시스코시스템즈의 보안 전문가가 자사 보안 제품이 오히려 보안에 해로울 수 있다는 연구 결과를 정면 반박했다. 앞서 브라우저 개발업체와 대학 소속 연구자들이 공개한 보고서 내용에 수긍할 수 없다는 입장이다.
구글, 모질라, 미국 미시건대, 버클리대 등 연구자들이 기명한 보고서는 지난달 공개됐다. 체크포인트, 포티넷, 비트디펜더, 카스퍼스키 등 안티바이러스와 네트워크 및 보안 어플라이언스 제조사의 제품에 구현된 'HTTPS 가로채기' 기능에 결함이 있다는 내용이었다.
[☞관련기사: "백신-보안장비 회사가 HTTPS 보안 훼손"]
시스코의 보안기술 전문가는 보고서가 지적한대로 시스코가 제품을 '잘못 만들었다'는 점을 인정할까. 지난주 시스코코리아 기자간담회에 참석한 브렛 하트만 시스코 보안사업부문 부사장 겸 최고기술책임자(CTO)에게 이를 묻자 그는 아래와 같이 답했다.
"나도 (보고서 내용을 다룬) 기사를 읽어 봤다. 동의하지 않는다. 시스코 제품은, 다른 벤더 제품도 늘 그렇듯, 엄격한 테스트 과정을 거친다. 지금 제품에 대해서도 100% 믿음을 갖고 있고, 충분한 수준이라 생각한다. 이 정도 보안 수준을 보여 주는 것은 상당한 성과다."
하트만 CTO가 보고서 내용을 조목조목 기술적으로 반박한 건 아니다. 답변은 해당 보고서가 기술적으로 틀린 내용을 담았다기보다, 그 보고서를 통해 시스코 제품의 보안성이 충분치 않을 수 있다는 결론을 내는 게 옳지 않다는 메시지로 해석된다.
보고서가 문제시한 시스코 제품은 웹보안솔루션 '시스코 아이언포트 웹시큐리티'다. 제품은 전송계층보안(TLS) 1.2 버전 표준으로 동작하는 환경에서 인증서 검증(Validates Certifiacates), 최신 암호화(Modern Ciphers), RC4 암호화 적용(Advertises RC4) 항목에 모두 상대적으로 보안이 떨어지는 설정값을 기본 삼았다. 같은 보고서 테스트에서 최고등급을 받은 '시만텍 블루코트 프록시SG 6642'가 기본 설정으로 HTTPS 암호화 처리 면에서 더 높은 보안성을 제공하는 제품으로 제시된 것과 대조를 보였다.
보고서에 따르면 인증서 검증이나 최신 암호화 항목은 보안솔루션의 HTTPS 가로채기 동작 후 과정에서 TLS 표준대로 구현되지 않은 요소에 해당한다. 그리고 RC4는 1987년 만들어진 낡은 암호화 알고리즘으로, 2년전부터 주요 브라우저 업체들이 HTTPS 암호화통신에 쓰지 말라 당부했던 기술이다.
[☞벤처비트 관련 보도: Google, Microsoft, and Mozilla will drop RC4 encryption in Chrome, Edge, IE, and Firefox next year]
[☞관련기사: "연결고리 강화해야 금융보안 개선된다"]
당초 보고서의 내용이 시스코 아이언포트 웹시큐리티 제품 자체에 치명적 보안 결함이 있다는 얘긴 아니었다. 다만 기본 제공되는 설정값이 업계 최신 표준에 맞지 않게 동작하고, 실제로 그 제품이 실현할 수 있는 보안성에 비해 처진다는 점을 지적했다고 봐야 한다. 따라서 하트만 CTO의 반박을 염두에 둔다면 시스코 제품으로도 최신 보안 기술과 표준을 중시한 보안 정책을 실현하는 덴 문제가 없을 듯하다.
하지만 이는 시스코 제품으로 보안성을 극대화하기 위해 어쨌든 전문가의 손길이 더 필요하다는 의미로 읽힌다. 시스코가 한국을 비롯한 아시아태평양지역 시장에서 강조하려 했던 본사의 통합보안전략 메시지와 상충하는 지점이다. 시스코코리아가 기자간담회 자리에서 거듭 강조하고 있는 포괄적인 통합보안솔루션 도입의 필요성, 이를 통한 보안 강화 및 단순화 효과의 기대치를 떨어뜨린다는 얘기다.
[☞관련기사: 시스코 보안, 어떻게 강해졌나]
[☞관련기사: "사이버 공격자도 머신러닝·AI 활용할 것"]
관련기사
- "사이버 공격자도 머신러닝·AI 활용할 것"2017.03.13
- 시스코-KT, 글로벌 IoT 서비스 플랫폼 출시2017.03.13
- 악성코드 배달부 스팸메일, 봇넷 타고 확산2017.03.13
- 시스코 "랜섬웨어 공격목표 서버로 확대"2017.03.13
최근 강조된 시스코의 사이버보안 운영 시나리오를 요약하면 엔드포인트, 네트워크, 클라우드, 이런 3가지 플랫폼을 아우르는 8가지 보안 영역 솔루션을 통합하고 광범위한 '탈로스'의 위협인텔리전스 서비스를 연계해 기업 환경의 보안을 단순화, 자동화하란 것이다. 시스코의 8개 보안 영역은 차세대방화벽과 침입탐지시스템, 악성소프트웨어 대응, 네트워크분석, 보안게이트웨이, 정책 및 접근제어, 이메일과 웹 보안솔루션, 통합위협관리(UTM) 등이다.
시스코는 단지 8개 보안 영역에 포진한 자사 개별 네트워크장비나 보안용 포인트솔루션보다, 이를 묶고 8개 분야 바깥의 솔루션을 보유한 파트너의 기술까지 엮음으로써 여러 계층과 영역에 걸친 보안위협에 더 효율적으로 대응할 수 있다고 주장한다. 이런 가운데 시스코의 일부 보안 제품에 사용자를 보안 위협에 노출시키는 결함이 발견됐다는 문제제기가 달가울 리 없다. 하트만 CTO가 그런 비판이 담긴 구글, 모질라, 미국 주요 대학 연구자 공동 보고서 내용에 동의할 수 없다고 답할 수 밖에 없었던 이유다.