지난해 각종 보안사고가 줄을 이으면서 취약점 스캐닝과 침투테스팅에 대한 기업들의 니즈가 증가하고 있다. 최근 KT 등 상당수 대기업들도 보안사고를 미연에 방지하기 위해 취약점 점검 및 관리 솔루션인 넥스포즈 엔터프라이즈와 침투테스팅툴인 메타스플로이트 프로 등을 도입한 바 있다.
 
정진 소프트와이드시큐리티(www.softwidesec.com) 대표는 “과거 2~3년간 기업들은 보안취약점 대응을 위해 솔루션보다는 컨설팅에 의존했다. 기업 스스로 취약점 정보를 수집하고 침투경로를 찾아내기가 힘들었기 때문이다. 그래서 컨설팅이나 모의해킹을 의뢰하면 할때마다 새로운 것이 나왔다”며 “하지만 외주 컨설팅과 모의해킹으로는 취약점에 대한 체계적인 관리가 불가능하다는 것을 기업들고 알기 시작하면서 관련 솔루션에 대한 니즈가 증가하고 있다”고 설명했다.
 
또한 “외주 컨설팅과 모의해킹은 리포트만 관리될 뿐 취약점에 대한 이력관리가 안된다는 것이 가장 큰 문제다. 그리고 누가 모의해킹 용역을 맡아 하느냐에 따라 취약점 결과가 달라지는 경우가 대부분이다. 이런 이유때문에 취약점에 대한 히스토리 관리가 안되는 것”이라고 지적하고 “취약점 이력관리가 돼야만 기업은 취약점에 대한 체계적인 대응전략을 세울 수가 있고 궁극적인 목적을 달성할 수 있게 된다”고 강조했다.
 
현재 기업의 체계적인 취약점 관리와 상시적 모의해킹으로 보안상태를 극대화시킬 수 있는 툴로 잘 알려진 넥스포즈(NeXpose)와 메타스플로잇(Metasploit) 툴을 국내에 공급하고 있는 기업은 보안취약점 진단 및 관리 전문 기업 소프트와이드시큐리티다. 우선 유명한 두 툴에 대해 설명을 들어봤다. 
 
◇취약점 진단 및 관리 솔루션=NeXpose Enterprise(넥스포즈 엔터프라이즈)는 기업의 IT 인프라 전반에 대한 보안 취약점을 점검하는 취약점 진단/관리 솔루션이다.
 
단일 솔루션으로 시스템, 네트워크, 데이터베이스, 웹 애플리케이션에 대한 취약점 진단이 가능하며, 모의해킹 솔루션 Metasploit Pro와 연동하여 발견된 취약점을 악용한 모의공격을 통해 취약점의 위험도를 검증하는 유니크 한 보안성진단, 관리 모델을 제공하고 있다.
 
현재의 사이버 공격 트랜드는 정보보호시스템을 우회한 공격이나 취약점 패치 이전의 Zero-day 취약점을 악용한 공격, 애플리케이션 단의 취약점을 이용한 공격이 주를 이루기 때문에 보안 취약점에 대한 진단과 관리 이슈가 매우 중요하게 부각되고 있다.
 
2012년 02월 기준, 7만6,000개 이상의 취약점 진단이 가능한 타 취약점 스캐너 대비 월등하게 많은 수의 취약점 데이터베이스를 보유하고 있으며, Microsoft Tuesday Patch 발표 후 24시간 이내, Linux/Unix 계열 패치 발표 후 48시간 이내의 빠른 취약점 점검 데이터베이스 업데이트를 제공하고 있다.
 
설치/구축 부분에 있어 Agentless 방식의 스캐닝 기술 및 다양한 구축 옵션을 제공해 대규모 인프라에 대한 구축 및 운영/관리가 매우 용이하도록 설계되어 있으며, 자산 디스커버리, 정형화된 스캔 템플릿, 세분화된 자산 관리기능을 제공해 쉽고 빠른 취약점 진단이 가능한 툴이다.
 
또 취약점 조치 가이드에는 취약점에 대한 설명, 조치방법, 다운로드 링크, 예상 소요시간 등의 취약점 조치에 필요한 상세정보가 포함되어 있으며, HIPPA, FDCC, PCI, SOX 등 다양한 컴플라이언스 이행점검 기능을 제공하고 있다.
 
◇자동화 모의해킹 및 취약점 검증도구=Metasploit Pro(메타스플로이트 프로)는 자동화 모의해킹 및 취약점 검증도구로 기업의 네트워크 및 시스템의 보안 취약점을 이용한 모의해킹을 통해 보안 취약성을 평가하는 모의해킹 솔루션이다.
 
전 세계적으로 12만명 이상의 보안 전문가 및 해커들이 사용하는 Metasploit Framework 기반의 엔터프라이즈용 상용화 제품으로 자동화된 익스플로잇 공격, Multi-Tasking, Smart Bruteforcing, Smart Exploitation, Advanced Pivoting, Social Engineering Attack 등 Advanced 공격기법, 팀 협업을 통한 공격 테스트, 모의해킹 테스트 보고서 등의 차별화된 기능을 제공한다.
 
◇취약점은 존재여부 보다는 관리여부가 중요해=정진 대표는 “상당수의 보안 담당자들은 자신이 관리하고 있는 시스템에 취약점이 있는 것을 인지하고 있거나, 있다고 생각하지만 운영중인 시스템에 패치를 적용하거나 변경하는데 따르는 현실적인 어려움 때문에 이를 방치하고 있다”며 “물론 모든 취약점이 실제 공격에 사용되는 것은 아니며 서비스의 연속성 이슈로 인해 취약점을 조치하는 것이 어려운 것도 사실이다. 하지만 취약점에 대한 정보, 현황, 위험도를 정확하게 알고 방치하는 것과 조치가 어렵다는 이유로 그냥
방치하는 것은 실제 보안사고가 발생했을 때 하늘과 땅 차이”라고 강조했다.
 
또 그는 “실제 운영환경에서 취약점을 점검하고 나면 발견되는 취약점의 수량과 운영중인 시스템에 대한 취약점 조치의 제한으로 인해 어려움이 따를 수 있다. 따라서 전체 취약점 정보를 목록화하고 위험도, 중요도 기준으로 분류해 단계별 조치 계획을 수립하는 것이 매우 중요하다”며 “취약점의 위험도나 중요도는 각 벤더사에서 제공하는 상-중-하나 1~5단계로 구분되는 취약점 등급 또는 CVSS 스코어를 활용할 수 있다”고 조언했다.
 
현재 소프트와이드시큐리티는 취약점의 등급 보다는 실제 공격에 사용될 수 있는 취약점을 기준으로 조치 우선순위를 수립하는 “Real Risk Strategy”를 적용하고 있다.
 
‘Real Risk Strategy’이란 취약점을 이용한 익스플로잇 코드 공개/존재 여부, 악성코드 존재 여부, 취약점 발표 시점 등을 토대로 취약점 조치/관리 계획을 수립하는 위협관리 전략을 말하다.
 
시스템에 대한 직접적인 취약점 조치가 어려울 경우 기존에 구축된 정보보호시스템을 통해 보안하는 것도 한가지 방법이라고 말한다. 중요한 것은 취약점이 있느냐 없느냐가 아니라 어떻게 관리하고 대응하느냐가 중요하다는 것이다.
 
우리가 병원에 가서 건강검진을 받으면 안 좋은 곳이 한두 군데씩은 나오기 마련이다. 평소 생활하는 데는 지장이 없지만 방치하면 나중에 위험해지고 약을 먹는다고 해서 바로 치료할 수는 없지만 지속적으로 신경을 쓰고 관리하면 나아지는 그런 것들 말이다.
 
정진 대표는 “매년 수천여 개의 취약점이 발표되고 이를 악용한 공격이 증가하고 있기 때문에 현시점에서 취약점이 없다고 해서 관리를 소홀히 하면 보안성은 점차 악화될 것”이라며 “현재 취약점이 많더라도 지속적인 관리와 노력으로 점차 개선될 수 있도록 시스템을 정립하는 것이 중요하다”고 강조했다.
[데일리시큐=길민권 기자]