Offcanvas

보안

보안 제품에 보안 취약점 산재

2013.03.20 Lucian Constantin  |  IDG News Service
인터넷으로부터 직접적인 인터페이스 접근이 불가능한 경우에서도 취약점은 드러났다. 이런 경우 공격자들은 관리자나 로컬 네트워크 상의 사용자들을 속여 그들이 악성 페이지에 접속하도록 하거나 브라우저를 통해 어플라이언스에 공격을 시행토록 하는 특수 링크를 클릭하게 함으로써 공격을 진행할 수 있었다. 
 
일부 이메일 게이트웨이의 사례에서는, 공격자가 제목란에 XSS 취약점 코드를 삽입한 이메일을 전송하는 공격 방법이 가능한 것으로 확인됐다. 이들 이메일이 스팸으로 분류되고 관리자가 어플라이언스 인터페이스에서 이를 열람할 경우, 코드는 자동적으로 실행된다. 
 
윌리엄스는 "보안 제품에 이와 같은 취약점이 존재한다는 사실은 실로 심각한 아이러니가 아닐 수 없다", "그러나 비 보안 제품의 상황은 이보다 더 심각할 것"이라고 말한다. 
 
그는 이런 취약점들은 대규모 공격에 이용되기보다는 해당 제품을 이용하는 특정 기업에 대한 타깃형 공격, 예를 들면 정부의 지원을 받는 산업 스파이 활동 등에 이용될 가능성이 높다고 설명했다. 
 
윌리엄스는 일부 전문가들이 중국의 네트워킹 장비 업체인 화웨이(Huawei)가 중국 정부의 요청을 받아 그들의 제품에 히든 백도어(backdoor)를 삽입해 판매하고 있다는 의혹을 제기하는 점을 소개했다. 
 
윌리엄스는 "그러나 내 생각은 다르다. 설명한 바와 같이 현재에도 수 많은 제품들이 수 많은 취약점을 안고 있다. 정부가 굳이 새로운 공격 통로를 더 마련할 필요는 없다고 본다"고 말했다. 
 
그는 기업들이 스스로를 보호하기 위해서는 그들의 제품 속에서 구동되는 웹 인터페이스나 SSH 서비스를 인터넷에 공개해서는 안될 것이라 조언했다. 최근의 공격 성향을 반영한다면 내부 네트워크를 통한 인터페이스 접근 역시 제한되어야 할 것이다. 
 
윌리엄스는 "일반적인 브라우징용 브라우저와 웹 인터페이스를 통한 어플라이언스 관리용 브라우저를 따로 사용하는 것 역시 보안에 도움을 줄 것이며, 브라우저 유형으로는 노스크립트(NoScript) 보안 확장 기능이 설치되는 파이어폭스 등이 좋을 것"이라고 말했다. 
 
윌리엄스는 자신이 이번에 확인한 취약점들을 해당 개발업체에게도 전달했다고. 그는 "개발업체 별로 반응은 다양했지만, 대형 개발업체들의 경우에는 대부분 보고서를 진지하게 검토해 문제를 수정하고 관련 정보를 고객들과 공유하는데 적극적인 태도를 보여줬다"고 말했다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.