IT거인들, CIA감청 폭로 후 대응 분주

"대부분 패치된 취약점"

컴퓨팅입력 :2017/03/11 10:04

미국 중앙정보국(CIA)이 소비자용 IT기기 취약점을 이용해 대규모 감청을 해온 정황이 알려지자, 해당 기술을 만드는 IT거인들의 대응이 분주해졌다.

미국 지디넷은 9일(현지시간) CIA 감청 기법 문건이 위키리크스를 통해 폭로된 후 애플, 마이크로소프트, 구글 등 IT거인들이 앞다퉈 보안취약점 패치에 나섰다고 보도했다.

[☞원문: After CIA leaks, tech giants scramble to patch security flaws]

미국 중앙정보국 CIA

위키리크스는 지난 7일 제보를 통해 입수했다고 밝힌 CIA의 해킹조직 '사이버인텔리전스센터' 기밀 문서 수천건을 공개했다. '볼트7(Vault 7)'이란 명칭으로 공개된 문서는 2014~2016년 사이에 작성됐다. CIA는 문서의 진위여부를 확인해주지 않았고 백악관도 논평을 거부했다.

문서 내용에 따르면 CIA는 애플, 마이크로소프트, 구글 등의 모바일 및 PC 운영체제(OS)와 삼성전자 스마트TV같은 기기를 정보수집 도구로 삼기 위해 보안취약점을 이용했다. 공격을 위해 제작된 악성코드나 익스플로잇이 담기진 않았지만, 보안연구자들이 해당 IT제품에 내재된 결함을 식별하는 데 도움을 줄만한 취약점 관련 세부내용을 포함하는 내용이었다.

보도에 따르면 위키리크스 창립자 줄리안 어샌지는 문서에 취약점이 이용될 기기의 제조사로 언급된 IT업체들에게 CIA 해킹툴에 관련된 세부적인 기술정보를 배타적으로 접근케 할 것이라고 언급했다. 그는 CIA 해킹툴에 이용된 보안취약점 패치를 독려한다는 명분을 내걸었다.

애플은 위키리크스의 폭로 직후 공식 발표를 통해 자사 맥과 아이폰 제품의 보안취약점을 찾아내 문제를 해결하겠다는 입장을 밝혔다. 구글도 그들 제품의 보안 관련 분석을 진행 중이며, 필요한 보호 기능을 구현하겠다고 예고했다. 마이크로소프트 측에선 문제를 살펴보고 있다고 언급했지만 구체적인 대응 방향은 제시되지 않았다.

다만 보안전문가들은 문서에 담긴 취약점 대부분이 이미 패치된 것이라고 지적했다.

안드로이드 보안 연구자 존 소여는 문서에 목록화된 안드로이드 버그가 이미 대부분 패치됐다고 말했다. 취약점은 안드로이드2.2 부터 4.4.4 버전까지를 다룬 것인데 지금 최신판은 7.1.1이라는 것이다. 해당 버그는 따라서 구형 안드로이드 버전과 기기에 관련돼 있다고 말했다.

하지만 보안업체 F시큐어가 수행한 분석 결과 대다수 안드로이드 사용자는 여전히 4.4 버전을 쓰고 있다. 구글 자체 통계에서도 안드로이드4 버전대는 안드로이드5와 6에 이어 3번째로 많이 쓰이는 버전이다.

iOS 보안 연구자 윌 스트라파(Will Strafach)는 해당 문서에서 iOS10 이상 환경에 동작하는 보안취약점은 아예 없다고 지적했다. 애플 측에 따르면 전체 사용자 가운데 거의 80%가 iOS10 버전을 쓰고 있다. 스트라파는 삼성 스마트TV 취약점도 구형 펌웨어 기반 기기에 물리적으로 접촉해야 하는 조건에서 이용 가능하며, 이미 패치됐다고 덧붙였다.

삼성 측에서도 문건을 인지하고 급히 문제가 있는지 파악 중이라는 공식 입장을 밝힌 바 있다.

폭로 문건상의 취약점 이용 대상에 오픈소스 운영체제 리눅스도 포함됐다. 리눅스재단의 니코 반 소메렌 최고기술책임자(CTO)는 BBC뉴스 보도를 통해 "여러 나라 국가기관이 다른 클로즈드소스 플랫폼과 함께 리눅스를 침해 표적으로 삼는 건 놀랄 일이 아니다"라며 "오픈소스 커뮤니티는 취약점을 수정하고 그걸 사용자들에게 배포하는 활동을 가속해 준다"고 강조했다.

나머지 IT업체 제품들의 패치 상황이 모두 파악된 건 아니다.

문건에는 유명 안티바이러스 업체의 제품도 언급돼 있었다. 카스퍼스키, 시만텍, 어베스트 등이 CIA의 이용대상이 된 취약점을 가진 제품 목록에 올라 있었다.

인용된 AP통신 보도에 따르면 CIA는 안티바이러스 제조사들을 노골적으로 비웃으면서 그들 소프트웨어에 내재한 취약점을 이용했다.

일례로 카스퍼스키 안티바이러스 제품은 CIA가 카스퍼스키의 보호 기능을 우회할 수 있는 대상이었다. 다만 유진 카스퍼스키 카스퍼스키랩 창립자는 AP통신 측에 해당 취약점이 몇년 전에 수정된 것이라고 말했다.

또다른 안티바이러스 업체 아비라는 문건이 폭로된 후 그에 담겼던 마이너 취약점을 수정했다고 밝혔다.

관련기사

전자프론티어재단(EFF) 신디 콘 디렉터는 CIA가 보안취약점 은폐의 위험을 정확하게 평가하지 못했다고 비판했다. 아무리 첩보기관이라해도 미국인의 보안과 프라이버시를 보호해야 할 책임이 있다는 지적이었다.

위키리크스 측은 폭로한 문건이 보유 중인 전체 문서 중 극히 일부일 뿐이라며, 향후 며칠에서 몇 주에 걸쳐 더 많은 자료를 내놓을 것이라고 밝혔다.