글로벌 칼럼 | "무시해선 안된다" 프린터 보안, CSO가 책임져야

대부분의 프린터는 안정된 보안 기능을 갖쳐져 있음에도 불구하고 재정 및 조직에서 잘못 배치되어 불안정하다.  
 

심피온&NCC 그룹의 2개의 독립적인 보안 연구팀의 최근 연구에 따르면, 프린터는 광범위한 내장 보안 기능에도 불구하고 공격자가 쉽게 공격할 수 있는 기업 내 주요 표적이 되고 있다. 

대부분의 기업은 자사의 프린터를 MPS(Managed Print Services) 공급업체에게 아웃소싱하고 있으며, MPS 공급업체 간의 가격 경쟁이 치열해짐에 따라 많은 기업이 비용과 효율을 위해 최적화하는 것을 장려하지만, 보안은 아니다. 이로 인해 많은 기업이 방어에 빈틈을 남기고 있다.

NCC그룹 연구원 다니엘 로메로와 마리오 리바스는 지난 9월 런던에서 열린 44CON에서 “프린터는 기업 네트워크의 민감한 부분에 자리잡도록 구성되어 있다. 프린터는 피벗과 네트워크 공격을 하기에 아주 좋다. 그들은 모든 종류의 정보를 처리하고, 위험성이 낮은 목표물이면서 능력 면에서 상당히 멍청한 것으로 간주된다. 프린터는 모든 조직에 존재하는 일반적인 사무기기로서 보안 상태가 매우 미숙하며 대부분의 조직에서 대체로 무시되고 있다"고 말했다.

섀도우 IT와 ‘정확히 누가 이 기기를 책임지고 있는가?’의 경계를 넘나들면서, 프린터는 대개 핵심적인 위치에 있는 보안 팀이 없이 IT 구매 사이클 밖에서 이뤄지기 때문에 프린터 배치에 대한 가시성이 떨어지는 경우가 많다.

아이러니하게도 오늘날 대부분의 기업용 프린터는 대부분의 사용자의 요구에 맞게 구성할 수 있는 정교한 보안 제어 장치를 갖추고 있지만, 일반적으로 MPS 제공업체가 수천 대의 장치를 쉽게 원격 관리하기 위해 기본적으로 꺼져 있다.

실제 보안뿐만 아니라 컴플라이언스 의무에 대한 위협적인 프린터들을 과대평가하는 것은 어려울 것이고, 그 해결책은 보안의 많은 것들과 마찬가지로 기술적인 것이 아니라 조직적인 것이다.

정확히 프린터란 무엇인가

현재 ‘전화’라는 단어가 ‘음성 통화도 할 수 있는 주머니 속 슈퍼 컴퓨터 및 추적 장치’를 의미하는 것과 마찬가지로, 오늘날 ‘프린터’라는 단어는 ‘MPS가 프린터를 폐기해 누군가가 암호화되지 않은 하드 드라이브에서 HIPAA(미국 건강보험 양도 및 책임에 관한 법)상 자신의 병원 데이터를 발견하고 문제를 일으키기 전에, 기본적으로 영구히 내부 하드드라이브에 이전에 인쇄된 민감한 문서를 저장하는 사무실 네트워크의 가장 민감한 부분에 기가비트 이더넷이 연결된 팩스, 복사기, 웹 서버, 이메일 서버, ftp 서버’를 의미한다. “아, 그리고 인쇄도 할 수 있다.” 

프린터는 자주 패치되지 않는다. 대부분의 SOC(Security Operations Center)에서 프린터 활동에 대한 네트워크 모니터링 알림을 해제한다. ‘토너를 교체하십시오’라는 경고 메시지는 대부분의 SOC 분석가들이 차단해놓은 상태다. 또한 프린터를 믿을 수 있는 것으로 간주한다. 한편, 러시아의 국가 후원의 해킹 단체는 자국의 관심 대상들에 대한 교두보를 얻기 위해 프린터를 해킹하고 있다(러시아가 이런 활동을 하고 있다면 다른 국가들도 하고 있을 것이다).

프린터 보안업체인 심피온의 백서는 ‘프린터는 독립형 서버와 달리 데이터센터에 공통적인 물리적, 기술적 안전장치와 제어장치가 없는 데이터센터 밖에서 관리되며, 보안 전문가가 아니고 IT 전문가가 아닌 사람들에 의해 관리된다. 이들은 데이터센터와 같이 높은 자격 증명이 요구되는 시스템 관리자가 아니며, IT 정책 및 절차에 포함되지도 않는다. 더군다나 프린터는 노트북과 마찬가지로 전사적으로 이동성이 있다(흔히 바퀴를 달고 있다)’라고 밝혔다.

위협을 차단하고 해결하기 위해서는 기본에 충실해야 한다. 보안에 관한 많은 것들과 마찬가지로, 문제는 기술적인 것이 아니다. 조직적이다. 누군가는 실제로 해당 작업을 해야 한다.

프린터 보안의 관리 주체는 누구인가

기업 보안 팀은 보안 요건을 RFP의 일부로 포함시키기 위해 조기에 프린터 조달에 관여할 필요가 있다. 하지만 더 중요한 것은, 누군가는 책임감이 있어야 한다는 것이다. 프린터 보안 담당자는 누구인가? 각기 다른 역할을 맡은 6명이 담당하게 된다면, 그것이 보안상 재앙을 가져오는 원인이다.

심피온 CEO 짐 라로는 “책임자는 CSO가 되어야 한다고 믿고 있다”라고 말한다. 보안은 검증된 속담처럼 산물이 아닌 과정이기 때문에, 프린터 보안 상태에 대한 지속적인 가시성을 확보하는 것이 필수적이다. 예를 들어 수리 기술자가 공장 기본값으로 재설정할 수 있는 경우, 유지 관리 후에도 보안 기능을 켜고 유지해야 한다.

불필요한 포트를 닫고 불필요한 서비스를 끄도록 한다. 의심스러운 활동이 있는지 네트워크 트래픽을 지속적으로 모니터링하라. 퇴근하기 전에 반드시 프린터 하드 드라이브를 안전하게 처리하라. 이들 드라이브는 종종 엄청난 양이며 인쇄 후에도 그 곳에 남아 있는 수많은 민감한 문서가 포함되어 있기 때문이다.

프린터는 일상 공격에 취약하다 

프린터 보안 확보 실패의 결과는 무엇인가? 안전하지 않은 웹 앱들을 프린터에 많이 설치했다면, 이런 웹 앱 가운데 많은 것들이 OWASP 상위 10대 가장 중요한 웹 애플리케이션 보안 리스크를 처리하지 못한다는 사실은 크게 놀랄 일이 아니다. NCC 그룹의 연구는 프린터 웹 애플리케이션, 프린터 서비스 및 하드웨어 자체에 대한 중대한 위험을 밝혀냈다.

이들은 ‘미약한 구성으로 인해 기본적으로 노출되는 수많은 서비스’라고 전했다. 프린터 웹 앱들은 사이트 간 요청 위조(Cross-Site Request Forgery, CSRF), 사이트 간 스크립팅(cross-site scripting, XSS), 심지어 경로 탐색( path traversal) 공격에 취약하다. 버퍼 오버플로우(buffer overflows)를 언급한 적이 있는가? 이들 모두 옛날 것이며 좋은 것들이다. 

프린터는 독점 프로토콜을 사용한다 

프린터 안전을 확보하는 데 가장 큰 걸림돌은 프린터 제조업체들이 공급업체의 록인(lock-in)을 위해 독점 소프트웨어를 사용한다는 것으로, 서로 다른 유형의 프린터들이 표준 프로토콜을 사용하는 보안 관리자 또는 프린터끼리 대화할 수 없다는 점이다.

심피온 백서는 "프린터가 스스로를 보호하기 위한 풍부한 보안 설정을 제공하지만, 이런 설정은 SNMP(Simple Network Management Protocol) 스캐닝(인쇄 산업에서 사용하는 표준 자동화)을 통해 접근할 수 없는 반면에, 프린터 제조업체의 프린터 관리 소프트웨어는 보안 설정에는 접근할 수 있지만  브랜드가 한정되어 있으며 전체 제품 또는 프린터 제조업체의 기존 장치조차 다루지 않을 것이다"고 밝혔다.

요즘 자주 그러하듯이, 시장은 강력한 사이버보안을 선택하지 못하는 인센티브를 창출한다. 기업은 이를 인정하고 공급업체가 상호운용성을 향상시키도록 공급업체에 압력을 가할 필요가 있다. 이에 실패하면 단일 공급업체와 협력하거나 플랫폼 중립적인 솔루션을 찾아내야 (또는 사내에서 개발해야) 한다.

보건 의료 업종, 프린터 취약점에 최악이다 

많은 다른 분야들이 시간이 지날수록 종이에 덜 의존하지만, 보건 의료에는 여전히 많은 종이가 필요하다. 병원 내 프린터들은 가장 취약한 부분 중에서도 가장 취약하며, 수많은 의료기관은 느슨한 프린터 보안으로 HIPAA 컴플라이언스를 시행하는 기관인 OCR(Office for Civil Rights)에 의해 상당한 양의 벌금을 부과받았다.

한 가지만 예를 들어 보자면, 미국 보건복지부는 100만 달러 이상의 어피니티 헬스 플랜(Affinity Health Plan)에 벌금을 부과했다. ‘OCR의 조사에 따르면, 복사기 하드 드라이브에 포함된 데이터를 삭제하지 않고 여러 개의 복사기를 임대 에이전트에 반환했을 때, 최대 34만 4,579명의 보호받는 건강 정보를 잘못 공개한 것으로 나타났다.’ 그것이 거의 10년 전이었다. 그 이후로 얼마나 달라졌을까? 달라진 것은 거의 없다. 
 
병원에서 프린터(요즘에도 종종 복사기)에 대한 중요한 의존도를 감안할 때, 의료 기관은 HIPAA 컴플라이언스를 유지하는 것뿐만 아니라 이런 기기가 환자의 안전에 미치는 보안 위험도 고려해야 한다. 

이런 점은 의료기관만의 문제가 아니다. 모든 업종에 걸쳐서 기업들은 프린터에 대해 예의 주시하는 것이 좋을 것이다. editor@itworld.co.kr