인터넷 스캐닝-취약점 검색 툴, 보안에 독?

최근 국내 해킹컨퍼런스인 POC2015에서 사물인터넷(IoT) 분야의 검색엔진이라 불리는 쇼단을 활용해 산업제어시스템(ICS)이나 방송시스템, 대학 내 서버룸까지 외부 인터넷과 연결돼 있어 언제든지 해킹에 취약할 수 있다는 점이 공개됐다.

쇼단(https://shodan.io)은 전 세계 네트워크를 검색해 인터넷과 연결된 서버, 네트워크 장비, 관리자용 서비스, 인터넷전화(VoIP), IP카메라(CCTV) 등에 대한 정보를 보여준다. 이 검색엔진 자체만 놓고보면 검색결과로 IP주소(IPv4), 현재 네트워크와 연결상태, 서버의 종류 등에 대한 기본정보만 공개하기 때문에 직접적인 보안위협이 되는 것은 아니다.

논란이 되는 것은 이러한 검색엔진 혹은 메타스플로잇과 같은 취약점점검툴이 악용될 수도 있다는 것이다. 인터넷에 연결되면 안 되는 SCADA와 같은 산업용 시스템이 쇼단을 통해 스캔된다는 것은 그 자체로 해당 시스템이 보안에 취약하다는 점을 보여준다. 국내서도 망분리가 됐다고 알려진 여러 산업용 시스템들이 실제로 쇼단을 통해 검색이 되는 것으로 알려졌다. 보안전문가들이 이러한 툴을 활용해 SCADA의 인터넷 연결을 막고, 취약점을 없앤다면 다행스러운 일이지만 악의적인 해커들도 이러한 툴을 악용할 수 있다는 점에서 양날의 칼이 된다.

■인터넷 스캐닝용 검색엔진 연구 활발

최근 중국 360시큐리티가 개최한 '차이나 인터넷 시큐리티 컨퍼런스(ISC)'에 참석했던 김용대 카이스트 교수에 따르면 미국 미시건대 알렉스 할더만 교수가 고안해 낸 인터넷 스캐닝툴인 '지맵(https://zmap.io)' 역시 유사한 기능을 가졌다. 전 세계 인터넷 상 40억개에 달하는 IP주소를 5분 이내에 스캔해 외부 인터넷과 연결된 수많은 시스템들에 대한 정보를 조회해 볼 수 있다는 설명이다. 이를 활용해 모든 정보를 쉽게 확인해 볼 수 있게 한 검색엔진이 '센시스(https://censys.io)'다.

쇼단과 달리 직접 하트블리드 등을 포함한 웹취약점이 적용되는 시스템에 대한 정보를 확인할 수 있다. 여기서 발견된 정보는 다시 센시스라는 검색엔진을 통해 조회가 가능하다. 기반시설에 사용되는 '모드버스(Modebus)'라는 프로토콜을 사용하는 시스템에 대한 정보도 조회된다. 유용한 만큼 이 역시 악의적인 해커가 쓴다면 해당 시스템이 외부 해킹에 노출될 가능성이 높아지는 셈이다.

■보안 위해 적극 활용 VS 제한적 활용

IoT 시대가 오면서 인터넷과 접점을 갖게 되는 기기들은 기하급수적으로 늘어날 것으로 전망된다. 이러한 기기들에 대한 정보를 일일이 점검하는 것은 사실상 불가능하다. 때문에 전 세계 인터넷 환경에 대해 전수조사에 가까운 분석이 가능한 쇼단, 센시스와 같은 툴은 유용한 도구인 것은 분명하다. 문제는 악용될 수도 있다는 점에 대해서 어떤 해결책을 내놓을 수 있는가다.

국내 보안업계에 따르면 이러한 툴들이 이미 존재하는 만큼 보안성을 높이기 위해 적극적으로 활용해야한다는 의견과 반대로 기업, 기관 등이 허락하지 않은 상태에서는 시스템 정보를 스캔하는 것은 무단침입이나 다름없기 때문에 활용을 제한해야한다는 의견이 엇갈리고 있다.

쇼단에 'scada'라는 키워드를 넣어 검색한 결과 화면. 나라별 검색된 SCADA시스템과 IP주소 등 기본정보가 공개된다.

센시스의 검색화면. 전 세계 IP주소, 웹사이트, 인증서 등에 대한 내역을 확인할 수 있다.

국내서는 정보통신망법 제48조에서 '누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입해서는 안 된다'고 규정하고 있다. 쇼단이나 지맵을 활용해 해당 시스템에 대한 접근권한을 갖기 않은 상태에서 스캐닝해보는 것 자체도 불법의 소지가 있을 수 있다는 것이다.

아직까지 국내서 단순 스캐닝이 가능한 쇼단 등으로 조회해 보는 것만으로 처벌받은 사례는 없다. 이와 관련해 김 교수는 "좋은 목적을 가진 인터넷 스캔에 대해서는 허용해야 한다"고 밝혔다. 취약점을 제대로 점검하기 위해서도 보안담당자, 침투테스트전문가들이 이러한 툴들을 적극적으로 활용할 필요가 있다는 설명이다.

한국수력원자력 해킹 사건 이후 인터넷망과 내부망이 서로 분리된 환경에서도 내부 정보를 유출시키는 해킹이 가능하다는 사실이 확인됐다. 다른 SCADA를 포함한 ICS를 운영하는 곳에서도 비슷한 문제가 발생할 수 있는지에 대한 전수조사는 이뤄지지 않고 있는 실정이다. 때문에 정부 차원에서라도 이러한 툴들을 적극적으로 활용해 보완책을 마련할 필요가 있다는 것이다.

그러나 반대론도 있다. 한국인터넷진흥원(KISA) 박문범 선임연구원은 "연구나 보안을 목적으로 시스템에 직접적인 영향을 주지 않는 단순 스캐닝이라면 문제가 될 가능성이 없지만 스캐닝 자체만으로도 시스템에 영향을 주는 경우라면 해킹을 시도한 것이나 다름없다"고 주장했다.

박 선임에 따르면 소프트웨어에 대한 취약점을 찾아내는 작업은 자신의 PC나 노트북에서 이뤄지기 때문에 외부에 별다른 피해를 입히거나 영향을 주지않는다. 반면 단순 스캐닝이 아니라 해당 시스템에 대한 취약점을 찾아내는 스캐닝을 수행한다면 문제소지가 될 수 있다는 것이다. 예를들어 전 세계에서 인터넷으로 연결된 시스템에서 SQL인젝션 취약점이 적용되는지 여부를 확인하는 과정 자체가 공격을 수반할 수밖에 없다는 설명이다.

이런 기준에 비췄을 때 쇼단은 문제가 될 소지가 적지만 지맵을 통해 스캔한 결과를 보여주는 센시스의 경우 해당 시스템을 관리하는 기업, 기관의 동의없이 취약점이 적용되는 지에 대해 파악하는 과정에서 시스템에 영향을 주기 때문에 일종의 시스템에 대한 공격을 수행한 것이나 다름없는 것으로 간주할 수도 있는 셈이다.

쇼단, 지맵(센시스)과는 조금 다르지만 모의해킹툴로 널리 알려진 메타스플로잇이나 웹취약점 스캐닝툴의 경우 보안전문가가 활용하면 약이지만 악의적인 해커가 쓸 경우 독이 된다.