네트워크 / 보안

“기업용 소프트웨어의 배신” 포닝 홈으로 보안 및 컴플라이언스 위반

Andy Patrizio | Network World 2019.08.06
한때 필자가 마이크로소프트에 관한 모든 것을 추적할 때, 필자는 윈도우 10이 사용자를 염탐하는 측면을 비난하곤 했다. 하지만 윈도우 10은 기업용 보안 및 분석, 하드웨어 관리 툴이 하는 것과 비교하면 아무 것도 아니다.
 
ⓒ GettyImagesBank

분석 전문업체 엑스트라홉(ExtraHop)은 자사 고객의 네트워크를 검사해 보안 소프트웨어와 분석 소프트웨어가 고객 네트워크의 외부에 있는 서버에 조용히 정보를 올리고 있다는 사실을 발견했다. 이른바 ‘포닝 홈(Phoning Home)’이 아무런 제지없이 이루어지고 있는 것이다. 엑스트라홉은 관련 보고서를 발간하며 이런 사실을 경고했다.

엑스트라홉은 고객이나 사용자에게 알리지 않고 데이터를 전송하는 문제의 기업용 보안 툴 이름을 교묘하게 숨겼다. 엑스트라홉 대변인은 “이런 경향이 있다는 것을 보고하는 데 집중하고자 한다. 우리는 여러 사례를 조사했고 걱정스러운 사실을 발견했다. 특정 집단에 중점을 두면 기업의 더 많은 주의가 필요하다는 이 문제의 핵심이 손상될 수 있다”고 설명했다.

엑스트라홉의 보고에 따르면, 꽤 다양한 제품이 은밀하게 서버와 통신을 하고 있는 것으로 나타났는데, 엔드포인트 보안 소프트웨어부터 병원의 장비 관리 소프트웨어, 감시용 카메라, 금융기관의 보안 분석 소프트웨어 등이었다. 이들 소프트웨어의 동작은 유럽연합의 GDPR 규정과 충돌할 수도 있다고도 지적했다.

모든 사례에서 엑스트라홉은 해당 소프트웨어가 데이터를 외부로 전송했다는 증거를 제시했다. 어떤 사례에서는 30분마다 네트워크에 연결된 장비가 UDP 트래픽을 잘 알려진 악성 IP 주소로 전송하는 것을 발견하기도 했다. 문제의 장비는 중국산 보안 카메라로, 중국과 연계된 것으로 알려진 악성 IP 주소로 서버 통신을 했다. 이 카메라는 해당 기업의 직원이 개인 보안을 목적으로 독자적으로 설치한 것으로 나타나 섀도우 IT의 허점도 드러냈다.

병원 의료기기 관리 툴과 금융기관 분석 툴의 경우는 데이터 보안 관련 법규도 위반해 해당 기업이 알지 못하는 사이에 법적 위험에 빠질 수도 있는 상태였다.

병원 의료기기 관리 제품은 환자 데이터 프라이버시와 HIPPA 컴플라이언스를 보장하기 위해 병원의 와이파이 네트워크를 사용하도록 되어 있었다. 엑스트라홉은 초기 장비 배치를 관리하는 워크스테이션에서 나오는 트래픽이 암호화된 SSL:443 연결을 장비 업체 보유의 클라우드 스토리지로 열려있는 것을 발견했다. 이는 중대한 HIPPA 위반이다.

엑스트라홉은 이들 사례에서 악의적인 활동을 발견하지는 못했지만, 법규 위반인 이상 관리자가 자사 네트워크에 대한 감시를 강화해 이상 활동 트래픽을 모니터링해야 한다고 지적했다. 보고서는 “이들 장비업체가 포닝 홈을 하는 이유는 알 수 없다. 모두 인정받는 보안 및 IT 솔루션 업체이며, 포닝 홈 역시 아키텍처 설계 상 적법한 목적이거나 설정 오류의 결과일 것”이라고 설명했다.

엑스트라홉은 이런 보안 문제를 해결하기 위한 방안으로 다음 다섯 가지를 제시했다.

-    솔루션 업체의 활동을 감시하라. 현재 사용 중인 솔루션 업체부터 이전 솔루션 업체, 심지어 이미 평가를 끝낸 솔루션 업체라도 기업 자사 네트워크 상에서 예기치 않은 활동을 하는지 감시해야 한다.
-    외부로 나가는 트래픽을 감시하라. 외부로 나가는 트래픽은 모두 인지해야 하고, 특히 도메인 컨트롤러 같은 민감한 자산에서 나오는 트래픽을 주의해야 한다. 
-    배치 환경을 추적하라. 평가를 진행하는 한편, 소프트웨어 에이전트의 배치를 추적하라.
-    규제 고려사항을 파악하라. 정치적 지리적 경계를 넘나드는 데이터에 대한 규제 및 컴플라이언스 고려사항을 제대로 파악해야 한다.
-    계약 내용을 파악하라. 솔루션 업체와의 계약에서 데이터 사용 여부를 추적해야 한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.