"드러내야 개선된다"··· 보안 검색엔진 '쇼단'

쇼단(Shodan)은 인터넷에 존재하는 모든 것을 위한 검색 엔진이다. 구글 등의 검색 엔진은 웹만 색인하지만 쇼단은 웹캠, 수처리 시설, 요트, 의료장비, 신호등, 풍력발전기, 번호판 판독기, 스마트TV, 냉장고 등 인터넷에 연결된 상상할 수 있는 (때로는 그래서는 안 되는 것까지) 거의 모든 것을 색인한다.



쇼단의 기능을 이해하는 가장 좋은 방법은 설립자 존 마틀리의 책을 보는 것이다. 기본적인 알고리즘은 다음과 같이 짧고 유용하다.

1. 무작위 IPv4 주소를 생성한다.
2. 쇼단이 이해하는 포트 목록에서 시험할 무작위 포트를 생성한다.
3. 무작위 포트에서 무작위 IPv4 주소를 확인하고 배너(banner)를 확보한다.
4. 1로 이동한다.

이것이 끝이다. 모든 것을 찾아 색인하고 검색할 수 있게 한다. 이것이 쇼단이다.

쇼단의 원리
물론 개방된 포트에서 구동하는 서비스는 배너를 통해 스스로 선언한다. 배너는 인터넷 전체에 대해 어떤 서비스를 제공하며 이와 상호작용할 수 있는 방식을 공개적으로 선언한다. 예를 들어 FTP 배너는 다음과 같다.

220 kcg.cz FTP server (Version 6.00LS) ready.

쇼단은 웹 콘텐츠를 색인하지 않지만 포트 80과 443을 쿼리한다. CSO온라인(CSOonline)의 https 배너는 다음과 같다.

$ curl -I https://www.csoonline.com
HTTP/2 200
server: Apache-Coyote/1.1
x-mod-pagespeed: 1.12.34.2-0
content-type: text/html;charset=UTF-8
via: 1.1 varnish
accept-ranges: bytes
date: Fri, 25 May 2018 14:16:18 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-sjc3135-SJC, cache-ewr18125-EWR
x-cache: HIT, MISS
x-cache-hits: 2, 0
x-timer: S1527257779.808892,VS0,VE70
vary: Accept-Encoding,Cookie
x-via-fastly: Verdad
content-length: 72361

다른 포트의 다른 서비스는 서비스별 정보를 제공한다. 공개된 배너가 사실이거나 진짜라는 보장은 없다. 그러나 의도적으로 오해의 소지가 있는 배너를 공개하는 이벤트는 알려지지 않기 때문에 안전하다. 일부 기업은 자사의 네트워크에서 쇼단을 차단하고자 하는 데 이를 위해 쇼단은 방법을 제공한다. 단, 쇼단이 없다고 해서 해커가 네트워크에 연결된 취약한 장치를 찾을 수 없는 것은 아니다. 쇼단을 차단하면 순간적인 '창피함'은 면하겠지만 보안이 개선될 가능성도 함께 줄어든다.

쇼단에 질겁하는 사람들
방 안의 코끼리를 살펴보자. 쇼단 때문에 사람들은 질겁한다. 2013년, CNN은 "인터넷에서 가장 무서운 검색 엔진"이라고 불렀다. 그러나 해커가 발전소를 폭파할 수 있도록 위치를 알려주는 것이 가당하기나 할까? 말도 안 된다. 쇼단은 시설 등 인터넷에 연결되어 있으며 확인할 수 있는 것을 보여줄 뿐이다. 따라서 일부 보도는 무지에 의한 과장이다. 작정한 온라인 범죄자는 쇼단 없이도 표적을 찾을 수 있다.

오히려 쇼단의 진정한 가치는 기업이 자체 네트워크에 대한 더 큰 가시성을 확보하도록 돕는 데 있다. 방어할 대상이 무엇인지 모른다면 방어할 수 없고 이는 기업과 사회 전체에서도 마찬가지이다. 쇼단은 현재 우리가 살고 있는 불안정하고 상호 연결된 가상 물리 시스템에 대한 더 큰 가시성을 제공한다.

쇼단을 이용한 방어
오늘날 기업은 일반적으로 생각보다 더 많이 인터넷에 노출된다. 직원은 업무를 처리하기 위해 인터넷에 개인 기기를 연결한다. 여기에서 쉐도우 IT까지 더하면 관리할 부문이 더 많아진다. 이때 쇼단을 이용하면 연결된 장치의 서브넷이나 도메인, 개방된 포트, 기본 자격 증명, 알려진 취약성 등을 쉽게 검색할 수 있다. 해커도 같은 것을 확인할 수 있으므로 그들이 공격을 결정하기 전에 위기에 대비해야 한다.

많은 기기가 배너에 기본 비밀번호를 공개한다. 예를 들어, 많은 시스코(Cisco) 기기가 "cisco/cisco" 형태로 기본 사용자 이름/비밀번호를 표시한다. 따라서 자체 네트워크에서 공격자보다 먼저 이런 장치를 찾아내는 것이 좋다. 또한 쇼단을 통해 하트블리드(Heartbleed) 등 특정 익스플로잇 공격에 취약한 장치를 찾을 수 있다. 방어자가 보호할 장치를 확인할 수 있도록 돕는 것 외에 정보 수집 단계에서 침투 시험자를 지원한다. 쇼단을 사용하면 고객의 서브넷 전체를 n맵핑(nmapping)하느라 요란을 떠는 것보다 빠르고 조용하다.

유료 회원은 API에 액세스할 수 있으며 모니터링할 서브넷에서 새 장치가 등장할 때 경보를 생성할 수 있어 직원이 인터넷에서 연결하는 것에 주시할 수 있는 저렴하고 효과적인 방법이다.


기존 실패를 바로 잡는 방법
하지만 쇼단의 가장 주목할 만한 측면은 어떤 식으로든 인터넷에 연결된 안전하지 못하고 필수적인 방대한 사이버 물리 인프라에 대한 대중의 인식을 끌어낸다는 점이다. 쇼단은 인터넷이 직면한 체계적인 보안 문제를 정량화하는데 도움이 되며 이런 수준에서 문제에 대한 솔루션에 대해 기자가 기사를 쓰거나 정책 입안자가 논쟁을 벌이는 근거가 될 수 있다. 있도록 한다.

ICS/SCADA를 예로 들어보자. 산업용 제어 시스템은 인터넷보다 먼저 발생했으며 애초에 보안을 염두에 두지 않고 설계됐다. 어쨌든 인터넷에 연결할 의도는 없었으며 물리적인 보안 통제는 예를 들어 악의적인 공격자가 하수를 상수도에 버리지 못하도록 하기에 충분한 것으로 간주됐다.

그러나 상황이 바뀌었다. 인터넷에 연결할 의도가 전혀 없었던 필수적인 인프라는 이제 지구상의 모든 해커와 더 가까워졌다. 쇼단을 통해 이런 시스템을 찾아 쉽게 경보를 울릴 수 있다. 마찬가지로 연결형 커피메이커부터 성인용품과 냉장고에 이르기까지 모든 안전하지 못한 IoT 장치의 홍수가 시장을 강타하고 있다.

시장은 확실히 이런 장치를 위한 강력한 사이버 보안을 구축하는 데 실패했으며 규제당국은 일부 예외를 제외하고는 더 강력한 사이버 보안 통제를 강제하는 데 실패했다. IoT 업체는 도산하거나 제조한 장치에 대한 보안을 포기해 소비자의 보안이 약화됐고 그 장치를 봇넷에 점령당했다. 결국 인터넷 전체가 시스템 위험에 노출될 가능성이 더 커졌다.

이런 상황에서 쇼단은 인식 전환의 계기가 될 수 있다. 그동안 비 IT인이 쇼단을 통해 느끼던 '놀라움'을, 이제는 시장과 규제당국이 체험하고 상황을 바꾸는 출발점을 만들어야 한다.

불편한 진실을 대면하는 것
쇼단은 무료로 사용할 수 있지만 무료 계정은 검색 결과 수가 제한된다. 고급 필터를 사용하려면 유료 회원권(49달러/평생)이 필요하다. 모든 실시간 데이터 스트림이 필요한 개발자와 기업 사용자도 유용하다.

기업의 보안 '수치'를 감추는 것이 홍보 측면의 가치는 있을 수 있어도 보안 측면에서는 전혀 가치가 없다. 쇼단은 기업에 자체 그리고 다른 기업의 외부 보안에 대한 가시성을 제공한다. 비IT인이 보기에 쇼단은 불편할 것일 수 있다. 그러나 인터넷으로 인해 보안 부담이 점차 커지는 가운데 쇼단은 문제를 명확하게 확인할 수 있는 유용한 툴이다. ciokr@idg.co.kr