URL 함부로 클릭 금물, 기억보다는 믿을 만한 포털 사이트 검색
칼리, 패럿(Parrot, 앵무새), 블랙아치 등 오픈소스 보안 테스트 도구 설치
전문가들, “아무리 유명한 오픈소스라도 수시로 수정, 업그레이드 필요”
사진은 '2022 국제인공지능대전' 출품 업체 부스이며, 본문과 직접 관련은 없음.
[애플경제 김향자 기자] 오픈소스는 SW개발 기간과 비용 절감 등의 이점을 제공하며 보편화되고 있다. 그러나 이는 누구나 접근할 수 있고, 검증없이 재사용되는 경우가 많다. 그렇다보니 이를 노려 악성코드를 삽입하거나, 타이포스쿼팅 수법을 동원하는 등의 사이버 범죄도 잇따르고 있다. 이에 국내외 IT기업들이 앞다투어 오픈소스 프로그램을 내놓을 때마다 무결성과 보안을 걱정하는 목소리도 높아가고 있다.
타이포스쿼팅은 네티즌들이 사이트에 접속할 때 주소를 잘못 입력하거나 철자를 빠뜨리는 실수를 이용하기 위해 이와 유사한 유명 도메인을 미리 등록해놓는 수법이다. 일명 ‘URL 하이재킹’이라고 불리기도 한다. 흔히 네티즌들이 유명 사이트들의 도메인을 입력할 때 오․탈자의 실수가 생길 수도 있다. 이를 악용해 미리 비슷한 도메인 이름을 미리 선점해 놓고 이용자의 의도와는 달리 엉뚱한 사이트로 이동하도록 하는 것이다.
오픈소스를 악용한 공격 수법으론 악성코드를 삽입하는 경우가 대표적이다. 금융보안원과 유럽네트워크정보보호원(ENISA) 자료에 의하면 지난 1월에는 유명 오픈소스 라이브러리인 colors.js나 faker.js 관리자가 해당 라이브러리에 악성코드를 삽입, NPM을 통해 배포하기도 했다. 지난해엔 UA-Parser-JS 관리자의 NPM 계정이 탈취되어, 해당 라이브러리에 악성코드를 삽입한 오픈소스를 배포한 수법도 발견된 바 있다. 특히 타피포스쿼팅도 많이 쓰인다. 지난 2020년에는 비트코인을 훔치기 위해 제작된 700여 개의 악성패키지가 RubyGems 리포지터리에 업로드되는 사건도 있었다.
이에 문자메시지나 이메일에 포함된 URL을 함부로 클릭하지 않아야 하며, 기억에 의존해서 주소를 입력하지 말고, 오로지 믿을 만한 포털 사이트를 통해 검색한 뒤 접속하는게 바람직하다는게 전문가들의 조언이다. 또 웹사이트 주소를 제대로 확인한 뒤 ID와 비밀번호를 입력해야 하며, 2단계 인증을 반드시 활용하도록 한다. 안티 바이러스를 설치, 실시간 감시 기능을 활용하되, 공격자보다 먼저 유사 도메인을 등록하는 것도 중요하다. 특히 유사 도메인은 한국인터넷진흥원 등 보안 당국에 신고하는게 좋다.
최근엔 이에 대처한 ‘보안 테스트 도구’가 오픈소스로 유통되고 있어 관심을 끈다. 이들은 오픈 소스이므로 누구나 액세스할 수 있다. 몇 가지 사례를 보면, 우선 ▲칼리, 패럿(Parrot, 앵무새), 블랙아치 등이 많이 보급되고 있다. 칼리는 유비쿼터스라는 장점이 있고 사용자층이 넓다. 사용자에게 도움이 되는 수많은 지침 비디오, 사용 지침서, 사용자 커뮤니티 및 기타 정보가 있다. 다음으로 ▲메타스플로이트 프레임워크(MF, Metasploit Framework)도 있다. 이는 특히 악성 코드로 속임수를 쓰는 사이버 공격을 감별하는데 매우 유용하고, 그런 침투 경로를 쉽고 빠르게 접근, 파악할 수 있다.
이 밖에 ▲제드 어택 프록시(Zed Attack Proxy, ZAP)는 애플리케이션 점검에 특화되어 있다. 응용 프로그램을 점검하는 데 필수적인 도구 중 하나로서, 웹 응용 프로그램(예: HTTP 및 HTTPS) 요청을 가로채고 보고 수정하고 재생하고 자동화할 수 있는 프록시다. ▲히드라나, ‘존 더 리퍼 해쉬캣(JRH) 등도 많이 쓰인다. 히드라는 원격 또는 온라인 암호를 병렬로 강제하는 데 탁월하다. 존 더 리퍼는 사용하기 쉬운 오프라인 크래킹에 탁월하며, 해쉬캣은 고성능 로컬 암호 크래킹에 탁월하며 매우 다양한 형식을 지원한다.
이 외에도 ▲윈도우 메모리에서 비밀을 추출하도록 설계된 미미카츠, ▲ 장치와 원격 위치 간에 트래픽 측면에서 어떤 일이 일어나고 있는지 정확하게 파악하는 와이어샤크나 T샤크 등도 유용하게 쓰인다. 또한 SQL 주입 문제를 탐지하는 데 도움이 되는 특수 도구로서 ▲‘Sqlmap’도 많이 쓰이며, 모바일 응용프로그램을 검증하는데 적합한 ▲Apk나 MobSF 등도 활용되고 있다.
국내 IT업계 일각에선 또 시중에 출시된 오픈소스에 대해 “라이브러리의 보안 결함이 있을 수 있는 만큼, 행여 그런 경우를 대비해 라이브러리를 늘 수정해야 할 것”이라며 경계하는 목소리도 나오고 있다. 대표적으로 깃파드가 오픈소스로 클라우드 기반 IDE(통합개발환경) 플랫폼을 개발자들에게 제공하고 있지만, 그 역시 애플리케이션의 라이브러리에서 결함이 충분히 발생할 수도 있을 것이란 전제다. 그런 경우 버전 업데이트, 혹은 필요하다면 라이브러리 업그레이드를 통해 결함을 해결해야 할 것이란 충고다.