누익스 '블랙 리포트'로 본 해커의 가르침

누익스(Nuix)의 최신 보고서를 보면, 보안 업계의 호들갑에도 불구하고 해커와 침입자 대부분은 불과 하루만에 기업 네트워크에 침입해 귀중한 데이터를 빼낼 수 있다.



누익스의 서비스 책임자인 크리스 포그에 따르면, 이 문제의 원인은 수십 년이 지나도 중요 보안 쟁점이 거의 변하지 않았기 때문이다. 그는 “기업은 보안 위협이 더 복잡하고 해커가 더 정교해졌다고 말하고 싶겠지만, 그건 사실이 아니다. 해커는 20년간 변함 없이 어항 속의 물고기 잡듯 쉽게 해킹하고 있다. 실제로 엄청난 파장을 일으킨 최근의 공격을 보자. 야후와 타겟, 그 외의 유명 기업을 보면 똑같은 수법에 당했다. 패치를 빠뜨렸거나 네트워크 관리가 엉망이거나 이용자 ID의 허술한 패스워드 때문이었다. 결국 IT의 태만이나 관리 실패 때문인 것이다”라고 말했다.

누익스는 2017년 데프콘 사이버보안 컨퍼런스(DEFCON cybersecurity conference) 중에 처음으로 ‘블랙 리포트(Black Report)’를 작성했다. 올해에는 리포트 참여자가 (대다수가 익명) 112명으로 2배 늘었고, 여기에는 자신을 해커, 침투자, 사건 대응자라고 칭하는 사람이 포함됐다. 누익스에 따르면 해커란 컴퓨터 시스템이나 애플리케이션에 허가 없이 액세스하며 시간을 보내는 사람이다.

설문조사에 응한 대다수는 침입할 수 없는 네트워크를 만나기 쉽지 않다고 답했다. 대다수 공격은 거의 감지되지 않았다. 93%가 침투 테스트 이후에도 클라이언트가 시스템에서 발견된 취약점을 부분적으로 또는 전혀 수정하지 않았다고 답했다. 응답자가 자신이 원하는 중요 데이터를 입수하기까지 15시간이 채 걸리지 않았다.

포그는 “우리가 알게 된 사실은 가장 효과적인 대응책은 비싼 것이 아니라는 것이다. 해커에게 침입할 수 없는 경우가 언제냐고 물어보라. 그들은 '음, 그건 적절하게 패치 시스템이지'라고 말한다. 보안 뉴스를 보면 해킹 사건이 끊이지 않는다. 원인은 간단하다. 패치 작업을 빠뜨려 최신 상태가 아닌 것이다. 그리고 기업이 할 수 있는 가장 중요한 일이지만, 이는 보안 업체가 파는 것이 아니다. 그래서 이에 관해 아무도 말하지 않는다"라고 말했다.

상황이 이렇다보니 공격의 속도도 우리가 생각하는 것보다 훨씬 빠르다. 포그는 "일부 응답자는 한 시스템에 들어가 나오는 데까지 채 4시간이 걸리지 않았다. 따라서 기업이 아무리 투자를 하고 대응책을 적소에 배치하더라도 더 중요한 것은 따로 있다. 엔드포인트 솔루션이든 방화벽이든 또는 그 외의 무언가를 구매하는 것은 좋다. 그러나 ‘좋아, 이제 구매 했으니 더 이상 걱정할 필요가 없겠지?’라고 생각한다면 확실히 틀린 것이다"라고 말했다.

포그에 따르면 의사결정자와 예산 기획자 사이에는 보통 소통이 되지 않는다. 일단 보안 제품 도입을 결정하면 이에 대해 잊어버리는 것이다. 그러나 해커 입장에서 볼 때 이들이 실제로 설치되지 않는 한 일이 전혀 끝난 게 아니다. 포그는 “해커는 이러한 억제 수단을 아주 간단히 우회할 수 있다. 그러면 사람들은 도대체 어떻게 그럴 수 있냐며 의아해한다. 돈을 그렇게 썼는데 아무 소용이 없었다니 한탄하곤 한다”라고 말했다.


블랙 리포트의 역사
블랙 리포트의 전체 역사는 10~15년에 이르는 돈독한 관계에서 유래했다. 소수의 동료와 지인들, 또는 누익스가 과거에 같이 일했던 사람들이 주축이었다. 설문조사는 전적으로 익명이고, 신원을 드러낼만한 특징이나 표시가 전혀 없을 거라는 보증이 붙었다.

포그는 “일부는 우리를 믿지 않았기 때문에 우리는 우리가 하려는 것을 그냥 솔직히 털어놓는 수밖에 없었다. 설문 응답자 대다수는 보안 순수주의자다. 우리가 동의하든 그렇지 않든 자신이 하는 일이 옳다고 믿는다. 무언가 기술의 진보를 위해 취약점을 이용하고 있다고 생각한다. 일종의 '로빈 후드 증후군'이다. 그래서 우리는 하는 일은 ‘이봐, 나는 당신이 만날 수 없는 사람들을 만날 수 있어. 이사회 임원들 말이야. 내가 그들에게 무슨 말을 했으면 좋겠어? 당신들은 온갖 정보와 지혜, 지식을 두루 갖춘 사람들이잖아?'라고 묻는 것이다’”라고 말했다.

그 결과가 블랙 리포트다. 해커들은 중요 단체, 그러니까 전문 법 집행 기관, 정부 기구, 프로 스포츠 팀 같은 곳에 침입한 개인적 체험담을 공유했다. 포그는 “여전히 압도적 다수가 첨단 기술을 활용한 공격이 아니었다. 빠뜨린 패치나 업데이트, 취약한 인증 같은 것을 이용했고 이를 마음 놓고 시스템을 짓밟았다"라고 말했다.

이어 그는 "흔한 농담을 이야기하자면, 방어자는 언제나 매일같이 시스템을 완벽하게 유지해야 하지만, 공격자는 그냥 하나의 약점만 찾으면 된다. 하나의 엉성한 패스워드, 하나의 누락된 패치, 하나의 보호되지 않은 시스템이면 게임은 끝난 것이다. 그래서 예를 들면 ‘그래, 엔드포인트 감지 및 대응 시스템이 있었지만 그냥 가볍게 통과했지. 기록조차 하지 않았어. 그리곤 유유히 시스템을 벗어났지. 6개월이 지나서야 내가 다녀간 것을 알아차리더군' 같은 이야기가 떠돈다"라고 말했다.

한편 응답자 대다수가 피싱(phishing)과 같은 소셜 엔지니어링 공격을 선호했다. 그 밖의 공격을 실행할 때는 대개 오픈 소스 툴을 이용했다. 두더지 잡기(whack-a-mole: 같은 문제가 계속 재발하는 것)라는 말도 사실로 밝혀졌고, 새로운 툴이나 기법이 정기적으로 나오면서 해커는 공격 시 이런 저런 것을 가미할 수 있게 됐다.

무엇보다 보고서는 기업이 1차 대응자가 최신 공격에 대한 정보를 접할 수 있는 엄격한 훈련 프로그램을 유지하고, 대응 공조를 위해 소통 라인을 개선하도록 조언한다. 포그는 자신이 겪은 일화를 소개했다. 이름만 대면 알만한 유명 호텔이 시스코 ASA 제품을 구매했다. 그런데 이 기기가 하는 일이라고는 트래픽을 기록하는 것이 전부였다. 호텔은 2회에 걸쳐 2명의 다른 해커에 의해 같은 방식으로 해킹을 당했고, 이 방화벽 제품은 이들을 저지할 수 있었지만 그냥 공격을 기록하기만 했다.

포그는 침투 테스터(pen tester)로, 한 스포츠 경기장에 간 경험도 공유했다. 그는 "팀의 구단주에게 경기장의 침투 테스트가 왜 필요한지 설득해야 했다. ‘음, 저기 대형 전광판을 보세요. 거기 있는 정보들이요. 제가 마음만 먹으면 조명을 포함해서 모든 것을 멈출 수 있고, 스프링클러를 작동시키고, 화면에 음란물을 올릴 수 있습니다. 자판 몇 번 두드리면 끝이죠'라고 했더니 그 구단주는 ‘아니 누가 왜 그런 짓을 합니까?’라고 반문했다. 해커의 심리를 전혀 이해하지 못하는 것이다"라고 말했다.

이어 "해커가 해킹하는 것은 그냥 그렇게 할 수 있기 때문이다. 실제로 이 구단주는 이런 안일한 생각의 대가를 치렀다. 그러나 이런 사고방식이 이 구단주뿐이겠는가. 널리 만연한 사고방식이다. 해커는 왜 도둑질을 하고, 왜 전광판에 음란물을 올릴까? 다시 말하지만 해답은 그렇게 할 수 있기 때문이다. 그게 전부다. 우리가 이런 해킹에 대비해야 하는 이유다"라고 덧붙였다. ciokr@idg.co.kr