[취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
상태바
[취약점 탐지·침투테스트] 공격 이용되는 취약점 제거해야
  • 김선애 기자
  • 승인 2018.01.11 10:04
  • 댓글 0
이 기사를 공유합니다

컴플라이언스만을 위한 취약점 관리 한계 있어…클라우드 방식으로 최신 취약점 빠르게 관리

‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>

IT 복잡성 높아지며 취약점 관리 어려워

지능적인 공격자는 보안이 잘 갖춰진 대문을 공략하지 않는다. 보안에 취약하고 관리되지 않는 쪽문, 뒷문, 혹은 보안 정책을 지키지 않는 사람들을 이용한다. 서비스 종료 후 방치된 서버, 취약점 패치 업데이트를 하지 않는 시스템, 취약한 무선 네트워크를 이용해 업무 시스템에 접속하는 사용자를 노려 공격 성공률을 높인다.

보안 취약점이 없는 시스템은 없다. 보안 전문가들과 솔루션 제공업체들은 끊임없이 취약점을 점검하고 발견된 취약점은 관계기관에 알려 대처할 수 있도록 하며, 해당 취약점이 있는 시스템에 보안패치를 배포해 취약점 공격이 일어나지 않도록 한다.

주요 IT 기업들은 자사 제품과 서비스에 새로운 취약점을 발견하는 사람에게 큰 상금을 주는 버그바운티 제도를 운영하고 있다. 화이트해커의 긍정적인 활동을 유도하면서 자사 제품의 보안 완성도를 높이기 위한 것으로 우리나라에서는 KISA를 중심으로 버그바운티를 운영하고 있다. 네이버, 한글과컴퓨터, 카카오, 네오위즈게임즈, 이니텍, 이스트시큐리티 등이 활동하고 있다.

취약점이 발표되고 보안패치가 배포되면 즉시 해당 시스템에 적용해야 한다. 그러나 실제 IT 환경에서 보안패치 적용이 쉬운 것은 아니다. IT 관리조직은 데이터 센터의 수많은 시스템 중 해당 취약점이 있는 시스템을 찾는 것에서부터 난관에 부딪힌다.

패치해야 하는 시스템을 찾아 패치했다가 시스템 운영에 장애가 발생할 수 있다는 우려에서도 자유롭지 못하다. 패치가 다른 소프트웨어와 충돌을 일으키거나 연결된 다른 시스템에 영향을 미칠 수도 있다. 그래서 몇개 시스템에 시범적으로 적용한 후 단계적으로 차근차근 패치를 적용하는데, 이 과정이 수개월에 이르기도 한다. 물론 파악하지 못한 취약한 시스템이 있을 가능성도 제거하지 못한다.

▲취약점과 진단 영역(자료: 에스에스알)

전사 취약점 관리 가능한 자동화 시스템 필수

현재 취약점 점검은 규제에 따라 연 1~2회 가량 진행하지만, 외부 전문조직의 서비스를 이용해 일부 시스템에만 적용한다. 그러다보니 중요한 시스템만 취약점을 관리할 뿐 다른 시스템은 전혀 관리되지 못한다. 그래서 전사 취약점을 관리할 수 있는 솔루션을 찾는 수요가늘어나고 있다.

에스에스알의 ‘솔리드스텝’은 IT 시스템을 자동으로 전수조사하며, 국내 컴플라이언스와 보안 정책·지침을 만족시킬 수 있다. 에스에스알은 클라우드 서비스로도 제공해 보안예산이 부족한 중소기업에게 제공하고 있다. 더불어 민간분야 사이버 위기대응 모의훈련 대응 솔루션인 ‘머드픽스(가칭)’을 출시하며 기업의 보안 수준 업그레이드를 지원할 계획이다.

취약점은 서버에만 존재하는 것이 아니다. 웹, 애플리케이션, 서비스 전반에서 수많은 취약점이 존재한다. 특히 웹과 애플리케이션은 종류가 많고 수시로 변경되며, 누구나 쉽게 접근할 수 있기 때문에 취약점을 발견하기도 쉽고 공격하기도 쉽다.

래피드7, 포지티브테크놀로지는 취약점 점검과 모의해킹 솔루션을 제공하는 대표적인 전문기업이다. 포지티브의 ‘맥스패트롤’은 국내 규제 요건도 만족시킬 수 있으며, 침투테스트(모의해킹), 컴플라이언스 관리가 단일 솔루션으로 결합돼 있다. CVE의 신속한 업데이트로 보안 관리자의 어려움을 해결할 수 있다. 서버, 네트워크 장비, OS, 통신장비, SAP 등 전체 인프라 자원을 지원한다.

래피드7은 취약점 진단 도구 ‘넥스포즈’와 모의해킹 솔루션 ‘메타스플로잇’을 공급하는데, 메타스플로잇은 모의해킹에 가장 많이 사용되는 툴로, 커뮤니티를 통해 공개된 오픈소스 버전을 이용할 수 있으며, 보다 정밀한 테스트가 가능한 유료 솔루션도 인기를 끌고 있다. 래피드7은 전문지식 없이도 쉽게 사용할 수 있다는 점을 강점으로 꼽고 있으며, 전 세계에서 가장 많은 CVE DB를 보유하고 있어 취약점 대응이 빠르다고 자신한다.

한편 래피드7은 웹·애플리케이션 취약점 진단 솔루션 ‘앱스파이더’와 UBA 기반 ‘인사이트IDR’의 국내 영업을 본격화하며 시장 확대에 나서고 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.