▲ 심준보 터보테크 연구원

개인적으로 2010년은 내가 처음으로 익스플로잇을 작성한 지 10년이 되는 해다. 아직도 생생히 기억나는 그때는 어린이날이라고 하는 5월 5일의 늦은 오후였다.

리눅스 SU(Switch User) 유틸리티 안에 sprintf 함수로부터 발생하는 포맷스트링버그(Format String Bug)를 이용하여 SUID로 걸려있는 권한을 얻는 일이었는 데, 그때는 내가 마치 대단한 해커라도 된 듯한 기분에 도취해 여기저기 떠벌리고 다녔던 게 기억난다.

물론, 그러다가 외국의 다른 해커가 먼저 작성한 익스플로잇에 기가 눌려 기억의 저편으로 묻어버렸지만 말이다.

사실, 이때 이 취약점은 내가 발견한 것이 아닌, 그때 운영하던 내 서버에 들어온 한 침입자의 로그에서 발견한 것을 토대로 다시 작성했었다. 그 당시로는 잘 알려지지 않은, 이른바 공표된 적이 없는 취약점이었다. 이른바 제로데이(zero-day)라고 생각하는 공격이었다. 하지만, 해커들 사이에서는 알만한 사람들은 다 아는 적당히 알려진 종류의 취약점이었다.

이른바 오로라 작전(Operation Aurora)이라고 알려진, 구글의 해킹사건 역시 알려지지 않은 취약점으로부터 출발했다. 웹해킹으로는 잔뼈가 굵다는 후배 하나가 "G메일에서 XSS 취약점을 찾아낸다면, 그야말로 대박이다"라고 단언했을 만큼 G메일의 XSS 보안 정책은 매우 훌륭했다.

G메일을 사용하는 고객을 둔 기업이 ‘html’ 페이지를 메일의 본문안에 정상적으로 보낼 수 없어 많은 고민을 했을 법하다. 그러나 크로스 도메인과 관련한 부분에 XSS는 사용 가능했고 이는 바로 MS사의 웹브라우저인 인터넷 익스플로러에 알려지지 않은 제로데이 취약점을 통해 JIT 스프레이(Spray) 당했고, 잘 짜인 보안 인프라속의 구글 G메일 계정 사용자들이 해킹당하는 것으로 이어졌다.

이는 구글이란 기업의 이미지에 막대한 손상을 초래했다. 물론, 오로라 작전에 대한 진상 논란이 많지만, 위의 시나리오는 알려지지 않은 취약점에 대한 경각심을 불러 일으킨다.

최근 MS에서 발표한 보안패치 ‘MS10-002’는 IE와 관련하여 5년이상 묵은 취약점이었다. 많은 G메일 사용자들은 이 취약점을 통해 공격당했다. ‘MS10-012’는 무려 20년 정도 묵은 오래된 취약점이다. 윈도 NT 3.0 때부터 존재해왔던 취약점인데 이른바 세상에서는 공표되지 않은 제로데이였던 것이다.

이를 악용한 악성코드들이 얼마나 있었는지는 모르겠지만, 분명 있기도 했을 것이다. 20년 동안이나 얼굴을 가린 공격자는 이를 악용하여 자신이 원하는 목적을 이루었을 것이다. 사실, 해커들과 하는 술자리에서 종종 이런 종류의 제로데이에 관한 이야기는 상당히 많이 논의된다.

비단 윈도 운영체제만의 문제가 아니다. 작년 9월 공표된 리눅스 센드페이지(Linux Sendpage)와 관련한 취약점 역시 10년 이상을 묵은 알려지지 않은 취약점이었지만, 해커들 사이에서는 아는 사람들은 다 알고 있는 취약점이었다.

운영체제 뿐만이 아니다. 기업의 운영을 담당하는 수많은 인프라 시스템 중에 특정 몇몇만 알고 있는 취약점이 얼마나 될까? 이는 기업의 보안을 담당하는 사람들의 입장에서는 상상도 하기 싫은 문제이다.

더 심각한 문제는 이런 취약점들 중의 대부분이 원격코드실행이 가능한 매우 심각한 수준의 취약점이라는 데에 있다. 공격자는 이를 악용하여 기업의 시스템을 마치 자기 안방에 있는 것처럼 유린할 수 있다.

방화벽이라는 큰 존재는 사실 생각보다 큰 걸림돌이 되지 못한다. 시나리오는 얼마든지 있다. 건물 경비원의 집에 있는 악성코드가 회사로 옮겨와 방화벽을 우회할 수도 있는 일이다. 누가 알겠는 가? 중요한 것은 시나리오를 실현할 수 있는 취약점이라는 부분이다.

100% 보안은 없다. 이는 보안을 담당하는 사람들이 먼저 고개를 끄덕이는 말이다. 보안은 끊임없이 노력해도 100%는 없다. 하늘이 무너질까봐 두려워 살아봐야 소용없는 일이다. 그렇지만, 우리는 지금까지 너무 알려져 있는 이른바 잘 아는 취약점들만 보안해가며 살아왔다.

SQL 인젝션(Injection)을 막고, 보안 업데이트를 빠짐없이 하고, USB를 통제하고, 인증서와 OTP(일회용비밀번호)를 사용하는 것은 더 이상 발전적인 모습의 보안이 아니다.

제로데이란 말이 이른바 뜨거운 감자에서 싸늘하게 식어가는 감자가 되어가는 요즘, 새로운 뜨거운 감자꺼리를 찾아다니는 보안업계의 어쩔 수 없는 현실에는 언제나 탄식하게 된다. 그러나, 실제 공격하는 해커의 입장에서 보안담당자의 일을 보조할 만한 취약점 발견의 업무가 무엇보다 필요하다.

사실 해킹 기법, 기술이라는 것이 예전보다 많이 대중화되면서, 이른바 해킹학원들이 등장하는 추세에 이르렀지만, 자신의 모든 것을 인터넷에 다 공개하는 해커는 백명중에 한 명이 될까 말까 하다. 자신만이 알고있는 획기적인 방법 하나쯤은 가지고 있다는 말이다.

이런 알려지지 않은 취약점을 보완하는 행위를 일선에서는 하늘이 무너질까 두려워하는 것과 같다고 생각한다. 우리의 안일한 보안 문화는 여기서부터 목적지를 잘못알고 출발했다. 하늘이 무너질까 두려워 새로운 하늘을 만드는 것이 바로 보안이다. 하늘이 무너지는 일은 사람이 어찌할 수 없는 일이지만, 알려지지 않는 취약점을 예방하는 것은 사람이 할 수 있는 일이기 때문이다.

공격을 담당하는 사람을 두고, 내부정보를 유출할 수 있는지 테스트하고, 항상 공격 쪽 입장에서 생각하는 자세가 필요한 것이다.

최근 구글에서는 자신들의 웹브라우저인 크롬에서의 취약점 발견 콘테스트를 열고 상금 500달러를 내걸었다. 기업안의 보안담당자의 업무한계성 때문인지, 이벤트성 때문인지 이유는 알 수 없지만, 적어도 내 눈에는 공격을 통한 보안프로세스의 초석을 만들기 위함으로 보였다.

흔히들 기업의 취약점을 보고해주는 외부의 해커에게 따가운 눈초리를 돌려주거나 법적인 책임을 묻는 기업들은 기업의 내부정보가 외부의 해커에게 알려진다는 것이 매우 위험해 보인다면, 내부에 그와 같은 해커들을 구비하는 것도 좋은 방법이다.

괜히 공격기술을 전문적으로 익혀놓은 해커에게 보안 프로세스 기술을 억지로 익히게해 기업의 보안담당자로 내새우는 것보다는 훨씬 쓸모있게 기업 보안에 도움이 되게 하는 방법이다.

이제는 새로운 취약점의 시대이다. 알려진 취약점을 막는다는 것은 해킹기술의 대중화로 인해 매우 기본적인 일이 되었다. 새로운 취약점을 막는 것. 끊임없이 연구한다는 것. 공격자와 막는 자의 대결은 아직 끝나지 않았다.

끊임없이 계속될 것이라는 것은 누가봐도 불 보듯 뻔한 일이다. 공격하면서 막는다는 새로운 보안담당자의 자세는 우리들의 창과 방패가 영원한 모순을 지닌 것과 같이 계속해서 우리를 따라다니게 될 것이다.

끊임없이 연구하고 공부하고 발견해도 아직 모르는 취약점이 더 많다는 것. 이것이 얼마나 설레는 일인지는 원래는 해커였든 모든 보안담당자들이 알고 있을 것이다. 그것이 우리의 보안이라는 숙업을 더욱 원대하게 이루어 줄 것이다.

* 참고: 제로데이(Zeroday) 공격은 취약점이 공표된 뒤에 하루가 지나지 않았을 정도로 공격용 코드(Exploit)이 작성된다는 의미를 지니지만, 많은 해커들이 취약점 공표와 공격용 코드를 동시에 출시하면서, 알려지지 않은 취약점에 대한 공표의 의미로 사용되기도 한다.  이 글에서는 후자의 의미로 사용했다.

터보테크 심준보 연구원 Ⅰpassket@turboteck.co.kr