[아이뉴스24 김혜경 기자] "PC에 악성코드를 심는 것은 생각보다 비용이 많이 소모되는 일이다. 관리자 권한으로 악성코드를 실행하려면 운영체제(OS) 취약점 1개와 웹 브라우저 취약점 2개 이상이 필요하다. 최근 발견된 금융보안 프로그램 취약점이 위험한 이유는 관리자 권한이 요구되므로 해당 취약점 하나만 있으면 된다는 점이다. 공격자 입장에서는 가성비가 좋은 시나리오일 수밖에 없다."
신동휘 스틸리언 최고기술책임자(CTO)는 최근 서울 용산 스틸리언 본사에서 아이뉴스24와 인터뷰를 갖고 이같이 밝혔다.
앞서 북한 해킹조직이 '이니세이프' 보안 프로그램의 취약점을 이용해 국가‧공공기관과 방산업체, 바이오기업 등 60여곳의 PC 210여대를 해킹하는 사고가 발생했다. 이 프로그램은 금융기관 등 다수 홈페이지에서 사용자 인증서 처리를 위해 사용되고 있다. 사용자가 홈페이지에 접속하면 자동 설치되는 형태로, 국가정보원은 국내외 1천만대 PC에 이 프로그램이 설치된 것으로 추정하고 있다.
신 CTO는 "크롬을 이용해 악성코드를 심으려면 아직 인지하지 못한 취약점(제로데이)을 활용해야 하는데 최소 몇십억원이 들어가는 작업"이라며 "경우에 따라 OS 취약점이 필요할 수도 있는데 이번에 발견된 보안 프로그램 취약점에는 윈도우 취약점이 내포된 것으로 보인다"고 설명했다.
그는 "다만 1천만대가 모두 취약한 상황인지 여부는 어떤 버전을 사용하고 있는지 혹은 공격자가 의도한 특정 웹페이지에 접속했는지 등을 따져봐야 한다"며 "해커가 IP 주소를 안다고 해서 특정 PC에 악성코드를 바로 심을 수는 없고 프로그램 취약점이 작동하도록 하는 이벤트가 필요하다"고 말했다.
프로그램 취약점과 특정 웹사이트의 취약점 코드가 결합할 경우 악성코드에 감염되는 구조라는 설명이다. 이른바 '워터링 홀(watering hole)' 수법이다.
그동안 소프트웨어(SW) 취약점을 악용한 사이버 공격은 비일비재하게 발생했다. 신 CTO는 "관리자 권한으로 프로그램을 설치하는 행위는 신중해야 한다"며 "프로그램 개발 이후 취약점은 지속 발견될 수 밖에 없고 공격자가 해킹된 PC의 관리자 권한을 탈취해 자신의 의도대로 할 수 있기 때문"이라고 설명했다.
그는 "보안 프로그램을 내려받아 향후 발생할 수 있는 문제를 예방하는 방식 자체는 좋지만 SW 취약점은 없어지지 않는다는 것이 문제"라고 강조했다.
신 CTO는 공인인증서 체계 자체가 잘못된 것은 아니라고 전했다. 그는 "국내에서는 키보드 보안솔루션으로 키로거(keylogger) 공격을 방지하는 등 입력하는 정보에 대해선 어느 정도 보호받고 있었던 것이 사실"이라며 "다만 보안 프로그램이 권리자 권한으로 설치된다는 점과 국내 정보보호 투자 수준이 맞물리면서 발생한 점이 문제"라고 강조했다.
금융기관 등은 가이드라인에 따라 사용자가 프로그램을 설치하도록 안내하면 의무를 다하는 구조라고 신 CTO는 설명했다. 그는 "보안 담당자가 문제를 제기해도 실제 투자 집행 과정에서 받아들여지지 않는 것이 현실"이라며 "경영자 입장에서는 이윤 창출이 중요하므로 투자에 대한 고민을 하는 것은 좋지만 고민을 하는 수준조차 너무 낮다는 것이 문제"라고 말했다.
정보보호 투자 수준은 결국 어떤 보안 서비스를 사용하는 지와도 직결된다는 설명이다. 신 CTO는 "저비용과 개발기간 단축을 요구하는 현실에서 품질은 낮을 수 밖에 없다"며 "사이버보안 체계를 바꾸고 정보보호 투자를 늘리지 않는다면 이 같은 사고는 지속 반복될 것"이라고 했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기