지난 9월 24일 유닉스와 리눅스 계열 운영체제(OS) 대부분의 기본 셸 프로그램인 ‘배시(Bash)’에 중대한 보안 취약점이 있다는 사실이 공개됐다. 배시에 담긴 원격접속기능을 통해 해커가 시스템을 장악해버릴 수 있다는 ‘셸쇼크’ 버그다.
배시 취약점은 단순한 경고성 위협이 아니었다. IBM에 따르면, 지난달 24일 취약점 관련 발표가 나온 후 배시 셸을 향한 공격이 급증했다. 같은달 27일엔 셸쇼크 취약점을 이용한 사이버공격이 전세계적으로 1000% 증가했다고 한다.
보안전문가들은 셸쇼크 취약점에 대해 지난 4월 발견된 오픈SSL의 ‘하트블리드’ 취약점보다 더 심각한 사안이라고 평가한다. MS 윈도계열을 제외한 대부분의 OS들이 이 취약점에 노출된 만큼 세계 각국 IT관련 시스템이 해커에게 장악될 위험에 처했다는 이유에서다.더 큰 문제는 이 취약점이 이미 20년전부터 존재해왔다는 점이다. 오랜 시간 해커들 사이에서 암암리에 악용됐을 수 있다는 추측이 가능하다. 20년 동안 백도어가 기업들 시스템에 숨어 있었을 수도 있는 것이다.
박형근 IBM 소프트웨어그룹 시큐리티 전문위원은 “셸쇼크에 대응하는 고객의 방식이 단순히 외부에 노출되는 웹서비스 서버에 대한 OS 패치 중심으로 이뤄지고 있다”며 “공격 패턴을 보면 웹서버 외에 오픈소스 이메일 서버나 서비스 제공 업체 프록시 서버, 심지어 VPN 서버까지 공격대상이다”라고 우려를 표했다.
그는 또 “외부 접근이 격리된 내부 서버라고 해서 마음 놓을 게 아니라, 어떤 형태든 뚫고 들어가면 내부에서 활용할 수 있는 취약점이기 때문에 우선순위는 뒤로 두더라도 대응은 반드시 해야 한다”고 지적했다.
배시 셸 취약점은 어떤 지점에서 드러날지 파악하기가 어렵다는 것도 문제다.
박형근 위원은 “웹서버 몇 개 정도는 관리자가 쉽게 인지하고 있지만, 외부에서 기업 IT시스템으로 유입되는 모든 경로를 파악한 고객이 없다”며 “회사 인프라 자산관리가 잘 돼 있지 않으면 어디서 언제 뚫리는지 알 수 없다”고 설명했다. 또 “회사 IT인프라에서 어떤 일이 일어나고 있는지, 취약점에 대한 지속적인 관리가 필요하며, 우선 맨 앞단의 IPS, IDS로 방어하면서 시간을 벌고, 그 사이 근본적인 우려해소를 진행해야 한다”고 조언했다.
셸쇼크의 무서운 점은 끝을 알 수 없다는 것이다. 코드 상에 존재하는 것이므로 변종이 계속 나오고, 원포인트로 조치해 완벽히 제거할 수 있는 취약점이 아니란 얘기다. 애플이 최근 맥 OS X 셸쇼크 패치를 발표하면서 ‘완전한 해결은 아니다’라고 밝힌 것과 연관된다.
맨 처음 발견된 배시 셸 취약점은 3개였다. 그러나 현재는 7개로 늘었다. 계속 변종 공격이 만들어지고 발견되면, OS회사들은 그때그때 끊임없이 새로운 패치를 내놔야한다. 사용자도 그때마다 새 패치를 설치해야 한다. 보안 담당자가 긴장의 끈을 놓는 순간 외부 위협에 노출될 수 있다.
기업 보안 담당자는 일단 현재 기업에서 사용하는 시스템 장비가 셸쇼크 취약점에 노출됐는지 확인해야 한다. 취약점에 노출된 장비를 찾아내 패치도 설치해야 한다. 패치를 다 설치한 뒤엔 시스템 공급사에서 보내는 보안알림메일을 수시로 확인하면서, 상황을 지속적으로 주시할 필요가 있다. 사내 시스템별 공급사 홈페이지를 방문해 어떤 장비가 셸쇼크에 관련되는 지 확인하는 것도 필요하다.
장비 스캔은 어렵지 않다. 명령어 코드 한문단만 입력하면 패치대상 장비를 찾을 수 있다.
박형근 전문위원은 “유닉스 장비는 물론 리눅스에 기반한 모든 어플라이언스 형태의 장비가 셸쇼크에 다 취약하다”며 “서버는 진단 코드를 입력해 찾으면 되는데, 네트워크나 VPN 같은 어플라이언스 장비는 진단코드 입력이 어려울 수 있으니 회사 웹사이트에서 해당 정보를 찾아 해결해야 한다”고 조언했다.
IBM은 미연의 사태를 근본적으로 방지하려면 IPS나 IDS 단계에서 공격을 막고, 시스템 자산관리 체계를 공고히 구축해야 한다고 강조하고 있다.
관련기사
- 야후, 셸쇼크에 당했다2014.10.10
- 애플, 셸쇼크 보안 패치…"빈구멍 남아"2014.10.10
- IT업계 놀래킨 '셸쇼크' 취약점 최신 패치법 공개2014.10.10
- 배시 취약점 '셸쇼크' 비상…왜 위험한가2014.10.10
박 전문위원은 “IPS의 버추얼 패치 기능을 이용해 해당 배시 셸 취약점에 대해 룰 업데이트를 하고, 뒷단의 관련 서버를 찾아 패치하는 게 중요하다”며 “IBM의 경우 7년 전부터 IPS, IDS에서 배시 셸을 노린 공격 패턴을 카테고리로 분류해 보호하고 있었다”고 강조했다.
또 “배시 셸쇼크나 오픈SSL 하트블리드 사건은 시스템 인프라 기반의 서플라이 체인 자체에서 신뢰가 흔들리는 것”이라며 “인프라 자체, 혹은 비즈니스 보안을 어떻게 잘 지켜야 하는가에 대한 많은 연구 협력이 필요한 시기”라고 덧붙였다. 그는 “배시 셸 이후 제3의 취약점이 있을 지 모르는 상황에서, 새 취약점에 대해 대응하기 위한 시스템 전반을 아우르는 기초 보안 체계를 탄탄히 구축해야 한다고 거듭 강조했다.