간 사실이라고 믿어왔음을 인정했다.

그 중 가장 큰 오해는 “방화벽은 그저 하드웨어일 뿐” 이며, “제대로 설정된 방화벽만 있다면 어떤 위협으로부터 안전할 것”이라는 생각이다. 특히 두 번째 오해에 대해 그는 이렇게 말했다. “SSL 연결을 통해 당신의 단말기를 감염시키는 악성 콘텐츠 만큼이나 당신을 당혹시키는 것은 없다.”

그가 아는 방화벽에 대한 잘못된 믿음에는 “방화벽에 있으면 안티바이러스 소프트웨어가 필요 없다”는 것도 있고, 심지어는 “모 브랜드의 방화벽은 제로 데이 공격(zero-day threats)까지도 막아준다더라”는 소문도 있어 그를 화나게 한다고 했다. 그는 이에 대해 “방화벽의 보안을 뛰어 넘는 공격들이 점점 더 빠른 속도로 나타나고 있다. 방화벽은 절대로 ‘설치해 놓고 방심해도 괜찮은’ 해결책이 아님을 명심해야 한다”라고 전했다.

미신 No 13, “표적 공격의 일부로 드러난 맬웨어 샘플을 공개 맬웨어 추적 사이트나 서비스에 업로드해서는 안 된다.”
델 시큐어워크(SecureWorks)의 맬웨어 분석 디렉터 조 스튜어트 역시 이러한 조언을 들은 적이 있으며, 그는 이를 “잘못된 충고”라고 여기고 있다. 그에 따르면, 이러한 이야기가 생겨난 것은 “첫째로 공격자가 맬웨어 때문에 공개 샌드박스(public sandbox)나 바이러스 스캐너를 주시하고 있을 수도 있으며 따라서 맬웨어 샘플을 업로드 하는 것은 그들이 감지되었음을 알려줄 수도 있다는 생각 때문” 이다.

그는 또 종종 제기되는 두 번째 이유로 표적 공격의 경우, 맬웨어에 그 표적이 누구인지에 대한 단서가 있을 수 있으며 이로 인해 뜻하지 않게 공격을 알려줄 수도 있다는 점을 꼽았다.

스튜어트는 이에 대해 “첫 번째 주장의 경우 공격자가 샌드박스나 스캐너를 확인해 볼 시간이 있다는 것을 미리 가정하고 있다. 그러나 그럴 확률은 매우 적은데, 표적 공격의 경우에도 한 번의 공격으로도 여러 명의 피해자가 생겨나는 경우가 빈번하고, 한 명의 공격자가 같은 해에 여러 번 공격을 하는 경우가 많기 때문이다. 표적의 수가 적은 공격자라 해도 각각의 표적에 고유의 맬웨어를 사용하는 경우는 거의 없다.

차라리 사전에 정해 놓은 여러 개의 트로이목마를 번갈아 사용해 안티바이러스 프로그램을 피해가는 것이 일반적이다. 따라서 설령 맬웨어 샘플이 공개 맬웨어 추적 사이트에 올라온다 해도, 공격자가 반드시 이를 확인하리라는 법은 없으며, 또 설령 확인한다 해도 어느 타겟이 그 맬웨어를 찾아내 업로드 했는지 알 수는 없다”고 반박했다.

스튜어트는 오히려 표적 공격에 사용된 샘플을 공유하는 것 큰 이점이 있다고 말했다. 또 표적이 된 기관들의 이름을 드러내는 맬웨어에 대해서는 “자주 노출되지 않았더라도 충분히 가능하다”고 인정했다. 그는 국가 및 산업 스파이는 “오늘날 인터넷에서 거의 기정 사실화” 되었으며, “다른 국가에게 유용한 정보를 갖고 있는” 기업이나 정부가 공격의 표적이 되는 것에 새삼스레 놀랄 필요도 없다고 덧붙였다.

그는 또 “이러한 활동에 대한 발표를 조용히 시키려는 노력은 장기적으로 보았을 때 공격자들만 이롭게 하는 일”이라고 자신의 견해를 밝혔다. ciokr@idg.co.kr

X