FEAR
INDUSTRY
일부 보안 리서치 회사들, 보안 강화보다 금전적 이득에 집착
사용자 권리 앞세운 균형 있는 대응과 비즈니스 윤리 필요
많은 보안 리서치 회사들이나 연구자들이 소프트웨어의 심각한 결함을 밝혀 기업과 사용자에게 긍정적인 방향으로 기여하고 있다. 하지만 일부 비도덕적인 회사들은 정보를 미리 공개해 해커들의 공격 위험성을 조장하고 그를 통해 자사의 이득을 챙기기도 한다. 물론 여기에는 마이크로소프트나 오라클 같은 대형 회사들의 미온적인 대응도 한몫 하고 있다<편집자>
자체 정보시스템의 보안 문제에 대해 모르고 있다는 것은 정보 보안 담당자에게 큰 상처를 안길 수 있다. 그리고 아마도 이미 여러 번 그런 경험이 있었을 것이다. 하지만 보안 결점에 대한 수많은 정보가 너무 많은 것은 아닐까? 대부분의 정보 보안 관리자들은 보안의 취약성에 대해 더 자세한 정보를 가지면 가질수록 휠씬 더 잘 대비할 수 있다는 믿음을 갖고 있다. 이를 위해 보안 관리자들은 소프트웨어 공급업체의 공식 보안 권고 뿐만 아니라 제품의 결함 분석에 특화된 보안 리서치 회사에 의존하고 있다.
지적 우수성을 경제적으로 악용
바로 이것이 논쟁이 불붙는 지점이다. 많은 보안 리서치 회사들은 제품의 심각한 결함을 밝혀 즉각 수정될 수 있도록 함으로써 긍정적인 방향으로 기여한다. 그러나 일부는 공급업체가 제품을 패치할 수 있는 기회를 갖기도 전에 소프트웨어 결함에 대한 정보를 일반에 공개하거나 폭로함으로써 자신들의 지적 우수성을 지나치게 경제적으로 이용하려 한다. 결정적인 취약점을 미리 공개하는 이러한 파렴치한 자기선전은 그들에게 명성은 물론 거액의 컨설팅 계약을 가져다 준다.
이에 따라 일부 리서치 회사들은 결함을 찾아내는 해커들에게 금전적인 보상을 지불하기도 한다. 물론 최악의 결함에 대해서는 특별한 보상이 제공되는데 예를 들어 마이크로소프트는 이 리스트의 최상단에 올라 있다. 이러한 비도덕적인 공개는 크래킹의 기회를 호시탐탐 찾고 있는 악성 해커들에 의해 곧바로 이용된다. 또한 IT 부서로 하여금 전략적인 프로젝트에 집중하는 대신 다음에 다가올 대형 웜이나 트로이목마에 대비해 시스템의 취약점을 메우는 데 시간을 허비하게 만들기도 한다.
이들 리서치 회사들은 또한 마이크로소프트와 오라클 같이 명성을 유지해야 할 책임이 많은 초일류 업체들을 붙들고 있다. ISP 넷링크 서비스사의 인터넷 보안 전문가인 조지 뢰티거는 이메일 인터뷰에서 오늘날 소프트웨어 제품은 공급 업체들에 대한 끊임없는 공개적인 위협으로 인해 부분적으로 더 보안성이 높아지고 있다고 말한다. "리서처들은 또한 많은 영향력을 갖고 있다. 정보에 대해 충분한 지식이 없는 초급 해커들에 의해 오히려 위험하게 이용될 수 있기 때문이다."
윈도우 메타파일의 교훈
올해 초 윈도우 메타파일(WMF)을 둘러싼 경험은 왜 이들 보안 리서치 회사들이 그렇게 논쟁을 야기시키고 막강한 힘을 갖고 있는지를 보여준다. WMF는 대표적인 진정한 제로데이 공격을 이용한다. 이는 마이크로소프트가 패치를 내놓기 전에 여러 버전의 윈도우를 위협한다. 지난 1월에 공격자들이 WMF 이미지를 처리하는 윈도우의 그래픽 렌더링 엔진을 이용해 사용자의 컴퓨터에 악성 코드를 실행할 수 있게 해주는 WMF의 취약성이 드러났다. 몇몇 보안 리서치 회사들은 메일링 리스트를 통해 취약성에 대한 정보를 공표했다. 불과 몇시간 후 연구자 H.D. 무어는 자사의 메타스플로이트 웹 사이트에 이 소프트웨어 결함을 이용해 작성한 코드 샘플을 게재했다. 일부는 침입 탐지 시스템 보강에 필요한 식견을 제공한다는 차원에서 이러한 행동을 옹호했지만 다른 사람들은 무어가 해커들이 보다 쉽게 그 결함을 이용할 수 있도록 도와준 셈이라고 비난했다.
이에 대해 이스라엘 IT 보안 교육 회사인 시큐리티테크놀로지스의 선임 테스터인 마티 아하로니는 "나는 둘다 맞는 의견이라고 본다. 유일한 실질적인 차이는 이른바 '보안 전문가'들의 의도에 달려 있다"고 이메일 인터뷰에서 밝혔다.
윈도우 메타파일에 대한 이러한 소동은 보안 관리자들에게 아주 괴로운 나날을 선사했다. 브라운대학의 보안 담당 이사인 코니 새들러는 "우리가 아무것도 하지 않으면 엄청난 재앙이 닥칠 것으로 예측하는 사람들이 있었다. 그래서 며칠 동안을 정규 업무에서 손을 떼고 만일의 경우에 대비해 여러 사이트들을 모니터링하는데 시간을 보내야 했다"고 말한다.
연구자들이 소동을 피우는 동안, 자신을 방어해야 하는 기업들은 선택이 별로 없었다. 마이크로소프트의 고객들은 공식 패치를 기다리거나 벨기에 소프트웨어 회사 데이터레스큐의 선임 개발자인 일파크 길파노프가 작성한 대안 패치를 설치해야 했다.
길파노프의 대안 패치는 SANS 인스티튜트의 인터넷 스톰 센터와 보안 기술 회사인 F-시큐어의 승인을 받긴 했지만 여러 관리자들은 이 때문에 딜레마에 처하기도 했다. 이에 대해 록히드마틴의 글로벌 인프라 보안 매니저로 근무하기도 했던 새들러는 "만일 우리가 사용자들에게 그것을 설치하라고 요청하면 써드파티 패치를 찾아서 설치하는 것이 아무 문제가 없다고 이야기하는 셈이고, 그러면 또 불순한 의도를 가진 그룹이 이 사용자들을 이용할 기회를 주게 된다"고 말한다.
보안 연구자들의 이러한 공세는 한가지 실질적인 효과를 발휘했다. WMF 취약성을 신속하게 패치하지 않는다는 비난에 처한 마이크로소프트는 매주 화요일에 정기적으로 패치를 내놓는 이른바 '패치 튜즈데이' 보다 5일이나 앞서 WMF 보안 패치를 내놓아야 했다. 이에 앞서 마이크로소프트는 취약성의 전파 속도가 느리고 위험도 낮기 때문에 응급 패치를 내놓지 않을 것이라고 말했다. 그리고 패치의 적절한 테스트를 위해 더 많은 시간이 필요했다. 길파노프의 대안 패치에 대한 광범위한 승인은 특히 WMF 문제를 악화시키는 악성코드가 이미 작성돼 돌기 시작했다는 보도와 함께 이러한 입장을 바꾸게 만들었다.
'책임 있는 공개'의 원칙
보안 리서치 회사들이 민감한 정보를 다룰 때 지켜야 할 진정한 한가지 규칙은 '책임 있는 공개'이다. 이는 취약성에 대한 세부 정보가 공개되기 전에 소프트웨어 공급업체에게 패치를 만들 기회를 주고 사용자들이 시스템을 패치할 시간을 주는 것이다. 마이크로소프트와 많은 다른 업체들은 리서치 회사들이 자신이 발견한 것을 리포트할 수 있는 메일 주소를 갖고 있다.
그러나 리서치 회사들은 취약성에 대한 정보를 인터넷에 바로 공개하는 것이 더 많은 주목를 받고 경제적인 이득과 연관된다는 것을, 그리고 일부 해커들이 말하는 이른바 코드 남용 가능성의 증거(proof-of-concept exploit code)가 공급 업체들이 신속하게 소프트웨어 버그를 수정하도록 확신시키는 데 필요하다는 것을 알고 있다. 물론 이러한 코드는 경험이 적은 해커들에게 악성코드 템플릿을 제공하는 결과를 낳기도 한다.
마이크로소프트만이 리서치 커뮤니티를 항상 주목하고 있는 유일한 공급업체는 아니다. 애플의 맥아이채트 인스턴트 메시징 서비스는 신원미상의 사용자가 맥루머스닷컴 사이트에 일종의 트로이 목마인 OSX/Leap.에 대한 링크를 포스팅 한 바로 다음인 지난 2월 이 악성코드의 공격을 받았다. 오라클도 마찬가지로 뒤를 따라다니는 사냥꾼들이 있다. 이들은 공개적으로 오라클 소프트웨어의 결함에 대해 토론하고 논쟁거리가 되는 대안 코드를 내놓는 등 오라클의 1월 패치 업데이트 소동을 일으켰다.
그리고 시스코 시스템즈의 네메시스(복수의 화신) 마이클 린을 잊지 말자. 지금은 시스코의 경쟁사인 주니퍼 네트웍스에서 일하고 있고 그전에 인터넷 시큐리티 시스템즈(ISS)의 연구원이었던 린은 2005년 7월 블랙햇 컨퍼런스 프리젠테이션에서 해커들이 시스코의 IOS(Internetwork Operating System)에 침입해 기업의 네트워크 트래픽을 조정할 수 있다는 것을 입증했다.
이 프리젠테이션은 소프트웨어 보안 분석가들의 스포트라이트를 받으면서 다른 어떤 소프트웨어 결함 공개 이상의 파급력을 발휘했다. ISS의 엑스포스 리서치 멤버로 IOS에 대해 연구했던 린은 시스코를 격노케 했고 시스코는 그를 고객의 네트워크를 더 취약하게 만들었다며 고발했다. 린은 단지 IOS에 대한 악성 해킹 가능성을 시스코 고객들에게 경고하기 위한 것이었다고 주장했다.
WMF가 야심찬 보안 리서치 회사들에게 의해 올해 밝혀진 마이크로소프트의 유일한 취약성은 아니다. 보다 최근에 소프트웨어 취약성 전문 검색 회사인 시큐니아 리서치사의 연구원인 안드레아 샌드블래드는 인터넷 익스플로러에서 공격자들이 웹 브라우저의 'createTextRange' 자바스크립트 메쏘드 콜의 처리의 오류를 이용할 수 있도록 해주는 결함을 발견했다. 이를 통해 해커들은 키스트로크 로거와 다른 악성 소프트웨어를 설치할 수 있다.
취약성 공개 경쟁
시큐니아는 즉각 이 문제를 마이크로소프트에 경고했다. 그러나 마이크로소프트는 또 다른 리서치 회사가 마이크로소프트에 통보하기 전에 공개적으로 이 취약성에 대한 경고를 포스팅했다고 말하고 있다. 마이크로소프트는 맨 먼저 컨설팅받은 또다른 리서치 회사인 이아이 디지털 시큐리티사에게 문호를 개방하고 그 문제를 고치기 위해 정기 패치 일정인 4월 11일 화요일까지 기다리기로 결정했다.
'createTextRange' bug의 등장에 불과 며칠 앞서 네덜란드의 프로그래머인 제프리 반 데어 스타트는 인터넷 브라우저가 HTML 애플리케이션 또는 HTA 파일을 처리하는 방식과 관련된 문제가 있다고 마이크로소프트에 알렸다. 그는 자신의 웹 사이트에 이 취약성에 대한 세부 정보를 올렸다. 그러나 나중에 마이크로소프트의 요청에 따라 자세한 정보는 사이트에서 내렸다.
보안 리서치 회사들은 축복과 재앙 사이에 그어져 있는 선을 걷고 있다. 넥스트 제너레이션 시큐리티 소프트웨어사의 관리 이사인 데이비드 리치필드는 오라클 PL(Procedural Language) SQL 확장에 대한 취약성 분석 업무를 의뢰 받아 그 문제의 요약 보고를 버그트래크와 풀 디스클로저 보안 메일링 리스트에 포스팅했다. 리치필드가 '결정적'이라고 말하는 그 결함은 오라클 PLSQL 게이트웨이에 있었고 이는 공격자가 취약한 웹 서버를 통해 오라클 데이터베이스 서버를 제어할 수 있게 해주는 것이었다.
리치필드는 계속해서 시만텍이 소유하고 있는 메일링 리스트인 버그트래크에 사용자가 오라클의 취약성을 방어할 수 있는 대안 패치를 포스팅했다. 그러나 오라클은 이 대안 패치가 특정 이비즈니스 애플리케이션이 적절하게 동작하는 것을 막는다고 대응했다. 리치필드는 자신은 문제를 야기시키지 않았고 공개는 사람들이 자기 방어를 위한 책임을 갖게 하는 것이라고 자신의 행동을 옹호한다. "많이 공개하건 조금 공개하건 항상 문제는 있는 것"이라고 그는 말한다.
하지만 때때로 리치필드 같은 연구자들은 자신이 의식하지 못하는 가운데 문제를 악화시키기도 한다. 2002년에 독일은행에서 IT 컨설턴트로 일하던 동안 리치필드는 마이크로소프트 SQL 서버 데이터베이스에서 장애를 유발시키는 결함을 발견하고 그 문제를 마이크로소프트에 리포팅했다. 일주일 후 마이크로소프트는 리치필드가 발견한 '"heap overflow'와 'stack overflow' 취약성을 해결하는 패치를 내놓았고 그는 미국에서 열린 블랙햇 컨퍼런스에서 그 문제에 대해 프리젠테이션하면서 가능한한 빨리 패치를 해야 한다고 경고했다. 그는 "나는 그 당시 패치를 하지 않을 경우 이것이 웜으로 바뀔 수 있다고 분명히 경고했다. 하지만 그들은 하지 않았고 결국 우리는 슬래머 웜을 맞게 됐다"고 말한다.
리치필드는 이 사례에서 소중한 교훈을 배웠다. 코드를 내놓는 것이 사람들에게 문제를 알리는 최상의 방법은 아니었다는 것이다. 어쨌든 슬래머는 패칭과 패치 관리에 대한 사람들의 생각과 입장을 바꾸는데 큰 도움이 됐다고 그는 말한다.
핵심 인프라에도 위협이…
리치필드는 확신에 찬 목소리로 공급업체와 사용자 모두 힐책 받아야 할 점들이 너무 많다고 말한다. 그의 넥스트 제너레이션 시큐리티 소프트웨어는 현재 영국 국립 인프라 보안 코디네이션 센터에 소프트웨어 취약성에 대한 서비스를 제공해 핵심 IT 인프라를 운영하는 조직을 보호하는 데 도움을 제공하고 있다.
자신을 표도르라고 부르는 프로그래머에 의해 운영되는 인시큐어(Insecure.org)에 리치필드가 1월 5일 게재한 내용을 보면, "많은 영국의 핵심 국가 인프라가 오라클에 의존하고 있다. 이는 다른 국가들도 마찬가지다. 나는 오라클 데이터베이스에 저장된 나에 대한 많은 개인 정보들이 있다는 것을 안다. 그것이 대부분의 사람들처럼 내가 오라클의 보안에 대해 관심을 가져야 할 훌륭한 이유다. 나는 오라클이 보안에 최선을 다하길 원한다. 그것이 내 개인 정보의 보안을 유지하는 진정한 방법이기 때문이다."
독일과 스위스 오라클에서 근무한 바 있고 현재 보안 리서치 및 컨설팅 회사인 레드 데이터베이스 시큐리티사의 CEO 알렉산더 콘브러스트 CEO는 지난 1월 투명한 데이터 암호화라는 오라클 보안 기능이 마스터 암호화 키를 암호화하지 않은 채 시스템 글로벌 영역, 즉 클라이언트와 오라클 데이터베이스 사이에 데이터의 투명성을 도와주는 오라클의 구조화 메모리에 저장된다고 보고했다. 콘브러스트의 결론은 능숙한 공격자 또는 해킹 기법에 정통하지 않은 데이터베이스 관리자 조차도 플레인 텍스트 마스터 키를 찾아내 이를 갖고 모든 데이터 암호를 해독할 수 있다는 것이다. 오라클은 같은 달에 패치를 업데이트해 이 문제를 해결했다고 말한다.
콘브러스트는 그와 다른 보안 연구자들이 수행하는 일은 오라클의 소프트웨어 보안 개선에 핵심적인 것이라고 주장하고 있다. 그는 "오라클은 이전보다 훨씬 노력하고 있다. 더 많은 사람들이 오라클 보안과 관련된 내용을 내놓고 있기 때문"이라며, "만일 내가 내 작업 중 오라클 제품의 보안 문제를 발견한다면 나는 정상적으로 이를 오라클에 리포트해 더 보안이 우수한 제품을 만들도록 할 것"이라고 말한다.
콘브러스트는 오라클을 구하는 데 전문가가 되고 있다. 4월초에 그는 오라클이 고객 지원 포탈에 패치가 안된 오라클 데이터베이스 9i와 데이터베이스 10g의 취약성에 대한 세부 정보를 사용 코드 샘플과 함께 실수로 올렸다는 것을 알았다. 이 취약성은 사용자들이 자신의 액세스 권한을 높일 수 있도록 하는 것이었다. 콘브러스트는 이 실수를 오라클에 알렸고 관련 정보는 사이트에서 삭제됐다. 오라클은 관련 패치를 조만간 내놓을 계획이다.
이러한 실수는 특히 오라클에게 고통스러운 것이었다. 오라클은 전형적으로 자사의 소프트웨어의 버그에 대해 모호한 입장을 취하는 편이다. 오라클은 보안 리서치 회사와 함께 취약성을 찾는 작업을 하더라도 그것이 해커에게 도움이 될 것이라 확신하면 취약성과 패치에 대해 많은 정보를 제공하는 것을 경계한다. 취약성을 발견하면 대개는 패치가 나올 때까지 조용히 넘어간다. 기업들이 자체적으로 구현할 수 있는 대안 패치 등 더 많은 정보가 공개되지 않기를 바라는 것이다.
콘브러스트는 웹이나 메일링 리스트에 오라클 취약성에 대한 정보가 공개되는 것을 그리 염려하지 않는다. 그는 사용자의 위험에 초점을 맞추고 있다. "대부분의 DBA 및 보안 담당자들은 오라클의 권고가 매우 모호하기 때문에 추가 정보를 원한다"고 그는 말한다. 많은 IT 담당자들도 같은 의견을 갖고 있다. "나는 모든 정보를 진지하게 고려한다"고 맥그로힐의 데니스 브릭시우스 부사장 겸 최고 보안 책임자는 말한다. "100% 완벽한 보안을 갖춘 제품은 없다. 우리는 이를 모두 이해한다."
그러나 보안 리서치 회사들이 아무런 패치도 없이 제로데이 공격에 활용될 수 있는 프로토콜과 정보를 제공하려 할 때 자신을 보호하려는 사용자들 뿐만 아니라 다른 연구자들과도 충돌한다. 이러한 회사들은 일반적으로 보안보다는 자기 회사와 제품을 알리는 데 더 관심을 갖고 있다. 일부 회사들의 경우 취약성은 가장 저렴한 마케팅 수단이라고 콘브러스트는 말한다.
사용자들 또한 보안 리서치 회사들이 결함을 최초로 발견하길 원하는 것에 경제적 목적이 있다는 것을 알고 있다. 이 회사들을 평가할 때는 보안에 대해 어떤 자세와 입장을 갖고 있는지 살펴 보아야 한다고 브라운대학의 새들러는 말한다.
현상금 사냥꾼
취약성에 대해 대가를 지불하는 별난 곳에 들어가면 최고 1만달러까지 가격표가 붙어 있다. 쓰리콤의 티핑포인트 네트웍 보안 사업부는 제로데이 이니셔티브를 통해 프리랜서 연구자들이 쓰리콤이나 티핑포인트가 판매하는 것 뿐만 아니라 다양한 애플리케이션에서 보안 결함을 찾아내면 그에 대한 대가를 지불하고 있다. 이 회사의 정책은 연구자들이 반드시 쓰리콤의 웹 사이트에 등록을 해야 하고 티핑포인트가 그 정보의 정확성에 대해 검증하고 결함의 심각도를 측정하고 패치가 나올 때까지 관련 공급업체들과만 정보를 공유하는 것이다.
티핑포인트는 제로데이 이니셔티브를 지난해 8월 출범시켰고 25명의 자체 인력을 포함해 300명 이상의 연구자들과 함께 작업해 왔다. 프리랜서 연구자들은 티핑포인트가 기대하는 것을 찾고 자신들의 작업을 제출하기 위해 포털에 액세스한다. 연구자들은 포털에서 취약성 발견 구역으로 들어온다. 그곳은 정보가 암호화돼 티핑포인트 연구원들에게 전달된다. 티핑포인트 연구원들은 그 결함이 자사 고객들의 환경에 널리 도입돼 있는 기술에 어떤 영향을 미치는지를 판단한다.
티핑포인트의 보안 연구 담당 이사인 데이비드 엔들러는 "취약성을 찾아내는 것이 악의적인 것이라는 오해가 있다"면서, "합법적인 보안 리서치 회사들이 있다. 그러나 그들 모두가 다 자신이 발견한 것을 갖고 무엇을 해야 하는지 알고 있는 것은 아니다"라고 말한다.
일단 티핑포인트가 제출된 정보를 평가하면 독립적인 리서치 회사가 티핑포인트 고객사에 미치는 그 취약성의 가치에 대해 평가해 지불할 비용을 산출한다. 그리고 가격이 합의되면 티핑포인트는 그 리서치 회사에 정부 발행 사업자 등록증 사본이나 여타 정보를 보내줄 것을 요청한다.
일부는 어쩌면 대형 소프트웨어 업체들에 의해 무시됐을지도 모르는 작업이 주목을 받는다는 점에서 현상금이 가치 있다고 말한다. 베리사인이 지난해 7월 인수한 보안 리서치 그룹인 아이디펜스(iDefense)의 신속대응팀 이사인 켄 턴햄은 "만일 무명의 연구자가 마이크로소프트에게 취약성에 대해 경고한다면 마이크로소프트가 과연 얼마나 그에게 대꾸를 하겠는가"라고 말한다. 베리사인은 미공개된 취약성이나 악성 코드를 신고하는 연구자들에게 보상을 지불하고 있다. 2002년에 만들어진 이 프로그램은 거의 300명의 독립 연구자들이 등록돼 있다.
아이디펜스는 마이크로소프트를 핵심 등급으로 분류해 놓고 마이크로소프트 제품의 모든 취약성에 대해 1만달러의 현상금을 지불한다. 결함에 대해 보상금을 지불하는 것은 썩 좋지 않게 보일 수도 있지만 아이디펜스는 마이크로소프트 WMF 취약성이 4천달러에 암거래되는 것을 보고 이 프로그램을 만들었다. "우리는 아웃렛을 제공하고 있는 셈"이라고 조셉 펭린 아이디펜스 사장은 말한다. "이미 이러한 취약성을 거래하는 암시장이 존재하고 있다"는 것이다.
마이크로소프트는 자사 제품의 핵심 결함을 찾는데 1만달러의 현상금이 걸려 있는 것에 별 관심을 갖고 있지 않다. "우리가 선호하는 방식은 이 일을 통해 경제적인 이득을 창출하기 보다는 커뮤니티와 직접 함께 하는 것"이라고 스타샤코폴로스 마이크로소프트 보안 담당 선임 이사는 말한다. 마이크로소프트는 아직까지 아이디펜스에 이 보상 프로그램을 중단할 것을 요청하지 않고 있다.
커뮤니티와의 협력
리서치 커뮤니티가 해야 하는 비공식적인 영역을 인정하는 것을 포함해 마이크로소프트의 커뮤니티에 대한 대응 역사는 꽤 오래 됐다. 스타샤코폴로스는 "선과 악의 구분은 이 영역에서 무의미하다. 우리의 일은 커뮤니티를 이해하는 것이고 책임 있는 공개를 촉진시키는 것"이라고 말한다.
마이크로소프트는 지난해와 같은 윈도우 2000 플러그 앤 플레이 문제가 반복되는 것을 원치 않고 있다. ISS의 연구원들은 지난해 공격자가 감염된 시스템을 완전히 제어하고 원격으로 코드를 실행할 수 있도록 하는 결함을 발견했다. 이는 조톱(Zotob) 웜의 다양한 변종으로 이어졌다.
마이크로소프트는 1998년부터 정기 보안 보고서를 발행하고 있지만, 2001년에야 외부의 보안 연구자들이 발견한 취약성을 이 보고서에서 인정하기 시작했다. 그 다음해 마이크로소프트는 블랙햇 컨퍼런스에 참여했고 큰 역할을 담당하기 시작했다. 이는 독립적인 보안 리서치 커뮤니티와 손잡겠다는 마이크로소프의 사고 방식의 변화에 따른 것이다.
2005년 3월부터 마이크로소프트는 초청자들을 대상으로 1년에 2번 블루햇 시큐리티 브리핑을 개최하고 있다. 여기서 보안 연구자들의 마이크로소프트 프로그래머들과 함께 제품의 보안상의 약점을 토론하고 피드백을 제공한다고 마이크로소프트의 보안 프로그램 매니저인 스테픈 툴루스는 말한다.
마이크로소프트는 여전히 커뮤니티와 상충된 이해 관계를 갖고 있다. 여기에는 올해 초 패치가 나오기 전에 인터넷 익스플로러와 WMF 문제에 대해 경보를 발행한 보안 리서치 회사들도 포함돼 있다. 하지만 마이크로소프트는 계속 이들 보안 연구자들이 심각한 위협을 포착할 수 있을 것이라며 믿으며 함께 일하고 있다. 그리고 결함을 발견한 보안 연구자들이 제일 먼저 마이크로소프트로 간다면 공적인 인정을 얻을 수 있다.
보안 컨설턴트인 콘브러스트는 리서치 커뮤니티를 포용하고 끊임없는 검증을 받는 것이 마이크로소프트 제품이 계속 나아지는 유일한 방법이라고 말한다. 그는 블루햇 이벤트의 프리젠터이기도 하다. 일부 극단적인 비판자들 조차도 마이크로소프트가 점차 평판을 얻어가고 있다고 말한다. 보안 연구자인 무어는 동료 연구자들에게 3월의 IE 취약성에 대한 더 이상의 불필요한 공세를 중단할 것을 촉구하기도 했다. 그도 블루햇 이벤트에 연사로 참여했다.
"항상 문제를 드러내자"
취약성을 공개할 때 지켜야 할 명확한 가이드라인이나 합의된 윤리 원칙은 없다. 하지만 연구자들이 자신의 발견 성과를 어떻게 커뮤니케이션해야 하는가에 대한 일정한 표준 절차는 있다. 그리고 일부 연구자들은 보안 취약성 보고 및 대응에 대한 OIS (Organization for Internet Safety) 가이드라인을 준수하고 있다(www.oisafety.org).
이 가이드라인은 기업을 위험에 빠뜨리지 않고 보안 취약성을 발견하고 공개하기 위한 최상의 절차를 담고 있다. 하지만 정보의 공개 범위나 수준에 대해서는 규정하지 않고 있다. 결과적으로 티핑포인트는 이 가이드라인을 지키지 않고 있다. "그것은 굉장히 복잡한 규칙을 담고 있다. 그래서 우리는 사례별로 접근해야 한다는 생각을 갖고 있다. 해당 제품 공급업체와 이에 대해 논의하는 것도 필요하다"고 엔들러는 말한다.
양이나 질적인 측면에서 보안 연구의 방대함은 계속 IT 보안 담당자들에게 힘든 과제가 될 것이다. 그러나 대부분의 보안 전문가들은 더 많은 정보를 원하고 있다. 브라운대학의 새들러는 "항상 문제를 드러내자. 물론 때때로 역풍이 불 수는 있다. 하지만 보다 높은 차원에서 볼 때 그것을 훌륭한 일"이라고 말한다. 그는 또 보안이 불철저한 제품을 계속 생산하는 업체들을 추적하는 것은 결코 나쁜 일이 아니라고 강조한다.
Larry Greenemeier
더 자세한 정보를 원하면 바이러스 및 패치 테크 센터 (informationweek. com/security/viruses) 를 참조.
보안 연구의 수치스러운 순간들 10
1SQL 슬래머 연구자 데이비드 리치필드는 마이크로소프트가 SQL 패치를 내놓은 일주일 후에 블랙햇 컨퍼런스에서 이에 대해 프리젠테이션했다. 슬래머 웜은 이 결함을 이용해 2003년 인터넷 대란을 야기시켰다.
2윈도우 플러그 앤 플레이 ISS의 연구원들은 지난해 4월 공격자가 감염된 시스템을 제어하고 원격으로 코드를 실행할 수 있게 만드는 윈도우 취약성을 발견했다. 결국 8월에 조톱 웜이 이를 이용해 확산됐다.
3시스코 IOS ISS의 연구원이었던 마이클 린은 2005년 7월에 해커들이 기업의 네트웍을 제어할 수 있다는 것을 보여주었다. 시스코는 그를 고객의 네트웍을 더 취약하게 만들었다며 고발했다.
4 윈도우 메타파일 연구자 H.D. 무어는 1월에 이 취약성을 이용해 작성한 샘플 코드를 공개했다. 일파크 길파노프가 이에 대한 비공인 대안 패치를 작성했고, 결국 마이크로소프트는 당초 일정보다 5일 앞서 패치를 내놓아야 했다.
5 오라클 트랜스페어런트 데이터 암호화 레드데이터베이스 시큐리티의 연구원 알렉산더 콘브러스트는 1월에 이 취약성에 대해 보고했다. 오라클은 같은 달에 패치를 내놓았다.
6 오라클 PLSQL 게이트웨이 리치필드는 1월에 열린 블랙햇 컨퍼런스에서 이 제품의 취약성에 대해 공개했다.
7 애플 맥 아이채트 신원미상의 사용자가 지난 2월 13일 맥루머스닷컴 사이트에 일종의 트로이 목마인 OSX/Leap.에 대한 링크를 올렸다. 이는 애플 맥 OSX 플랫폼의 첫번째 바이러스다.
8 인터넷 익스플로러 createTextRange 연구자인 안드레아 샌드블래드는 3월에 해커들이 키스트로크 로거와 다른 악성 소프트웨어를 설치할 수 있도록 해주는 결함을 발견했다. 이아이 디지털 시큐리티사가 패치를 개발했다.
9 인터넷 익스플로러 HTA 파일 네덜란드의 프로그래머인 제프리 반 데어 스타트는 3월에 인터넷 브라우저가 HTML 애플리케이션이나 HTA 파일을 처리하는 방식에 문제가 있다고 마이크로소프트에 알렸다. 그는 자신의 웹 사이트에 이 취약성에 대한 세부 정보를 올렸다가 마이크로소프트의 요청에 따라 자세한 정보는 사이트에서 내렸다.
10 센드메일 SMTP 서버 소프트웨어 ISS는 3월에 이 인터넷 전자우편 전송 에이전트의 취약성을 발견했다. 센드메일은 즉각 패치를 내놓았다.
경보의 홍수를 피하라
너무 많은 정보가 의사결정에 방해가 될 수도 있다. 공급업체와 보안 리서치 회사들이 보내는 수많은 이메일 보안 경보를 받는 보안 전문가들에게 이는 큰 딜레마이다. 어떤 경보가 주목할 가치가 있는 것인가를 판단하는 열쇠는 보유하고 있는 IT 환경에 대해 정확히 아는 것이다.
브라운대학교의 IT 보안 이사인 코니 새들러는 자체 IT 환경의 최대 위험 요소에 기반해 정보를 거른다. 그는 "캠퍼스를 방문하는 사람이 많기 때문에 대개 네트워크 액세스 제어와 네트워크 등록에 관심을 갖고 있다"면서, "사건의 유형과 그에 대한 정보를 갖고 있을지도 모르는 사람에 주목하고 있다"고 말한다. 새들러는 IT 전문가들이 의존할 수 있는 유일한 정보 소스가 있다고 믿지는 않는다. "한 곳에서 필요한 모든 것을 얻을 수는 없다. 그것은 굉장히 무모한 일"이라고 강조한다.
보건의료 관련 회사들은 환자 정보 보호에 대한 정부 규제를 준수해야 하는 부담을 안고 있다. 인티그리스 헬쓰사의 정보 보안 책임자인 존 델라노는 "우리는 8명의 스탭이 있다. 우리 모두는 메일링 리스트에 가입돼 있다"고 말한다. 그는 사이버트러스트, 맥아피, 마이크로소프트 등 공급업체들의 정보에 의존하고 있다. 그리고 그의 스탭들이 정보를 공유할 수 있는 메일박스를 만들길 원한다.
기업들이 보안을 경쟁의 차별화 요소로 간주하고 독립적인 보안 리서치 회사들이 취약성을 찾아내는데 현상제도를 도입함에 따라 보안 연구는 계속 왕성하게 증가할 전망이다. 시만텍은 프리랜서를 포함, 300여명의 인력을 활용해 지난해 3,800여개의 취약성을 상용 소프트웨어에서 찾아냈다고 보고했다.
연구의 많은 부분은 대형 소프트웨어 공급업체에 초점이 맞춰져 있다. 거기에 연구를 수행할 여지가 많이 남아 있기 때문이기도 하다. 10명의 전임 연구원들로 이루어진 ISS 엑스포스팀을 이끌고 있는 닐 메타는 "방대한 양의 연구 성과를 보게 될 것"이라면서, "많은 신기술들에 대해 보안 위험 요소를 검토해야 할 필요성이 있다"고 말한다.
맥그로힐의 데니스 브릭시우스 최고 보안 책임자는 위협에 대한 평가는 그 기업의 IT 환경에 기초해야 하기 때문에 얻을 수 있는 모든 정보를 원한다. "핵심 애플리케이션은 무엇인지, 거기서 실행되는 것들은 무엇인지, 이 시스템상에서 어떤 일이 일어나고 있는지 등등 내부의 환경에 대해 정확히 아는 것이 이러한 정보들을 걸러낼 수 있는 최상의 방안이다."