2017.03.15

CIA 문건 공개 파장··· SW업체를 얼마나 믿을 수 있나?

Lucian Constantin | IDG News Service
최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다.


제로데이 취약성은 앞으로도 계속 존재할 것이다. 

홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다.

유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다.

위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다.

해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다.

예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다.

영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 iOS 버전 8.0~9.2에서 효과가 있는 것으로 명시되어 있다. 그렇다면 iOS 9.3 이상의 버전에서는 효과가 없다는 뜻일까? 꼭 그렇지만은 않다. CIA 파일을 복사할 당시의 iOS 최신 버전이 9.2였기 때문에 거기에서 표가 끝났을 가능성이 더 높다.

게다가 애플이 추가적인 세부사항 없이 이러한 익스플로잇 공격을 패치했는지 여부를 발표할 가능성이 매우 낮다. 난다오에 대한 유일한 설명은 이것이 무더기 오버플로우 메모리 파괴 취약성이라는 것이며 이것이 위치한 커널 구성요소에 관해서는 설명이 없다.

취약성 정보 기업 RBS(Risk Based Security)의 조사 담당 최고 책임자인 카슨 아이람은 이메일을 통해 “애플이 완전한 세부사항 그리고/또는 익스플로잇 공격을 획득했을 뿐 아니라 엄격한 기저 원인을 분석하지 않았다면 애플은 새로운 버전이 영향을 받지 않았다고 확신할 수 없다”고 밝혔다.

다른 소프트웨어에 영향을 끼치는 결함들도 마찬가지다. 아이람의 회사는 일부가 패치되었지만 일부는 프레지 데스크톱(Prezi Desktop) 침투 소프트웨어의 DLL 장악 결함 등 영향을 받는 프로그램의 최신 버전에서 여전히 효과가 있음을 확인했다.

아이람은 “새로운 버전이 언급되지 않았다고 해서 영향을 받지 않을 것이라고 속단해서는 안 된다”고 당부했다.

그리고 결국 이 모든 결함이 업체들에게 공개되어 패치된다 하더라도 CIA가 더는 새로운 제로데이(Zero Day) 익스플로잇 공격을 수행할 수 없는 것은 아니다. 2016년 3월에서 익스플레잇 공격을 확보하기 위해 계속 노력하고 있었다.

해당 기관은 내부 문서가 유출될 당시에 패치되지 않은 취약성에 대한 익스플로잇 공격이 있었으며 지금도 인기 프로그램과 운영체제의 최신 버전에 대한 유사한 익스플로잇 공격을 보유하고 있을 가능성이 매우 높다.

제로데이 익스플로잇 공격은 항상 존재하며 단지 정보기관의 손에 없을 뿐이라는 사실을 인식하는 것이 중요하다. 사업부를 위한 감시 소프트웨어를 개발하는 이탈리아의 기업 해킹팀(Hacking Team)이 2015년에 유출한 사건에서도 해당 기업이 해커들로부터 주기적으로 제로데이 익스플로잇 공격을 구매하고 있음이 드러났다.

여러 해커 그룹들이 수년 동안 공격에 제로 데이 익스플로잇 공격을 활용했으며 일부는 이를 너무 자주 활용한 나머지 패치되지 않은 결함이 무더기로 쌓여 있을 수 있다. 또한 엄청난 금액을 지불하여 이런 익스플로잇 공격을 확보한 후 사법부와 정보기관 등의 고객들에게 재판매하는 개인 브로커들도 있다.

“이번 유출 건은 이런 기관의 능력이 우리의 상상이라는 점을 확인시켜주었을 뿐이다”고 아이람은 밝혔다.

아이람에 따르면, 소프트웨어 업계는 코드에 취약성이 발생하지 않도록 개발자들이 더욱 잘 예방하고 탐색을 더 어렵게 하며 위험을 낮추는 기능을 개발할 수 있다고 말했다. 하지만 가까운 시일 내에 모든 취약성을 없앨 수 있는 마법의 지팡이 따위는 존재하지 않는다. 다만, 연례 통계를 보면 소프트웨어 취약성의 수가 실제로 증가 추세임을 알 수 있다.

아이람은 “이 때문에 사용자들이 디지털 세계를 탐험할 때 누구나 원한다면 언제든지 자신의 시스템을 장악할 수 있다는 사실을 염두에 둬야 한다”며 “약간의 논리, 비판, 보안 인식이 물리 및 디지털 세계에서 큰 도움이 된다”고 이야기했다.

사이버 간첩 행위 공격의 표적이 될 가능성이 높은 사용자와 기업은 보안 업체의 패치를 적용하는 수준을 넘어 제로 데이 익스플로잇 공격의 존재를 고려하는 방어에 대해 다계층적 접근방식을 취해야 한다. ciokr@idg.co.kr
 



2017.03.15

CIA 문건 공개 파장··· SW업체를 얼마나 믿을 수 있나?

Lucian Constantin | IDG News Service
최근 미 CIA(Central Intelligence Agency)의 사이버 간첩행위에 대한 공개가 잇따르면서 소프트웨어 업체들이 시의적절하게 취약성을 수정하겠다는 약속을 반복했으며 사용자들에게 해당 기관에서 유출된 문서에 기술된 결함 중 많은 부분을 수정했다고 밝혔다.


제로데이 취약성은 앞으로도 계속 존재할 것이다. 

홍보의 관점에서는 이런 약속을 이해할 수 있지만 실제로 국가의 후원을 받는 해커들이 노리는 기업들과 사용자들에게는 아무런 차이가 없다. 그들이 사용하는 소프트웨어는 안전하지 않을뿐더러 지난 14일 위키리크스(WikiLeaks)가 8,700건 이상의 CIA 문건을 공개하기 이전보다 더욱 안전해지지도 않았다.

유출된 파일에는 CIA의 사이버 부서에서 모든 주요 데스크톱 및 모바일 운영체제뿐만이 아니라 네트워킹 장비와 스마트TV 등 임베디드 기기를 해킹하는 데 사용하는 악성코드 툴과 익스플로잇 공격에 관해 설명되어 있었다. 해당 문서에는 이런 툴의 실제 코드가 포함되어 있지는 않았으며 그 중 좀 더 자세한 것으로 보이는 설명은 수정되었다.

위키리크스의 설립자 줄리안 어산지는 자신의 조직이 소프트웨어 업체들과 비공 세부사항을 공유하여 취약성을 패치할 수 있도록 하겠다고 말했다. 하지만 위키리크스가 그렇게 한다 하더라도 정보는 특정 순간에 관한 것이라는 사실을 인식하는 것이 중요하다.

해당 문서의 가장 최근 날짜 문자열은 2016년 3월 초부터 시작되기 때문에 CIA의 시스템에서 파일을 복사한 시점을 알 수 있다. 일부 익스플로잇 공격 목록도 마찬가지다.

예를 들어, 애플의 iOS에 대한 익스플로잇 공격을 설명한 페이지에는 iOS 버전 별로 배열한 표가 포함되어 있다. 해당 표는 2015년 12월에 공개된 iOS 9.2에서 끝난다. 그 이후의 중요 업데이트인 iOS 9.3은 2016년 3월 말에 공개됐다.

영국의 GCHQ에서 획득한 커널 익스플로잇 공격인 ‘난다오(Nandao)’는 iOS 버전 8.0~9.2에서 효과가 있는 것으로 명시되어 있다. 그렇다면 iOS 9.3 이상의 버전에서는 효과가 없다는 뜻일까? 꼭 그렇지만은 않다. CIA 파일을 복사할 당시의 iOS 최신 버전이 9.2였기 때문에 거기에서 표가 끝났을 가능성이 더 높다.

게다가 애플이 추가적인 세부사항 없이 이러한 익스플로잇 공격을 패치했는지 여부를 발표할 가능성이 매우 낮다. 난다오에 대한 유일한 설명은 이것이 무더기 오버플로우 메모리 파괴 취약성이라는 것이며 이것이 위치한 커널 구성요소에 관해서는 설명이 없다.

취약성 정보 기업 RBS(Risk Based Security)의 조사 담당 최고 책임자인 카슨 아이람은 이메일을 통해 “애플이 완전한 세부사항 그리고/또는 익스플로잇 공격을 획득했을 뿐 아니라 엄격한 기저 원인을 분석하지 않았다면 애플은 새로운 버전이 영향을 받지 않았다고 확신할 수 없다”고 밝혔다.

다른 소프트웨어에 영향을 끼치는 결함들도 마찬가지다. 아이람의 회사는 일부가 패치되었지만 일부는 프레지 데스크톱(Prezi Desktop) 침투 소프트웨어의 DLL 장악 결함 등 영향을 받는 프로그램의 최신 버전에서 여전히 효과가 있음을 확인했다.

아이람은 “새로운 버전이 언급되지 않았다고 해서 영향을 받지 않을 것이라고 속단해서는 안 된다”고 당부했다.

그리고 결국 이 모든 결함이 업체들에게 공개되어 패치된다 하더라도 CIA가 더는 새로운 제로데이(Zero Day) 익스플로잇 공격을 수행할 수 없는 것은 아니다. 2016년 3월에서 익스플레잇 공격을 확보하기 위해 계속 노력하고 있었다.

해당 기관은 내부 문서가 유출될 당시에 패치되지 않은 취약성에 대한 익스플로잇 공격이 있었으며 지금도 인기 프로그램과 운영체제의 최신 버전에 대한 유사한 익스플로잇 공격을 보유하고 있을 가능성이 매우 높다.

제로데이 익스플로잇 공격은 항상 존재하며 단지 정보기관의 손에 없을 뿐이라는 사실을 인식하는 것이 중요하다. 사업부를 위한 감시 소프트웨어를 개발하는 이탈리아의 기업 해킹팀(Hacking Team)이 2015년에 유출한 사건에서도 해당 기업이 해커들로부터 주기적으로 제로데이 익스플로잇 공격을 구매하고 있음이 드러났다.

여러 해커 그룹들이 수년 동안 공격에 제로 데이 익스플로잇 공격을 활용했으며 일부는 이를 너무 자주 활용한 나머지 패치되지 않은 결함이 무더기로 쌓여 있을 수 있다. 또한 엄청난 금액을 지불하여 이런 익스플로잇 공격을 확보한 후 사법부와 정보기관 등의 고객들에게 재판매하는 개인 브로커들도 있다.

“이번 유출 건은 이런 기관의 능력이 우리의 상상이라는 점을 확인시켜주었을 뿐이다”고 아이람은 밝혔다.

아이람에 따르면, 소프트웨어 업계는 코드에 취약성이 발생하지 않도록 개발자들이 더욱 잘 예방하고 탐색을 더 어렵게 하며 위험을 낮추는 기능을 개발할 수 있다고 말했다. 하지만 가까운 시일 내에 모든 취약성을 없앨 수 있는 마법의 지팡이 따위는 존재하지 않는다. 다만, 연례 통계를 보면 소프트웨어 취약성의 수가 실제로 증가 추세임을 알 수 있다.

아이람은 “이 때문에 사용자들이 디지털 세계를 탐험할 때 누구나 원한다면 언제든지 자신의 시스템을 장악할 수 있다는 사실을 염두에 둬야 한다”며 “약간의 논리, 비판, 보안 인식이 물리 및 디지털 세계에서 큰 도움이 된다”고 이야기했다.

사이버 간첩 행위 공격의 표적이 될 가능성이 높은 사용자와 기업은 보안 업체의 패치를 적용하는 수준을 넘어 제로 데이 익스플로잇 공격의 존재를 고려하는 방어에 대해 다계층적 접근방식을 취해야 한다. ciokr@idg.co.kr
 

X