최신 보안 뉴스

보안 및 IT 분야의 최신 뉴스를 정확하고 신속하게 전해드립니다.

취약점 정보가 비즈니스 모델?...갑론을박

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

 

몰타에 소재한 보안 신생 업체인 리번(ReVuln)은 시중에 사용되는 산업 제어 소프트웨어의 취약점을 상당수 파악하고 있다고 주장했다. 그러나 이 업체는 발견한 취약점과 관련된 소프트웨어 개발업체들에게 이 정보를 공개하는 것이 아니라, 정부와 기타 유료 고객에게 정보를 판매하겠다고 밝혔다.
 
지난 19일, 공개된 동영상에서 리번은 9개의 제로 데이 취약점을 시연했다. 리번은 이런 취약점이 GE, 슈나이더 일렉트릭(Schneider Electric), 카스카드(Kaskad), 록웰 오토메이션(Rockwell Automation), 이튼(Eaton) 및 지멘스의 스카다(SCADA, 감시 제어 및 데이터 획득) 소프트웨어에 영향을 미친다고 밝혔다.
 
스카다 소프트웨어는 일반적인 컴퓨터에서 실행되지만 핵심 인프라 및 기타 다양한 유형의 산업 설비에서 산업 공정을 모니터링하고 제어하는 데 사용된다.
 
리번에 따르면 이번에 공개된 취약점을 통해 공격자는 스카다 소프트웨어를 실행 중인 시스템에서 원격으로 임의의 코드를 실행하고 임의의 파일을 다운로드하고 임의의 명령을 실행하고 원격 셸을 열거나 시스템의 세션을 하이재킹할 수 있다.
 
리번의 공동 설립자이자 보안 연구원인 루이기 오림마는 이메일을 통해 "공격자는 공격 대상 서비스에 의해 부여된 최고 권한으로 기계의 통제권을 확보할 수 있다"며, "루트킷과 기타 악성코드를 설치하거나 동일 네트워크상의 다른 컴퓨터에 사용되는 암호 등과 같은 민감한 데이터를 획득하고 전체 인프라를 조작할 수 있다"고 말했다.
 
공격은 내부 네트워크의 다른 컴퓨터에서, 또는 많은 경우 인터넷을 통해 실행할 수 있다. 오림마는 각각의 설명서를 확인한 결과 대부분의 스카다 제품이 인터넷을 통한 원격 관리가 가능하도록 설계됐다고 말했다.
 
또한 오림마는 "이런 시스템이 불안전한 구성으로 인해 인터넷에 노출되어 있는 경우도 흔하다"며, "쇼단(Shodan, 인터넷으로 접속 가능한 산업 제어 시스템을 찾는 데 사용되는 검색 엔진)을 사용하면 유명 대기업들의 시스템에 대한 엄청난 양의 흥미로운 결과를 받아볼 수 있다. 지금 당장이라도 원격으로 침투할 수 있다"고 지적했다.
 
이런 리번의 주장에 대해 GE, 슈나이더 일렉트릭, 록웰 오토메이션, 그리고 산업 제어 시스템 사이버 응급 대응팀(ICS-CERT)을 운영하는 미국국토안보부는 아무런 답변도 하지 않았다.
 
오림마는 "얼마 전에 ICS-CERT이 추가 정보를 요청했지만 우리는 정보를 공개하지 않는다고 거절했으며, 취약점은 고객을 위한 포트폴리오의 일부이므로 앞으로도 공개되는 일은 없을 것"이라고 말했다.
 
프랑스 취약점 연구 업체인 부펜(VUPEN)과 마찬가지로 리번은 정부 기관과 민간 고객에게 취약점 정보를 공개적으로 판매하는 소수 업체 가운데 하나다. 이런 업체들은 취약점을 발견해도 해당 취약점의 영향권에 있는 개발업체에게 그 정보를 제공하지 않는다.
 
리번의 웹 사이트에는 "당사의 제로데이 피드(가입 방식의 서비스)에 포함된 취약점은 해당 취약점이 서드파티에 의해 발견, 보고되거나 개발업체가 공개적, 비공개적으로 문제를 패치하지 않는 한 리번에 의해 공개되지 않는다"고 명시되어 있다.
 
이는 다소 논란의 여지가 있는 비즈니스 모델로, 디지털 권리 주창자들을 비롯해 IT 보안업계의 다양한 사람에게 비난을 받고 있다. 이들은 취약점이 패치되지 않은 채로 방치되고 불온한 목적으로 취약점을 악용하는 데 관심을 가진 이들에게 알려지게 되므로 인터넷의 안전이 저하된다고 주장한다.
 
그러나 이런 관행이 새로운 것은 아니다. 보안 연구 업계에서는 일부 기업과 독립 연구원들이 패치되지 않은 취약점에 대한 정보를 정부와 민간 구매자에게 판매하고 있다는 사실이 몇년 전부터 공공연하게 알려졌다. 다만 이런 거래가 조심스럽게 이뤄졌을 뿐이다.@

 

[2012-11-26]

 

  • 한국 IDG 로고
  • Lucian Constantin | IDG News Service
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.