Cappuccino sapiens

팬데믹 기간 동안 해커와 사이버 범죄자들의 활동은 더욱 왕성하며, 그 수법 또한 더욱 기발하고 악날해 지고 있습니다. 이들은 잘나가는 웹 사이트를 모방하거나 해킹하여 방문자들의 정보를 훔치는 용도로 사용합니다. 즉, 해커는 유명한 도메인과 유사한 도메인을 개설하거나 사용자 입력 실수를 기회로 방문할 수 있는 사이트를 개설하여, 방문자를 유인하고 정보를 탈취합니다.

이러한 트렌드를 사이버스쿼팅(Cybersquatting)이라고 합니다. 운동에서 사용하는 스쿼트와 동일한 용어이지만, 의미는 전혀 다릅니다. 이는 야생에서 동물들이 물을 마실 때 쪼그려 앉는 자세(스쿼트)는 상위포식자에게 사냥 당하기 좋은 취약한 자세에서 비롯 되었습니다.  

사이버스쿼팅을 위해 개설된 웹사이트는 검색엔진, 소셜 미디어, 은행, 쇼핑 등 방문자가 많은 웹사이트를 주요 타깃으로 하며, 이들은 악성코드를 포함하거나 다음 공격을 위한 목적으로 사용됩니다. 사이버 보안 전문기관인 Unit 42에 따르면, 가장 흔히 모방되는 웹사이트로는 Paypal, Apple, Netflix, LinkedIn 이라고 밝혔습니다.

사이버스쿼팅은 사용자들의 단순 도메인네임 입력 오류나, 메일 또는 소셜미디어 등을 통한  피싱으로  생각보다 쉽게 그리고 흔히 발생하는 것으로 나타났습니다. 전문가들은 웹사이트 방문시 도메인네임을 다시 한번 확인하고, 쉽게 개인정보를 입력하지 말라고 충고하고 있습니다. 호주 보안회사인 Scamwatch에 따르면, 호주의 경우 글로벌 팬데믹 기간동안 COVID-19과 관련된 신용사기 사건이 3,900 건 이상 보고되었으며, 3.1백만달러 이상의 피해를 입었다고 말합니다.

개인정보는 스스로 지켜야 하며, 이를 위해 전문가들은 다음과 같은 주의사항에 대해 말하고 있습니다.

1.     SNS를 통한 메시지나 이메일에 포함된 하이퍼링크를 함부로 클릭하지 않습니다.

2.     개인정보를 요구하는 메시지나 전화에 대해 일단 보류하고, 출처와 이유에 대해 다시 확인합니다.

3.     PC에 대한 원격 접근에 대해 절대 허락해서는 안됩니다.

4.     불법적인 영상물 또는 검증되지 않은 영상물에 접근 또는 다운받지 않습니다.

위의 원칙이 모든 상황에 적용되는 것은 아닙니다. 때로는 제가 보내드리는 매일 아침 뉴스 브리핑과 같은 메일의 링크를 클릭해야 하는 상황도 발생하며, PC 장애조치를 위해 원격접근을 허용해야 할 상황도 발생합니다. 보안원칙의 기본인 모든 접근의 차단(deny)에서 시작하되, 신뢰할 수 있는 사이트라 할지라도 다시 한번 확인하자는 취지 입니다. 지금 받아 보시는 메일 주소의 발신자가 gangseog@kr.ibm.org, gangseok@kr.ibm, kangseog@kr.ipm.kr 로 위장되어 올 수도 있습니다.

※ 관련기사: Are you still watching? Cyber crims hijack Netflix, Apple to target victims

Shellshock은 2014년 9월에 공개된 제로데이 취약점(CVE-2014-6271)으로, 당시 같은 해에 등장한 OpenSSL의 Heartbleed 취약점과 마찬가지로 업계에 큰 파장을 주었습니다. 운영체제 명령어 인젝션 타입인 Shellshock은 NIST의 취약점 평가시스템 CVSS (Common Vulnerability Scoring System)에서 10점 만점에 10점을 받을 정도로 심각한 취약점 이었습니다.

Shellshock은 Debian GNU/Linux의 bash 쉘이 갖는 취약점으로, CGI (Common Gateway Interface) 환경에서 함수 실행시 입력 값을 검증하지 않음으로써 내부 시스템 명령어 실행이 가능하고, 이를 통해 패스워드 파일과 같은 내부 정보를 유출하거나, 특권 사용자로 권한을 상승하여 시스템을 장악할 수 있습니다.

Bash 쉘의 이러한 버그는 30년 동안 존재하였으며, 2014년에 ShellShock 취약점이 발견된 이후, 많은 서버에서 지속적으로 발견되어 왔습니다. 현시점에서 Shellshock 취약점은 발견될 당시보다는 그 위력이나 위험성이 낮을 것입니다. 하지만, 이러한 취약점이 기업의 어느 서버에 존재하는 한, 여전히 기업의 네트워크를 통해 시스템에 침투할 가능성은 존재하게 됩니다.

ShellShock과 같은 취약점은 공격이 간단하면서 공격에 많은 비용이 들지 않기 때문에 공격자들이 선호하는 취약점입니다. NTT의 “Global Threat Intelligence Report”에 따르면, 공격자들은 효과가 있었던 몇 년 전의 보안취약점을 악용하고 있는 것으로 조사되었습니다. 2018년 10월부터 2019년 9월간의 데이터를 분석한 결과, 많은 기업에서 Shellshock과 Heartbleed 취약점에 의한 공격을 경험한 것으로 나타났습니다. 보안 취약점을 악용한 공격 분포를 보면 다음과 같습니다.

- CVE-2014-6278 (GNU BASH, ShellShock), 60%

- CVE-2017-7269 (Microsoft Windows Server 2003 R2), 9%

- CVE-2018-1003 (Microsoft JET Database Engine), 4%

또한, '2020 IBM 엑스포스 위협 인텔리전스 인덱스' 보고서에 따르면 SW 취약점 스캐닝 및 취약점 공격 비율은 2018년 8%에서 지난해 30%로 급증한 것으로 조사됐으며, 해커들은 주로 마이크로소프트 오피스 및 윈도 서버 메시지 블록의 오래된 취약점을 악용한 것으로 나타났습니다.

제품 제조사는 CVE가 공개되기 이전에 패치된 버전을 빌드하며, 기업은 패치관리시스템을 통해 바로 업데이트가 가능합니다. 하지만, 여전히 많은 기업들이 적절한 패치관리시스템과 절차를 마련하고 있지 않으며, 여전히 잠재적인 보안취약점을 보유하고 있습니다.

기업은 보안위험분석을 통해, 취약점을 식별하고, 위험 우선순위에 따라 적합한 보안대책을 수립하여 대응할 필요가 있습니다. 보안위험분석 및 대책수립 단계는 다음과 같습니다.

- 잠재적인 취약점 진단을 통해 취약점을 식별합니다.

시스템 도입 및 업데이트, 네트워크 구조변경 등으로 인한 운영환경의 변경이 있을 경우, 그리고 주기적인 보안취약점 진단을 통해 취약점을 식별합니다. 대상은 네트워크, 시스템, DBMS, WEB/WAS, 운영체제, 응용프로그램, PC를 포함한 모든 IT시스템 및 S/W를 대상으로 합니다.   

- 취약점에 대한 심각도를 결정합니다.

취약점이라고 해서 모두 침해가 가능한 수준의 위험을 가지고 있는 것은 아닙니다. 시스템 및 운영환경에 따라, 취약점은 악용 가능한 수준으로 변경될 수 있어, 이에 대한 주기적인 모니터링이 필요합니다. 식별된 취약점을 모두 한꺼번에 제거하는 것은 과도한 자원(인력, 시간, 비용)낭비가 될 수 있으며, 서비스 운영에 영향을 줄 수도 있습니다. 따라서, 식별된 취약점에 대해 운영환경에 따른 심각도를 정하여 관리할 필요가 있습니다. 심각도는 기밀성, 무결성, 가용성에 따라 점수를 계산하기도 하며, 기업환경 및 서비스에 따라 합리적인 계산식을 사용해도 무방합니다.

- 잠재적인 보안영향에 대한 대응계획을 수립합니다.  

취약점 심각도(상, 중, 하)에 따라, 잠재적인 보안영향을 고려하여 단기, 중기, 장기적인 보안대책을 수립합니다. 취약점은 모두 제거하는 것이 바람직하나, 운영환경에 따라 기능을 대체 또는 운영환경 보완 등을 통해 취약점의 보안영향도를 낮 출 수도 있습니다.

암을 치료하는 방식은 직접적인 암을 제거하는 방식도 있지만, 적절한 식이요법과 약물치료를 통해 치료하는 방식도 있습니다. 잠재적인 보안취약점 역시, 식별하고 주기적인 모니터링과 영향도 측정을 통해 관리함으로써, 과도한 보안투자 없이 적절한 보안통제가 가능합니다. 다만, 이러한 보안취약점에 대한 진단, 심각도 측정, 보안계획 수립시 반드시 보안전문가의 의견을 청취할 필요가 있습니다.  

<참고자료>

1. Understanding the Shellshock Vulnerability

2. https://nvd.nist.gov/vuln/detail/CVE-2014-6271

3. https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-6271

4. 2020 IBM 엑스포스 위협 인텔리전스 인덱스

5. Attackers still exploiting old vulnerabilities, says NTT report