보안

악성 프로그램과의 20년 투쟁사②

Steven J. Vaughan-Nichols | Computerworld 2008.06.30
숨겨진 허점은 없다
이제 악성 프로그램에 대응하는 보안 기술에 대해 뭔가 눈치 챈 것이 있을 것이다. 그렇다. 이들 프로그램은 모두 사후대응식이다. 예방책이 아니니 완전히 좋다고 볼 수는 없는 일이다. 하지만, 현재로서는 문제가 발생해야만 엔지니어들이 그에 대한 대책 마련에 착수할 수 있는 것이다. 일단 그런 뒤에 추후 예견되는 문제들을 해결하기 위한 업데이트 버전이 제공될 수 있다.

제로데이는 패치가 아직 존재하지 않는 보안상의 취약점을 의미하는 것으로 널리 쓰이는 익숙한 약어이다. 악성 프로그램의 양쪽 측면 모두에서 제로데이 취약성이 의미하는 바를 살펴보면 각각이 어떻게 상황을 관리하는지를 감을 잡을 수 있다.

악성 프로그램을 만드는 프로그래머들은 해킹된 소프트웨어의 제조업체가 문제 자체를 발견하기도 전에 수 일, 또는 수 주 전부터 제로데이 발견의 소식을 서로 주고받고 있을지도 모른다. 흔하지는 않겠지만, 대규모 소프트웨어 업체에서 주목을 끌지 못한 개발자들이 자신의 능력을 입증하기 위해 혹은 제조업체에 망신을 주어 패치를 마련하게 하기 위한 목적으로 자신들이 알게 된 정보를 공개하기도 한다.

하지만, 제로데이가 아니라 할지라도 게임은 끝난 게 아니다. 한 예로, 비스타의 제로데이 보안 문제가 해결된 바로 그 날, 악성 프로그램 프로그래머들은 이 업데이트된 보안 설정에 맞게 악성 프로그램을 수정하기 위해 얍삽하고도 발 빠르게 움직이기 시작할 것이다.

왜냐고? 헛점이 보완되었는데 왜 그렇게 하냐고? 오늘날 천문학적 숫자의 컴퓨터들이 윈도우를 사용하고 있으므로 하루라도 빨리 업데이트된 악성 프로그램을 만들어 퍼뜨리면 더 많은 숫자의 취약한 시스템들이 그 사이에 공격의 대상이 될 수 있다는 것을 알고 있기 때문이다.

이 같은 일이 가능한 것은 독점적인 운영체제나 프로그램들이 “무지에 의존한 보안”이라는 잘못된 생각에 일부 의존하고 있다는 데도 원인이 있다. 즉 헛점이 있다는 것을 아무도 모른다면, 어느 누구도 그것을 악용할 수 없다는 것이다. 이런 생각은 아무도 거기에 허점이 있다는 것을 알지 못할 때까지는 유효하다. 하지만, 언제나 그렇듯이 누군가 그 허점을 알게 되면, 악성 프로그램 집단 사이의 탁월한 커뮤니케이션 덕에 안전에 대한 보장은 사라지게 된다.

버그 카니발은 보안 연구가들이 일정 기간 동안 특정 소프트웨어나 운영체제의 버그를 매일 하나씩 공개하겠다고 선언함으로써 2006년과 2007년 거의 내내 뉴스거리가 되었다. 이는 제조업체들의 ‘무지에 의존한 보안’ 정책을 비웃어주자는 취지에서 출발한 것이다. 전문가들이 한 주 혹은 한 달 동안 매일매일 서로 다른 취약성을 지적해 낸다면, 기업들은 자신들의 보안의식 상의 제도적 문제를 시정할 수밖에 없을 것이다.

물론 최전방 수비선은 인간으로서 할 수 있는 한 빨리 소프트웨어를 업데이트해 두고 악성 프로그램과 관련한 최신 소식을 그때그때 챙기는 것이다. 네트워크 또는 시스템 관리자라면 Secunia Advisories 등 제로데이 트래킹 뉴스 사이트에 가서 제품별 목록을 눈여겨 보아야 한다. 이 목록에 허점이 있는 것으로 열거된 프로그램이나 운영체제는 알려진 보안상의 문제가 있는 것으로 이해하면 된다.

제발 덕분에 나쁜 해커들이 이 허점을 악용하기 전에 프로그램 제조업체나 선량한 해커 또는 연구원들이 먼저 해결책을 내놓았으면 하는 소망이 있다. 그 동안 이런 사이트들에서 취약성이 새로이 드러난 소프트웨어들에 어떤 설명 불가한 작동 양상이 발견되지는 않는지 눈여겨보도록 필요한 정보를 제공할 것이다. 보통은 소프트웨어 업체들이 가능한 한 빨리 패치를 준비해야 하겠지만, 누구든 처음 문제를 발견한 제 3자 또는 전문가들이 하루라도 더 빨리 패치를 마련해야 할 것이다.

제3자 패치를 설치하는 위험을 감내할 것이냐, 아니면 무방비 상태로 제로데이 공습을 허용할 것이냐는 위험에 대한 내성의 문제로, 대부분의 IT 전문가들이 업무상 한 번 이상은 맞닥뜨리게 되는 사안이다. 그러나 어쩌랴. 만병통치의 해답은 존재하지 않으니 말이다. 어쨌거나 운이 지지리도 없어 제로데이 공격의 희생양이 되었을 때, 적어도 이를 감지해 내고 피해를 최소화할 방법이 없지는 않다.

개인의 선택과 노력도 필수 요소
자, 이제 PC 중심의 예방책에서 네트워크 모니터링으로 논의를 옮겨보자. 만일 본인의 컴퓨터에 네트워크 감시 및 침입 방지 툴이 없다면 이런 것들을 마련할 필요가 있다. 예기치 못한 네트워크 트래픽을 찾아내고 네트워크 활동을 스캐닝하기 위해서이다. 예를 들어, 경리부 미스 김이 휴가 가서 컴퓨터를 사용하고 있지 않은데도 해당 컴퓨터가 SMTP 서버로 연결을 시도한다면 수상한 것 아닌가.

즉, PC나 서버가 평상시와는 다른 네트워크 트래픽 패턴을 보이기 시작했다면, 그것이 비록 평상시 트래픽을 약간 초과한 것뿐이라 할지라도, 경험적 사고에 입각하여 시스템 내에 악성 프로그램에 있을지도 모른다고 생각하게 될 것이다.

끝없이 쏟아지는 로그들을 연구하라니 재미없게 들릴지 모르겠지만, 웹 리퀘스트 로그를 보관하면 문제가 의심되는 시간대별로 패턴을 파악할 수 있다. 모니터 중인 서버나 시스템에 kitchensink.exe 등을 설치하고픈 충동도 물리쳐야 한다. 패치 다운받아 설치하느라 들어가는 시간이 매달 늘어만 가는 작금의 상황에서, 실행 프로그램 수를 줄인다는 것은 적에게 노출되는 타겟이 줄어들게 됨을 의미한다.

이렇게 설명을 듣고 나니 악성 프로그램에 맞서 시스템을 보호한다는 일이 도통 부질도 없고 보람도 없는 일들로 들릴지도 모르겠다. 뭐 맞는 말이다. 하지만 반면에, 절대적으로 필수적인 작업이기도 한 것을 어쩌랴.

앞서 말했듯 21세기 악성 프로그램은 단 한 번의 심도 있는 폭격으로 여러분의 시스템을 초토화시키지는 않는다. 대신, 수 천 번의 작은 칼질로 여러분의 시스템을 사망에 이르게 할 수 도 있다. 여기서는 중요한 패스워드를 빼돌리고, 저기서는 주거래통장의 계좌번호를 흘리는 식으로 말이다. 결국, 현대의 악성 프로그램은 모리스 웜 같이 드라마틱한 사건 때보다 더 심각하고 치명적인 것이다.

*스티븐 보건 니콜스(Steven J. Vaughan-Nichols)는 호랑이 담배 피던 시절의 무선통신시대부터 통신 기술 및 산업에 대해 글을 써 왔다.
함께 보면 좋은 콘텐츠

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.