"빅데이터 분석 목적으로 구축한 인프라에 오픈소스 소프트웨어(SW)가 많이 쓰인다. 국내서도 거의 대부분 기업이 빅데이터 인프라에 오픈소스SW를 사용한 걸로 안다. 한 곳에서 10종 이상을 쓰는 경우도 있다. 초기부터 오픈소스SW 자체의 보안성을 고려하지 않으면 인프라를 구축한 이후 보안 허점에 대응하기 어려운 측면이 있다."
SK인포섹 이재우 이큐스트(EQST) 그룹장은 4일 서울 광화문 센터포인트 이큐스트 그룹 정기 미디어데이에서 이같이 말했다. 상반기 보안이슈와 오픈소스SW 보안을 주제로 한 발표 내용이었다. 이큐스트는 사이버위협 분석 및 연구와 실제 해킹사고 현장의 침해사고대응 업무를 수행하는 SK인포섹 전문가그룹이다.
지난달말 이큐스트 그룹은 오픈소스 취약점을 파악하고 이를 보완하는 요령을 담은 보안가이드를 내놨다. 노드JS, 와일드플라이, 엔진엑스, 엘라스틱서치, 도커, 카산드라, 하둡, H베이스, 하이브, 임팔라, 젠킨스, 카프카, 메이븐, 메소스, 오오쓰, 스파크, 스퀴드, 스톰, 몽고DB, 마이SQL, 포스트그레SQL, 레디스 등 22종이 포함됐다. 대규모 데이터 처리 효율을 높이거나 개발 환경 업무를 보조하는 오픈소스SW들이다.
이 그룹장은 미디어데이에서 기업의 보안위협 요인 가운데 오픈소스SW 취약점의 비중이 커가는 추세라 지적했다. 올해 상반기중에 발견된 보안취약점 7천여건 가운데 오픈소스SW 관련 취약점 비중이 3천여건으로 40% 이상을 차지했다고 언급했다. 설명에 따르면 전체 보안취약점에서 오픈소스SW 취약점의 비중 또한 증가 추세다. 아파치 웹서버, 노드JS, 스프링 프레임워크 등에서 많이 발견됐다.
이 그룹장은 오픈소스SW에서 발견된 취약점 가운데 원격코드실행(RCE) 취약점이 다수를 차지한만큼 오픈소스SW 보안이 매우 중요하다고 강조했다. 그는 "오픈소스SW 사용기업이 늘고 있는데 기본 보안 조치를 하지 않아 해킹 피해를 입는 사례가 늘고 있다"며 "개발 단계부터 오픈소스 보안을 신경 쓰지 않으면 해커에게 공격 통로가 되는 문을 열어 주는 것이나 마찬가지"라고 경고했다.
이큐스트그룹의 오픈소스SW 보안가이드에도 나와 있는 취약점을 통한 해킹 과정 시연이 이어졌다. 빌드 및 배포 자동화 툴 젠킨스(Jenkins)와 캐싱 서비스에 쓰이는 인메모리 기반 NoSQL DB 레디스(Redis), 2가지 오픈소스SW의 보안취약점을 이용해 기업내 사용자 PC와 서버 관리권한을 탈취하고 암호화폐 채굴형 악성코드 '마이너(Miner)'를 설치해 실행하는 과정이었다.
시연을 진행한 이큐스트그룹 이광형 책임은 "오픈소스SW를 사용한 인프라에서 보안 정책 설정, 보안 패치 등 이미 취약점이 있다고 알려진 부분에 우선 대비하는 것만으로도 피해 가능성을 낮출 수 있다"며 "반대로 이미 취약점이 노출돼 있는 오픈소스SW를 사용하면서 아무런 보안 조치를 하지 않은 채 운영되는 시스템이 있다면 해커 입장에선 분석이 잘 된 훌륭한 먹잇감이 될 수 있다"고 언급했다.
이큐스트그룹은 오픈소스SW 보안가이드를 작성한 배경으로 주요 인터넷사업자 및 금융사 등 고객사의 요청과 문의가 있었음을 밝혔다. 대규모 데이터 처리 환경을 구축하고 이를 효율화하거나 빠른 애플리케이션 개발 및 배포 목적으로 오픈소스SW를 도입하는 조직인 경우가 많을 것으로 보인다. 이큐스트그룹은 올해 하반기 오픈소스SW 10종의 보안조치 요령을 추가한 가이드를 제작해 배포할 계획이다.
이큐스트그룹은 이날 오픈소스SW 보안위협 동향과 별개로 2018년 상반기 6개월간 발생한 주요 취약점 발생 및 해킹 공격 사례도 되짚었다. 인텔 중앙처리장치(CPU) 하드웨어 보안취약점, 평창올림픽 개막식 도중의 해킹공격, 갠드크랩을 비롯한 주요 랜섬웨어의 창궐, 북한 배후 공격그룹의 소행으로 추정되는 액티브X 취약점 악용 악성코드 유포, 코인레일과 빗썸에 발생한 해킹 및 암호화폐 탈취 사건이 언급됐다.
관련기사
- [보안 상반기 결산] 인텔 CPU 보안 취약 등 '사고' 잇달아2018.07.05
- SK인포섹, 오픈소스SW 22종 사용 보안가이드 발간2018.07.05
- 빗썸 "해킹 피해액 350억에서 190억원으로 줄어"2018.07.05
- "사이버범죄 대응 첩보, 다크웹에서 찾겠다"2018.07.05
이큐스트그룹은 SK인포섹 관제서비스를 받고 있는 고객사 2천곳을 통해 수집한 통합보안관제센터의 데이터를 근거로 올상반기 공격시도가 월평균 26만건 발생했다고 밝혔다. 그에 따르면 앞서 언급된 오픈소스SW 취약점 공격 및 랜섬웨어 유포에 더해 사물인터넷(IoT) 악성코드 '미라이' 변종인 '사토리'에 감염된 IoT기기 봇넷 공격 시도도 있었다.
이재우 그룹장은 "갠드크랩 랜섬웨어 공격과 암호화폐거래소 해킹사건 등을 보면 사이버공격 흐름에서 금전적인 이득을 취하려는 경향이 강해지고 있다"며 "4·27 남북정상회담 이후 북한 배후 공격그룹 소행으로 추정되는 사례들의 활동 목적 비중이 (기업내 보유) 정보 탈취에서 (운영환경을 파악하는) 정보 수집 양상으로 변화하는 흐름도 보인다"고 평했다.