잇따른 해킹에 1세대 해커 출신 교수 "OS 업데이트부터 챙겨라"

[뉴스웍스=박광하 기자] 최근 민간기업과 공공기관을 대상으로 한 사이버 위협이 급증하면서 범국가적인 대응책 마련 목소리가 커지고 있다. 1세대 해커인 이희조 고려대 융합보안대학원 교수는 OS 업데이트도 안 하는 현실을 지적하면서 기본적인 취약점 관리 체계부터 구축, 운영해야 한다고 강조했다.

이 교수는 최근 자신의 페이스북 계정에서 보안성 확보를 위해 이 같은 조치가 필요하다고 말했다.

그는 SK텔레콤을 비롯한 민간기업과 여러 정부기관을 대상으로 벌어진 주요 해킹 사건들의 공통점이 '출시된 지 5년 이상 된 OS나 취약점을 가진 서비스에서 돌아가던 시스템들'이라는 점을 지적했다.

그러면서 "5~10년 된 OS를 업그레이드나 취약점 패치 없이 방치하면, 매년 200~300개씩 발견되는 리눅스 커널 또는 윈도 취약점에 그대로 노출된다"고 경고했다. 예를 들어 CVE-2016-5195(DirtyCOW)는 리눅스 커널의 권한 상승 취약점으로, 2016년에 발견됐다. 하지만 이 취약점을 패치하지 않을 경우 시스템은 해당 취약점에 의한 사이버 침해 사건이 언제든지 반복해서 발생할 수 있다.

IT 업계는 여러 민간, 공공 운영 시스템의 경우 개발 당시 도입한 OS나 소프트웨어를 시스템 폐기 때까지 업데이트하지 않는 경우가 비일비재하다고 지적한다. 업데이트를 하지 않는 이유에 대해 SI 업체 관계자는 "잘 돌아가던 시스템이 OS나 관련 소프트웨어 업데이트 이후 갑자기 장애가 발생하는 경우가 있다"면서 "이런 경우 별도 예산이 없는 기업, 기관은 롤백(업데이트 이전으로 시스템을 복원하는 것)하는 게 보통"이라고 말했다.

이 교수는 백신 프로그램이 악성코드를 치료하는 데 효과적이지만, 취약점을 찾거나 패치 관리를 돕지는 않는다고 지적했다. 이런 문제를 해결하기 위해서는 소프트웨어 구성 분석(SCA) 솔루션이나 패치 관리 솔루션이 효과적인 대응책이 될 수 있다고 언급했다. SCA 도구는 오픈소스 라이브러리의 취약점과 라이선스 문제를 식별해 보안 위험을 사전에 차단하는 데 도움을 준다.

이 교수는 CVE 등 치명적인 취약점이 일평균 100개씩 공개되고 있으므로, 취약점 모니터링 및 관리가 필수적이라고 강조했다. 공개된 취약점에 운용 중인 시스템이 해당됨을 확인했다면, 긴급 패치나 OS 업그레이드 계획을 세워야 한다고 덧붙였다.

로그4제이 같은 취약점은 소프트웨어 간의 의존성 문제로 인해 치명적인 위험을 초래할 수 있다. 이를 해결하려면 오픈소스 등 제3자 라이브러리까지 확인이 필요하며, 소프트웨어자재명세서(SBOM)를 활용한 공급망 보안 관리가 중요하다. SBOM은 소프트웨어 구성 요소의 목록을 제공해 취약점 식별과 대응을 용이하게 한다.

그는 "최근 발효되는 미국의 행정명령(EO), 유럽연합(EU)의 사이버레질리언스법(CRA), 주요 산업의 공급망 보안이나 제품 보안 강화 제도는 취약점 관리 체계를 갖추는 것을 핵심 요구사항으로 삼고 있다"면서 "정부부처부터 최고정보보호책임자(CISO)를 지정하고 취약점 관리 체계를 갖추는 것에 적극 동의한다"고 의견을 내놨다.