치명적 기업 보안 사각지대··· 레거시 앱 '가시성 갭' 해결법

로그 데이터를 분석해 잠재적 보안 위협을 찾는 기술이 발전했다고 하지만 레거시 애플리케이션은 여전히 대응하기 어려움 맹점을 만들곤 한다. 데이터 보안 업체인 스피리온(Spirion)의 최고 혁신 임원 가브리엘 검스는 “현대의 SIEMs(Security Information and Event Management) 소프트웨어는 레거시 기능을 초월해 진화했고 첨단 위협 검출 및 대응 플랫폼으로 성장했다"라고 말했다.
 

검스는 레거시 애플리케이션에서 이들 플랫폼으로 옮겨진 로그 데이터가 항상 문제가 없는 것은 아니라고 지적했다. 예를 들어 레거시 애플리케이션은 누가 시스템에 액세스하는지 추적할 수 있지만, 이들이 시스템 내의 어디에 접근했는지는 빠뜨릴 수 있다. 그는 “이는 메워야 할 필요가 있는 일종의 '가시성 갭(visibility gap)'이다”라고 말했다.

문제는 위협에 대비하기 위해 레거시 애플리케이션을 모니터링할 때 발생한다. 예를 들어 이들은 보안 요건이 오늘날과 전혀 다를 때 구축됐거나 베스트 프랙티스가 보편화하기 전에 구축됐을 수 있다. 또한 인프라에 취약점이 포함된 구식의 불안전한 인프라이거나 이 상태로 기밀 데이터나 중요 시스템으로 액세스할 수도 있다.

레거시 애플리케이션으로부터 데이터를 수집해 SIEMs로 보내는 것을 더 간편하게 하는 영국의 신생 기업인 퍼니스 이그나이트(Furnace Ignite)의 수석 사이버보안 엔지니어인 데이비드 마운드는 “에너지 업종을 한번 보자. 이들은 SCSDA 인프라를 가지고 있고, 이는 여러 해 동안 그대로 사용됐다"라고 말했다.

원치 않는 의외의 사건을 위한 대응 방법
마운드에 따르면 때때로 기업은 실행 중인 애플리케이션에 손대는 것은 원치 않는다. 그는 "단순히 에너지 업종에 국한된 이야기가 아니다. 상담해보면 일반적으로 기업 대부분은 사용 중인 레거시 시스템이 있다. 급여 장부나 이와 비슷한 것들이다. 이들은 여러 해 동안 손대지 않은 상태로 운영되고 있다"라고 말했다.

레거시 애플리케이션은 대부분 기업에 필요한 모니터링을 제공하지 않는다. 예를 들어 성과 데이터를 생성하지만 어떤 이용자가 어떤 데이터에 접속했는지 상세 내용을 보여주지 않는다. 또는 보안 전문가가 무슨 일이 일어났는지 발견할 때는 필요할 맥락 정보를 알 수 없는 경우도 있다. 로그 데이터를 생성하더라도 특정 업체의 독점 기술을 사용해 재활용하기 어려움 형식일 수도 있다.

사이버 보안 업체 트러스트웨이브(Trustwave)의 위협 정보 및 검출 책임자 제레미 배터먼은 “내부적으로 개발된 레거시 애플리케이션은 가시성 갭이 있기 마련이다. 사이버 보안 사건이 발생해 조사해야 할 때 이는 큰 문제가 된다. 실제로 조사한 사례를 보면 일회성 애플리케이션이 문제를 야기한 경우가 많았다”라고 말했다.

한편 로그 데이터의 부재는 레거시 애플리케이션에서 다른 보안 문제를 악화시킬 수 있다. 예를 들어 한 기업의 경우 특정 레거시 애플리케이션을 인터넷과 내부 네트워크에 모두 연결해놓고 사용했다. 배터먼은 "이런 앱은 원래 중립지역에 배치돼야 한다. 더구나 이들은 공격자가 쉽게 훼손할 수 있는 구버전의 제이보스와 아파치를 사용하고 있었다. 이런 시스템은 일단 뚫리면 가시성이 사라지고 공격자가 네트워크를 마음껏 돌아다닐 수 있다”라고 말했다.

사건 조사 중에 배터먼은 기업에 레거시 애플리케이션을 유지하는 이유를 묻고 했다. 그는 "결과적으로 돈 때문이다. 잘 쓰고 있는데 굳이 비용을 들여 바꿀 필요가 없다는 것이다”라고 말했다. 실제로 미국 IT 리더를 대상으로 한 액센추어의 설문조사에 따르면, 응답자의 37%가 레거시 애플리케이션이 사이버 위협을 방어하는 데 지장을 준다고 답했다. 85%는 기술을 업데이트하지 않으면 기업의 미래가 위태롭다고 우려했다.

사이버보안 컨설팅 업체인 BTB 시큐리티의 경영 파트너인 론 슐레히트는 기업이 위협 및 취약점 평가의 일환으로 자사 환경에 레거시 애플리케이션이 얼마나 있는지 조사해야 한다고 지적했다. 그는 "많은 경우 기업은 불안전한 레거시 애플리케이션을 이미 알고 있다. 이를 제거하려는 와중에 더 잘 알게 되는 것이다"라고 말했다.

레거시 애플리케이션은 때에 따라 보안 감시망을 벗어나기도 한다. 슐레히트는 “대개 애플리케이션이 매우 드물게 사용되거나 작은 부서에 의해 사용되는 경우다. 지금까지 문제가 없었기 때문에 그냥 계속 사용한다”라고 말했다. 때에 따라서는 애플리케이션이 이미 교체되었는데 레거시 버전을 계속 쓰는 경우도 있다. 그는 “매우 예외적 경우인데, 그냥 '끄는 것'을 잊어버리는 것이다. 다른 경우라면 애플리케이션에 있는 오래된 데이터에 여전히 액세스해야 할 필요가 있을 때다”라고 말했다.

슐레히트는 "어떤 경우이든, 이들 애플리케이션과 서버는 실행 중인 상태이므로, 이들이 환경 내에 존재하는 한 누군가 악용할 위험이 있다. 특히 애플리케이션이 관리자 권한으로 실행될 때나 액세스 권한을 격상시킬 수 있는 기능이 있을 때 위험하다. 또한 애플리케이션이 오래된 서버에 존치된 경우 취약점이 될 수 있다"라고 말했다.
 
레거시 앱의 현대화
슐레히트에 따르면 레거시 앱을 현대화하는 첫 단계는 원래의 판매자가 레거시 시스템으로부터 로그 데이터를 SIEM으로 보내는 데 도움을 줄 수 있는지 확인하는 것이다. 그는 “판매자는 API나 최소한 설명서라도 제공할 수 있을 것이다. 아니라면 애플리케이션으로부터 로그 데이터를 가져오기 위해 커스텀 개발 작업을 할 수 있다”라고 말했다.

또 다른 전략은 단순히 로깅 기능만이 아니라 전체 애플리케이션을 현대화하는 것이다. 이런 식이라면 기업은 사이버 보안 요구에 대처할 수 있을 뿐 아니라 컴플라이언스, 확장성, 여타 비즈니스 요건까지 충족할 수 있다. 가트너 보고서를 보면, 2020년 한 해 동안 디지털 비즈니스 혁신에 투자하는 금액의 최소한 3배가 레거시 애플리케이션을 현대화하는데 사용될 예정이다.

이는 그만한 투자 가치가 있다. 레거시 애플리케이션은 보안 위험 외에도 오늘날의 비즈니스 요구를 충족하지 못하고 기술 변화 속도를 따라가지 못하며 확장하기 어렵다. 또한, 컴플라이언스 위험을 초래할 수 있고 유지 관리 비용도 매우 비싸다. 가트너의 다른 보고서에 따르면 기업이 레거시 애플리케이션을 현대화하는 데에는 7가지 방법이 있다.

1. 캡슐화해 서비스 방식으로 이용한다.
2. 재호스팅 한다.
3. 새로운 런타임 플랫폼으로 이전한다.
4. 코드를 리팩토링한다.
5. 애플리케이션을 재설계한다.
6. 처음부터 완전히 새로 구축하거나 다시 작성한다.
7. 새로운 요건과 니즈를 고려하며 애플리케이션을 교체한다.

가시성 위험을 줄이는 전략
레거시 앱을 현대화하거나 교체할 수 없다면 가시성 문제를 부분적으로 해결할 수 있는 경감 전략이라도 선택해야 한다. 예를 들어 애플리케이션이 백-엔드 데이터베이스를 가지고 있다면 이 데이터베이스에 접근해 이용 정보를 수집하는 것이 가능할 수 있다. 트러스트웨이브의 배터먼은 "애플리케이션 내부로 들어오고 외부로 나가는 트래픽이 있다면 네트워크 센서를 이용해 데이터 패킷을 포착할 수 있다"라고 말했다.

경감 전략이 무엇이든 기업은 레거시 애플리케이션에 대해 추가적 보호 수단을 마련해야 한다. 배터먼은 “한층 폐쇄적인 시스템을 구축하거나 작은 부분만 서비스 방식으로 이용하도록 할 수 있다. 이들을 기업 IT 인프라 전면으로부터 배제하는 설계 측면의 조치도 가능할 수 있다”라고 말했다. BTB의 슐레히트는 "예를 들어 오래되고 불안전한 애플리케이션을 유지해야만 한다면 이를 샌드박스로 처리해 가상 환경이나 클라우드에 배치하는 방법이 있다. 이렇게 하면 레거시 앱이 뚫려도 기업의 나머지 부분에 주는 영향이 최소화할 수 있다"라고 말했다. ciokr@idg.co.kr