MS, 솔라윈즈 사태 조사 공식적으로 종결하면서 제로트러스트 강조 (보안뉴스, 문가용 기자, 2021.02.19.)
마이크로소프트가 ‘솔라윈즈(SolarWinds) 사태’에 대한 내부 조사를 마쳤다고 발표했다. 마이크로소프트는 이 사건을 솔라윈즈 사태가 아니라 솔로리게이트(Solorigate)라고 부른다. 결론을 내리며 MS는 현대 정보 보안에 필요한 건 “제로트러스트 마인드셋”과 “권한 높은 계정들의 크리덴셜 보호”라고 강조했다.
약 2개월 전 MS는 해커들이 MS 제품과 서비스의 소스코드를 열람하였다고 발표했었다. 그리고 2월 18일, 공격자들이 특정 소스코드 리포지터리들을 열람해 비밀번호와 제품 개발 관련 비밀들을 찾으려 했다고 다시 발표했다. 이런 공격자들의 시도에 노출된 것은 “소수의 코드 리포지터리들”이라고 하는데, 여기에는 애저, 인튠, 익스체인지가 포함되어 있다는 설명도 덧붙었다.
“공격자들이 검색에 활용한 검색어를 보면, 이 자들이 확실히 기밀 정보를 노렸다는 것을 알 수 있습니다. 하지만 MS는 이미 내부적으로 비밀번호나 코드 서명 관련 비밀을 저장하지 못하도록 규정하고 있었습니다. 따라서 공격자들의 시도는 실패로 돌아갔습니다. 다만 사건 대응 때 이 부분을 재차 확인했으며, 리포지터리들에서는 그 어떤 비밀 정보도 발견되지 않았습니다.” MS가 블로그를 통해 밝힌 내용이다. 그러면서 그가 강조한 ‘보완점’이 바로 크리덴셜 보호와 제로트러스트다.
그럼에도 MS의 보안, 컴플라이언스, 이이덴티티 부문 부회장인 바수 자칼(Vasu Jakkal)은 “대규모 소프트웨어 업체와 보안 업체들이 이 공격에 당했다는 사실 자체가 간과할 수 없는 부분”이라고 설명한다. “오늘 MS 자체 조사를 종결내기는 하지만, 그렇다고 솔라윈즈 사태가 완전히 끝났다고 단언할 수는 없습니다. 방어하는 입장에서 보완할 것을 제대로 보완하지 않는 이상, 우리는 또 다른 솔로리게이트를 맛보게 될 것입니다.”
일부 보안 전문가들은 MS가 너무 조사를 일찍 결론지은 것 같다는 의견이다. 겨우 두 달도 되지 않는 시간에 모든 것을 꼼꼼하게 살피기 힘들었을 거라는 말이다. 보안 업체 도메인툴즈(DomainTools)의 조 슬로빅(Joe Slowik)은 “통상 사건 대응자 입장에서 공격자들이 중요한 정보들에 접근하지 않았다고 확실하게 선포할 만한 시간이 아니”라고 말한다.
“공격자들이 이렇게 복잡하고 광범위한 작전을 펼치기 위해 들였을 시간을 상상해보면, 수사 기간 두 달이 얼마나 불균형한 지 느낌이 오죠. 수십만 개 조직들에 잠재적인 백도어를 심은 이 캠페인에 대한 조사로서는 짧아도 너무 짧은 시간입니다. ‘중요한 건 다 지켰어요’라고 MS가 자신할 수 있을 만큼의 조사 기간이 되지 않습니다.”
물론 MS 정도의 기술력과 인재풀을 가진 업체라면 통상적으로 불가능하다고 생각할 것들이 가능할 수 있다는 점은 슬로빅도 인정한다. “그렇다 해도 지금 ‘사건 종결’을 선언하는 것이 전략적으로 현명한 것인지는 의문이 듭니다. 현재 이 사건의 조사를 진행하고 있는 많은 조직과 기관들 입장은 어떨까요?”
하지만 MS의 결론이 ‘우린 피해 없어요’나 ‘피해 크지 않아요’에 집중되어 있는 건 아니었다. 이번 사건을 통해 도출한 보안 강화법에 핀트가 맞춰져 있었다. 그 보안 강화법이란 위에서도 언급된 제로트러스트와 권한 높은 계정의 보호였다. “물론 업계 내에서 오랫동안 강조해 왔던 것들입니다. 그러나 그것이 강조된 만큼 잘 시행되고 있지는 않습니다. ‘이론’의 개념으로만 여기기도 하지요. 이번 사건을 통해 제로트러스트와 권한 계정 강화가 이론상으로만 좋은 보안 개념이 아니라, 진짜로 필요한 방법론이라는 것이 증명되었다고 생각합니다.”
이런 MS의 움직임에 업계 반응은 다양하게 나오고 있다. 보안 업체 벡트라(Vectra)의 CTO인 올리버 타바콜리(Oliver Tavakoli)는 “제로트러스트는 이미 팬데믹 사태 전부터 보안 업계에서 강조해오던 것이지만, 좀처럼 실제 환경에서 받아들여지지 않던 것이었다”며 “재택 근무가 활성화 되고, 솔라윈즈 사태가 터지면서 시급히 적용해야 하는 가치가 되어버렸다”고 설명한다. MS가 포인트를 잘 짚었다는 것이다.
“심지어 ‘사고방식(mindset)’이라는 단어까지 썼어요. 제로트러스트 사고방식을 받아들여야 한다고 말이죠. 기술적으로만 해결할 것이 아니라 네트워크에 접속한 사람들의 사고방식 자체가 바뀌어야 한다고 지적한 건 꽤나 날카롭고 시의적절하다고 봅니다. 실제로 구성원들의 마음가짐에 따라 보안의 강력함이 좌지우지 되는 게 사실입니다.”
도메인툴즈의 슬로빅은 조금 다른 의견이다. “제로트러스트라는 말이 보안 업계에서는 이제 식상한 것이 되었습니다. 지나치게 빈번하게 강조되었죠. 그것도 실제 효과를 내기보다 마케팅 용도로요. 지금 MS의 말은 상당수 업계 사람들에게 공허하게 들릴 겁니다. 제가 생각했을 때 솔라윈즈 사태로부터 기업들이 받아야할 교훈 혹은 앞으로 집중해야 할 방어 전략은 조직을 둘러싼 혹은 조직을 구성하고 있는 각종 신뢰 관계들에 대한 가시성을 확보하는 겁니다.”
그러면서 슬로빅은 “제로트러스트는 문제가 많은 용어”라고까지 말한다. “실용성은 내다버린, 마케팅에만 초점을 맞춘 버즈워드입니다. 그냥 사람들은 현혹시키는 것뿐입니다. 다만 우리가 평소 신뢰하던 것들, 당연시 여기던 것들을 사이버 공격자들이 적극 노리고 있다는 현상을 지적한다는 면에서는 장점을 찾을 수 있습니다. 하지만 그것도 결국에는 ‘모니터링을 더 잘하고 제어를 더 잘하자’로밖에 귀결이 될 수 없습니다.”