보안업계는 작년 한 해 발생한 주요 보안사고 특성을 ‘스마트폰으로 확대되는 위협’ ‘인터넷 뱅킹을 노린 파밍 악성코드의 진화’ ‘공격에 사용되는 경로의 다양화’ ‘POS(판매시점관리) 시스템의 해킹 증가’ 그리고 ‘다수의 오픈소스 취약점 위협 등장’으로 압축했다.
이 중 요즘 널리 이용되는 오픈소스 환경 등을 고려하면 마지막 ‘다수의 오픈소스 취약점 위협 등장’에 더 깊은 관심을 기울일 필요가 있다.
오픈SSL 취약점 이슈였던 하트블리드(HeartBleed), 리눅스 시스템에서 널리 이용되는 배시의 셸쇼크(Shellshock)와 그누(GNU) C 라이브러리(glibc)의 고스트(Ghost)라는 취약점이 뜨거운 관심을 모았다.
‘버그 없는 완벽한 소프트웨어(SW)는 없다’란 말도 있듯 우리가 이용하는 많은 종류의 SW는 알려진 문제인지와 관계없이 늘 버그가 있다고 간주하는 것이 맞을 것이다. SW의 일반적인 버그는 기능상 문제를 일으켜 해당 사용자에게만 영향을 미치는 것에 그친다.
반면에 오픈소스의 보안 관련 버그나 취약점은 많을 때는 시스템 전체의 취약점으로 확대된다. 시스템 전체의 권한을 도용당하고 결국엔 정보유출, 부정사용까지 이르게 되면 재산상 손해 또는 사업상 피해를 낳게 된다.
그래서 인터넷 기반 서비스 사업자들은 B2C(고객거래)나 B2B(기업거래)에 관계없이 오픈소스 SW의 보안 관련 버그와 취약점에 대해 늘 관심을 가져야 한다. 또 자사 시스템을 점검하고 취약점이 발견됐을 때 빠르게 대응할 수 있는 준비가 돼 있어야 한다.
문제는 다수 서버로 구성된 대용량 시스템을 운영하면 서비스 제공의 연속성과 보안 취약점 해결이라는 주제가 충돌해 문제가 빠른 시간에 해결되지 않는 상황도 발생한다는 점이다. 이런 문제를 해결하기 위해 서비스 사업자의 운영조직은 보안 취약점을 빠르게 해결하면서 또 서비스의 영향을 최소화하는 방안을 만들기 위한 고민이 필요하다.
또 최근엔 콘텐츠전송네트워크(CDN) 제공 사업자가 주로 사용하는 SW의 취약점을 이용해 악성코드를 배포하려는 시도가 많이 발견되고 있다. 이는 CDN서비스가 점점 더 확대되고 일반화되면서 공격자들이 악성코드를 확산시키는 중간 매개체로 악용하고자 하는 시도로 판단된다.
이와 같은 공격의 피해는 영향력과 파급력이 매우 큰 만큼, CDN업계는 보안에 대한 중요성을 인식하고 안전한 시스템 구축으로 시장의 우려를 해소해 나가야 할 것이다.
보안 조직을 확대하고, 웹에서 결제 정보를 안전하게 처리하기 위해 갖춰야 할 글로벌 정보보호 인증인 PCI 컴플라이언스, 정보보호 관리체계(ISMS) 인증을 획득해 전반적인 CDN 인프라 및 프로세스의 개선을 요구받고 있다. 또 정보보안에서 매우 중요한 요소인 인적 보안을 강화하기 위해 시스템적인 개선뿐 아니라, 임직원 보안 교육과 사내 보안위원회 운영으로 보안 수준을 강화해야 한다.
보안 취약점의 존재와 해결은 창과 방패의 끊임없는 싸움이 아닐까 생각한다. 하지만 안전하고 신뢰할 수 있는 서비스 제공을 위해 버그와 취약점을 발견하기 위한 지속적인 모니터링 그리고 빠른 해결을 위한 노력은 아무리 강조해도 지나침이 없을 것이다.
김종찬 씨디네트웍스 대표 jongchan.kim@cdnetworks.co.kr