3.20 사이버테러 기법에 또 당해...SW 업데이트 체계 보안 취약

2013년 3월 20일 대규모 사이버 테러를 겪었지만 국내 상용 소프트웨어(SW) 업데이트 체계는 여전히 취약했다.

경찰청 사이버안전국에 따르면 한진과 SK그룹 등 사이버 공격에 PC자산관리 SW가 악용됐다. 지난 2013년 3월 20일 발생한 금융과 방송사 마비 사건 때와 유사 방법이다.

Photo Image
북한은 과거 주요 사이버테러에 SW 업데이트 체계 보안 취약점을 주로 이용했다.ⓒ게티이미지뱅크

SW 업데이트 체계는 최신 버전 프로그램을 설치하기 위한 자동화 관리체계를 말한다. 운용체계(OS)나 응용프로그램 버그, 취약점, 성능 개선 등에 쓰인다. 개발자와 사용자는 SW 자체 보안에 비해 업데이트 체계 보안 인식이 부족하다.

△2013년 3·20 및 6·25 사이버 공격 △2011년 SK컴즈 개인정보 유출 사고 △2011년 농협 금융 전산망 마비 △2009년 7·7 분산서비스거부(DDoS) 공격 등이 SW 업데이트 체계 보안 미비로 발생한 대형 사고다.

SW는 기능 개선과 보안 패치 적용을 위해 대부분 자체 업데이트 기능이 들어간다. 관련 기능은 국제 표준이나 가이드라인이 없어 각 개발사마다 다른 방식으로 운영한다.

Photo Image
SW 업데이트 체계 보안 취약점은 대형 사이버테러의 단초가 된다.ⓒ게티이미지뱅크

영국 시큐니아 PSI 리포트에 따르면 PC 1대당 평균 24개 제작사로부터 74개 프로그램이 설치된다. 사용자는 74개 프로그램을 패치하려고 24개 각기 다른 업데이트 체계를 관리해야 한다. 국내 SW도 자동업데이트는 필수 요소다. 사용자는 PC를 켜는 순간 문서 작성, 메신저, 파일 압축, 음악감상 등 SW를 이용하며 인지하거나 혹은 못한 상태로 업데이트를 받는다.

한진, SK그룹 사이버공격에도 SW업데이트 체계 취약점이 이용됐다. 경찰은 M사 PC관리솔루션이 관리자 권한 없이 원격 접속해 임의로 파일을 배포하고 제어할 수 있는 미인증 우회 취약점이 있었다고 밝혔다.

Photo Image
북, 2개 대기업 그룹 전산망 사이버테러 공격 개요도(자료:경찰청)

공격자는 PC자산관리솔루션 업데이트 서버에 악성코드를 업로드해 다른 사용자 단말로 감염시켰다. PC자산관리솔루션이 깔린 PC 모두 악성코드에 그대로 노출된다. 업데이트 서버에서 파일 업로드에 대한 권한을 확인하지 않은 탓이다. 특히, M사는 PC자산관리솔루션 업데이트 서버와 클라이언트 사이에 통신 채널을 보호하지 않았다. 업데이트와 관련된 중요 정보 파일과 통신 프로토콜이 노출돼 공격에 악용됐다.

국가보안연구소는 `SW업데이트 체계 보안 가이드라인`에서 업데이트 설정파일이 해커에 의해 변조되지 않았는지 무결성을 검사하라고 조언했다. 업데이트 정보파일 암호화도 필요하다. 실행파일이 변조되지 않았는지 검증하는 방법으로 디지털 서명을 쓴다. 정상 업데이트 절차에 해커가 끼어들지 못하도록 SSL과 같은 통신채널 보호를 적용한다. 해커가 SW역공학을 이용해 업데이트 체계 구현에 쓰인 통신 프로토콜, 암호화 알고리즘, 설정 파일을 분석할 수 없도록 소스코드를 난독화한다.


김인순 보안 전문기자 insoon@etnews.com