마이크로소프트는 지난 8월 초가 최악의 ‘패치 화요일’이었으며 시스코는 지난 8월초 미국 라스베이거스에서 개최된 블랙햇(Black Hat) 컨퍼런스에서 발표된 방화벽 우회 가능성을 포함해 여러 취약점에 노출되고 있는 것으로 알려져 MS와 시스코가 서로 ‘데자뷰’를 겪고 있는 듯이 보인다. 이러한 상황은 광범위하게 사용되고 있는 양사의 제품에 대한 보안이 얼마나 어려운지를 다시 한번 보여주고 있는 것이라 할 수 있다. 또한 어려움에 처했을 때 양사가 어떻게 대응하는지에 대해서도 관심이 모아지고 있다.
시스코, 시스템 전반에 위협
지난 8월 마이크로소프트의 패치 화요일에는 주요 버그 16종을 포함해 보안 결함 23건에 대한 패치를 발표했는데, 이는 마이크로소프트가 월례 패치 프로그램을 시작한 이래 가장 많은 것이다. 윈도우 2000과 2003, XP에는 해커가 버퍼의 과부하를 일으켜 시스템을 통제할 수 있는 최고의 위험 수준에 해당되는 치명적인 결함이 발생할 수 있다. 버퍼에 과부하를 일으키고 시스템을 통제한 다음에는 공격자들이 프로그램을 설치하거나 데이터를 삭제할 수 있으며, 새로운 사용자 계정도 만들 수도 있다. 미국 안보국은 침입자들이 이미 행동을 시작했다면서 버그에 대한 MS06-040 패치를 다운 받을 것을 이례적으로 권고하고 나섰다.
시스코는 지난 8월초에 보고된 PIX 방화벽 보안 장비에 대한 취약점에 대응하느라 분주한 움직임으로 보이고 있다. 8월에 개최된 블랙햇 USA IT 보안 컨퍼런스에서, 프리넷 시티라인(Freenet Cityline) 개발자인 헨드릭 숄츠는 SIP 프리젠테이션에서 PIX에 패치되지 않은 취약점을 공략하는데 사용될 수 있는 기술을 소개해 참석자들을 놀라게 했다. 이러한 취약점을 통해 공격자들은 방화벽을 우회할 수 있다. 숄츠는 VoIP 문제 해결을 위한 작업을 진행하는 도중에 이러한 사실을 발견하게 되었다고 말했다. 당혹감을 감추지 못했던 시스코는 해당 문제에 대한 조사에 착수했다(지난해 블랙햇 USA 행사에서는 보안 전문가인 마이클 린이 시스코의 네트워킹 운영체제를 구동하는 라우터와 스위치에 대한 공격 가능성을 제기한 바 있다).
숄츠의 이번 보안 취약점 발견은 지난 두 달 동안 시스코가 발행한 6건의 보안 경고에 뒤이은 것으로, 일부 보안 전문가들의 경우 또 다른 취약점도 발표하고 있는 상황이다. 이에 해당되는 제품으로는 시스코 보안 모니터링, 분석, 대응 시스템 어플라이언스와 콜매니저, 액세스 포인트 웹 인터페이스 등이다. 이러한 제품들의 모든 결함은 시만텍이 최고 위험 수준으로 설정한 것이다.
레이드로 트랜짓 서비스의 IT 인프라 총괄 이사인 스탠 터너는 “시스코가 자사의 모든 기술에 대한 보안 문제를 고객들에게 적극적으로 경고했다면 훨씬 좋았을 것”이라고 말했다. 터너는 IPS 서명 업데이트에 대한 경고를 이메일로 받았지만 고객들이 구매한 모든 제품에 대한 경고에 대한 소스를 제공해야 한다고 덧붙였다.
시스코와 마이크로소프트 고객, 그리고 이들 제품을 담당하는 보안 전문가들은 피해를 차단하는 소프트웨어를 작성할 수 있는 방법이 전혀 없다는 것을 깨달았다. 대신에 취약점이 노출되어 공격을 당하는 것을 막는 패치를 벤더가 얼마나 신속하고 단호하게 내놓는가를 테스트할 수밖에 없다.
한 보안 전문가는 “벤더의 대응은 고객을 보호하는데 있어 가장 중요한 방법이 되고 있다”고 말했다. 하지만 대부분의 벤더들은 자사가 제공한 패치가 고객의 IT 환경에 얼마나 중요한지에 대한 가이드를 거의 제공하지 않고 있다. 그는 “매달 발표되는 패치가 수없이 많지만 해당 패치를 실제로 설치하는 데에 따른 가치가 어느 정도인지 고객들에게 정보를 제공해야 한다”고 덧붙였다.
“보안 제품은 허점없어야 마땅”
시스코와 마이크로소프트는 취약점을 관리하는데 있어 상반된 접근 방법을 보이고 있다. 마이크로소프트의 매월 패치 화요일은 윈도우에서 실행되며 PC가 사용 중이더라도 패치를 작동할 수 있다. 시스코가 정기적으로 발표하는 패치는 시스코 IOS에 국한되며, 오프라인이거나 재부팅을 통해서만 실행될 수 있다.
이러한 복잡성으로 인해, 시스코는 모든 취약점에 대한 패치가 합리적이지 않다고 판단해 고객들에게 무료 소프트웨어를 제공하는 형태로 문제점을 해결하고 있다. 지난 7월에 발견된, 원격 IPSec VPN 액세스를 구현해주는 시스코의 VPN 3000 시리즈 집중장치에서 사용되는 인터넷 키 익스체인지 프로토콜의 결함에 대한 해결책의 경우, 시스코는 고객들 스스로가 IKE에 대한 콜 승인 컨트롤을 구현해줄 것을 요청한 바 있다.
넷링크 서비스의 인터넷 보안 전문가이자 시스코 고객인 조지 로트거는 가장 최근의 시스코 보안 취약점은 ‘매우 표준적인 형태’라고 언급했다. 더욱 취약한 문제는 PIX 방화벽과 CS-MARS, IPS 등 시스코 보안 제품에서 발생한다는 것이다. 그는 “이러한 제품들이 보안을 위해 개발되었다면 보안의 취약점이 없는 최고의 보안 제품이 되어야 마땅할 것”이라고 지적했다.
시스코가 취하고 있는 일반적인 방법은 해결책이 없는 한 침묵하는 것이다. 시스코 측은 “고객들은 단지 어떤 사실을 알기 위해서만 취약점을 알려고 하지 않는다”면서, “해결할 수 있을 때에만 알고 싶어한다”고 주장했다.
하지만 시스코의 제품이 워낙 다양하기 때문에 고객이 보안에 대해 안심할 수가 없다. 보안 컨설팅 업체인 네오햅시스(Neohapsis)의 CTO인 그렉 쉬플리는 “시스코가 보안과 관련된 정보를 숨기려는 의도를 이해할 수가 없다. 시스코는 아주 다양한 플랫폼에서 구동하는 수많은 버전의 소프트웨어를 갖고 있기 때문에 더더욱 이러한 태도를 묵과해서는 안 된다”고 밝혔다.
시스코와 마이크로소프트의 이러한 차이점은 시간이 지남에 따라 줄어들 것으로 예상된다. 시스코는 1년 전부터 IOS의 모듈형 버전을 개발하기 시작했다. 모듈형 버전은 시스템을 중지하지 않고도 패치를 실행할 수 있다. 시스코는 이미 IOS XR로 알려진 IOS의 모듈형 버전을 제공하고 있으며, 이 제품은 서비스 사업자에게 판매되는 라우터에 포함되어 있다. 시스코의 카탈리스트 6500 스위치는 시스템이 오프라인으로 되지 않고도 패치를 실행할 수 있다. 하지만 이러한 기능이 모든 시스코 제품에 적용되기까지는 다소 시일이 걸릴 예정이다. 또한 시스코는 고객들이 정기적인 패치 스케줄에 대해 더 많은 정보를 원할 경우 이에 응할 계획이라고 밝혔다.
시스코, 해결책 없으면 ‘침묵’
취약점이 없는 코드를 개발하는 것이 불가능하기 때문에, 문제가 발생했을 때 벤더가 어떻게 반응하는지에 대해 고객들이 주의를 기울여야 한다. 마이크로소프트는 지난 블랙햇 행사에 등장해 내년에 발표할 윈도우 비스타와 관련된 보안 세션을 제공하면서 보안에 더욱 주력하겠다고 공언하기도 했다. 마이크로소프트의 윈도우 제품 관리 이사인 오스틴 윌슨은 비스타의 잠재적인 취약점에 대한 시연에 대해, “이를 해결하기 위해 이곳에 왔다”고 말했다. 마이크로소프트는 공격적인 접근 방법을 취하고 있다. 이제 시스코가 이를 채택할 차례이다.
Larry Greenemeier